Leí en enlace que: ZeuS ahora está utilizando una "lista de IP" que contiene las direcciones IP de otros Drones participando en la botnet P2P. Una lista inicial de direcciones IP está codificada en el binario ZeuS. Por lo que entiendo, los bots utilizan una lista de ip codificada para comunicarse entre sí. Lo que no entiendo es, ¿cómo pueden los bots detrás de una red NAT comunicarse entre sí cuando las direcciones IP detrás de una red NAT no son válidas?
Puede leer algo como Botnets del Instituto Infosec Desenterrados: el ZEUS BOT , pero se reduce a:
No es una configuración de igual a igual, es una configuración de cliente / servidor. Los clientes de malware intentan contactar con los servidores de comando y control que no están detrás de firewalls que impiden el acceso.
Verá una lista de nodos de comando y control (o, mejor, asegúrese de que su propio firewall los esté bloqueando) en ZeuS Tracker , que es la fuente de la I-Blocklist ZeuS blocklist (y muchos otros).
Hay un par de maneras. Primero, hay muchas computadoras que no están detrás de los firewalls de NATing - los propietarios pueden confiar en el Firewall de Windows, o en nada. Alguien con un módem por cable y una PC sin enrutador están completamente abiertos.
O un firewall con estado podría devolver paquetes UDP a la máquina de origen.
Conectarse a pesar de los NAT se llama NAT Traversal . Desde la página de Wikipedia:
Existen muchas técnicas, pero ningún método funciona en todas las situaciones, ya que el comportamiento de NAT no está estandarizado. Muchas técnicas de NAT transversal requieren la asistencia de un servidor a una dirección IP enrutable públicamente .
Por lo tanto, los IP codificados.
NAT Traversal es un campo minado y no es algo que pueda explicar. Sin embargo, la página de Wikipedia contiene una útil lista de técnicas . De particular interés es Perforación de agujeros que, si tiene éxito, no requiere ningún servidor.