我正在阅读有关僵尸网络的信息,并想知道为什么找不到这些网络的来源并通过识别设置这些网络的原始计算机将它们排除在外?
我也许不太理解他们,所以原谅我天真的问题。
理论上,来自每台计算机的所有流量都必须通过ISP,一堆中间路由器,最后到达目的主机。因此,如果ISP监视传入和传出地址,他们应该能够告诉哪些IP地址正在将所有这些连接发送到大量目的地或某些启发式...
一般来说,这些骨干提供商和ISPS基本上都知道每台计算机的连接在哪里,为什么不遵循它们呢?
答案 0 :(得分:2)
通常情况下,并非只有一台计算机可以设置它们。许多僵尸网络都是通过蠕虫/病毒/木马传播的,所以找到原始宿主只是为了找到第一个患有流感的家伙,这样做会更简单。
另一个问题是,如果信号在多个ISP之间跳跃,它不容易跟踪,因为ISP无法访问链中前面ISP的日志,也看不到来自他们的主机下行链接正在进行的活动。它需要像FBI这样的中央权威机构来跟踪事情,如果连接通过瓦努阿图,它们甚至会出现问题。
答案 1 :(得分:1)
原因是因为僵尸网络实际上是主计算机的奴隶。机器人已被病毒或rootkit感染,可以控制并被告知远程操作。这通常很小,比如DDoS。控制器通常位于VPS或专用服务器上,可以从一个地方移动到另一个地方,因此很难找到原点。
还说ISP可以寻找连接。每天都有数千个连接从互联网进入您的计算机。因此,在数千台被感染的计算机上通过所有这些连接进行路由会消耗大量时间,并且无法提供任何内容,因为并不总是保留日志。
我确定ISP是否希望他们能够跟踪它们,但是在他们眼中,这是一种巨大的资源浪费。