Contribuisci Aiuta

Botnet

Voci di Glossario Sicurezza Informatica
Indice dei contenuti

    Una botnet (contrazione di robot network) è una rete di sistemi informatici compromessi — detti bot o zombie — controllati centralmente da un attaccante (bot herder) tramite un’infrastruttura di Command & Control (C2). Ogni bot è un sistema che ha subito un’infezione da malware (spesso un trojan o un worm) che gli permette di ricevere comandi e agire coordinatamente con gli altri bot, all’insaputa del legittimo proprietario del dispositivo.

    Architetture C2

    Centralizzata (client-server): ogni bot si connette periodicamente a uno o più server C2 per ricevere istruzioni. Semplice da implementare ma vulnerabile: abbattere il server C2 (takedown) smantella l’intera botnet.

    Peer-to-peer (P2P): i bot comunicano tra loro in modo distribuito senza un server centrale. Più resiliente — abbattere un nodo non compromette l’intera rete. Gameover Zeus (2013) usava P2P basato su DHT (Distributed Hash Table).

    Fast-flux: il dominio C2 risolve in indirizzi IP diversi con TTL brevissimi (secondi), utilizzando i bot stessi come proxy per nascondere il server reale. Rende il blocco per IP o dominio inefficace.

    Domain Generation Algorithm (DGA): il malware genera algoritmicamente centinaia di domini potenziali C2 basandosi su una funzione del timestamp (es. data del giorno). L’attaccante registra solo uno o pochi di questi domini — abbastanza da mantenere il controllo; il defender deve bloccare un numero potenzialmente enorme di domini.

    Utilizzi principali

    Attacchi DDoS: la capacità di inviare traffico massivo coordinato da migliaia o milioni di sorgenti è il principale uso commerciale delle botnet. La botnet Mirai (2016), composta da telecamere IP e router IoT, ha generato un attacco DDoS da 1.2 Tbps contro il DNS provider Dyn, rendendo inaccessibili Twitter, Netflix, Reddit e altri servizi per ore.

    Spam e phishing su larga scala: l’invio di miliardi di email spam tramite bot distribuiti aggira i filtri basati su reputazione IP, perché ogni email proviene da un IP diverso appartenente a utenti ordinari.

    Cryptojacking: utilizzo silenzioso delle risorse computazionali dei bot per il mining di criptovalute (Monero, difficile da tracciare). Il proprietario del sistema subisce un degrado delle performance e un aumento delle bollette elettriche senza sapere perché.

    Credential stuffing automatizzato: i bot testano automaticamente milioni di coppie username/password rubate da precedenti violazioni su siti target.

    Distribuzione di malware: le botnet fungono da infrastruttura di distribuzione per altri malware — ransomware, banking trojan, spyware.

    Contrasto alle botnet

    Le operazioni di smantellamento (takedown) sono condotte dalle forze dell’ordine in collaborazione con provider e aziende di sicurezza: sequestro dei server C2, sinkholing (redirezione dei domini C2 verso server controllati dai defender), collaborazione con i registrar per la sospensione dei domini, arresti. Operazioni notevoli: takedown di Emotet (2021, Europol), Qakbot (2023, FBI), LockBit (2024, FBI/NCA/Europol).

    Ultimo aggiornamento:

    Atlante dell’Ingegneria · Portale di divulgazione tecnico-scientifica

    © 2026 ingegnerismo.it · Privacy · · Ultimo aggiornamento: