Názor k článku DDoS útok na servery Internet Info: pohled administrátora od Karel - U pronájmu botnetu platíte za hodinu provozu. Pokud...

U pronájmu botnetu platíte za hodinu provozu. Pokud je útok neúčinný a potřebujete přehodnotit strategii, tak je ekonomičtější útok přerušit, připravit nový a teprve pak si znovu pronajmout botnet.

Jako provozovatel botnetu pak nechcete, aby byly boty v provozu neustále. Pokud je stav botu "hele Pepo, ten počítač jede dneska jak z pr.ele", tak ještě uniknout pozornosti může. U stavu "už týden je to nějaké pomalé" roste riziko, že uživatel spustí antivirus (respektive zjistí, že spustit nejde) nebo zavolá někoho, kdo mu počítač zkontroluje. To máte jak s cizopasníky - zabít hostitele není dobrá strategie.

A v neposlední řadě je tu řada operátorů na cestě, kteří si dříve nebo později provozu všimnou a začnou ho řešit. Čím déle útočíte, tím pravděpodobněji někdo zjistí, že se něco děje. Jinak řečeno - pokud začne útočit botnet z počítačů zákazníků UPC, tak si toho UPC po čase všimne. Ten čas závisí na tom, jak silný a jak dlouho trvající útok je. Pokud někdo v UPC na nočním reportu zjistí, že provoz je dvojnásobný než obvykle, tak ho to asi zaujme. Pokud tenhle stav uvidí několik dní za sebou, tak mu možná i dojde co se děje a může zkusit něco dělat. Zkrátka jako provozovatel botnetu chcete, aby na straně útočníka (vašich botů) nebyl statisticky pozorovatelný problém. Takže na jednotlivých podsítích chcete buď mít botů málo, nebo je nemít v provozu dlouho.