• Filtering
• Firewall
• Bot
• Botnet

Internet originariamente è stato pensato per essere aperto e scalabile. Queste proprietà, sebbene costituiscano il principale motivo del suo grande successo, hanno generato anche una grave carenza nell'ambito della sicurezza in rete.
Oggi il trend lanciato dagli Internet Service Provider consiste nel proporre all'utenza connessioni flat ad alta bandwidth, inoltre il mercato di massa offre end-user systems caratterizzati da notevoli risorse computazionali e di memoria a prezzi in continuo ribasso; questi aspetti hanno contribuito all'incremento del numero delle connessioni ad Internet anche da parte di un'utenza che sconosce l'effettivo funzionamento dei più basilari strumenti di sicurezza. Questo scenario, unitamente al fatto che Internet non offre solidi requisiti di sicurezza, ha contribuito al dilagare delle attività illegali su Internet, e in particolare negli ultimi anni, alla diffusione delle botnets.
Il termine "botnet" è utilizzato per definire reti di end-hosts infetti, chiamati "bot", i quali sottostanno al controllo e i comandi generati dal loro controllore, il botmaster. Per effettuare il reclutamento di nuovi host vulnerabili, le botnet, adottano gli stessi metodi di infezione adottati dai più comuni malware: ad esempio sfruttano le vulnerabilità del sistema operativo, tecniche di ingegneria sociale, etc. Al contrario le botnet si contraddistinguono per la loro caratteristica architettura comunicazionale di tipo "comando e controllo" C&C. I canali di comando e controllo vengono principalmente utilizzati per diffondere i comandi e le comunicazioni del botmaster verso i bot, i quali vi si connettono subito dopo la fase dell'infezione.
Principale obiettivo delle botnet consiste nel riuscire a collezionare e controllare il più grande numero possibile di bot in modo tale da avere a disposizione significative risorse di calcolo, di memoria e di banda da poter sfruttare per l'esecuzione di altri attacchi. Infatti, le attività illegali messe in atto per mezzo delle botnet vanno dall'estorsione effettuata verso attività di business online, produzione di e-mail di spamming, identity theft, pirateria del software, configurazione di phishing sites, sino ad attacchi di tipo Distruited Denial of Service (DDoS). Nonostante il dilagare negli ultimi anni delle attività delle botnets, scarsa è ancora la conoscenza sul tipico comportamento di tali automatismi maliziosi.
Le soluzioni proposte sinora dalla comunità scientifica per far fronte al problema delle Botnets consistono prevalentemente in tecniche di prevention, detection e reaction della più nota e feroce tipologia di attacco che può essere generata, ovvero gli attacchi di tipo DoS e DDoS. Tuttavia la maggior parte degli schemi definiti per far fronte agli attacchi di tipo DoS sono effettivamente non realizzabili nella realtà. Altre soluzioni commerciali, invece, per quanto facilmente utilizzabili risultano troppo costose e quindi utilizzabili solo da una cerchia ristretta di utenza.
L'obiettivo che ci si è posti nell'ambito della presente tesi consiste nel proporre una soluzione che riesca a rilevare e blocacre le operazioni di attacco messe a punto da una botnet e che sia nello stesso tempo realizzabile sia da un punto di vista architetturale che economico.
Il progetto del sistema Blobot, di seguito presentato, descrive un'architettura pensata per un home-router che mira ad intercettare ogni forma di traffico generato da un bot che può essere presente su un end-host, quindi, nel caso questa venga rilevato, vengono prese le opportune contromisure. Di fatto si tratta di un sistema che blocca ogni forma di attacco generato da un bot direttamente alla sorgente. L'elemento cruciale su cui si incentra l'intera architettura di Blobot consiste nell'attuare un'operazione di filtraggio intelligente per separare il traffico lecito prodotto dall'host compromesso da quello malizioso.