A Botnet de Knock n�o funciona como uma Botnet comum, ela funciona de uma forma especial, mais eficaz por�m complexa de se usufruir.
Descri��o
A Botnet no caso da de Knock � um arquivo, geralmente DLL (.dll) criado mais
provavelmente por um programador, com o intuito de tirar um site do ar, cortando todas as conex�es ativas do site. A BNK (Botnet de Knock) quando ativada dentro de um site, pode tir�-lo do ar, para sempre, e ele pode ficar eternamente indispon�vel at� mesmo para o Administrador do mesmo. O ataque consiste no que o autor pega o arquivo da BNK (que muda sempre de vari�vel e fun��o conforme o computador do atacante, o programador autor do arquivo e site alvo, ent�o nunca h� uma BNK comum que voc� pode baixar e usar), depois disso, ele usa algum tipo de ataque ou Inje��o para invadir o banco de dados ou servidor (FTP, HOST, CLOUD etc) onde ele deixa o arquivo malicioso (tamb�m pode ser interpretado como um "v�rus", apesar de n�o possuir a car�cteristica de um, e nem ter v�rus). Depois que o arquivo malicioso (BNK) � estabelecida dentro do site, o autor usa de um Injetor de DLL em execu��o (.exe) e ativa as fun��es do arquivo, que quando ativado ele corta todas as conex�es com o site.
Exemplos
Exemplo 1 ~
A seguir, veremos um scan (executado por um executador ativo em PYTHON) de um site
normal antes de ter a BNK ativada dentro de si. No caso o site tem 3 conex�es ativas, a do host onde ele hospeda o site (HOSTGATOR SYS NO CASO), a da hospedagem padr�o onde ele elaborou o site (BLOGGER) e a conex�o de dom�nio, onde ele mant�m o site - que no caso � diferente pois n�o utiliza o mesmo servi�o de hospedagem do site (UOL HOST):
Slytherin@unix ~ > SCANNING CONNECTIONS
> scan.py -f 131.253.14.85 --ap [SCAN FOR 131.253.14.83 --ALLPORTS]
Connection 1 131.253.14.85 - HostGator Sys | ESTABLISHED
Connection 2 131.253.14.85 - Blogger, Google | ESTABLISHED Connection 3 131.253.14.85 - UOL HOST BR | ESTABLISHED
Agora veremos o scan do site, DEPOIS de a BNK ser ativada:
Slytherin@unix ~ > SCANNING CONNECTIONS
> scan.py -f 131.253.14.85 --ap [SCAN FOR 131.253.14.83 --ALLPORTS]
Connection 2 131.253.14.85 - Blogger, Google | OFFLINE Connection 3 131.253.14.85 - UOL HOST BR | WAIT_ANS Como pudemos ver, o site est� aguardando conex�o, que no caso n�o est� ativa, pois o servidor principal do site (Blogger) cortou as conex�es diretas com todos os outros pr�ncipios ativos com o site e banco de dados.