Исследователи нашли способ определять автоматически сгенерированные домены

Николай Головко 06 Ноября 2010 - 06:49

...

Ряд работающих в Сети ботнетов использует автоматически сгенерированные доменные имена серверов управления. Американским специалистам удалось обнаружить способ детектирования подобных имен; по их мнению, он пригодится системным администраторам в качестве системы раннего предупреждения об инфекции.

Ботнеты Conficker, Kraken, Torpig относятся к числу тех, которые применяют метод т.н. 'текучести доменных имен' для защиты своих управляющих элементов от экспертов по безопасности. Вредоносная сеть такого типа генерирует множество случайных доменов в соответствии с некоторым алгоритмом; эти домены используются для связи клиентов с командными центрами ботнета. Если вы хотите прекратить деятельность такой сети, вам потребуется захватить управление всеми этими доменными именами, что довольно сложно.

Однако исследователи уверены, что, поскольку имена наподобие joftvvtvmx.org, ejfjyd.mooo.com или mnkzof.dyndns.org созданы по определенному алгоритму, то их можно успешно определять и отличать от других, легитимных доменов. Если пропускать через такой детектор весь DNS-трафик, идущий наружу из ЛВС предприятия, то можно быстро и эффективно определить наличие инфекции в сети.

"Таким образом, предложенный нами метод может выявлять присутствие ботнет-клиентов; администратор ЛВС будет способен прервать связь между рабочими станциями и контрольными серверами ботнета посредством отфильтровывания DNS-запросов на разрешение алгоритмически сгенерированных доменных имен", - говорится в работе, представленной на конференции ACM Internet Measurement Conference в Австралии.

Указанный метод задействует некоторые приемы из теории обнаружения сигналов и статистического самообучения; с его помощью можно детектировать имена, алгоритмы создания которых основаны на псевдослучайных последовательностях, словарных единицах и ложных словах. Сообщается, что на выборке из 500 доменных имен был достигнут стопроцентный уровень выявления без ложных срабатываний; при объеме выборки в 50 доменов также были успешно обнаружены все автоматически сгенерированные имена, однако количество "ложных тревог" составило 15%.

The Register

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 30 Марта 2026 - 10:17

Неисправность оборудования Сбои оборудования Общее

В России начало массово выходит из строя оборудование в старых ЦОД

В российских центрах обработки данных (ЦОД), введённых в эксплуатацию 10 и более лет назад, начались массовые отказы оборудования. Причина — выработка ресурса на фоне сложностей с поставками запасных частей из-за рубежа и отсутствия необходимых складских запасов.

По оценке отраслевых аналитиков, опрошенных РБК, проблема затрагивает примерно каждый пятый коммерческий ЦОД. Особенно остро ситуация проявляется в сравнительно небольших дата-центрах, а также в локальных серверных в компаниях.

Руководитель направления сервиса инженерных систем «К2Теха» Денис Полуэктов отметил, что в первой половине 2025 года запросов на устранение аварий в ЦОД, связанных с проблемами инженерной инфраструктуры, не поступало. Однако в начале 2026 года число таких обращений уже превысило 10. Состояние инженерной инфраструктуры во всех этих случаях специалист охарактеризовал как «предсмертное».

Схожую оценку дал и заместитель генерального директора по инфраструктуре интегратора «Ультиматек» Павел Приедитис. По его словам, все заявки связаны с объектами, где инфраструктура была установлена 10 и более лет назад. Именно на этот срок обычно приходится завершение жизненного цикла такого оборудования.

Член оргкомитета Профессиональной ассоциации в сфере облачных технологий (RCCPA) Антон Салов оценил долю коммерческих ЦОД, столкнувшихся с этой проблемой, в 20%. В первую очередь речь идёт о системах бесперебойного питания, дизель-генераторах и подсистемах климат-контроля.

Представители операторов ЦОД признали наличие проблем, связанных с накопленными техническими долгами. Ситуацию усугубляют не только сложности с зарубежными поставками, но и финансовые трудности самих компаний. Одним из выходов становится постепенная замена оборудования на более доступные решения российского и китайского производства. В более выгодном положении оказались те, кто успел заранее сформировать значительные запасы комплектующих.

В 2026 году уже произошло как минимум два заметных инцидента, связанных с работой ЦОД. Так, 27 марта не работал ЦОД правительства Белгородской области, однако в том случае причиной стала авария на линии электроснабжения. А 16 марта масштабный сбой произошёл у «Яндекса», причём он затронул и сторонние компании, использующие его инфраструктуру.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!