I n d on e s i an   Jo u r n al   o El e c t r i c al   En gi n e e r i n g   an d   C o m p u te r   S c i e n c e   V o l .   18 ,   N o .   3 J u n e   20 20 ,   pp .   1584 ~ 1595   IS S N :   2502 - 4752 ,   D O I :   10. 1 1591 / i j e e c s . v 1 8 .i 3 . pp 158 4 - 1595             1584       Jou r n al   h o m e pa ge ht t p: / / i j e e c s . i a e s c or e . c om   C h a r a c t e r i s i n g   a n d   d e t e c t i o n   o f   b o t n e t   i n   P2 P   n e t w o r k     f o r   U D P   p r o t o c o l       N oo r   Zu r a i d i n   M o h d   S afar 1 N o r yu s l i z A b d u l l ah 2 ,   H az a l i l a   K am al u d i n 3   S u h ai m i   A b d   I s h ak 4 ,   M o h d   R i z al   M o h d   I s a 5   1 , 2 , 3 , 4 F a c ul t y   of   C o m put e r   S c i e nc e   a nd   I nf o r m a t i o T e c hno l o gy ,   U ni v e r s i t i   T u H u s s e i n   O nn   M a l a y s i a ,   M a l a y s i a   5 F a c ul t y   of   D e f e nc e   S c i e nc e   a n T e c hno l o gy ,   U ni v e r s i t i   P e r t a h a na n   N a s i o na l   M a l a y s i a ,   M a l a y s i a       A r ti c l e   I n fo     A B S TR A C T   Ar t i c l e   h i s t or y :   R e c e i v e S e p   15 ,   2 019   R e v i s e D e c   16 ,   2019   A c c e pt e D e c   30 ,   2 01 9       D e v e l o pm e nt s   i c o m put e r   ne t w o r k i ng   ha v e   r a i s e d   c o nc e r ns   o f   t he   a s s o c i a t e B o t n e t s   t h r e a t   t o   t h e   I nt e r n e t   s e c ur i t y .   B o t ne t   i s   a n   i n t e r - c o nne c t e c om put e r s   o r   no de s   t ha t   i nf e c t e w i t m a l i c i o us   s o f t w a r e   a nd  be i ng   c o nt r o l l e a s   a   g r o up  w i t ho u t   a ny   pe r m i s s i o o f   t he   c o m put e r s   o w ne r .     T hi s   pa p e r   e xp l o r e s   ho w   ne t w o r t r a f f i c   c ha r a c t e r i s i ng   c a be   us e f o i de n t i f i c a t i o o f   bo t ne t   a t   l o c a l   ne t w o r ks .   T o   a n a l y s e   t he   c ha r a c t e r i s t i c ,   be ha v i o ur   o r   pa t t e r o f   t he   bo t ne t   i t h e   ne t w o r t r a f f i c ,   a   pr o pe r   ne t w o r k   a na l y s i ng   t o o l s   i s   ne e de d.   S e v e r a l   ne t w o r a na l y s i s   t o o l s   a v a i l a b l e   t o da y   a r e   us e f o r   t h e   a n a l y s i s   pr o c e s s   o f   t he   n e t w o r t r a f f i c .   I t he   a na l y s i s   pha s e ,     t he   bo t ne t   de t e c t i o s t r a t e g y   ba s e o t he   s i g na t u r e   a n D N S   a no m a l y   a ppr o a c a r e   s e l e c t e t o   i de n t i f y   t he   be ha v i o ur   a nd  t he   c ha r a c t e r i s t i c   o f   t he   bo t ne t .   I a no m a l y   a ppr o a c m o s t   o f   t he   be ha v i o ur a l   a n c ha r a c t e r i s t i c   i de n t i f i c a t i o o f   t he   bo t ne t   i s   do ne   by   c om pa r i ng   be t w e e t he   n o r m a l   a nd   a no m a l o us   t r a f f i c .   T he   m a i f o c us   of   t he   ne t w o r a na l y s i s   i s   s t udi e o U D P   pr o t o c o l   ne t w o r t r a f f i c .   B a s e o t he   a na l y s i s   o f   t he   ne t w o r t r a f f i c ,     t he   f o l l o w i ng   a no m a l i e s   a r e   i d e n t i f i e d,   a no m a l o us   D N S   pa c ke t   r e q ue s t ,     t he   N e t B I O S   a t t a c k,   a no m a l o us   D N S   M X   qu e r y ,   D N S   a m p l i f i c a t i o a t t a c a nd  U D P   f l o o a t t a c k .   T h i s   s t udy ,   i de nt i f y   s i g ni f i c a nt   B o t ne t   c ha r a c t e r i s t i c   i n   l o c a l   ne t w o r t r a f f i c   f o r   U D P   ne t w o r a s   a ddi t i o na l   a pp r o a c f o r   B o t ne t   de t e c t i o m e c ha ni s m .   Ke y w or ds :   Bo t   Bo t m a s t e r   Bo t n e t   P 2P     P e e r   t o   pe e n e t w o r k   U D P   U D P   b o t n e t   U D P   pr o t o c o l   C opy r i gh t   ©   2020   I n s t i t ut e   o f   A dv anc e E ng i ne e r i ng   and   S c i e nc e .     A l l   r i gh t s   r e s e r v e d .   Cor r e s pon di n g   Au t h or :   N oo r   Z u r a i di M o hd   S a f a r   F a c ul t y   of   Co m put e r   S c i e n c e   a n d   I n f o r m a t i o T e c hn o l o gy ,     U n i v e r s i t i   T u n   H us s e i O nn  M a l a y s i a ,     86400  P a r i t   R a j a ,   B a t u   P a ha t ,   J o h o r,   M a l a y s i a   E m a i l :   z u ra i d i n @ ut hm . e du. m y       1.   I N TR O D U C TI O N   Co m put e r   n e t w o r ks   a r e   c ri t i c a l   t o   m o de rn   s o c i e t y .   A n   e xt e n s i v e   r a nge   of   b us i n e s s ,   i n f ra s t ruc t u r e ,   a n h u m a n   n e e ds ,   s uc a s   c o m m u ni c a t i o n s ,   ut i l i t i e s ,   b a nks ,   a nd  l e i s u r e   s e r v i c e s   pr e s e nt l y   de l i v e r e b y   s y s t e m s   t h a t   de pe nd  o n   s e c ur e   a n e ff i c i e n t   o pe r a t i o n   o f   n e t w o r ks .   A s   n e t w o r ks   i n c r e a s e   i n   s i z e   a n d   c o m pl e xi t y ,   a   t h o r o ugh   u nde r s t a n d i n o f   t h e i r   b e h a v i o ur   i s   c r uc i a l   t o   pr o t e c t   t h e m   f r o m   s e c ur i t y   t h r e a t s .     O n e   o f   t h e   ut m o s t   s ub s t a n t i a l   i n t i m i da t i o n s   t o   t h e   n e t w o r t o da y   i s   t h e   t hr e a t   o f   Bo t n e t s .     Bo t n e t   i s   a   g r o up  o f   i n t e r - c o nn e c t e c o m pr o m i s e h o s t s   (a l s o   r e fe r r e t o   a s   b o t s t h a t   b e i n c o nt r o l   by   a n   a s s a i l a n t   k n o w n   a s   t h e   B o t m a s t e r   [1 ] .   T h e   B o t m a s t e r   c a pa b l e   t o   i n s t r uc t   c o m m a n ds   t o   t h e   b o t s   t e xe c ut e   m a l i c i o us   a c t i v i t i e s .   T hi s   a c t i o n s   i n c l ud i n r e c r ui t i ng  n e w   bo t s ,   i n i t i a t i n di s t ri b ut e de ni a l   o f   s e r v i c e   (D D o S a t t a c a ga i n s t   s o m e   h o s t s ,   ga i ni n p r o f o un i nfo r m a t i o n   f r o m   t h e   b o t   de v i c e ,   s pa m   e m a i l s   di s t r i b ut i o n   a n o t h e r   t hr e a t s   [2] .   T h e r e f o r e ,   bo t n e t s   h a v e   de ve l o p e a s   a   c o l o s s a l   r i s t o   t h e   w e b   n e t w o r ks .   T h e   s i g n i f i c a n t   di s t i n c t i o n   b e t w e e n   bo t n e t s   a nd  o t h e r   s e c uri t y   t hr e a t s   i s   t ha t   a   B o t m a s t e r   c o m m u ni c a t e s   f r e que n t l y   w i t t h e   b o t s   by   c e n t ra l i z e d   o r   de c e n t r a l i z e n e t w o r c o m m u ni c a t i o n s .     Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Char ac t e r i s i ng  a nd  de t e c t i on  o f   B o t ne t   i P 2P   Ne t w or k   f or   U D P   P r ot oc ol   ( Noor   Z ur ai d i n   Mohd   Sa f ar )   1585   T h e s e   bo t s   pe r f o r m   a n y   t y pe   o f   de s t r uc t i o n   o n   r e c e i v i n g   t h e   c o m m a n ds   f r o m   t h e   B o t m a s t e r .   A n o t h e t hr e a t   o f   bo t n e t   i s   w h e n   t h e y   a r e   us e a s   di s t ri b ut e s upe r c o m put e r s   by   a t t a c ke r s   w i s hi n t o   c ra c c r y pt o gr a p h i c   ke y s   [3] .   It   i s   l i ke l y   m o r e   t ha n   s i m i l l i o n   c o m put e r s   w o r l dw i de   a r e   c o n n e c t e t o   a   bo t n e t   b e i n c o m pr o m i s e d.   T h e   pr o p r i e t o r s   of   i n f e c t e c o m put e rs   do  n o t   kn o w   t h a t   t h e i r   c o m put e r s   ha b e e n   a t t a c ke by   bo t n e t   [4] .   M o s t   o f   t h e   s t udy   r e l a t e t o   t h e   b ot n e t   t hr e a t s   a r e   t h e   p r e v e n t i v e   a c t i o n s   f r o m   t h e   a t t a c of   t h e   bo t n e t ,   i de n t i fy i n t h e   bo t n e t   c ha r a c t e r i s t i c ,   de t e c t i o n   a n t h e   m i t i ga t i o n   of   t h e   bo t n e t   [5]   B a s e d   o n   t h e   c u rr e nt   s e v e r i t y   of   t h e   b o t n e t ,   i t   i s   c r uc i a l   t o   d e ve l o a n   a gi l e   b o t n e t   de t e c t o r   i n   c o m b a t i n g   t h e   bo t n e t   a t t a c k.   H ow e ve r ,   b e fo r e   a n y   t oo l s   o r   m e c ha n i s m   c a n   b e   de ve l o p e d,   t h e   c ha r a c t e r i s t i c   o f   t h e   bo t n e t   n e e t o   b e   s t udi e d   t h o r o ughl y   [6] .   T h i s   s t udy ,   w i l l   f o c us   o n   t h e   o v e r a l l   b a c kg r o und  h o w   t h e   b o t n e t   w o r ks ,   a na l y s i n g   t h e   n e t w o r t r a f f i c   t h a t   s us pi c i o us l y   c o n s i s t   of   bo t n e t ,   s t u dy   t h e   bo t n e t   b e h a vi o ur   by   c o m pa r i ng  t h e   n e t w o r t r a f f i c   a n a l y s i s   b e fo r e   a n a f t e r   t h e   b o t n e t   i s   de pl o y e d.   T h e   n e t w o r t ra f f i c   a n a l y s i s   w i l l   de t e r m i n e   t h e   v a ri a nt   a t t a c o t h e   pe e r   t o   pe e r   b o t n e t   i n   U s e r   D a t a g r a m   P r o t o c o l   (U D P t r a f f i c .   T h e   t hr e e - w a y   h a nds ha ke s   n e t w o r k   c o m m uni c a t i o n   o f   T r a n s m i t i o n   Co nt r o l   P r o t o c o l   (T CP i s   di s c a r de i n   t h e   c h a ra c t e r i z a t i o n   p r o c e s s .     R a n do m   F o r e s t   c l a s s i f i e i s   us e t o   c l a s s i fy   n e t w o r t ra f f i c   of   U D P ,   T CP   a n d   D o m a i n   N a m e   S y s t e m   (D N S )   fo r   b o t n e t   de t e c t i o n,   t h e   s t udy   c a pt ur e   t h e   h e u ri s t i c s   o f   bo t n e t   n e t w o r a c t i v i t y   [7] .   M o s t   o f   t h e   c ha r a c t e r i s t i c   a n c l a s s i f i c a t i o n   w e r e   us e c o m pl e m a t h e m a t i c a l   a n a l g o r i t hm ,   h o w e v e r   i n   t hi s   s t udy   t h e   a n a l y s i s   of   t h e   n e t w o r t r a f f i c   w i l l   b e   us e t s t ud y   t h e   bo t n e t   b e h a v i o ur,   t o po l o gi e s ,   l i f e c y c l e   e v e n t s   a n a c t i o n   o r   t h e   pa t t e rn   o f   t h e   b o t n e t .   T h e   r e s ul t   o f   t h i s   s t udy   c o ul l e a t t he   de ve l o pm e n t   o t h e   bo t n e t   de t e c t o r   a n a   f ut u r e   s t udy   of   t h e   b o t n e t   de t e c t i o n   a nd  m i t i g a t i o n   p r o c e s s . T h i s   p a pe r   i s   s t r uc t u r e a s   f o l l ow s :   s e c t i o n   de s c r i b e s   t h e   l i t e ra t u r e   a nd  p r e v i o us   s t ud y ,   s e c t i o n   de s c r i b e s   t h e   m e t h o do l o g y ,   s e c t i o n   pr e s e nt s   t h e   r e s ul t s   a nd  di s c us s i o n s   a nd  s e c t i o 5   i s   t h e   c o n c l us i o n s .         2.   LI TER A TU R A N D   P R EV I O U S   S TU D Y   Bo t n e t s   a r e   a   r e l a t i v e l y   y o un m a l w a r e   c a t e go r y ,   a n y e t   t h e i r   e v o l ut i o n   a n us a ge   ha s   pr o pa g a t e d   a t   a n   u n p r e c e de n t e r a t e .   T h e y   a r e   a   d y n a m i c ,   c o n s t a nt l y   e v o l v i n t hr e a t   [8] .   T h e y   h a v e   c o n t i nuo us l y   e vo l v e s i n c e   t h e i r   e s t a b l i s h m e n t   i n   I n t e rn e t   R e l a y   Ch a t   (IR C)  m a i nt e na n c e   a i ds   i nt o   t h e   c urr e nt   M i r a i     Bo t n e t   [9] .   T h e   m a i n   c o m po n e nt   o f   t h e   bo t n e t   i s   de pi c t e i n   F i gu r e   1 ,   t h e   f o u r   m a i n   c o m po n e nt s   a r e   Bo t m a s t e r ,   I n f e c t e H o s t   o r   B o t   (be c o m e   z o m b i e ),   Co m m a n d   a nd  Co n t r o l   C ha nn e l   (S e r v e r )   a nd  t h e   A t t a c V i c t i m .   B o t n e t   i n i t i a l i z e s   t h e   f i r s t   a t t a c t hr o ug h   e x pl o i t i n g   v ul n e ra b i l i t i e s   i n   us e r s ’  c o m put e r s .     T h e t h e   us e r s ’  c o m put e do w n l o a t h e   m a l i c i o us   b i n a r y   f i l e   a n l o c a l l y   e xe c ut e d.   T hi s   p r o g r a m   c o nn e c t s   t o   t h e   c o m m a n a nd  c o n t r o l   s e r v e r   (C& C)  a n w a rn e i t s   ho s t ,   kn o w n   a s   B o t m a s t e r   t ha t   t h e   c o m put e r   ha s   b e c o m e   a   b o t .             F i gu r e   1 .   T h e   m a i n   c o m po n e n t   o f   t h e   b o t n e t       T h e   t e r m   o f   bo t s   i s   c o m m o n l y   r e fe rr e t o   a   s o f t w a r e   a p pl i c a t i o n   r u nni n g   a u t o m a t e t a s ks   o v e r   t h e   Int e rn e t .   T h e   r u nni n a pp l i c a t i o n   n o r m a l l y   c o n s i s t   t h e   m a l i c i o us   s of t w a r e   i n s i de   t h e   a ff e c t e c o m put e r s .   T h e s e   c o m put e r s   a r e   c o m p r o m i s e a nd  a r e   b e i n us e w i t h o ut   o w n e r ' s   k n o w l e dge .   T h e   c o m p r o m i s e m a c h i n e s   a r e   c a l l e d r o n e s   o r   z o m b i e s   [10] .   N ow   i t   c a be   us e i t s   i n f l ue n c e   t o   s pr e a t o   a ddi t i o n a l   Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2502 - 4752   In do n e s i a J   E l e c   E ng  &   Co m S c i ,   V o l .   18 ,   N o .   3 J u n e   20 2 :     1584   -   1 595   1586   c o m put e r s   by   e c h o i n t h e   i de n t i c a l   p r o c e s s .   T h e   b i di s s i m i l a r i t y   b e t w e e n   b o t n e t s   a n o t h e r   s e c uri t y   t hr e a t s   i s   a   B o t m a s t e r   c o m m u ni c a t e s   f r e que n t l y   w i t h   b o t s ,   e i t h e r   t hr o ugh  t h e   c e nt r a l i z e o r   de c e n t r a l i z e c o m m uni c a t i o n   n e t w o r k.   T h e s e   b o t s   w i l l   pe r f o r m   a n y   t y p e   of   h a rm   a f t e r   r e c e i v i n g   i n s t r uc t i o n s   f r o m   t h e   Bo t m a s t e r .   T h e   Bo t m a s t e r s   s e n t h e   c o m m a n d ,   c o n t r o l   a l l   bo t s ,   t h e n   t h e r e   w e r e   bo t h   u ni t e   t o   pe r f o r m   t h e   a t t a c t o   t h e   v i c t i m   [11] .   B o t n e t s   a r e   de ve l o pi n r a p i dl y   i n   t h e   f a s t   pa c e   w h i c h   m a ke s   i t   ha r t o   i de n t i f y   a n d   r e c ov e r   f r o m   t h e i s i de   e f fe c t .     Cha ra c t e ri z i ng  b o t n e t   by   a do pt i n a n o m a l y   b a s e d   de t e c t i o n   t e c hn i que   e m p h a s e s   o n   i de nt i fy i n g   t r a f f i c   a n o m a l i e s   t ha t   a r e   r e l a t e t o   b o t n e t   p r o c e s s e s   [12] .   T h e   a n o m a l i e s   a r e   v a ri e s   f r o m   s i m p l y   n o t i c e a b l e   v a r i a t i o n s   i n   n e t w o r t ra f f i c   l e v e l   a n l a t e n c y   t o   c o m pl e a b n o r m a l i t i e s   i n   t r a f f i c   f l ow   pa t t e r n s .   O n e   o f   t h e   m o s t   c o n s pi c uo us   a n o m a l y   b a s e a ppr o a c h e s   de t e c t   a n o m a l i e s   i n   p a c ke t   pa y l o a ds ,   D N S   t r a f f i c   a n b o t n e t   gr o up  b e h a v i o ur  [13 14] .   T h o s e   c h a r a c t e r i s t i c s   o f   t h e   n e t w o r b e h a v i o ur   t ra f f i c   i n   P e e r   t o   P e e r   (P 2P n e t w o r a r e   e s s e n t i a l   i n   b o t n e t   de t e c t i o n .   N o de   b a s e d   s a m pl i n f o r   t h e   t r e a t m e nt   o f   pa c k e t   c a pt ur e   m e c h a ni s m   b a s e o n   P 2P   bo t n e t   p r o c e s s   w a s   t e s t e fo r   de t e c t i o n   e ff i c i e n c y   o n   t h e   t i m e   w i n do w   of   fe a t u r e   e xt ra c t i n a n s a m p l i n t i m e   i n t e r v a l   w a s   s t udi e i n   [ 15]   . D N S   b a s e d e t e c t i o n   m e t h o ds   a r e   c o n s t r uc t e o pa r t i c ul a r   D N S   i n f o r m a t i o n   ge n e ra t e by   a   Bo t n e t .   B o t s   g e ne r a l l y   i n i t i a t e   a s s o c i a t i o n   w i t h   C& s e r v e r   t o   ge t   c o m m a n ds .   I o r de r   t o   a c c e s s   t h e   C& s e r v e r   b o t s   c a rr y   o ut   D N S   que r i e s   t o   l o c a t e   t h e   p a r t i c u l a r   C& s e r v e t h a t   i s   t y pi c a l l y   h o s t e by   a   d y n a m i c   D N S   (D D N S pr o v i de r .   T h us ,   i t   i s   po s s i b l e   t o   de t e c t   b o t n e t   D N S   t r a f f i c   by   D N S   m o n i t o r i ng  a n de t e c t   D N S   t r a f f i c   a n o m a l i e s   [16] Bo t n e t   C& t ra f f i c   i s   di f f i c ul t   t o   de t e c t .   I n   f a c t ,   s i n c e   bo t n e t s   ut i l i z e   n o rm a l   pr o t o c o l s   fo r   C& c o m m uni c a t i o n s ,   t h e   t ra f f i c   i s   s i m i l a r   t o   n o r m a l   t ra f f i c   a n do e s   n o t   c a us e   n e t w o r l a t e n c y   [12] .   D a t a   m i n i ng  b a s e   d e t e c t i o n   t e c hni que   i n c l udi ng  m a c h i n e   l e a rni n g ,   c l a s s i f i c a t i o n,   a nd  c l us t e r i ng  c a n   b e   us e e f f i c i e n t l y   t o   de t e c t   bo t n e t   C& t r a f f i c   [17] .   B o t m i n e r   us e da t a   m i ni n m e t h o ds   f o r   bo t n e t   de t e c t i o n   i n   C& t r a f f i c .   Bo t m i n e r   c l us t e r e r e l a t e t r a f f i c   w i t h   t h e   s i m i l a m a l i c i o us   t ra f f i c .   A f t e r   c l us t e r i n p r o c e s s   e n de d,   c r o s s   c l us t e r   c o rr e l a t i o n   i s   i m pl e m e n t e t o   Ide nt i fy   h o s t s   w h o   s h a r e   s i m i l a r   pa t t e rn s   o f   c o m m u n i c a t i o n   a n m a l i c i o us   a c t i v i t y .   B o t m i n e r   i s   a n   a dv a n c e t e c hn o l o gi c a l   bo t n e t   m o ni t o ri n t o o l   w h i c e nt i r e l y   i n de pe n de n t   o f   t h e   p r o t o c o l   a n s t ruc t u r e   o f   t h e   b o t n e t .   M o r e o ve r   i t   ha s   a   c a p a b i l i t y   t o   de t e c t   bo t n e t s   i n c l udi ng  IR b a s e d,   H T T P   b a s e d,   a n d   P 2P   b o t n e t s   w i t a   v e r y   l ow   f a l s e   po s i t i v e   r a t e   [18 ] .   I s i g na t u r e   b a s e b o t n e t   de t e c t i o n   t e c hn i que ,   b o t n e t   s i g na t u r e s   a n d   b e h a v i o ur s   o f   e xi s t i n g   bo t n e t s   w e r e   us e i n   i de nt i f i c a t i o n   a n de t e c t i o n   m e t h o [19 ] .   H ow e ve r ,   s i g n a t u r e   b a s e de t e c t i o n   t e c hni que s   o n l y   c a pa b l e   t o   de t e c t   o f   e xi s t i n g   k n o w n   b o t n e t s .     In  t hi s   s t udy ,   t h e   m a i n   f o c us   of   t h e   de t e c t i o n   s t ra t e gi e s   i s   b a s e o n   t h e   s i g na t u r e ,   D N S   a nd  a n o m a l y   a pp r o a c h e s .   T h e   c o r e   p r o t o c o l   i t h e   n e t w o r i s   r e l y i n g   o t h e   U D P   a n d   T ra n s m i s s i o Co nt r o l   P r o t o c o l   (T CP ),   b o t h   p r o t o c o l s   i s   i n   t h e   I n t e rn e t   P r o t o c o l   S ui t e .   A s   m e n t i o n   e a r l i e r,   t h i s   s t udy   w i l l   i de nt i f y   t h e   bo t n e t   c h a ra c t e ri s t i c   b a s e o n   t h e   U D P   pr o t o c o l   o n l y   i t h e   P 2P   n e t w o r e n v i r o n m e n t .         3.   M ET H O D O L O G Y   3. 1 .       D at P r e p ar a ti o n   R e a l   n e t w o r t r a f f i c   i s   us e d   i n   t hi s   r e s e a r c h.   T h e   r e a l   n e t w o r t r a f f i c   i s   c a pt u r e i n   s e ve r a l   da y s .     T h e   pr o c e s s   of   c a pt u r i n i s   di v i de i n t o   t w o   s e s s i o n s .   F i r s t ,   t h e   n o r m a l   n e t w o r t r a f f i c   i s   c a pt ur e i n   f i v e   da y s   a n a f t e r   d e pl oy i n b o t n e t   t o   t h e   n e t w o r t h e   n e t w o r t r a f f i c   c a pt u r i ng  p r o c e s s   r u n   a g a i n   f o r   s e ve r a l   da y s .   F o r   a n o m a l o us   n e t w o r t ra f f i c   i t   t o o k   s e ve n   da y s   t fi n a l l y   e n t h e   c a pt u r i n p r o c e s s .   T w gr o up  of  da t a s e t   i s   s e l e c t e i n   t h i s   s t udy ,   t h e   n o rm a l   a nd  a n o m a l o us   n e t w o r t ra f f i c .   A   s e r v e r   w i t h   L i n ux  o pe ra t i n g   s y s t e m   i s   us e t o   c a pt ur e   t h e   n e t w o r t r a f f i c .   T c pdum p   a n c r o n j o b   r un   o n   s e r v e r   c o m put e r   i s   r e s po n s i b l e   t o   do   t h e   c a pt u ri n g   p r o c e s s   fo r   b o t h   t y pe   o f   da t a .   S e v e n   c o m put e r s   w e r e   us e i n   t h i s   t e s t   b e s e t up.   O n e   o f   t h e   c o m put e r s   i s   a   S un   B l a de   s e r v e r   c o m put e r   r u nni n L i n u o pe r a t i n s y s t e m   a n t h e   r e m a i ni n o t h e   c o m put e r s   i s   t h e   de s kt o c o m put e r   w i t h   W i n do w s   o pe r a t i n g   s y s t e m .   A l l   o t h e   n o de s   a r e   i n t e r c o nn e c t e a nd  a c c e s s i b l e   t o   t h e   i nt e rn e t .   T h e   c a pt u r e   of   n e t w o r t r a f f i c   i s   d i v i de i nt o   t w o   s e pa r a t e s e s s i o n s ,   s t a rt i ng  w i t n o rm a l   t r a f f i c   t h e f o l l ow e by   t h e   n e t w o r t ra f f i c   w i t a   v a r i o us   b o t n e t   w a s   e xe c ut e w h e r e   e a c h   o f   t h e m   e s t a b l i s h e c o nn e c t i o n s   o n   s e v e r a l   p r o t o c o l s   a n d   pe r f o r m e di f fe r e nt   a c t i o n s .   N o rm a l   n e t w o r t ra f f i c   c a n   b e   de f i n e a s   a   f u n c t i o na l   n e t w o r b e h a v i o r   f r e e   f r o m   a n o m a l i e s   c h a r a c t e r i s t i c ,   m e a n w h i l e   a n o m a l o us   n e t w o r t r a f f i c   i s   a   de v i a t i o n   i t h e   n o r m a l   b e ha v i o r   o f   a   n e t w o r k   i n   t h e   p r e s e n c e   of   a n y   i nt r ude r   i a   n e t w o r k.     T h e s e   a n o m a l o us   e v e n t s   di s r up t   t h e   n o rm a l   f u n c t i o n a l i t y   of   ne t w o r s e r v i c e s   [20] .     3. 2 .       N o r m al   N e tw o r k   T r affi c   In   n o r m a l   t ra f f i c ,   da t a   i s   c a p t u r e i n   a   go o h e a l t h   o f   t h e   ne t w o r e n v i r o n m e nt .   D u ri n t hi s   pe ri o d   t h e   K a s pe r s ky   a nt i v i r us   s o f t w a r e   i s   i n s t a l l e a s   a   p r o t e c t i o n   t o   t h e   a n y   m a l i c i o us   a c t i v i t y   i n   t h e   c o m put e r s   a n t h e   n e t w o r k.   T o rr e n t   a pp l i c a t i o n   i s   r u n   t o   e n a b l e   t h e   P 2P   a c t i v i t i e s   t hr o ugh o ut   t h e   c a pt u r i ng  p r o c e s s .   F i gu r e   2   s h o w s   t h e   n e t w o r de s i gn   f o r   c a pt u r i ng  t h e   n e t w o r t ra f f i c .   T h e   s t a t i c   IP   a ddr e s s   i s   s e t   o n   e a c h   of  t h e   h o s t .   A   h o s t   us e   t o   c a pt u r e   t h e   t ra f f i c   da t a   i s   a   S u n   B l a de   S e r v e r   w i t h   L i nux  b a s e   o pe r a t i n s y s t e m .   Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Char ac t e r i s i ng  a nd  de t e c t i on  o f   B o t ne t   i P 2P   Ne t w or k   f or   U D P   P r ot oc ol   ( Noor   Z ur ai d i n   Mohd   Sa f ar )   1587   T c pdum i s   us e t o   c a pt u r e   t h e   t ra f f i c   da t a .   T h e   t c pdu m i s   m a na ge by   t h e   c r o nt a b   s e r v i c e s   t o   r u n   t h e   c r o n   j ob .   T h e   c r o n t a b   pr o c e s s   i s   w r i t t e n   i n   t h e   s c ri pt   na m e   du m pi t .   A f t e r   a   f e w   da y s   of   c a pt uri n t h e   n e t w o r k   t r a f f i c ,   t h e   da t a   i s   c o l l e c t e a nd  s t o r e   i n   t h e   f o r m   o f   c o m pr e s s   da t a   w i t h   t h e   f o l l ow i n f o r m a t :   < f i l e na m e > . t c pdu m p . gz .     E n o rm o us   s i z e   o f   da t a   i s   c a p t u r e f o r   s e v e r a l   d a y s .   M o s t   of   t h e   da t a   s i z e   i s   l a r ge r   t ha t e n   g i ga b y t e .   T h e   l e n gt o f   t h e   c a pt u r e t r a f f i c   i s   a b o ut   s i xt y   m i nut e s   t o   a   h u nd r e e i g h t y   m i n u t e s   of   n e t w o r t r a f f i c .   T hr e e   da t a s e t   w e r e   s e l e c t e i n   t hi s   s t udy   fo r   a na l y s i s   w h i c h   a r e   na m e l y   a s   N o r m a l _1 ,   N o rm a l _2  a n N o r m a l _ 3.   T a b l e   1   i s   t h e   s u m m a r i z a t i o o f   t h e   s e l e c t e c a pt u r e d a t a .         T a b l e   1 .   S u m m a r i z a t i o n   o t h e   S e l e c t e Ca p t u r e D a t a   f o r   N o rm a l   N e t w o r T r a f f i c   D a t a   S e t   L e n g t h   i n   s e c o n d   T c p d u m p   s i z e   i n   k i l o b y t e   N o r m a l _ 1   5050   9 7 6 5 6 4   N o r m a l _ 2   4689   9 7 6 5 6 3   N o r m a l _ 3   4731   9 7 6 5 6 2         F i gu r e   2 .   N e t w o r D e s i g f o r   t h e   n o r m a l   t ra f f i c       3. 3 .       A n o m al ou s   N e tw o r k   T r aff i c   In   a n o m a l o us   da t a   t ra f f i c ,   da t a   i s   c a p t u r e i u nh e a l t h y   n e t w o r e n v i r o nm e n t .   D u r i ng  t hi s   pe ri o t h e   K a s pe r s ky   a n t i v i r us   s o f t w a r e   i s   un i n s t a l l e d.   T o rr e n t   a p pl i c a t i o n s   r e m a i n   a c t i v e   t o   e n a b l e   P 2P   a c t i v i t i e s   t hr o ugh o ut   t h e   c a pt u ri n g   p r o c e s s .     T h e   s t a t i c   IP   a dd r e s s   i s   s e t   o n   e a c h   o f   t h e   h o s t   a nd  r e m a i n s   u n c h a nge f r o m   t h e   p r e v i o us   s e t up.     T h e   c o n f i gu r a t i o n s   o f   c a pt uri n da t a   i n o rm a l   t ra f f i c   i s   re m a i a nd  w e r e   us e a g a i f o r   t h e   a n o m a l o us   t r a f f i c ,   e xc e pt   t h e   K a s pe r s ky   a nt i v i r us   i s   r e m o v e d.   T h e   da t a   c a pt u ri n p r o c e s s   a l s o   r e m a i n   t h e   s a m e .     In  a n o m a l o us   t ra f f i c   da t a ,   t w o   ph a s e s   o f   c a pt uri n d a t a   w e r e   i n v o l ve d;   t h e   f i r s t   p ha s e   o n l y   B i t T o rr e nt   t o rr e n t   a ppl i c a t i o n   r u n   o n   t h e   n e t w o r a n t h e   s e c o n p h a s e ,   f e w   m o r e   t o rr e nt   a ppl i c a t i o n s   w e r e   i n s t a l l e d.     T hr e e   da t a s e t   w e r e   s e l e c t e i t hi s   s t udy   fo r   a na l y s i s   w h i c a r e   n a m e l y   a s   A n o m a l o us _1,   A n o m a l o us _2  a nd  A n o m a l o us _3.   T a b l e   2   i s   t h e   s u m m a ri z a t i o n   o f   t h e   s e l e c t e c a pt u r e d   da t a   f o r   a n o m a l o us   t ra f f i c .       T a b l e   2 S u m m a r i z a t i o n   o t h e   S e l e c t e Ca p t u r e D a t a   f o r   A n o m a l o us   N e t w o r T ra f f i c   D a t a   S e t   L e n g t h   i n   s e c o n d   T c p d u m p   s i z e   i n   k i l o b y t e   A n o m a l o u s _ 1   5700   9 7 6 5 6 2   A n o m a l o u s _ 2   4980   7 8 1 2 5 1   A n o m a l o u s _ 3   4800   7 8 1 2 5 0       3. 4 .       H a r d w ar e   a n d   S o ftw ar e   C o n fi gu r ati o n   T h e r e   a r e   s e ve n   h o s t   c o nn e c t e w i t h   t h e   t w o   s w i t c h e s .   O n e   of   t h e   s w i t c h e s   i s   c o n n e c t e t o   t h e   A D S L   m o de m / r o ut e r   t o   e s t a b l i s h   t h e   i nt e rn e t   c o nn e c t i v i t y .   F i gu r e   2   s h o w   t h e   s a m e   n e t w o r de s i gn   a n c o n n e c t e n o de s .   T h e   s a m e   c o m put e r s   a n d   pe r i p h e ra l s   s e t up  i s   us e   f o r   b o t h   d a t a   c o l l e c t i o n.   S e r v e w i t h   L i n ux   b a s e   o p e r a t i n s y s t e m   i s   us e   t o   c a pt ur e   a nd  s t o r e   t he   da t a .   T c pdu m a n c r o n j o b   a r e   r e s po n s i b l e   t o   m a na ge   t h e   e n t i r e   t a s o f   c a pt ur i ng,   s t o r i n a n e xt ra c t i n o f   t h e   da t a .   P 2P   t o rr e n t   a pp l i c a t i o n   a n K a s pe r s k y   a n t i v i r us   s o f t w a r e   w e r e   i n s t a l l e i n   e a c h   o f   t h e   de s kt o c o m put e r.   M o s t   o f   t h e   t o rr e n t   a pp l i c a t i o i s   i n   t h e   f a i r   Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2502 - 4752   In do n e s i a J   E l e c   E ng  &   Co m S c i ,   V o l .   18 ,   N o .   3 J u n e   20 2 :     1584   -   1 595   1588   s i z e   a n d   i t   i s   f r e e l y   a v a i l a b l e   o n l i n e .   K a s pe r s ky   a n t i v i r us   s o m e h o w   n e e t o   b e   uni n s t a l l e p r i o t o   t h e   a n o m a l o us   t ra f f i c   c a pt u r i ng  p r o c e s s   b e gi n .   T h e   f o l l ow i n P 2P   t o rr e n t   a ppl i c a t i o n s   a r e   i n s t a l l e d;   B i t T o rr e nt ,   uT o rr e n t ,   B i t Co m e t ,   D e l ud ge   a n L i m e   W i r e .   D u ri n t h e   p r o c e s s   of   c a pt ur i ng  n e t w o r t r a f f i c   da t a   f o r   t h e   a n o m a l o us   t r a f f i c   e n v i r o nm e nt   s e v e r a l   b o t n e t   v a r i a n t s   w e r e   de pl oy e i n   t h e   h o s t   P C.   T h e   v a r i a n t s   a r e   l i s t e i n   T a b l e   3 .   W i r e s h a rk  a n d   C a s c a de   P i l o t   n e t w o r a na l y z i ng  t oo l s   w e r e   us e fo r   d a t a   a n a l y s i s .         T a b l e   3 .   L i s t   o f   t h e   B o t n e t   V a ri a nt   a n d   M a l w a r e   N a m e   L i s t   o f   t h e   Bo t n e t   V a ri a n t   ( M D 5 )   M a l w a re   n a m e   a n d   a l i a s   4 a 2 7 0 b 9 e 3 b 7 0 8 a 5 5 6 3 9 a 5 3 1 d e 7 1 c 7 a f 4   N e t - W o r m . W i n 3 2 . K i d o . i h   W i n 3 2 / C o n f i c k W 3 2 / Co n f i c k e r. C . w o r m   W i n 3 2 : R o o t k i t - g e n   T ro j a n . W i n 3 2 . G e n e ri c . 5 2 1 F 1 A A C   3 5 0 9 c a f a 6 8 8 7 a a 1 c d e 4 c 8 8 0 c b 7 c 5 9 5 e a   N e t - W o r m . W i n 3 2 . K i d o . i h   W i n 3 2 / C o n f i c k e r . X   W 3 2 / Co n f i c k e r . C. w o r m   W i n 3 2 : R o o t k i t - g e n   H a c k . E x p l o i t . W i n 3 2 . M S 0 8 - 0 6 7 . fd   7 0 2 1 c 2 5 4 7 f 8 2 1 2 0 e 0 6 9 d b 0 7 4 5 5 2 0 4 2 b 7   N e t - W o r m . W i n 3 2 . K i d o . i h   a v a ri a n t o fW i n 3 2 / C o n f i c k e r . X   W 3 2 / Co n f i c k e r . C. w o r m   W i n 3 2 : R o o t k i t - g en   T ro j a n . W i n 3 2 . G e n e ri c . 5 2 0 8 D 0 2 0   8 6 5 9 1 5 6 5 0 a 8 5 e 7 c 2 7 c d d 1 1 8 5 0 a 1 3 f 8 6 e   W i n 3 2 / IR CBo t . w o r m . v a ri a n t   W o r m / Rb o t . 2 4 6 7 8 4 . 1   Ba c k d o o r/ W i n 3 2 . R b o t . g e n   W i n 3 2 : R b o t - G K N   W i n 3 2 : R b o t - G K N   IRC/ Ba c k D o o r. S d Bo t 2 . H H B   W o r m . G e n e ri c . 2 7 8 9 6 3   Ba c k d o o r. R b o t . b q j   T ro j a n . M y b o t - 5073   W 3 2 / S d b o t . O T R   Ba c k d o o r. W i n 3 2 . R b o t   Ba c k D o o r. I RC. S d b o t . 3 1 7 2   Ba c k d o o r. R b o t !I K   W i n 3 2 . R b o t . g e n   W i n 3 2 / R b o t . G Q P   k i d o   W o r m / K i d o . BO   W 3 2 / Co n f i c k e r . w o r m . g e n . a         4.   R ES U LTS   A N D   D I S C U S S I O N S   T h e   n e t w o r b e h a v i o ur   a na l y s i s   t oo l s   a r e   us e t o   a n a l y z e   t h e   n e t w o r t r a f f i c .   In   t hi s   s t u dy ,   t h e   w e l l - kn o w n   o pe n   s o ur c e   t ra f f i c   a n a l y z e r   i s   r e c o m m e n de s uc h   a s   W i r e s h a rk  o r   E t h e r e a l .   T h e   v i s ua l i z a t i o n   a n a l y z e r   t o o l s   l i ke   Ca s c a de   P i l o t   i s   c o n s i de r a b l e   t o   a c h i e v e   t h e   ob j e c t i ve   o t h e   s t udy .   T h e   a na l y s i s   of   t h e   bo t n e t   c ha r a c t e r i s t i c   i s   r e l y i n o n   t h e   c o l l e c t e da t a   a s   m e n t i o n   i p r e v i o us   s e c t i o n .     F i gu r e   3   s h o w s   t h e   n e t w o r a n a l y s i s   pr o c e s s .   T h e   a n o m a l y   s i gn a t u r e   i s   de f i n e i n   t h e   e a r l y   s t e p   fo l l ow e by   t h e   t r a f f i c   c h a ra c t e ri s t i c   t h e n   t h e   c o m pa ri s o n   b e t w e e n   n o rm a l   a n a n o m a l o us   t ra f f i c   da t a   w i l l   pr o duc e   t h e   r e s ul t   o f   t h e   b o t n e t   c ha r a c t e r i s t i c .   A s   m e n t i o n e p r e v i o us l y   i n   l i t e ra t u r e ,   t h e r e   a r e   s e v e r a l   t e c hn i q ue s   a n m e t h o t o   i de n t i f y   t h e   n e t w o r k.   I n   t h i s   s t ud y ,   pa s s i ve   a na l y s i s   i s   us e t o   i de n t i fy   t h e   b o t n e t   b e h a v i o ur   w i l l   b e   pe r fo r m   i nt o   t w o   a ppr o a c h e s   S i g n a t u r e   ba s e   de t e c t i o n   a n D N S   a n o m a l y   b a s e   de t e c t i o n .   P a s s i v e   a n a l y s i s   m e a n   t h e   a na l y s i s   of   t h e   n e t w o r t r a f f i c   i s   n o n - r e a l   t i m e   a n t h e   a n a l y s i s   t a ke   pa rt   a f t e r   t h e   da t a   i s   c o l l e c t e d.       4. 1 .       A n o m al ou s   D N S   P ac k e t   T h e   i n i t i a l   p h a s e   o a n a l y s i s ,   t h e   c o m pa ri s o n   b e t w e e n   n o r m a l   a n a n o m a l o us   t r a f f i c   i s   b a s e o n   t h e   t o t a l   n u m b e r   o f   pa c ke t   c a rr y   o ut   by   t h e   D N S   pr o t o c o l   fo r   a l l   t y pe s   o D N S   R e c o r d.   A f t e r   f i l t e ri n t h e   D N S   r e que s t   f o r   b o t h   n o rm a l   a n a n o m a l o us   n e t w o r t ra f f i c   da t a ,   t h e   D N S   r e c o r t y pe   A   a n M X   a r e   e xi s t e d.   O n e   of   t h e   a gg r e ga t e   f e a t ur e s   f r o m   t h e   a na l y s i s   of   t h e   D N S   i n   n e t w o r t r a f f i c   da t a   i s   i t s   f r e que n c y ,   s us pi c i o us   b e h a v i o ur ,   s uc h   a s   D N S   c a c h e   po i s o n i n a t t a c a n D N S   a m p l i f i c a t i o n   a t t a c k,   f r e que nt l y   ge n e ra t e s   m a n y   D N S   que r i e s   i n   a   s h o rt   t i m e .   S ub s e que n t l y ,   w h e n   t h e   D N S   q ue r i e s   a r e   h i g h e t h e   t o t a l   n um b e o f   pa c ke t   c a rr y   o ut   by   t h e   D N S   i n   a n o m a l o us   t ra f f i c   i s   a l s o   h i g h e [21]   T a b l e   a nd  5   s h o w   t h e   t ra f f i c   f l ow   fo r   bo t h   n o rm a l   a n a n o m a l o us   da t a   t ra f f i c .   T h e   t o t a l   n u m b e r   of  pa c ke t s   fo r   D N S   i s   s h o w s   a   h uge   di f f e r e n t   a m o u n t   b e t w e e n   n o rm a l   a nd  a n o m a l o us   t r a f f i c .   T h e   a v e r a ge   Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Char ac t e r i s i ng  a nd  de t e c t i on  o f   B o t ne t   i P 2P   Ne t w or k   f or   U D P   P r ot oc ol   ( Noor   Z ur ai d i n   Mohd   Sa f ar )   1589   n u m b e r   o t h e   t o t a l   pa c ke t s   f o r   D N S   r e que s t   i n   n o rm a l   t ra f f i c   da t a   i s   105. 67 .   I n   c o n t r a s t ,     t h e   a v e r a ge   num b e o f   t h e   t o t a l   p a c ke t s   f o r   D N S   r e que s t   i a n o m a l o us   t ra f f i c   da t a   i s   2121 .   I a n o m a l o us   D N S   r e que s t   t h e   t ra n s m i s s i o n   ra t e   o t h e   pa c ke t   i s   0. 68  p a c ke t s   pe r   s e c o n d,   w h i c h   i s   h i g h e r   c o m pa r e t o   t h e   a v e r a ge   o f   0. 05  p a c ke t s   pe r   s e c o n i n o rm a l   t r a f f i c   da t a .   I t   i s   c l e a r l y   i n d i c a t e t ha t   m a n y   D N S   que ri e s   i s   ge n e ra t e i n   a n o m a l o us   t ra f f i c   da t a   w i t hi n   a   s h o rt   t i m e .   T h us   t h e   i rr e gul a r i t y   of   t h e   f r e que n c y   c r e a t e s   s us pi c i o us   b e h a v i o ur .   T h e   i n i t i a l   o b s e r v a t i o n   gl ue t h e   c o m pa r i s o n   b e t w e e n   t h e   n o r m a l   a nd  a n o m a l o us   t r a f f i c   pr e s e nt   t h e   di f f e r e n c e s ,   w i t h i n   t h e   a pp r o xi m a t e l y   s a m e   a m o unt   o f   t i m e   a n s i z e   o t h e   pc a f i l e   b e t w e e n   b o t h   da t a   t h e r e   i s   s o m e   a n o m a l o us   b e h a v i o ur  i t h e   t ra f f i c .             F i gu r e   3 .   N e t w o r T r a f f i c   A na l y s i s   P r o c e s s       T a b l e   4 .   N o rm a l   U D P   by   P o r t   53   a n d     D N S   P r o t o c o l   D a t a   S e t   P ro t o c o l   P o r t   P a c k e t s / s   T o t a l   P a c k e t s   N o r m a l _ 1   DNS   53   0. 05   126   N o r m a l _ 2   DNS   53   0 . 0 4   85   N o r m a l _ 3   DNS   53   0 . 0 5   106   A v e ra g e   DNS   53   0 . 0 5   1 0 5 . 6 7     T a b l e   5 .   A n o m a l o us   U D P   by   P o r t   53   a nd    D N S   P r o t o c o l   D a t a   S e t     P ro t o c o l     P o r t     P a c k e t s / s     T o t a l   P a c k e t s     A n o m a l o u s _ 1     D N S     53   1 . 2 8   3559   A n o m a l o u s _ 2     D N S     53   0 . 4   1612   A n o m a l o u s _ 3     D N S     53   0 . 3 5   1192   A v e ra g e     D N S     53   0 . 6 8   2121         4. 2 .       N e t B I O S   A tta c k   Co n f i c ke r   i s   o n e   o f   t h e   b o t n e t   t h a t   a l r e a dy   h a rm   t h e   i nt e rn e t   us e r   i n   pa s t   f e w   y e a r s .   T h e   v a r i a n t   s t i l l   e xi s t   a n t h e   a l go ri t hm   o t h e   bo t n e t   w i l l   b e   us e by   t h e   f u t u r e   a t t a c ke r   t o   c r e a t e   s i m i l a r   a t t a c k .   Co n f i c ke r   c h a ra c t e ri s t i c   c a b e   de f i n e by   s e v e r a l   s i g n a t u r e s   o n e   o f   t h e m   i s   t hr o ug h   t h e   N e t B IO S   a t t a c [22] .   Co n f i c ke r   w o r ks   by   e xpl o i t i n t h e   N e t B IO S   v ul n e ra b i l i t y   i n   W i n do w s   o pe r a t i ng  s y s t e m   a n us e s   m a n y   n e w   t e c h n i q ue s ,   i n c l udi ng  a   do m a i n   ge n e r a t i o a l go ri t hm ,   s e l f   -   de f e n s e   m e c ha n i s m s ,   w e b   a n P 2P   upd a t e s   a nd  e f f i c i e n t   l o c a l   pr o pa g a t i o n   a nd  b r ut e   f o r c e   a t t a c of   N e t B IO S   a dm i n   s ha r e s   [23] .   A l l   Co n f i c ke r   v e r s i o n s   us e ps e ud Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2502 - 4752   In do n e s i a J   E l e c   E ng  &   Co m S c i ,   V o l .   18 ,   N o .   3 J u n e   20 2 :     1584   -   1 595   1590   ra n do m   do m a i n   ge n e r a t i o n   w i t h   k n o w n   s e t   o f   T o L e v e l   D om a i n s   ( T L D t o   o b t a i upd a t e s .   T h i s   m e c ha n i s m   i s   c a l l e do m a i f l ux  a n t h e   U R L   w h i c h   i s   c o n t a c t e i s   c a l l e t h e   H T T P   r e n de z v o us   po i n t   [23]   a n t h e   do m a i n   na m e   i s   ge n e ra t i ng  by   Co n f i c ke r   t hr o ugh   i t s   ps e udo   r a n do m   do m a i n   ge n e r a t i o n .   T a b l e   6   s h o w s   t h e   s us pi c i o us   do m a i ge n e ra t e b y   t h e   Co n f i c ke a f t e r   f i l t e ri n g   t h e   N B N S   pr o t o c o l   i W i r e s h a rk.   Co n f i c ke r   us e   N B N S   (N e t B IO S   N a m e   S e r v i c e   o r   n e t b i os - n s p r o t o c o l   t o   pr o pa ga t e   i t s e l f   i nt o   n e t w o r [24] .   F i l t e ri n N B N S   pr o t o c o l   i n   W i r e s h a r w i l l   s h o w   t h e   i n f o r m a t i o n   c a rr y   o ut   by   t h e   N B N S   pr o t o c o l .   N B N S   w i l l   r e a t h e   h o s t n a m e   w h i c h   i s   t r i e t o   a t t a c h   b y   C o n f i c ke r   bo t n e t .   T h e   h o s t na m e   w i l l   i n di c a t e   w h i c h   h o s t n a m e   o r   c o m put e r   a t t a c h   by   C o n f i c ke r.   T h e   s o ur c e   IP   i s   t h e   i n f e c t e c o m put e r   a n d   a t t e m pt   t o   di s t ri b ut e   a n d   upd a t e   i t s e l f .   F i gu r e   4   s h o w s   t h e   Co n f i c ke r   a t t a c by   f i l t e r i n g   t h e   N B N S   i W i r e s h a rk,   m e a n w hi l e   i n   F i gu r e   5   o nl y   a   f e w   N B N S   n a m e   que r y   a n n o n e   o f   t h e m   que r i e s   t h e   s us pi c i o us   do m a i n a m e .         T a b l e   6 .   S us pi c i o us   D o m a i n   P ro t o c o l   P o r t   S u s p i c i o u s   D o m a i n   n e t b i o s - ns   137   A N T V J RF Y T IC. CC   n e t b i o s - ns   137   D A J S R M D W H V . CO M   n e t b i o s - ns   137   E L B M E S U S A J . N E T   n e t b i o s - ns   137   H F G S G RP F Q IID . C C   n e t b i o s - ns   137   M Q G A W G . Y I. O R G   n e t b i o s - ns   137   M Z M J W P Y . Y I. O RG   n e t b i o s - ns   137   T BM RP Q . Y I. O RG   n e t b i o s - ns   137   T M L H K Y Z H L Z E C . CC   n e t b i o s - ns   137   U E A Q S A P M F B F F . CC   n e t b i o s - ns   137   V M IT RP Y H O Z I. CO M   n e t b i o s - ns   137   Y F Z I V I U X . CO M   n e t b i o s - ns   137   Z V Q G M W I A V . C O M           F i gu r e   4 .   N B N S   f i l t e r i n g   i a n o m a l o us   b e h a v i o ur                 F i gu r e   5 .   N B N S   f i l t e r i n g   i n o r m a l   b e h a v i o ur       T h e   f o l l ow i n r e s ul t   f r o m   t h e   f i l t e ri n N e t B IO S   s h o w   t h e   d i f fe r e n c e s   o f   t h e   N B N S   a c t i v i t i e s   b e t w e e n   n o r m a l   a n a n o m a l o us   da t a .   T a b l e   7   a n d   T a b l e   8   i n d i c a t e   t h e   t o t a l   pa c ke t s   f o r   n o rm a l   da t a   i s   l e s s   t h a a n o m a l o us   da t a .   T h e   a n a l y s i s   of   t h e   n o rm a l   t r a f f i c   da t a   a f t e r   f i l t e ri n t h e   N e t B IO S   p r o t o c o l   pr o duc e   t h e   av e r a ge   o f   t h e   t o t a l   pa c ke t s   i s   19 . 67.   H ow e ve r ,   i n   a n o m a l o us   t r a f f i c   da t a   t h e   a v e r a ge   i s   62 09. 67,   t hi s   i s   t h e   que r y   c r e a t e   by   t h e   h o s t   t ha t   w a s   i n f e c t e w i t h   t h e   Co n f i c k e r   b o t n e t .   T h e   i n f e c t e h o s t s   ru n   t h e   Co n f i c ke r   ps e udo   r a ndo m   do m a i ge n e ra t i o n ,   t o   c r e a t e   t h e   s us pi c i o us   d o m a i n   na m e .         T a b l e   7 .   U D P   T ra f f i c   by   P o r t   137  f o r     N o r m a l   T ra f f i c   D a t a   S e t     P ro t o c o l     P o r t     T o t a l   P a c k e t s     N o r m a l _ 1     n e t b i o s - ns   137   31   N o r m a l _ 2     n e t b i o s - ns   137   17   N o r m a l _ 3     n e t b i o s - ns   137   11   A v e ra g e     n e t b i o s - ns   137   1 9 . 6 7     T a b l e   8 .   U D P   T ra f f i c   by   P o r t   137  f o r     A n o m a l o us   T ra f f i c   D a t a   S e t     P ro t o c o l     P o r t     T o t a l   P a c k e t s     A n o m a l o u s _ 1     n e t b i o s - ns   137   6178   A n o m a l o u s _ 2     n e t b i o s - ns   137   6728   A n o m a l o u s _ 3     n e t b i o s - ns   137   5723   A v e ra g e     n e t b i o s - ns   137   6 2 0 9 . 6 7         Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Char ac t e r i s i ng  a nd  de t e c t i on  o f   B o t ne t   i P 2P   Ne t w or k   f or   U D P   P r ot oc ol   ( Noor   Z ur ai d i n   Mohd   Sa f ar )   1591   T h e   a na l y s i s   of   t h e   n e t w o r t ra f f i c   by   c o m pa ri n t h e   t o t a l   pa c ke t s   b e t w e e n   n o r m a l   a n d   a n o m a l o us   t r a f f i c   de t e r m i n e   t h e r e   i s   o n e   c h a ra c t e ri s t i c   o f   Co n f i c ke r   b o t ne t   e xi s t   i n   t h e   n e t w o r k.   T h e   c h a ra c t e r i s t i c   f i n d   i t h e   n e t w o r a na l y s i s   i s   t h e   N e t B IO S   a t t a c k.   F r o m   t h e   s i g n a t u r e   b a s e de t e c t i o n ,   N e t w o r a dm i ni s t ra t o r   o r   us e r   c a us e   t hi s   c ha r a c t e r i s t i c   t o   de t e r m i n e   t h e   e xi s t e n c e   o f   t h e   Co n f i c ke r   b o t n e t   i t h e   n e t w o r k.     4. 3 .       A n o m al ou s   D N S   M X   Q u e r y   In  l e gi t i m a t e   e m a i l s   de l i v e r y   a n b a s e o S i m pl e   M a i l   T r a n s f e r   P r o t o c o l   (S M T P ),   u ni nt e rrupt e de l i v e r y   i s   c o m pl e t e by   t h e   M a i l   T ra n s f e r   A ge nt   (M T A ),   n o t   by   t h e   e n d   us e r s   o r   t h e i r   M a i l   U s e r   A ge n t   (M U A ).   A   c l i e n t   o M U A   us ua l l y   c o n n e c t s   t o   a   s e r v e r   o r   M T A   f o r   s e n di ng  a n   e m a i l .   M T A   o r g a ni z e s   de l i v e r y   by   t r a n s f e rr i n g   i t   t o   a n o t h e M T A .   I n   m a n y   c a s e s   t h e   s e c o n M T A   i s   a c t ua l l y   t h e   M a i l   E xc ha n ge   (M X s e r v e o f   t h e   r e c i pi e n t .   T hi s   p ra c t i c e   c a b e   i l l us t r a t e i n   F i gu r e   6 .   S pa m   ge n e r a t e by   Bo t n e t   o r   k n o w n   a s   s pa m b o t   do e s   n o t   a t t e m p t   t o   t r a v e l   i n   t hi s   l e gi t i m a t e   w a y ;   undi s c l o s e m e t h o ds   a r e   us e t o   a n o n y m i z e   t h e   s p a m   s o ur c e .   M T A s   w i l l   que r y   t h e   D N S   M X   do m a i n   r e gi s t r y   of   t h e   r e c i pi e nt   a n t h e n   s e nd  t h e   m e s s a ge   di r e c t l y   t o   t h e   s e r v e r .   S pa m b o t   m us t   ob t a i n   t h e s e   s e r v e r s   '   IP   a dd r e s s e s   fo r   e a c h   e m a i l   a dd r e s s   i n   t h e   l i s t .   It   c a n   que r y   t h e   M X   D N S   of   a l l   t h e   do m a i n s   o f   t h e   r e c i pi e n t s ,   b ut   t h i s   s l o w s   t h e   s pa m m i n p r o c e s s .   A   m o r e   a dv a n c e w a y   i s   t o   d ow n l o a M X   r e c o r ds   f r o m   t h e   b o t n e t   s e r v e r s   o r   pe e r s   a l o n w i t e m a i l   l i s t s   [ 23] .   T hi s   w i l l   n e e a e xt r a   e ffo r t s   f o r   m a i nt a i n i ng  a nd  upd a t i n t h e s e   l i s t s   by   bo t n e t   c o n t r o l l e r s .   S i m pl e   s o l ut i o n   s ugge s t e by   [5]   i s   t o   r e c o n f i gur e   de f a ul t   m a i l   s e r v e r   po r t   t o   a n o t h e r   po r t   n u m b e r .   B o t n e t   ge n e ra t e s pa m   c a b e   de l i v e r e di r e c t l y   t o   t h e   M a i l   M X   s e r v e r   o f   t h e   r e c i pi e n t ’s   do m a i a s   de pi c t e i n   F i gu r e   7 .               F i gu r e   6 .   L e gi t i m a t e   e m a i l   de l i v e r y     F i gu r e   7 .   S p a m b o t   c a n   b e   de l i v e r e d i r e c t l y   t o   t h e   r e c i pi e n t ' s   do m a i M X   s e r v e r       F r o m   t h e   a n a l y s i s   of   t h e   n e t w o r t ra f f i c ,   t h e   a n o m a l o us   b e h a v i o ur   o f   D N S   r e que s t i n g   t h e   M X   s t a n d a r que r y   s h o w s   i rr e gul a r i t y .   T h e r e   w a s   a   l o t   o f   D N S   M X   r e c o r t y pe   f r o m   o n e   o f   t h e   n o de   i n   t h e   n e t w o r k.   T h e   da t a   c a n   b e   ob t a i n e us i ng  Ca s c a de   P i l o t   by   dr i l l   do w n   t h e   D N S   r e c o r t y pe .   F r o m   t h e   f i l t e ri n g   of   t h e   D N S   que r y ,   o n l y   A   (a dd r e s s   r e c o r d)  a nd  M X   ( m a i l   e x c h a nge r e c o r t y p e   i s   pr e s e nt ,   o t h e r   D N S   r e c o r l i ke   A A A A   (IP v a ddr e s s   r e c o r d),   P T R   (po i n t e r ) ,   CN A M E   (Ca n o n i c a l   n a m e o r   o t h e r s   a r e   n o t   de t e c t e d.     T h e   a na l y s i s   a l s o   s h o w s   t h e   a n o m a l o us   D N S   A   r e c o r t y pe .   T a b l e   a nd  T a b l e   10  s h o w s   t h e   a n o m a l y   b e t w e e n   n o rm a l   a n a n o m a l o us   t r a f f i c   r e fe rr i ng  t o   t h e   a m o unt   o r e que s t   fo r   D N S   A   a n D N S   M X   r e c o r d   t y p e .   T h e r e   i s   n o   D N S   M X   r e c o r d   t y pe   fo r   n o r m a l   t ra f f i c .       T a b l e   9 .   N u m b e r   o f   D N S   Q ue r i e s   i n     N o r m a l   T ra f f i c     N u m b e r   o D N S   Q u e r i e s   D N S   R e c o rd   T y p e     M X     N o r m a l _ 1   74   0   N o r m a l _ 2   48   0   N o r m a l _ 3   57   0   A v e ra g e   5 9 . 6 7   0     T a b l e   10 .   N u m b e r   o f   D N S   Q ue ri e s   i   A n o m a l o us   T ra f f i c     N u m b e r   o D N S   Q u e r i e s   D N S   R e c o rd   T y p e     M X     A n o m a l o u s _1   927   463   A n o m a l o u s _2   4170   296   A n o m a l o u s _3   1040   44   A v e ra g e   2 0 4 5 . 6 7   2 6 7 . 6 7         T h e   num b e r   o f   r e que s t   fo r   D N S   que r y   r e l a t i v e l y   s m a l l e r   c o m pa r e t o   t h e   a n o m a l o us   t ra f f i c .     In   n o r m a l   t ra f f i c   da t a   t h e   t o t a l   n u m b e r   of   que r i e s   i s   59. 67  i a v e r a ge   fo r   D N S   A   r e c o r t y pe .   In   f a c t   t h e r e   i s   n o   D N S   M X   r e c o r t y pe   i n   n o rm a l   t r a f f i c .   In  c o m pa r i s o n,   f o r   t h e   a n o m a l o us   n e t w o r t r a f f i c   t h e   t o t a l   o f   t h e   D N S   que r i e s   i s   2 313 . 3 i n   a v e ra ge .   T h e   D N S   M X   r e c o r t y pe   i s   267. 67  q ue ri e s .   T hi s   ki nd  o f   be h a v i o ur   i s   t h e   p r o c e s s   of   t h e   s pa m b o t   t r y   t o   que r y   t h e   D N S   f o r   M X   r e c or d   o f   a l l   t h e   r e c i p i e nt s ’  do m a i n s .   Evaluation Warning : The document was created with Spire.PDF for Python.
                                IS S N :   2502 - 4752   In do n e s i a J   E l e c   E ng  &   Co m S c i ,   V o l .   18 ,   N o .   3 J u n e   20 2 :     1584   -   1 595   1592   T h e   b e h a v i o ur   o f   t h e   a n o m a l o us   D N S   M X   que r y   a bove   i s   t h e   p r o c e s s   of   s pa m b o t   t o   o b t a i t h e   IP   a dd r e s s   fo r   t h e   M X   s e r v e r s   f o r   e a c h   e m a i l   a dd r e s s   o n   i t   l i s t .   T h e   b o t n e t   ge n e r a t e s pa m   c a n   que r y   t h e   D N S   fo r   M X   r e c o r o f   a l l   t h e   r e c i p i e nt s ’  do m a i n s .   T h e r e   a r e   a   l o t   o f   M X   que r i e s   b ut   i t   o n l y   c o n t r i b ut e s   s m a l l   pe r c e n t a ge   o f   t h e   t o t a l   t ra f f i c   b ut   t h e   n u m b e r   o f   M X   que ri e s   i s   h i g h e t ha r e gul a b a s i s .   By   ob s e r v i n g   t hi s   b e h a v i o ur ,   t h e s e   que r i e s   a r e   s us pi c i o us .       4. 4 .       U D P   F l o o d   an d   D N S   A m p l i fi c ati o n   A tta c k   Bo t n e t s   a r e   r e gul a rl y   us e t o   m o un t   D D o S   a t t a c ks   i n   t h e   Int e rn e t .   S y s t e m a t i c   r e v i e w   o n   a s pe c t s   of  D D o S   de t e c t i o n   i s   c o n duc t e a nd  i t   w a s   f o un t h a t   e a c h   t e c hni que   us e f o r   t h e   de t e c t i o n   o f   a t t a c ks   e xpl o i t s   c e r t a i n   c h a ra c t e ri s t i c s   o f   t h e   n e t w o r t r a f f i c ,   us e r e que s t s   a nd  e xpl i c i t   t o o l s   [24,   25]   p r o po s e a   t e c hni que   f o r   t h e   fo r e n s i c s   of   U D P   f l o o d   a t t a c t ha t   c a pa b l e   t o   i de n t i f y   t h e   s o ur c e   of   U D P   f l oo di n b o t   a t t a c k.   T h e   U D P   f l oo a t t a c s e n ds   a n   e n o rm o us   num b e r   o f   U D P   pa c ke t s   t o   a n y   r a n do m l y   s e l e c t e po r t s   o f   a   s e r v e r   t o   b l o c k   o t h e r   a ut h e nt i c   t ra f f i c   t o   t h e   n e t w o r po r t .   T h e   ra n do m   po r t s   c o ul b e   e c h oe d,   da y t i m e ,   o r   C h a ra c t e r   G e n e ra t o r   P r o t o c o l   (C H A R G E N ).   T h e   e a r l i e s t   ut i l i s a t i o n   of   a   bo t n e t   i s   t o   l a u n c h   a   D D o S   a t t a c t ha t   c a c a us e s   a   l o s s   of   s e r v i c e   t us e r s .   A   D D o S   a t t a c i s   a n   a t t a c o n   a   c o m put e r   s y s t e m   o r   n e t w o r t h a t   c a us e s   us e r s   t o   l o s e   s e r v i c e ,   us ua l l y   t h e   l o s s   of   n e t w o r c o n n e c t i v i t y   a n s e r v i c e s   by   us i n t h e   v i c t i m   n e t w o r k' s   b a n dw i dt o o ve r l o a di ng  t h e   v i c t i m   s y s t e m ' s   c o m put e r   r e s o ur c e s .     M o s t   i m pl e m e nt a t i o n s   o f   t h e   D D o S   a t t a c ks   a r e   c a t e go ri s e a s   T CP   S Y N   a nd  U D P   f l oo a t t a c ks .     In   T CP ,   t h e   m o s t   c o m m o n   t e c hni que   i s   c a l l e T CP   S Y N   f l oo di n a n i n v o l v e s   c r e a t i n a   l a r ge   n u m b e r   of  ha l f - o pe n   T CP   c o nn e c t i o n s   o n   t h e   t a rge t   m a c hi n e   t o   e xha us t   ke rn e l   da t a   s t r uc t u r e s   a n p r e v e n t   t h e   m a c h i n e   f r o m   a c c e pt i n n e w   c o nn e c t i o n s .   U D P ’s   f l oo di n t e c hn i qu e   i s   t o   ov e r r u n   t h e   t a r ge t   m a c h i n e   w i t h   a   l a r ge   n u m b e r   o f   U D P   pa c ke t s .   T h e n   t h e   b a ndw i dt h   o f   t h e   ne t w o r g ra dua l l y   e xh a us t s   a nd  e n ds   w i t t h e     t e rm i na t i o o f   s e r v i c e .     Bo t n e t s   us e   s e v e r a l   t h o us a n m a c hi n e s   r e pe a t e dl y   a n a l l o w   a n   a t t a c ke r   t o   s e r i o us l y   da m a ge   t h e   c o m put e r   n e t w o r k.   B o t n e t s   a r e   c o m m o n l y   us e fo r   D D o S   a t t a c ks   b e c a us e   t h e i r   b a n dw i dt h   c o m b i n e e xc e e ds   t h e   b a n dw i dt h   a v a i l a b l e   o n   m o s t   t a r ge t   s e r v e r s   o r   s y s t e m s .   I n   a dd i t i o n,   s e ve r a l   t h o us a n c o m pr o m i s e m a c h i n e s   c a n   ge n e ra t e   s o   m a n y   pa c ke t s   t h a t   t h e   t a rge t   u n a b l e   t o   f ul f i l l   t ha t   m a n y   r e que s t s .   S i n c e   a   b o t n e t   of t e n   c o n t a i n s   t h o us a nds   of   bo t s ,   t h e   Bo t m a s t e r   c a n   g i v e   i ns t ruc t i o n s   t o   a   pa r t i c ul a r   s e r v e r   o r   s y s t e m   f o r   a l l   o n l i n e   b o t s   f l oo di n g   pa c ke t s .   [26] .   T h e s e   pa c ke t s   w i l l   c o n s u m e   t h e   b a n dw i dt o f   t h e   v i c t i m ' s   n e t w o r k,   ov e r l o a t h e   v i c t i m ' s   c o m put e r   r e s o ur c e s   o r   e v e n   c o n t a i n   t he   ge n e r a l   I n t e rn e t   t r a f f i c   t o   c a us e   m a s s i ve   pub l i c   da m a ge .   S e v e r a l   b o t s   c a pa b l e   t o   s e n a   r e po r t   b a c t o   t h e i r   c o n t r o l l e r   a nd  t e l l   t h e   b o t m a s t e r   h o w   m a n y   s i z e   t h e y   f l oo d e t h e   v i c t i m .   F r o m   t h e   s c e n a r i o   a b ov e ,   Bo t n e t s   a r e   a   s e r i o us   t hr e a t   i n   D D o S   a t t a c ks   c a pa c i t y .   D D o S   a t t a c ks   t r y   t o   c r us h   t h e   t a r ge t   by   s e n di n a n   o v e r w h e l m i n g   a m o u n t   o f   t r a f f i c   f r o m   h o s t   c o m put e r s ,   us ua l l y   b o t n e t   m e m b e r s ,   w h i c h   a r e   di s t ri b ut e a c r o s s   di ff e r e nt   l o c a t i o n s ,   m a k i n i t   d i f f i c ul t   o r   i m po s s i b l e   t s i m pl y   b l oc t r a f f i c   by   s o ur c e   a ddr e s s .   T h e r e   a r e   s e v e r a l   t y p e s   of   t r a f f i c :   T CP   S Y N ,   U D P   a n ICM P   pa c ke t s   f l oo ds .   A t t a c ks   o n   s e r v i c e s   o n   a   h i g h e r   n e t w o r l a y e r   a r e   a l s o   c o m m o n ,   i n   p a r t i c ul a r   D N S ,   H T T P   a n d   S M T P .   Bo t n e t   D D o S   a t t a c a   l a r ge   n um b e r   o f   h o s t s   w i l l   t r y   t o   pus a   D N S   s e r v e r   o f   t h e   In t e rn e t .   T h e   c h a ra c t e ri s t i c   of   a n   a t t a c ki n B o t n e t   D D o S   a t t a c i s   by   i n c r e a s i ng  a m o un t   of   r e que s t s .   D uri n a   r e que s t   t h e   B o t n e t   w i l l   b e   s e n di n g   a   m a s s i v e   a m o un t   o f   r e que s t s   t o   t h e   D N S   s e r v e r   t o   o v e r w h e l m   t h e   a v a i l a b l e   r e s o ur c e s .     F r o m   t h e   c a pt u r e da t a   t h e r e   w e r e   s o m e   a c t i v i t i e s   r e l a t e t o   a n o m a l o us   D N S   r e que s t .     T h e   c o m pa ri s o n   b e t w e e n   t h e   n o rm a l   a nd  a n o m a l o us   t r a f f i c   b a s e   o n   i t s   D N S   r e que s t ,   T a b l e   11   a n T a b l e   12   s h o w s   t h e   di f f e r e n t   o t h e   t o t a l   pa c ke t s .   T h e   a n a l y s i s   of  t h e   da t a   i s   b a s e o n   t h e   s e l e c t e da t a   s e t   a s   m e nt i o e a rl i e r   i i m pl e m e nt a t i o c ha pt e r.   T h e   a v e r a ge   l e ngt h   o f   t he   n e t w o r t ra f f i c   i s   a b o ut   e i gh t y   m i n ut e s   f o r   t h e   n o rm a l   t r a f f i c   a n t h e   a v e r a ge   o f   t h e   l e n g t h   f o r   t h e   a n o m a l o us   t r a f f i c   i s   a pp r o xi m a t e l y   e i gh t y   s i m i n u t e s .   T h e   t o t a l   n u m b e r   o f   pa c ke t   i n   D N S   pr o t o c o l   f o r   a n o m a l o us   n e t w o r t r a f f i c   i s   2121  a n t h e   n o rm a l   n e t w o r t r a f f i c   i s   105. 67  i n   a v e r a ge .   T h us ,   i t   i s   i n d i c a t e   t h e   di f f e r e n t   a m o u n t   o n   w hi c h   t h e   a n o m a l o us   n e t w o r t r a f f i c   c a rr y   t h e   l a r ge   n u m b e r   o f   t o t a l   pa c ke t s   t h e n   t h e   n o rm a l   n e t w o r t ra f f i c .         T a b l e   11 T o t a l   P ac ke t s   f o r   D N S   R e que s t   i N o rm a l   T ra f f i c   D a t a   S e t   L e n g t h   i n   s e c o n d   T c p d u m p   s i z e   i n   k i l o b y t e   P ro t o c o l   P o r t   T o t a l   P a c k e t s   N o r m a l _ 1   5050   9 7 6 5 6 4   DNS   53   126   N o r m a l _ 2   4689   9 7 6 5 6 3   DNS   53   85   N o r m a l _ 3   4731   9 7 6 5 6 2   DNS   53   106   A v e ra g e   4 8 2 3 . 3   9 7 6 5 6 3   DNS   53   1 0 5 . 6 7             Evaluation Warning : The document was created with Spire.PDF for Python.
In do n e s i a J   E l e c   E ng  &   Co m S c i     IS S N :   2502 - 4752       Char ac t e r i s i ng  a nd  de t e c t i on  o f   B o t ne t   i P 2P   Ne t w or k   f or   U D P   P r ot oc ol   ( Noor   Z ur ai d i n   Mohd   Sa f ar )   1593   T a b l e   12 T o t a l   P a c ke t s   f o r   D N S   R e que s t   i A n o m a l o us   T ra f f i c   D a t a   S e t   L e n g t h   i n   s e c o n d   T c p d u m p   s i z e   i n   k i l o b y t e   P ro t o c o l   P o r t   T o t a l   P a c k e t s   A n o m a l o u s _ 1     5700   9 7 6 5 6 2   D N S     53   3559   A n o m a l o u s _ 2     4980   7 8 1 2 5 1   D N S     53   1612   A n o m a l o u s _ 3     4800   7 8 1 2 5 0   D N S     53   1192   A v e ra g e     5 1 6 0 . 0 0   8 4 6 3 5 4 . 3 3   D N S     53   2121       T h e   m a s s i v e   a m o unt   o f   pa c ke t s   i s   o c c urr e i n   a n o m a l o us   t ra f f i c   (846354. 33  kb ).   T hi s   i s   o n e   o f   t h e   i n di c a t i o n   o f   t h e   D N S   a m pl i f i c a t i o n   a t t a c k.   T h e   a t t a c ke r   g e n e ra t e s   a   l a r ge   n u m b e r   o f   pa c ke t s   w i t h   f l oo d   a t t a c ks   a i m e a t   t h e   t a r ge t   s o ur c e s .   F l o o d   a t t a c ks   f o r   IP   c om po n e n t s   i n c l u di n U D P   S Y N   f l oo ds   a n ICM P   e c h o   pa c ke t s   a r e   t y pi c a l   t y pe   of   a t t a c i ni t i a t e by   t h e   B o t m a s t e r .   T h e   f l o o a t t a c k   w e r e   us e m ul t i p l e   di s t r i b ut e s o ur c e s ,   s uc h   a s   b o t n e t s ,   a   v a ri a nt   o f   D N S   a m p l i f i c a t i o n   i s   a   f a v o ur i t e   a m o n t h e   o pe r a t o r s   o c o m m e r c i a l   D D o S   bo t n e t   o pe ra t o r s .   B o t c ha r a c t e r i s t i c   b a s e s   o n   t h e   U D P   f l oo di n g   a t t a c a n d   D N S   a m p l i f i c a t i o n   a t t a c c a n   b e   de t e r m i n e a s   o n e   of   t h e   po s s i b l e   c o m m u n i c a t i o n   b e t w e e n   bo r m a s t e r   a n b o t   t l e v e r a ge   t h e   a t t a c k.   B o t m a s t e c a n   l a u n c t h e   a t t a c k   o r   r e c r ui t i n g   t h e   n e w   c a n di d a t e   f o r   t h e   n e w   bo t   b y   r e que s t i n g   t h e   IP   o f   t h e   m a c h i n e .     T h e   D N S   a n o m a l y   de t e c t i o n   a ppr o a c h e s   pr o duc e   t h e   pr o m i s i n r e s ul t   i n   r e s e a r c h   f i n di ng.   A n o m a l o us   D N S   pa c ke t   r e que s t ,   t h e   N e t B IO S   a t t a c k,   D N S   M X   que r y   o n   S pa m b o t ,   D N S   a m p l i f i c a t i o n   a t t a c a n U D P   f l oo a t t a c i s   i de n t i f y   i n   t h e   a na l y s i s .   B a s e o n   t h e   r e s ul t   a n a na l y s i s   i n   t hi s   s t udy ,   i t   w i l l   h e l p   n e t w o r a dm i n i s t ra t o r   o us e a l e rt   w i t t h e   b e h a v i o ur  a nd   c ha r a c t e r i s t i c   m i g ht   b e   e xi s t   i t h e i n e t w o r k.     T h e   c ha ra c t e ri s t i c   o f   t h e   b o t n e t   c a b e   us e f o r   f ut u r e   e l e m e nt   i i de nt i f y i n a nd  c o m b a t i ng  t h e   b o t n e t .         5.   C O N C LU S I O N   Bo t n e t s   a r e   e vo l v i n g   r a p i dl y ;   a l l   e l e m e n t s   o f   c o m m uni c a t i o n   p r o t o c o l s   i n i t i a t i o n   m e c h a ni s m s ,   a t t a c ks   o t h e   ra l l y i n m e c h a ni s m   c o n s t a nt l y   e vo l v e   a n d   di f f i c ul t   t o   de t e c t .   T h e   c urr e nt   w o r ks   i b o t n e t   de t e c t i o n   s t r a t e gi e s   i s   di s c us s e i n   t h e   l i t e ra t u r e   r e v i e w   w h i c h   i s   t o   s t udy   t h e   t o po l o g y ,   c l a s s i f i c a t i o n ,   b e h a v i o ur   o f   t h e   bo t n e t   a n t o   i de n t i fy   t h e   r e l a t e w o r ks   i n   c ha r a c t e r i z i ng  a n de t e c t i o n   o f   bo t n e t   b a s e   o n   t h e   pa s s i v e   m e t h o t hr o ug h   a n a l y z i n t r a f f i c   f l ow   a n a n o m a l y   s i gna t u r e .   T h e   o b j e c t i ve   of   t h i s   s t udy   i s   t c h a ra c t e ri z e   t h e   b o t n e t   i n   P 2P   e n v i r o nm e nt   b a s e o n   t h e   U D P   pr o t o c o l .   T o rr e n t   a ppl i c a t i o n   i s   r u n   t hr o ug h o ut   t h e   c a pt u ri n p r o c e s s   t o   c r e a t e   t h e   l i v e   P 2P   n e t w o r e n v i r o nm e nt .   U D P   c a rr y   o ut   m o s t   of   t h e   d a t a   t ra n s f e r   i n e t w o r k,   i t   o ff e r s   a   m a r g i n a l   t ra n s po rt   s e r v i c e s ,   a   n o n gu a r a nt e e da t a g ra m   de l i v e r y   a n p r o v i de s   a ppl i c a t i o n s   di r e c t   a c c e s s   t o   t h e   da t a g ra m   s e r v i c e   of   t h e   I nt e rn e t   P r o t o c o l   (IP l a y e r .   U D P   i s   us e fo r   a ppl i c a t i o n s   n o t   r e qui ri n a   T CP   s t a n d a r o f   s e r v i c e .   M o s t   of   t h e   b o t n e t   us e   T CP   a s   a   p r o t o c o l   t o   do   t h e   a t t a c k .   H ow e ve r ,   U D P   i s   s t i l l   a v a i l a b l e   f o r   a t t a c ke r s   t o   m a ni pu l a t e   da t a   c a rr i e d   by   U D P   t o   do   t h e   a t t a c k .     D N S   pr o t o c o l   i s   s e l e c t e i n   t h i s   s t udy   be c a us e   i t   us e s   U D P   p r o t o c o l   t o   c a rr y   o ut   i t s   m e s s a ge s .   I t hi s   s t udy ,   t h e   de t e c t i o n   o f   t h e   bo t n e t   i s   c e n t e r e o n   s i g na t u r e   a n D N S   a n o m a l y   a ppr o a c h e s .   I n   s i g na t u r e   a pp r o a c h,   t h e   s t ud i e s h o w s   o n e   of   t h e   w e l l - k n o w n   bo t n e t   na m e   Co n f i c ke r   i s   p r e s e n t   i t h e   n e t w o r b a s e o n   t h e   N e t B IO S   a t t a c k .   D N S   a n o m a l y   a pp r o a c h   i s   us e   t o   a na l y z e   t h e   b e h a v i o ur  o f   t h e   D N S .   B a s e o n   t h e   a n a l y s i s   i n   t h i s   s t udy   t h e r e   w e r e   a   l o t s   of   D N S   a b n o r m a l i t y   e xi s t   i n   t h e   a n o m a l o us   n e t w o r t ra f f i c .   B a s e   o n   t h e   D N S   a n o m a l y   s t r a t e g y ,   t h e   a n a l y s i s   of   t h e   n e t w o r de f i n e s   t h e   c ha r a c t e r i s t i c   o f   t h e   bo t n e t   a p pe a r e i n   t h e   n e t w o r k.   T h e   h uge   a m o u n t   o f   D N S   pa c ke t   i n   a n o m a l o us   n e t w o r t ra f f i c   c a n   b e   us e a s   a n   i n di c a t o r   f o r   t h e   e xi s t e n c e   of   t h e   b o t n e t .   T h e   a na l y s i s   of   t h e   D N S   p r o t o c o l   by   c o m pa r i n t h e   n o rm a l   a nd  a n o m a l o us   t ra f f i c   pr o duc e   t h e   i de nt i f i c a t i o n   o t h e   D N S   a m pl i f i c a t i o n   a t t a c k,   U D P   f l o o d   a t t a c a n s pa m b o t   a c t i v i t i e s   i n   t h e   n e t w o r k.   T h e   s pa m b o t   c h a r a c t e r i s t i c   i s   de f i n e w h e n   t h e r e   i s   a n   a n o m a l o us   D N S   M X   que r y   i n   t h e   n e t w o r k.   T h e   a n a l y s i s   of   t h e   b o t n e t   f r o m   t h e   c a pt u r e d a t a   c a b e   us e fo r   t h e   f ut u r e   w o r ks   t o   i de nt i fy   t h e   e xi s t e n c e   of  t h e   bo t n e t   i n   pa r t i c ul a r   n e t w o r k.   T h e r e f o r e ,   t hi s   s t udy   m e e t s   t h e   obj e c t i v e   t o   i de n t i fy   t h e   b o t n e t   c h a ra c t e ri s t i c   a n b e h a v i o ur   f r o m   t h e   a na l y s i s   of   t h e   go o d   a n b a n e t w o r t r a f f i c   t hr o ug h   n e t w o r be h a v i o ur   a na l y s i s   t o o l s   a n d   t o   a n a l y z e ,   e xa m i n e   a n d   i de nt i fy   bo t n e t   c ha r a c t e r i s t i c   i a t t a c ki n g   v i c t i m s .         A C K N O WL ED G E M EN T   T h i s   w o r i s   s po n s o r e by   U n i v e r s i t i   T u n   H us s e i O nn   M a l a y s i a   u n de r   T IE R v o t :   U 897.       R EF ER EN C ES   [ 1]   S .   C ha ng ,   L .   Z ha ng ,   Y .   G u a n ,   a nd   T .   E .   D a ni e l s ,   A   F r am e w or k   f or   P 2P   bot ne t s ,   P r o c .   -   2009  W R I   I nt .   C o nf .   C o m m un.   M o b.   C o m put .   C .   20 09,   v o l .   3,   pp .   594 - 59 9,   20 09 .     [ 2]   M .   B a i l e y ,   E .   C o o ke ,   F .   J a h a ni a n ,   Y .   X u ,   a nd  M .   K a r i r ,   A l   s ur v e y   of   bo t ne t   t e c hn ol o gy   an de f e ns e s ,   P r o c .   C y be r s e c ur i t y   A ppl .   T e c hno l .   C o nf .   H o m e l .   S e c ur .   C A T C H   20 09 ,   p p.   299 - 30 4,   20 09.     Evaluation Warning : The document was created with Spire.PDF for Python.