Яндекс.DNS научился бороться с ботами

Яндекс.DNS научился фильтровать запросы от ботов к центрам управления, об этом сообщается в пресс-релизе компании. Программы-боты заражают компьютер и заставляют его втайне от владельца выполнять действия, выгодные злоумышленникам. Боты получают команды из центров управления, для установки соединения с которыми используют систему DNS.

Для борьбы с ботами Яндекс.DNS использует список от Virus Tracker Ltd., в котором содержатся доменные имена командных серверов ботнетов. Каждый раз, когда у Яндекс.DNS запрашивают IP-адрес того или иного доменного имени, сервис сверяется с этим списком. Если имя есть в списке, значит, запрос поступил от бота и останется без ответа.

Каждый день Яндекс.DNS обрабатывает около семи миллиардов запросов, из них примерно 1.9 миллиона отправляют боты. Благодаря тому, что все запросы ботов к «центру» блокируются, боты не получают никаких инструкций, и заражённый компьютер перестаёт участвовать во вредоносной деятельности.

Александр Лямин, генеральный директор HighLoad Lab (разработчик анти-DDoS сервиса Qrator):

Да, «Яндекс» сделал шаг в правильном направлении. Blacklisting DNS адресов распостранителей malware и управляющих центров ботнетов сделает жизнь обычных пользователей безопаснее и существенно затруднит жизнь преступникам. К сожалению, использующие технологию DNS Fast Flux ботнеты, которые составляют существенную часть известных «больших» ботнетов, не будут подвержены влиянию таких блокировок. Со стороны «Яндекса» потребуется провести достаточно существенные доработки, чтобы закрыть и этот вектор угроз. Но первый шаг — он всегда самый трудный и самый важный.

Комментарий представителя компании

  • Контекст комментария

    Александр Сидоров

    Александр, мы в большинстве случаев блокируем не отдельные, быстро ротирующиеся IP-адреса, а доменные имена, используемые в схеме FastFlux. Эти доменные имена ротируются медленнее, поэтому часть ботов, использующих FastFlux, например часть ZeuS Gameover, мы блокируем. Согласен, мы наверняка можем знать домены и IP-адреса Command & Control серверов полнее и узнавать новые быстрее — поэтому мы продолжаем над этим работать. К тому же, Яндекс.DNS не блокирует ботов, которые управляются по технологии p2p. Сергей, мы это считаем, наши вирусные аналитики регулярно проверяют контрольные выборки сайтов, которые мы классифицируем как вредоносные, ложных срабатываний не более 0,5%. Если кто-то считает, что его ресурс попал в эти полпроцента, он может написать об этом в тех. поддержку через Яндекс.Вебмастер.

Добавить 10 комментариев

  • Ответить

    Мало нам депутаты всяких запретительных реестров наделали, так и еще всякие голандский компании сомнительного характера со своими блэк-листами лезут. Это хорошо, если они зловредов отслеживают, а сколько нормальных белых ресурсов в эти блэклисты попало, кто нибудь считал?

  • Ответить

    А вы видите разницу между добровольным использованием голландской продукции, при полной доступности альтернативных DNS — и принудительной советской «глушилкой»?

  • Ответить

    Александр, мы в большинстве случаев блокируем не отдельные, быстро ротирующиеся IP-адреса, а доменные имена, используемые в схеме FastFlux. Эти доменные имена ротируются медленнее, поэтому часть ботов, использующих FastFlux, например часть ZeuS Gameover, мы блокируем. Согласен, мы наверняка можем знать домены и IP-адреса Command & Control серверов полнее и узнавать новые быстрее — поэтому мы продолжаем над этим работать. К тому же, Яндекс.DNS не блокирует ботов, которые управляются по технологии p2p. Сергей, мы это считаем, наши вирусные аналитики регулярно проверяют контрольные выборки сайтов, которые мы классифицируем как вредоносные, ложных срабатываний не более 0,5%. Если кто-то считает, что его ресурс попал в эти полпроцента, он может написать об этом в тех. поддержку через Яндекс.Вебмастер.

  • Ответить

    Иван, а вы про spamhaus тоже самое говорите? когда они блокируют страны почти целиком, и всё исключительно добровольно. Какой-нибудь провайдер догадается пользоваться этим сервисом и будет добровольно-принудительная блокировка для абонентов.

  • Ответить

    Нет, а зачем мне так говорить? С какой стати? Обратите внимание, что вы снова приводите пример, где пользователь «не может» воспользоваться ничем альтернативным и, по большому счёту, не знает ничего о спамхаусе. У просто зашёл на свой почтовый сервис и видит, что почта не ходит. Никакого выхода у него нет. Даже если провайдер поставил негодные DNS (тормозные или плохие по другим причинам) — я всегда могу наколошматить цифры для использования любых других. С погромом от спамхауса, как я понимаю, так бороться нельзя, если уж он запилил хостинг где моя почта — то всё.

  • Ответить

    У яндекса dns весьма странные алгоритмы блокирования (анализа), по факту столкнулись что был заблокирован кусок урла абсолютно белого сайта. Конечно в последствии разблокировали, но осадочек то остался.

  • Ответить

    >> Как DNS-ом можно заблокировать «кусок урла»? Они как я понял отдают vk данные из этой базы, а vk уже не дает переходить по ссылкам. Работает все это по части урла.

  • Ответить

    >> Но почему вы называете это DNS? В DNS нету «частей урлов». Писали в их службу саппорта — нас разбанили. Как на самом деле работает их фильтр безопасных сайтов — я не знаю. Факт что забанили именно кусок урла, факт что ВК нас отправили к ним, факт что их саппорт нас разбанил.