Sumidero de botnet

Un sumidero de botnet es una máquina de destino utilizada por los investigadores para recopilar información sobre una botnet en particular.

Sinkholing es la redirección del tráfico desde su destino original a uno especificado por los propietarios de los sumideros. El destino alterado se conoce como sumidero. (El nombre es una referencia a un sumidero físico, en el que aparentemente desaparecen los elementos). 

Los sumideros se pueden usar con buenas o malas intenciones. Por lo general, los sumideros se utilizan para redirigir a los zombis en una botnet a máquinas de investigación específicas para capturar datos sobre ellos.

En una botnet centralizada, el hundimiento es sencillo. El descubrimiento de un servidor C&C (comando y control) hace posible redirigir las solicitudes de DNS para ese servidor a una computadora de aplicación de la ley u otra máquina de análisis. El servidor DNS especialmente configurado puede simplemente enrutar las solicitudes de los bots a un servidor C&C falso, donde las solicitudes brindan información a los investigadores sobre la naturaleza de la botnet. Para establecer este tipo de sumidero de botnet, los investigadores necesitan la cooperación del propietario del DNS utilizado por el botnet, así como el conocimiento de la botnet y su servidor C&C.

Dado que no hay un servidor C&C en una botnet descentralizada o P2P (botnet peer-to-peer), el investigador tiene que detectar su método para captar los comandos del propietario antes de que se pueda intentar bloquear o analizar la comunicación de la botnet.

Otros métodos utilizados para el tráfico DDoS (denegación distribuida de servicio) de botnet de forma efectiva incluyen el redireccionamiento local del tráfico a través de cambios a través de actualizaciones de Windows o hacia un archivo de hosts.