Una botnet è una rete formata da computer collegati ad Internet capace di diffondere malware. Per farlo essa ha bisogno di acquisire grandi volumi di indirizzi IP. Tuttavia lo spazio è limitato ed è sempre più difficile aggiudicarsi un indirizzo IP – sia per le aziende che per le reti botnet.
Nel contempo, i sistemi di reputazione on-line che tracciano e valutano le attività in rete sono sempre più precisi. In genere, una botnet tende a usare un indirizzo IP fino a che non entra nella lista bloccati a causa della sua reputazione, ed in seguito si sposta su altri indirizzi. Tuttavia, gli indirizzi IP nuovi stanno scomparendo e i gruppi, legali o illegali, lottano per trovare nuovi indirizzi la cui reputazione non sia stata ancora intaccata. Molte botnet partecipano ad aste on-line per comprare o affittare indirizzi IP puliti con il fine di distruggerne la reputazione. Purtroppo una volta che una reputazione è stata rovinata, è difficile riabilitarla.
Questa è una delle ultime tattiche usate dagli hacker durante i loro attacchi; ma altri gruppi criminali preferiscono modificare vecchie tecniche. Alcuni hacker hanno creato algoritmi sofisticati capaci di creare centinaia di nuovi nomi di domini ogni giorno. Secondo Gunter Ollmann, vice presidente alla ricerca di Damballa, un’azienda di sicurezza IT, esiste una botnet capace di creare fino a 80.000 domini contemporaneamente, sapendo che 5.000 di loro scomparirano ogni giorno ma verrano rimpiazzati da altri 5.000.
Altre reti botnet praticano l’arte di hackerare i server di aziende e organizzazioni con buona reputazione usando gli indirizzi IP della azienda per diffondere programmi malware. Gli indirizzi vengono usati fino a quando diventeranno inservibili o fino a quando la presenza dell’hacker non venga in qualche modo individuata.
In questa guerra interminabile tra gli hacker e coloro che cercano di fermarli, il ‘territorio’ IP si è trasformato nel campo di battaglia principale.