A.

Caractersticas de Botnet
Al igual que las generaciones anteriores de virus y gusanos, un bot es una aplicacin de
propagacin automtica que infecta a los hosts vulnerables mediante actividades de
explotacin para ampliar su alcance. Los mtodos de infeccin de bots son similares a
otras clases de malware que reclutan sistemas vulnerables mediante la explotacin de
las vulnerabilidades de software, insercin troyana, as como tcnicas de ingeniera
social lo que lleva a descargar cdigo bot malicioso bot.
Sin embargo, entre las otras clases de malware, la definicin caracterstica de los
botnets es el uso de los canales de comando y control (C & C) a travs de los cuales se
pueden actualizar y ser dirigidos. La arquitectura C & C de mltiples niveles de botnets
proporciona anonimato para el dueo del bot. Los canales C & C pueden operar una
gama de topologas lgicas de red y utilizar diferentes protocolos de comunicacin.
Segn su arquitectura de mando y control, las botnets se pueden clasificar como
basadas en IRC, basadas en HTTP, basadas en DNS o peer-to-peer (P2P) botnets [8]. Las
botnets P2P usan el protocolo P2P reciente para evitar un solo punto de falla. Adems,
las botnets P2P son ms difciles de localizar, apagar, secuestrar [9, 10]. Sin embargo,
segn el anlisis en [2] la mayora de las botnets prevalentes se basan en Internet
Relay Chat (IRC) protocolo [11] con un comando centralizado y control mecanismo. El
protocolo IRC fue diseado originalmente para salas de chat social para permitir varias
formas de comunicacin y la difusin de datos entre un gran nmero de huspedes
finales. La gran prevalencia de las botnets basadas en IRC se debe a la flexibilidad y
escalabilidad de este protocolo. Adems, hay son varias las implementaciones de
cdigo abierto que permiten dueos de los bots extenderlos de acuerdo a sus
demandas [2, 12].
B. Ciclo de vida de Botnet
Una botnet tpica se puede crear y mantener en cinco fases: infeccin inicial, inyeccin
secundaria, conexin, comando malicioso y control, actualizacin y mantenimiento.
Este ciclo de vida se representa en la Fig. 1.

Durante la fase inicial de infeccin, el atacante explora la subred destino para conocer
sus vulnerabilidades, e infecta a la vctima mediante diferentes mtodos de
explotacin. Despus de la infeccin inicial, en la fase de inyeccin secundaria, los
huspedes infectados ejecutan un script conocido como shell-code. El cdigo shell
recupera la imagen del bot binario actual desde la ubicacin especfica mediante FTP,
HTTP o P2P. El bot binario se instala en la mquina de destino. Una vez instalado el
programa bot, la computadora se convierte en un "Zombie" y ejecuta el cdigo
malicioso. La aplicacin del bot se inicia automticamente cada vez que el zombie se
reinicia [2, 8, 13]. En la fase de conexin, el programa bot establece un comando y
control (C & C), y conecta el canal de zombie al servidor de comando y control (C & C).
Sobre el establecimiento del canal C & C, el zombi se convierte en una atacante del
ejrcito botnet. Despus de la fase de conexin, el actual comando del bot y las
actividades de control se iniciarn. El maestro bot utiliza el canal C & C para difundir
comandos a su ejrcito bot. Los programas Bot reciben y ejecutan comandos enviados
por maestro bot. El canal de C & C permite al maestro bot controlar de forma remota
la accin de un gran nmero de bots para diversas actividades ilcitas [8, 13].
ltima fase es mantener los robots vivos y actualizados. En esta fase, los robots estn
ordenados para descargar un binario actualizado.

El acoplamiento del creciente nmero de mquinas conectadas a Internet a travs de

enlaces de banda ancha a tiempo completo con importantes vulnerabilidades en el
sistema ha creado un medio ambiente para la diseminacin, la infeccin y la formacin
de botnets.
Aunque los tamaos de las botnets siguen bajo investigacin, informes dicen que
Rustock, la mayor botnet conocida en 2010, tena ms de 1 milln de bots bajo su
control [8]. Despus de supervisar aproximadamente 180 botnets en el perodo de
cinco meses, el trabajo en [30] rastre ms de 300.000 direcciones IP nicas asociadas
con al menos uno de los canales de los botnet monitorizados. Los autores concluyeron
que ms de un milln de mquinas estaban comprometidas y controladoas
remotamente por maestros bot.
Segn Satniford et al. [26], si un atacante determinado o organizacin criminal
controla un milln de mquinas, puede haber una defensa efectiva y completa contra
una ofensiva lanzada desde una botnet. Tal un ataque tiene el potencial de causar un
dao inmenso, asumir un rol significativo en escenarios de guerra entre naciones y ser
un arma de terrorismo. No es de extraar que las botnets se consideran como una de
las mayores amenazas en espacio [3, 13, 22] y ese enorme esfuerzo y cooperacin es
necesario para luchar contra esta amenaza.
Las botnets se pueden utilizar para una variedad de actividades perturbadoras,
incluyendo spam, realizar ataques DDoS, distribuir software malicioso (caballos de
Troya, spyware, keyloggers), piratera de software, recoleccin de informacin,
extorsin, robo de identidad y manipulacin de juegos en lnea o encuestas, por
nombrar algunos [6,7,13,22,30-33].
El creciente nmero de botnets los hace extremadamente atractivos y efectivos en la
orquestacin de ataques destructivos de DDoS [34, 35]. La suma de las tasas de
transmisin de todos los nodos de una botnet sobrepasa la mayora de los objetivos,
tipo de ataque extremadamente eficaz [1,30]. Acciones tomadas contra actividades
maliciosas, especialmente ataques DDoS y spam, puede ser reactivo o preventivo.
Las defensas reactivas son las ms comunes, segn Freiling et al. [30]. La estrategia
bsica consiste en detectar actividad maliciosa y luego reaccionar ante el ataque
intentando para reducir el trfico malicioso a niveles aceptables. Este enfoque tiene
dos desventajas principales. En primer lugar, requiere la construccin de una
infraestructura completa con energa y almacenamiento de datos para analizar
(preferiblemente en tiempo real) la gran cantidad de informacin de monitoreo.
El segundo problema se refiere al tiempo; porque el ataque est ya en marcha en el
momento en que se detecta, legtima usuarios ya los ISP ya han sufrido al menos parte
de sus efectos.
Las tcnicas preventivas, por otra parte, tratan de evitar la posibilidad de llevar a cabo
las actividades maliciosas, especialmente en los casos de ataques DDoS y spam, o para
ayudar a la vctima a sobrevivir al ataque, por ejemplo, aumentar los recursos de sus
vctimas o modificar la red obligando a los usuarios a ser autenticados. Sin embargo,
este enfoque puede conducir a una '' carrera armamentista '' porque el atacante
tambin puede mejorar sus herramientas y recursos. En Adems, el cambio de las
infraestructuras de red puede recursos financieros sustanciales.
Es necesario analizar la raz del problema para hacer efectivo un mecanismo
preventivo, es decir, el determinacin de lo que permite la realizacin de un ataque o
la realizacin de actividades ilcitas [1,35]. Esta metodologa detecta las mquinas
involucradas en la preparacin de un ataque, culminando en su desactivacin.
En los ltimos aos, un nmero cada vez mayor de se ha llevado a cabo para aprender
a detectar botnets y paralizar ellos [13-17, 22, 34, 36, 37]. Las amenazas planteadas
por botnets estn empezando a aparecer. Los investigadores de la comunidad de
Internet, autoridades policiales, usuarios individuales y empresas han empezado a
discutir mtodos para combatir botnets, que representan quizs el ms grande
amenaza de seguridad para la comunidad de Internet en la actualidad [1 - 3].