Edition du 24/02/2006 - par Marc Olanié

Le mémoire de MM Antoine Schonewille et Dirk-Jan van Helmond, de l'Université d'Amsterdam explique comment détecter des botnets à l'aide d'armes assez peu conventionnelles. Le principe consiste à analyser avec minutie les requêtes effectuées sur un DNS durant une attaque, puisque le "module de commande" du botnet en question doit nécessairement appartenir à un domaine particulier. Le "traceback" une fois effectué, il suffit de supprimer le référencement de ce domaine -ou du host- sur Internet (un simple blackhole) pour immédiatement juguler l'attaque. Il va sans dire, depuis que les ordinateurs zombie cryptent leurs appels, qu'il est indispensable de mettre la main sur une machine compromise pour mener à bien la chasse au "gardien de troupeau". C'est en effet en analysant les réactions des zombies au moment de leur activation que l'on parvient à repérer la machine chef d'orchestre.