Ein Botnetz ist ein Zusammenschluss von aus der Ferne unerlaubt gewarteter Rechner, die der vollen Kontrolle der Angreifer unterliegen.
In den Zeiten der Verfügbarkeit hoher Bandbreiten werden private Internetanschlüsse für Angreifer immer attraktiver. Nicht jeder Endnutzer ist sich der Sinnigkeit von Firewalls und aktueller Patcheinspielung bewusst, zumal selbst diese Sicherheitsvorkehrungen und ein eingeschränkter Benutzeraccount keinen Garant für einen viren- und botfreien Rechner sind.
Vor direkten, zielgerichteten Attacken, die aktiv aus dem Internet gestartet werden, bieten Firewalls einen gewissen Schutz, nicht aber vor Attacken, die ein Webserver gegen den aktuellen Besucher ausführt. Bei Attacken, die von einem gehackten Webserver ausgehen, wird dem Besucher der Seite oftmals ein Schadprogramm untergejubelt, dass sich auf dem Desktop-PC installiert. Dies bedeutet, dass alle Dateien auf dem lokalen Rechner für den Bösewicht einsehbar, downloadbar und veränderbar sind. Die Zugriffsmöglichkeiten gehen für einen Bösewicht soweit, dass dieser tatsächlich genau die gleichen Zugriffsmöglichkeiten hat, wie der lokal angemeldete Nutzer selber. Die installierte Schadsoftware greift meistens Passwörter für Bankkontodaten ab oder wird dazu genutzt, um Ihren Rechner für weitere Attacken zu nutzen.
Dieses Beispiel ist bezeichnend für die Schwierigkeit, die sich Forensikern oder Administratoren bei der Rückverfolgung von Angriffen stellt: Für einen Serveradministrator sieht es so aus, als ob der Rechner, der mit dem Virus befallen ist, der Angreifer ist, da von dem verseuchtem PC weitere Angriffe gestartet werden. Die IP-Adressen der verseuchten Rechner lassen sich auch nicht einfach so blocken, da sich diese bei Privatanwendern meist im 24 Stunden Takt ändern, so lange man nicht einen Anbieter mit längerer DHCP-Lease Zeit, wie UnityMedia oder Kabel Deutschland nutzt.
Es herrscht unter den Inhabern der Botnetze ein regelrechter Wettkampf: Die viralen Trojanerbots entfernen andere Trojaner der Konkurrenten auf den befallenen PCs, auch ganze Übernahmen fremder Botnetze durch “Control Server Take Overs” sind nicht selten.
Fazit: Es ist für fortgeschrittenere Anwender nicht ratsam, den vermeintlichen Angreifer anzugreifen, da dieser nicht hinter dem Rechner sitzt, von dessen IP die Angriffe aus gestartet wurden.