Detectar Bitcoin Mining

20

Entonces, yo y un amigo administrador de la red discutíamos sobre la minería de bitcoins. Con tantos programas de minería de bitcoin portátiles, queríamos encontrar las diferentes formas de detectarlos en la red.

¿Cómo podemos detectar si un determinado host está ejecutando un software de minería de bitcoin? Todos los diferentes mineros que probé son portátiles. Se pueden guardar y ejecutar independientemente de su ruta, descartando la carpeta Program Files , bin .

¿Alguna idea más sobre cómo detectamos la minería de bitcoin?

    
pregunta Metahuman 14.02.2013 - 11:59
fuente

4 respuestas

12

Puedes buscar patrones de tráfico y similares, pero hay un importante cruce entre la multitud que extrae bitcoins, la multitud que sabe cómo funciona Tor y la multitud que hace todo lo posible para proteger su privacidad. Eso significa que: la detección en la red no es tan confiable. Que no use mucho ancho de banda lo hace especialmente difícil.

Lo que probablemente no pueden ocultar es el uso de CPU y GPU. Si tiene acceso a la máquina a través de SNMP, puede observar de forma remota los picos de CPU, o puede utilizar la Obtenga -Proceso del cmdlet de PowerShell contra las máquinas en su red para buscar cosas que agoten el tiempo de CPU. Para el tiempo de GPU; es poco probable que puedas detectar el uso a menos que puedas controlar el consumo de energía de alguna manera.

Desafortunadamente, dado que permite que las personas instalen el software que desean para rutas arbitrarias, es probable que no pueda encontrar un método confiable y repetible: las personas que está buscando podrían cambiar de minería, cambiar de ruta, etc. para cambiar su firma.

    
respondido por el Bob Watson 15.02.2013 - 02:47
fuente
8

Inspección de paquetes: getwork es el protocolo principal y oficial para la minería. Uno podría crear un patrón l7 filter para marcar los paquetes y soltarlos. Tampoco me sorprendería si los dispositivos de administración de ancho de banda de $ grandes como Sandvine puedan detectar redes.

Sin embargo, la mayoría de la minería está agrupada. Parece que las maneras en que esto se logra son bastante diversas. Algunas piscinas incluso tienen sus propios clientes personalizados. Probablemente utilizan una amplia variedad de protocolos de red diferentes.

Además, el malware de minería podría atravesar un túnel a través de SSH, TOR, etc. para evitar este tipo de estrategia.

AV: En mi experiencia, los productos AV al menos hacen un esfuerzo por mantener firmas para diferentes programas de minería: example

    
respondido por el Cory J 14.02.2013 - 17:29
fuente
6
  1. Busque conexiones a servidores de bitcoin. Las aplicaciones tienen que llamar a su casa, buscar conexiones a los servidores y la IP de origen lo llevará al sistema que ejecuta el software
  2. Haga una lista de los nombres de los ejecutables de los mineros de bitcoin y analice los sistemas para esos nombres.
respondido por el GdD 14.02.2013 - 12:28
fuente
0

Bueno, hay una forma de dinero medio razonable; agregue un medidor para cada cubículo / salida y vea quién está usando demasiado e investigue. Podrían derrotar fácilmente cualquier herramienta estática, pero anular la investigación manual de por qué esta máquina está consumiendo demasiada energía es difícil (si no encuentra nada que siga buscando, por supuesto).

    
respondido por el Joshua 13.01.2016 - 18:25
fuente

Lea otras preguntas en las etiquetas