عملکرد Botnet ها و استفاده از آنها

Botnet لغتی است كه از ایده شبكه ای از روبوتها استخراج شده است. در ساده ترین شكل، یك روبوت یك برنامه كامپیوتری خودكار است. در botnetها، bot به كامپیوترهایی اشاره می­كند كه می­توانند توسط یك یا چند منبع خارجی كنترل شوند. یك فرد مهاجم معمولا كنترل كامپیوتر را با ضربه زدن به آن كامپیوتر توسط یك ویروس یا یك كد مخرب بدست می­گیرد و به این وسیله دسترسی فرد مهاجم به سیستم آسیب دیده فراهم می­شود. ممكن است كامپیوتر شما بخشی از یك botnet باشد ولی ظاهرا درست و عادی كار كند. Botnet ها معمولا برای هدایت فعالیتهای مختلفی مورد استفاده قرار می­گیرند. این فعالیتها می­تواند شامل انتشار هرزنامه و ویروس، یا انجام حملات انكار سرویس و یا فعالیتهای خرابكارانه دیگر باشد.

Botnet ها از كامپیوترهایی تشكیل شده اند كه توسط یك سرور خرابكار كنترل می­شوند و عمده ترین تكنولوژی مورد استفاده جهت انتشار هرزنامه، بدافزار و برنامه های سرقت هویت هستند. زمانی كه كامپیوترها آگاهانه یا ناآگاهانه توسط نرم افزاری كه برای این منظور طراحی شده آسیب می­بینند، دیگر قادر نخواهند بود در برابر دستورات مالك botnet مقاومت نمایند. Botnet ها تهدیدات مداومی برای شركتهای تجاری به حساب می آیند و در صورت نفوذ به شبكه یك شركت تجاری یا دسترسی به داده های محرمانه، بسیار خطرناك هستند.

مشكل اصلی در مورد botnet ها این است كه پنهان هستند و ممكن است تا زمانیكه شما بطور خاص به دنبال آنها نگردید، متوجه حضورشان نشوید. افراد مهاجم همچنین از botnet ها برای دسترسی به اطلاعات شخصی و تغییر آنها، حمله به كامپیوترهای دیگر، و انجام سایر اعمال مجرمانه استفاده می­كنند و در عین حال ناشناخته باقی می­مانند. از آنجایی كه هر كامپیوتر در یك botnet می­تواند برای اجرای دستورات یكسان برنامه ریزی شود، یك فرد مهاجم می­تواند با استفاده از هر یك از این كامپیوترها، آسیب پذیریهای چندین كامپیوتر را بررسی كرده و فعالیتهای آنلاین آنها را كنترل نماید یا اطلاعاتی را كه در فرمهای آنلاین وارد می­كنند جمع آوری كند.

 



botnet از دو کلمه تشکیل شده است : Bot و Net

bot مخفف robot است و غالبا به کامپیوتری که توسط یک بدافزار آلوده شده است  اطلاق  می شود. کلمه Net  (شبکه )نیز به گروهی از سیستم ها که به هم متصل شده اند گفته می شود.افرادی که بدافزارها را ایجاد کرده اند می توانند به کامپیوترهای آلوده بصورت مستقیم لاگین کنند، اما به جای این کار از بات نت ها برای مدیریت حجم زیادی از کامپیوترهای آلوده استفاده می کنند و این کار را بصورت خودکار انجام می دهند . یک بات نت شبکه ای از کامپیوتر های آلوده است  و بدافزار مربوطه نیز  از شبکه برای گسترش خود استفاده می کند. دستگاه ها یا سیستم هایی که توسط یک بات آلوده شده اند zombie نیز نامیده می شوند.

زمانی که برنامه بات بر روی دستگاهی نصب شد ، تلاش می کند به وب سایت یا سروری که می تواند دستورالعمل ها و دستورات را از آن دریافت کند متصل شود . این سایت یا سرور به عنوان سرور کنترل-فرمان C&C شناخته می شود. C&C با داشتن فهرستی از ماشین های آلوده آنها را مدیریت کرده و ضمن نظارت وضعیت آنها فرامین عملیاتی را برایشان ارسال می کند.  سرور کنترل کننده بات نت botmaster نیز نامیده می شود که فعالیت های بات نت را با استفاده از کانال های ارتباطی ، کنترل می کند. یک بات نت می تواند برای اجرای حملات سایبری  مانند DDOS ، بر علیه یک هدف یا سرقت اطلاعات حساس استفاده شود. لذا انتشار این بات نت ها یکی از تهدیدات سایبری برای جامعه امنیت محسوب می شوند.

 

تعریف دقیق Botnet

Botnet ها شبكه هایی از كامپیوترهای آلوده هستند. این كامپیوترها تحت كنترل یك مجموعه دستورات هستند كه از طریق نرم افزاری كه تعمدا و یا نا آگاهانه نصب شده است، مدیریت شده و تغییر می­كنند. این نرم افزار توسط یك كامپیوتر خرابكار كنترل می­گردد. ممكن است botnet ها دارای كاركردهای قانونی نیز باشند، ولی در اغلب موارد با فعالیتهای مجرمانه برای انتشار هرزنامه، بدافزار یا حملات سرقت هویت در ارتباطند. بر اساس مطالعات اخیر، حدود 10 درصد از تمامی كامپیوترهای موجود بر روی اینترنت توسط botnet ها آلوده شده اند. زمانی كه یك كامپیوتر توسط نرم افزار botnet آلوده می­شود، دیگر قادر نخواهد بود در برابر دستورات مالك botnet مقاومت كرده یا از اجرای آنها سر باز زند. برخی اوقات از كامپیوترهای موجود در Botnet ها بعنوان Zombie نام برده می­شود.

اندازه یك botnet به پیچیدگی و تعداد كامپیوترهای استخدام شده در این Botnet بستگی دارد. یك botnet بزرگ ممكن است از 10000 كامپیوتر منفرد تشكیل شده باشد. معمولا كاربران كامپیوترها از این موضوع كه سیستمهایشان از راه دور كنترل شده و مورد سوء استفاده قرار می­گیرد اطلاعی ندارند.

از آنجاییكه Botnet ها از تكنولوژیهای بدافزاری مختلفی تشكیل شده اند، توضیح دادن درباره آنها و پیچیدگی كار آنها چندان ساده نیست. افراد مهاجم تكنولوژیهای مختلف را به نحوی با هم تركیب كرده اند كه دسته بندی آنها را سخت می­كند. Botnet ها می­توانند باعث ایجاد گستره متنوعی از حملات گردند:



· حملات انكار سرویس توزیع شده

یك botnet با هزاران عضوی كه در سراسر جهان دارد می­تواند یك حمله گسترده و هماهنگ را برای خراب كردن یا از كار انداختن سایتها و سرویسهای مهم راه اندازی نماید و منابع و پهنای باند این سیستمها را اشغال كند. حملات چندین گیگا بیت بر ثانیه توسط botnet ها حملاتی كاملا شناخته شده و معمول هستند. اغلب حملات معمول از UDP، ICMP، و TCP SYN استفاده می­كنند.

اهداف این حملات ممكن است شامل وب سایتهای تجاری یا دولتی، سرویسهای ایمیل، سرورهای DNS، ارائه دهنده های سرویس اینترنت، زیرساختهای اساسی اینترنت یا حتی تولید كنندگان ابزارهای امنیتی صنعت فناوری اطلاعات باشد. حملات همچنین ممكن است سازمانهای سیاسی یا مذهبی خاصی را هدف بگیرند. این حملات گاهی با باج گیری همراه می­شوند.

هر سرویس اینترنتی ممكن است هدف یك botnet قرار گیرد. این كار می­تواند از طریق غرق كردن وب سایت مورد نظر در درخواستهای بازگشتی HTTP انجام شود. این نوع حمله كه در آن، پروتكلهای سطوح بالاتر نیز برای افزایش تاثیر حمله به كار گرفته می­شوند، بعنوان حملات عنكبوتی نیز مشهور است.



· ابزار جاسوسی و بدافزار

Botnet ها فعالیتهای تحت وب كاربران را بدون اطلاع یا رضایت كاربر كنترل كرده و گزارش می­دهند. همچنین ممكن است Botnet ها نرم افزار دیگری را برای جمع آوری اطلاعاتی درباره آسیب پذیریهای سیستم نصب كرده و این اطلاعات را به دیگران بفروشند.

علاوه بر این، یك ربات همچنین می­تواند بعنوان یك وسیله استراق سمع به كار رفته و داده های مهم و حساس را كه از یك سیستم آسیب دیده می­گذرند گوش دهد. داده های نوعی كه این رباتها به دنبال آن می­گردند عبارتند از اسامی كاربری و كلمات عبوری كه فرمانده Botnet می­تواند برای اهداف شخصی خود از آنها استفاده كند. داده هایی درباره یك botnet رقیب كه در همان واحد نصب شده است نیز می­تواند هدف فرمانده botnet قرار بگیرد تا به این وسیله، botnet دیگر را نیز سرقت نماید.



· سرقت هویت

در اغلب موارد Botnet ها برای سرقت اطلاعات هویت شخصی افراد، داده های مالی و تجاری، یا كلمات عبور كاربران و سپس فروش یا استفاده مستقیم از آنها به كار می­روند.

همچنین Botnet ها در پیدا كردن و معرفی سرورهایی كه می­توانند برای میزبانی وب سایتهای سرقت هویت مورد استفاده قرار گیرند كمك كنند. این وب سایتها خود را به جای یك وب سایت معتبر جا زده و كلمات عبور و داده های هویتی كاربران را سرقت می­كنند.



· ابزار تبلیغاتی

ممكن است botnet ها بطور خودكار popup های تبلیغاتی را بر اساس عادات كاربر دانلود و نصب نمایند یا مرورگر كاربر را مجبور كنند كه بطور متناوب وب سایتهای خاصی را مشاهده نماید.



· هرزنامه

یك botnet می­تواند برای ارسال هرزنامه ها مورد استفاده قرار گیرد. پس از اینكه یك كامپیوتر مورد سوء استفاده قرار گرفت، فرمانده botnet می­تواند از این zombie جدید به همراه سایر zombie های botnet استفاده كرده و با جمع آوری آدرسهای ایمیل به ارسال دسته ای هرزنامه و یا ایمیلهای سرقت هویت اقدام نماید.

امروزه اغلب هرزنامه ها از طریق botnet ها انتشار می­یابند. بر اساس مطالعات اخیر، در سال 2008 botnet ها مسوول انتشار بیش از 90 درصد از هرزنامه ها بودند.



· گسترش botnet

Botnet ها همچنین می­توانند برای گسترش سایر Botnet ها مورد استفاده قرار گیرند. این كار با متقاعد كردن كاربر برای دانلود كردن فایل اجرایی مورد نظر از طریق FTP، HTTP یا ایمیل انجام می­شود.



· فریب سیستمهای پرداخت به ازای هر كلیك

Botnet ها می­توانند برای مقاصد تجاری مورد استفاده قرار گیرند. آنها این كار را با كلیكهای خودكار روی یك سیستم كه به ازای هر كلیك مبلغی را پرداخت می­كند انجام می­دهند. اعضای Botnet در هنگام آغاز به كار یك مرورگر بطور خودكار روی یك سایت كلیك می كنند. بعبارت دیگر، این Botnet ها تعداد كلیكهای یك آگهی تبلیغاتی را به شكل مصنوعی افزایش می­دهند.

3- چگونه یك botnet تجارت و شبكه شما را تحت تاثیر قرار می­دهد؟


برای اینكه شركتهای تجاری بتوانند با خطرات botnet ها مقابله نمایند، ابتدا باید بدانند كه خطرات حقیقی این شبكه ها چیست.

قابلیت پاسخگویی سریع و موثر به نفوذ botnet یكی از مهمترین چالشهای شركتهای تجاری است. متاسفانه استفاده صرف از تكنولوژی مبتنی بر امضا برای مقابله با این حملات، می­تواند باعث در خطر قرار گرفتن شركت شما گردد. ممكن است چند ساعت یا حتی چند روز طول بكشد تا شما بتوانید از طریق این تكنولوژی یك botnet را كشف كرده و پاسخ مناسبی به حملات آن بدهید. از آنجایی كه botnet ها پیچیده هستند و مبارزه و حذف آنها كار سختی است، خطر برای شركت شما باقی می­ماند.

Botnet ها برای مجرمان اینترنتی جذاب هستند، چرا كه این قابلیت را دارند كه برای جرائم مختلف مجددا تنظیم شوند، برای سرویسهای میزبانی جدید تغییر مكان پیدا كنند، و در پاسخ به پیشرفتهای جدید امنیتی دوباره برنامه ریزی گردند. مجرمان اینترنتی با استفاده از این شبكه ها، حوزه جرائم خود را گسترده می­كنند.

صاحبان این botnet ها با استفاده از قدرت مخرب botnet ها حملات دقیق و هدفمندی را علیه شركتهای تجاری ایجاد می­كنند. علاوه بر انتشار هرزنامه، هك كردن پایگاههای داده ایمیلها و اجرای حملات انكار سرویس توزیع شده (DDOS)، اكنون botnet ها به شكل گسترده ای برای سرقت اطلاعات در قالب كلاهبرداریهای مالی یا عملیات جاسوسی شركتی مورد استفاده قرار می­گیرند.

یكی از مهمترین كاربردهای botnet ها حملات DDOS است. یك حمله DDOS پیشرفته، می­تواند سیستمهای IT را برای ساعتها یا روزها مسدود نموده و مستقیما باعث ایجاد ضررهای مالی ­گردد كه در نتیجه كل اقتصاد بصورت غیر مستقیم آسیب می­بیند.

Botnet ها سعی می­كنند كه به هرزنامه ها بعنوان یك بخش مهم از مبارزه خود تكیه نمایند. Botnet ها به انتشار دهندگان هرزنامه ها اجازه می­دهند كه میلیونها پیغام را از طریق سیستمهای آسیب دیده در مدت زمان كوتاهی ارسال نمایند. این پیغامها می­توانند درصد زیادی از پهنای باند شبكه و كارآیی سرور یك شركت را اشغال كنند. اگر سرورها در اثر حجم هرزنامه ها از كار بیفتند یا بدافزارهای موجود در ایمیلها نصب گردند، می­تواند باعث زیانهای مالی شدید گردد.

زمانی كه botnet ها به سیستم عامل یا شبكه یك شركت دسترسی پیدا می­كنند، می­توانند به اطلاعات مربوط به كارتهای اعتباری، حسابهای بانكی، و یا اطلاعات محرمانه تجاری دست یافته و آنها را سرقت نمایند.

معمولا شركتهایی كه نقل و انتقالات آنلاین را هدایت می­كنند، هدف كلاهبرداری قرار می­گیرند. چرا كه نقل و انتقالات آنلاین نیاز به این دارد كه اطلاعات شخصی مهم یا اطلاعات تجاری وارد سیستمهای آنان گردد. یك كلاهبرداری آنلاین قوی به وسیله یك botnet، می­تواند منجر به زیانهای شدید مالی برای شركت تجاری هدف و نیز مشتریان او گردد. همچنین چنین اتفاقی می­تواند باعث بدنامی این شركت و از دست رفتن اعتبار وی شود.

چه کسانی بیستر درگیر بات نت ها هستند ؟

مرز بین دستگاه های کاربران خانگی و کاربران بسیار کمرنگ است.  لذا بات نت ها تهدیدی برای همه هستند. شبکه های تجاری امنیت بیشتر و مانیتورینگ دقیقتری دارند  و مسلما  کشف و حذف حملات بات نت ها در  این  نوع شبکه ها راحت تر است. اما در مقابل اطلاعات ارزشمند  و حساس تری نیز در آنها وجود دارد که ممکن است مورد سرقت قرار بگیرند.

مهم ترین بات نت  که توجه همه را به خود جلب کرد و یقینا یکی از بزرگترین های تاریخ است Conficker است که میلیون ها میزبان را به سرعت آلوده کرده بود. این اتفاق توسط مراکز تحقیقاتی کشف شده و سریعا عملیات مقابله با آن  آغاز گردید. در نتیجه این بات نت هیچوقت توسط  خالقین آن مورد استفاده قرار نگرفت.

مهاجمین با دسترسی به سرورهای C&C  فرامین را از طریق اینترنت  (یا شبکه های دیگر) بصورت کاملا مخفی به بات ها می فرستند. بات ها نیز بر اساس این فرامین  وظایف خود را انجام می دهند، وظایفی چون جمع آوری اطلاعات،مانیتور کردن فعالیت های کاربر و  . . . . این فرامین می تواند به یک بات منفرد یا تمامی بات های شبکه  فرستاده شود.

 

طبقه بندی بات نت ها

تلاش برای دسته بندی  مفهموم بات نت آسان نیست. اهداف مختلفی برای این معماری ها  ایجاد شده است. بات نت  ها را بر اساس نوع ساختاری که پیاده سازی  می کنند و همچنین نوع تکنولوژی مورد استفاده آنها و کانال های ارتباطی که برای اتصال به یکدیگر استفاده می کنند می توان از هم متمایز کرد.

 

بات های متمرکز :

برخی از شبکه ها بر پایه یک یا دو C&C هستند  و هر بات مستقیما با سرور فرمان و کنترل در تماس است. مرتب سازی و مدیریت این نوع معماری ها  ساده است اما بسیار آسیب پذیرند و با خاموش شدن C&C کل شبک بات نت از کار می افتد. در حقیقت سرور C&C نقطه آسیب پذیری آن است و عملکرد کل بات نت  وابسته به قابلیت بات ها در رسیدن به سرور های کنترل است. در روش های تشخیص اصولی، ترافیک بین بات ها و C&C مورد تحلیل قرار می گیرد، و با بهبود انعطاف پذیری بات نت هایی طراحی می شوند که قابلیت  غیر متمرکز داشته باشند .

208193435

 

بات نت های غیر متمرکز یا نظیر به نظیر :

ساختار آنها به گونه ای که وابسته به یک یا چند سرور C&C نیستند.  در این نوع معماری با شناخت یک بات  نمی توان کل شبکه را از کار انداخت.

در بات نت غیر متمرکز که بات نت های نظیر به نظیر (P2P) نیز نامیده می شوند، بات ها لزوما به سرورهای C&C متصل نیستند ، بلکه با ایجاد یک ساختار توری شکل دستورات از یک زامبی به زامبی دیگر فرستاده می شود. هر گره (node) از شبکه یک لیست از آدرس های بات های مجاور را دارد و با استفاده از آن می تواند به بات های دیگر متصل شده و دستورات را تبادل کند. هر نقطه از این نوع بات نت  می تواند همانند یک سرور CC عمل کند، ضمن اینکه  بات ها قابلیت دانلود دستورات، فایلهای پیکربندی و فایلهای اجرایی را از بات های دیگر دارند. در  چنین  ساختاری هر بات می تواند دستورات را به دیگران ارسال کند ، و مهاجم نیز برای اینکه بتواند کل بات نت را کنترل کند حداقل باید به یک کامپیوتر دسترسی داشته باشد.

این نوع از بات نت یک نگرانی جدی است، چرا که به دلیل عدم وجود نقطه آسیب پذیر مقابله با آن بسیار مشکل است. علی رغم این مطلب که از بین بردن بات نت غیر متمرکز بسیار مشکل است.

208193436

 

بات نت های ترکیبی :

مدیریت معماری غیر متمرکز بسیار پیچیده است. به همین دلیل هکر ها استفاده از ساختار های ترکیبی را بیشتر ترجیح می دهند.  لذا از هر دو ساختار متمرکز و غیر متمرکز استفاده می کنند  تا خودشان را در مقابل کشف مقاومتر  کنند.

 

دسته بندی بات نت ها بر اساس پروتکل ارتباطی

بات نت ها را می توان بر اساس پروتکل شبکه ای که از آن استفاده می کنند  و یا تکنولوژی که بر پایه آن ساخته شده اند دسته بندی کرد :

IRC  :

یکی از طرح های کلاسیک بات نت ها  گرایش آنها  به IRC است  که بر مبنای Internet Relay کار می کنند. هر بات دستوراتی را در کانال IRC از یک بات سرور IRC دریافت می کند. یک بات IRC از مجموعه ای از اسکریپت هایی ساخته شده است که به عنوان یک سرویس گیرنده به سرویس Internet Relay Chat متصل می شود.

بیشتر بات نت های پیشرفته بر مبنای پروتکل های خاص خودشان پیاده سازی می شوند، پروتکل هایی مانند TCP , UDP  وICMP

IM  :

بات نت ها می توانند بر مبنای یک سرویس پیام رسان نیز  فعالیت کنند، در این حالت به آنها بات نت های IM  گفته می شود.  در این حالت دستورات از طریق سرویس های IM مانند AOL,MSN  و ICQ به زامبی ها ارسال می شود.

HTTP  :

بات نت های web based را نیز نمی توان نادیده گرفت، مجموعه ای از ماشین های آلوده از طریق www کنترل می شوند. بات های HTTP به یک وب سرور خاص متصل می شوند، دستورات را دریافت می کنند و داده ها را بر می گردانند. پیاده سازی و مدیریت این نوع معماری بسیار آسان است.

 

بات نت های شبکه های اجتماعی :

نوع خاص دیگری از بات نت ها وجود دارد که  بات نت های  شبکه های اجتماعی  نامیده می شوند. در معماری آنها از پلتفرم شبکه های اجتماعی محبوب برای ارسال پیام به زامبی ها استفاده می شود. بررسی  این نوع معماری نیز به دلیل حجم بسیار بالای  فعالیت های شبکه های اجتماعی بسیار مشکل است.  این نوع از بات نت ها با انتشار کیت های exploit قادرند  از راه دور با سیستم ها ارتباط برقرار کنند و آنها را کنترل نمایند. معمولا مجرمین سایبری از طریق ایمیل یا پیام هایی در شبکه های اجتماعی، لینک های بدافزار را به قربانیان می فرستند و از طریق یک وب سایت آلوده که کیت های exploit بر روی  آن میزبانی می شود ، کاربران را Hijack  می کند. سیستم قربانی آلوده شده و یک یا چند بدافزار بر روی  سیستم وی دانلود می گردد.

طبق گزارشاتی که تا کنون ارایه شده بات نت ها برای اتصال به C&C بیشتر تمایل دارند  از پروتکل های عمومی و اپلیکیشن های محبوب استفاده کنند و به همان صورت سرورهای C&C را در شبکه های اجتماعی و حساب کاربری افراد قرار دهند.

اهداف این نوع  بات نت ها می تواند اهداف مختلفی باشد :  حملات DDOS ، ارسال اسپم و ایجاد کانال های مخفی برای تبادل اطلاعات.

در این موارد پیدا کردن  فعالیت های مخرب در میان ترافیک داده ها بسیار مشکل است، زیرا در این روش بات ها تنها در حال چک کردن یک فایل و حتی یک امضای متنی معمول در شبکه های اجتماعی هستند. برخی اوقات از کانال ها و توابع شبکه های اجتماعی مدرن ، سرویس های Cloud و پرتال های تحت وب به عنوان  یک کانال مخفی برای ذخیره داده ها استفاده می شود. نمونه آن اتفاقی بود که در سرویس های Evernote رخ داد. هکر ها یک حساب کاربری برای خود ایجاد کرده  و فایل ها را با دستورات به بات نت منتقل می کردند. روش مشابهی نیز در Twitter برای بات نت Falshback استفاده شد.

بات نت Zeus یک نمونه کلاسیک از این نوع معماری است، و قادر بود که اطلاعات بانکی قربانیان را نیز سرقت کند.

 

بات نت ها در دستگاه های موبایل

یکی از جالب ترین تحولات در دنیای بات نت ها  ورود آنها به پلتفرم های موبایل بود. مرکز تحقیقاتی Damballa حدود 40000 دستگاه آلوده موبایل را شناسایی کرد که از طریق سرورهای C&C با هم ارتباط برقرار می کردند. در این خلال لابراتوآر  McAfee اولین مرکزی بود که حجم بزرگی از انتشار نوع جدیدی از بدافزار Zeus را در پلتفرم موبایل گزارش کرد. امروزه بات نت های موبایل یک تهدید جدی هستند. میلیون ها دستگاه موبایل توسط بات نت ها در چین آلوده شده اند.

 

چگونه می توان دریافت که کامپیوتری عضو یک بات نت شده است؟

زمانی که یک کامپیوتر عضوی از یک شبکه بات نت می شود، با ابزارهای متنوعی میتوان این مورد را بررسی کرد. مهم ترین آنها استفاده از یک Anti-malware  قدرتمند  است. کامپیوتری که آلوده باشد مرتبا در حال ارسال اسپم یا اجرای کوئری های مختلف است، این رفتار در سیستم هایی که سرعت اینترنت پایینی دارند به راحتی قابل تشخیص است.

با استفاده از ابزارهایی که عملکرد منابع سیستم و میزان RAM  وCPU  را مورد ارزیابی قرار می دهند می توان پروسه های در حال اجرا را مورد بررسی قرار داد. موارد آلوده مشکوک را می توان در ترافیک شبکه ،در حافظه RAM  کامپیوترهای آلوده و یا در هارد آنها مشاهده کرد. اما  موثرترین روش  برای مقابله با بات نت ها اطلاع از نوع و ساختار آنها و دریافت اطلاعات کافی از این نوع تهدیدات است.