Commande et contrôle
Le serveur de « commande et contrôle » est l'ordinateur centralisé qui envoie des commandes à un botnet (réseau zombie) et qui reçoit en retour des rapports envoyés par les ordinateurs contaminés.
Dans le botnet classique, qui comprend un serveur de commande et de contrôle, les ordinateurs sont généralement infectés par un cheval de Troie et communiquent ensuite avec un serveur central à l'aide d'IRC. Un botnet peut être utilisé pour collecter des informations détournées, telles que des numéros de cartes de crédit.
En fonction de la finalité et de la structure du botnet, le serveur de commande et de contrôle peut également émettre des commandes visant à envoyer des spams ou à lancer une attaque en déni de service distribué (DDoS).
Selon sa topologie, un botnet peut comprendre plusieurs serveurs de commande et contrôle, ou aucun.
Les topologies de botnet les plus courantes sont les suivantes :
En étoile : les bots sont organisés autour d'un serveur central.
Multiserveur : le réseau comprend plusieurs serveurs de commande et de contrôle pour permettre la redondance.
Hiérarchique : le réseau comprend plusieurs serveurs de commande et de contrôle qui sont organisés en groupes hiérarchisés.
Aléatoire : le réseau ne comprend aucun serveur de commande et de contrôle, et les ordinateurs cooptés communiquent au sein d'un botnet P2P (pair-à-pair).
La communication IRC étant généralement utilisée pour gérer les botnets, les réseaux se prémunissent contre ce type de communication, d'où la recherche de moyens déguisés permettant aux serveurs de commande et contrôle d'émettre des commandes.
Les autres canaux utilisés pour l'envoi de commandes aux botnets sont des images JPG, des fichiers Microsoft Word et des publications provenant de comptes LinkedIn ou Twitter factices.