レスポンス・タイムによるボット検知手法(その1)
http://itpro.nikkeibp.co.jp/article/Watcher/20060729/244644/
ちょっと注目の連載。
気にして読んでおくことにしよう。
・・・ってかさ、ボットの命令がIRCで行われるんなら、外部とIRCを使えないようにすりゃいいんじゃないのか?
内部(LAN)側に向かって、外部からアクセスしてくることはまず無いわけだから、IRCのコントロールさえできれば、少なくとも、LAN内のクライアントがボットに汚染されてても、LAN内のPCがDoSを仕掛けたりSPAMを打ったりすることは防げるはずだ。
つーか、例えば、社内とかなら、社内に閉じてIRCを使うことはあっても、外部とIRCでやり取りするのは、ボット以前のセキュリティの問題としてあり得ない。
こうなると、問題は、やはり、ネット直接つないでる/IRCを利用している一般ユーザが問題、ってことか・・・。