Ботнет.

Ботнет — это совокупность скомпрометированных узлов (ПК, серверов, маршрутизаторов, IoT-устройств), которые подключаются к одному или нескольким серверам управления (C2) и выполняют команды оператора («ботмастера»). Ботнеты применяют для DDoS-атак, спама, credential stuffing, кликфрода, майнинга криптовалют, распространения малвари и в качестве прокси-сетей для дальнейших вторжений. Чтобы сопротивляться отключению, используются централизованные C2, P2P или fast-flux DNS.

Определяющая черта — масштаб. Ботнет Mirai (2016) завербовал сотни тысяч IoT-камер и маршрутизаторов, перебирая список учётных данных по умолчанию, а затем направил около 1 Тбит/с трафика на DNS-провайдера Dyn, выведя из строя Twitter, Reddit и Spotify. Ботнет резидентных прокси «911 S5» — ликвидированный ФБР и международными партнёрами в мае 2024 года с арестом администратора YunHe Wang — заразил почти 19 миллионов IP-адресов почти в 200 странах, сдавая устройства жертв в аренду мошенникам и причинив миллиардные убытки. Банковские ботнеты, такие как Emotet и Qakbot, были аналогично выведены из строя скоординированными операциями правоохранителей по перенаправлению трафика в sinkhole.

flowchart TD
  M[Заражение малварью<br/>учётные данные по умолчанию / эксплойт / фишинг] --> B1[Бот 1]
  M --> B2[Бот 2]
  M --> B3[Бот N]
  B1 --> C[Сервер C2 / P2P / fast-flux]
  B2 --> C
  B3 --> C
  C --> O[Ботмастер отдаёт команды]
  O --> A[DDoS / спам / прокси / майнинг]

Защита включает гигиену узлов, обновление прошивок IoT, блокировку известных C2, sinkhole, фильтрацию исходящего трафика, обнаружение сетевых аномалий и операции правоохранителей по ликвидации инфраструктуры.