Botnet avancé :
Un bot est défini comme un logiciel malveillant qui s’exécute sur un système compromis, conçu pour participer à un réseau managé de manière centralisée d’ordinateurs compromis. Ce réseau est connu sous le nom de robots. Les botnets monoprocesseurs ont été connus pour se composer sur un million de millions d’ordinateurs compromis et sont sans doute les menaces les plus importantes pour l’Internet global aujourd’hui. La gestion centralisée est exécutée par un serveur de commande et de contrôle (C&C).

Les troupeaux de robots passent de grands botnets de plusieurs milliers de zombies à des petits et plus ciblés. De plus, le protocole IRC pour Command and Control (C&C) est progressivement supprimé en faveur d’autres protocoles de couverture. Ces protocoles incluent le trafic HTTP ou non chiffré par le protocole SSL sur le port 443.

L’hôte sur lequel le robot est exécuté est connu sous le nom de cible de l’attaque.
Le serveur C&C est le source de l’attaque.

HTTP
L’hôte envoie une demande HTTP au serveur C&C. Le paquet de l’hôte vers le serveur C&C (serveur HTTP) répertorie l’hôte en tant que IP source (SRC) et le serveur C&C (serveur HTTP) en tant que destination (dest) Période. Lorsqu’une alerte est générée pour cette communication C&C, le pirate source est l’adresse IP du serveur C&C et l’hôte attaqué est la destination de l’attaque.

DNS
L’hôte envoie une demande DNS pour le domaine du serveur C&C et le serveur DNS répond avec une adresse IP. La source d’attaque ici est l’adresse IP du serveur C&C et la cible de l’attaque est l’hôte qui envoie la demande DNS.

Comme dans le cas HTTP, lorsqu’une alerte est déclenchée pour cette attaque, l’attaquant est l’adresse IP du serveur C&C et l’hôte attaqué est la destination de l’attaque.

Veuillez IP SRC et dest IP dans la menace explorer ne sont pas les sources SRC et dest IP dans le paquet, mais la source d’attaque et cible de l’attaque.