Botnetz-Sinkhole
Ein Botnetz-Sinkhole ist ein spezieller Computer, der zum Beispiel von Forschern genutzt wird, um Informationen über ein bestimmtes Botnetz zu sammeln.
Als Sinkholing wird dabei die Technik bezeichnet, mit der der Traffic von seinem ursprünglichen Ziel zu einem Ort umgeleitet wird, den der Betreiber des Sinkholes vorgegeben hat. Dieses neue Ziel ist das Sinkhole. Der englische Begriff steht für ein Loch im Boden, in dem hineingeworfene Gegenstände „spurlos“ verschwinden.
Sinkholes lassen sich sowohl für gutartige als auch für bösartige Zwecke verwenden. Am häufigsten werden sie genutzt, um die Zombies in einem Botnetz zu bestimmten Adressen umzuleiten. So können die von ihnen versendeten Daten abgefangen werden. Verseuchte Rechner, die Teil eines Botnetzes sind, werden häufig als „untote“ Zombies bezeichnet.
In einem zentral gesteuerten Botnetz lässt sich Sinkholing relativ leicht durchführen. Die Entdeckung eines von Kriminellen genutzten C&C-Servers (Command and Control) ermöglicht das Umleiten der DNS-Anfragen an diesen Server zu einem von einer Strafverfolgungsbehörde oder auch von Forschern betriebenen Maschine. Die Änderung im DNS-System sorgt dafür, dass alle Anfragen und Datenpakete der Zombies an den gefälschten C&C-Server weitergeleitet werden, wo sie genutzt werden können, um Daten über das jeweilige Botnetz zu sammeln und zu analysieren. Um diese Art von Sinkhole aufzubauen, benötigen die Forscher die Kooperation des oder der DNS-Betreiber, die von dem Botnetz genutzt werden sowie natürlich Kenntnisse über das Vorhandensein des Botnetzes und über den verwendeten C&C-Server.
Bei einem dezentral betriebenen Botnetz oder auch bei einem P2P-Botnetz (Peer-to-Peer) gibt es dagegen keinen zentralen C&C-Server. Hier müssen die Forscher zunächst die verwendeten Methoden herausfinden, über die die Zombies Befehle erhalten, bevor sie versuchen können, ihre Kommunikation zu blockieren oder aufzuzeichnen und zu analysieren.
Andere Möglichkeiten, um den von einem Botnetz häufig verursachten DDoS-Traffic (Distributed Denial of Service) in ein Sinkhole umzuleiten, basieren auf einem meist lokal durchzuführenden Ändern der Traffic-Routen durch zum Beispiel spezielle Windows-Updates oder auch durch Veränderungen in den lokalen Hosts-Dateien.