私はボットネットについて読んでいましたが、なぜこれらのネットの発信元を見つけて、これらを設定した元のコンピューターを特定することでそれらをルーティングできないのか疑問に思っていました。
私はおそらくそれらをあまり理解していないので、私の素朴な質問を許してください.
理論的には、すべてのコンピューターから発信されるすべてのトラフィックは、ISP、中間ルーターの束を通過し、最終的に宛先ホストに到達する必要があります。したがって、ISP が着信アドレスと発信アドレスを監視する場合、どの IP アドレスが多数の宛先またはそのようなヒューリスティックにこれらすべての接続を行っているかを知ることができるはずです...
一般に、これらのバックボーン プロバイダーと ISPS は一緒になって、各コンピューターからの接続先を基本的に把握しています。
通常、それらをセットアップするのは単一のコンピューターではありません。多くのボットネットはワーム/ウイルス/トロイの木馬によって拡散されるため、最初にインフルエンザに感染した人を見つけるのと同じように、元のホストを見つけるのは少し簡単です。
もう 1 つの問題は、信号が複数の ISP にまたがる場合、追跡が非常に簡単ではないことです。これは、ISP がチェーン内の前の ISP のログにアクセスできず、ホストのダウンチェーンで行われているアクティビティを確認できないためです。それらから。物事を追跡するには FBI のような中央当局が必要であり、接続がたとえばバヌアツを通過すると問題が発生します。
その理由は、ボットネットが文字通りメイン コンピューターの奴隷だからです。ボットはウイルスやルートキットに感染しており、これらを制御してリモートで実行するように指示することができます。これは通常、DDoS のように小さなことです。コントローラーは通常、VPS または専用サーバー上にあり、場所を移動できるため、元の場所を見つけるのは非常に困難です。
また、ISPは接続を探すだけでよいと言っています。毎日、何千もの接続がインターネットからあなたのコンピュータに接続されています。したがって、感染した数千台のコンピューターでこれらすべての接続をルーティングすると、膨大な時間がかかり、ログが常に保持されるとは限らないため、何も得られない可能性があります.
ISP が望んでいるなら追跡できると確信していますが、彼らの目には、それはリソースの膨大な無駄遣いです。