Типов ботнетов существует не так много, а классификация их достаточна проста и основывается на архитектуре зомби-сетей и протоколах, с помощью которых происходит управление ботами.
Архитектура
Ныне известно только два типа архитектуры, используемых для построения зомби-сетей.
1. Ботнеты с единым центром управления. В подобных ботнетах все зомби-компьютеры управляются одним центром управления Command & Control Centre или C&C. Управляющий сервер всегда находится на связи и занимается регистрацией новых ботов, следит за их работой, выдает управляющие команды на выполнение каких-либо действий. Понятно, что в сети с такой архитектурой видны все зараженные машины. А хозяину зомби-сети для ее управления необходим доступ к серверу C&C.
Такие ботнеты являются самыми распространенными, ведь их легко создавать и управлять ими т. к. зомби-сети с централизованным управлением быстрее откликаются на команды центра управления. Но, в то же время, бороться с подобными сетями тоже не сложно: нужно «всего лишь» вычислить и остановить работу C&C конкретного ботнета, чтобы вся сеть прекратила свое существование.
2. Ботнеты одноранговых сетей или P2P-ботнеты, в которых каждый компьютер является равноправным сетевым узлом и где соединение идет по принципу «точка-точка» peer-to-peer или P2P — одноранговая сеть. В этом случае боты работают только с несколькими зомби-машинами ботнета, а не с командным центром, как в случае централизованного управления. Команды здесь передаются от одного бота к другому и у каждого есть список из нескольких адресов "соседних" зараженных машин. При получении команды с одного из этих адресов бот передает ее остальным. Для управления зомби-сетью, построенной по такому принципу, злоумышленнику достаточно доступа к любому из инфицированных ботом компьютеров.
Построение таких сетей не очень удобно, поскольку необходимо предоставлять адреса узлов бот-сети, с которыми будет взаимодействовать каждая новая зараженная машина. Проще централизованно снабжать данными новые боты, когда новый зараженный компьютер обращается к серверу центра управления и получает сетевые адреса для работы, после чего переключается в режим P2P. Такой смешанный тип также относится к P2P-сетям, не смотря на использование C&C на начальном этапе. Бороться с зомби-сетями, построенными по принципу peer-to-peer, гораздо сложнее, т. к. в действующей бот-сети нет единого центра управления.
Сетевые протоколы
Для взаимодействия ботов между собой или с C&C в зомби-сети необходимо, хотя бы, установить сетевое соединение между компьютерами. Весь обмен данными между машинами команды, похищенная информация, подтверждения основан на тех или иных сетевых протоколах, которые определяют правила общения компьютеров в сети. На этом основывается второй принцип классификации бот-сетей.
Ботнеты подразделяются по типу используемых протоколов сетевого обмена на следующие группы:
1. IRC-ориентированные сети. Один из первых типов ботнетов. Управление бот-программами здесь осуществлялось на основе IRC Internet Relay Chat — ретранслируемый интернет-чат, когда каждая зараженная машина соединялась с заранее запрограммированным в теле бота IRC-сервером, после чего программа-бот заходила на свой канал и ждала команд своего хозяина.
2. IM-ориентированные ботнеты. Этот вид сетей не столь популярен, как IRC-ориентированные ботнеты. Отличие между ними состоит в том, что в IM-ориентированных бот-сетях для передачи данных используют каналы IM-служб Instant Messaging — мгновенный обмен сообщениями, часто это службы ICQ, AOL, MSN, и др. Невысокая популярность ботнетов на основе этих протоколов обусловлена сложностями, которые возникают при создании каждого отдельного аккаунта в службе мгновенных сообщений для каждого бота. Т. к. большинство операторов IM-служб не разрешают входить в систему в один и тот же аккаунт с разных IP-адресов разных компьютеров, а боты должны постоянно выходить на связь и присутствовать в сети, то для каждого экземпляра бота необходимо заводить собственную учетную запись. Но при этом администрации IM-служб всеми возможными способами препятствуют любым автоматическим регистрациям в своих сервисах. В результате чего владельцы ботнетов на основе сервисов обмена мгновенными сообщениями испытывают большие ограничения в числе зарегистрированных аккаунтов, а, следовательно, и в числе ботов, присутствующих единовременно в Сети. Безусловно, возможно, использование бот-программами одних и тех же аккаунтов. Ботам потребуется выходить в Интернет в определенный промежуток времени, пересылать данные хозяину и ждать ответа некоторое непродолжительное время. Но такая зомби-сеть очень медленно откликается на команды.
3. Web-ориентированные. Достаточно новый и стремительно развивающийся тип ботнетов. Управление ими осуществляется через Всемирную паутину. Зараженный компьютер выходит на связь с определенным веб-сервером, получает от него команды и передает собранные данные. Подобные сети очень популярны у злоумышленников из-за своей простоты в разработке и управлении, а также из-за большого количества серверов в Сети.
4. Прочие. Существуют и другие типы бот-сетей, компьютеры в которых соединяются по своим собственным протоколам и используют лишь стек протоколов TCP/IP.
