Для хакера скорость сетевого соединения мастера не так важна. Мастер — компьютер получает и передает короткие управляющие команды, так что может располагаться на канале с любой пропускной способностью. На зомби-компьютер хакер устанавливает сервисное приложение — демон, которое работает в фоновом режиме и, получив инструкцию от мастера, инициирует соответствующую атаку на узел с указанным в этой инструкции адресом. Демон нередко разрабатывается таким образом, что может осуществлять нападения разных видов. А если при этом зомби-демон наделен функциональностью передачи шифрованных сообщений и автоматически заменяет IP-адреса отправителя пакетов, то в руках злоумышленника мы видим мощное и гибкое в использовании сетевое оружие. Теперь, когда армия зомби укомплектована, а цель нападения выбрана, злоумышленник отдает команду мастерам и запускает механизм DDoS-атаки. Каждый мастер распределяет полученную инструкцию между подчиненными зомби, которые, в свою очередь, проводят DoS-атаки на жертву. Процесс запуска и остановки распределенного нападения занимает всего несколько мгновений. Упрощенно цепочка DDoS выглядит так:
Для узлов: хакер -> мастер -> зомби цель Для установленного на узлах ПО: хакер -> клиент -> демон -> цель Чтобы оценить масштабы DDoS-нападения, достаточно упомянуть об атаке на университет Миннесоты, когда на три дня сеть стала недоступной сразу для нескольких тысяч пользователей. Во время написания этой книги аналогичной экспансии подверглась и компания Microsoft.
Разработка и использование механизмов DDoS находится под пристальным вниманием специалистов в области безопасности, бизнесменов и чиновников, и все благодаря тому, что этот новый класс сетевой атаки чрезвычайно эффективен и одновременно с этим трудно поддается отслеживанию.
