Vajon mindig a méret a lényeg? Ahogy a Lokomotív GT Boksz! című számában fogalmaznak az ökölvívással kapcsolatban, az úgy tűnik, használható lehet a botnetek körében is.

Erik Wu biztonsági kutató a Virus Bulletin 2009 konferencián tartott előadást a botnetek irányításáról. A Damballa cég munkatársai hatszáznál is több zombihálózatot vizsgáltak három hónapon keresztül, és úgy találták, a kisebb méretű, száz tag alattiak sokszor veszélyesebbnek számítanak mint a nagyobb, olykor félmillió zombigépből álló társaik. Ezekből temérdek létezik, és ők mintegy kicsit a "radar alatt repülve" sokszor könnyebben észrevétlenül maradhattak, profin és gyorsan reagálva menedzseltek, de ha szükséges volt, akár együtt is működtek másik botnet hálózattal: "az úttörő ahol tud, segít" alapon ;-)

Megfigyelhető volt például, hogy ha az egyik kis botnet hálózatból kiesett egy szerver, akkor egy másik kisebb hálózat kisegítette azzal, hogy ideiglenes megosztotta vele erőforrásait. Más formái is előbukkantak az érdekes együttműködéseknek, például egy botnet a feladataihoz ha szükséges, képes lehet újabb alhálózatokat is bekapcsolni. Természetesen ezek a képességek azon is múlhatnak, hogy az aktuális  bérlő kizárólagos használatra fizeti-e a díjat vagy sem.

Az előadáshoz elkészített tortadiagramból szépen kiolvasható, hogy a kis (<100) méretűek adják a botnetek többségét, az összes ilyen hálózat 57 százalékát teszik ki. Az átlagos méretű botnetek méretét a kutatók pedig 100 és 500 közötti irányított fertőzött zombigépre becsülik.

A kisebb botnetek igen sűrűn kerülnek ki kisebb céges hálózatokból, ezért a tanulmány már csak emiatt is figyelmeztető jel lehet. A helyzetet az is súlyosbítja, hogy sokszor bérlésre sincs szükség, hiszen ha valaki ért hozzá, az egyszerűbb botnet készletek már pár száz dollárért vagy akár ingyen is letölthetőek a különféle hacker fórumokról, kalóz torrentekről vagy hírcsoportokról. Mindenesetre a botnetek forgalmának alapos tanulmányozása közelebb vihet minket a hatékonyabb védekezéshez.