Быстрый поток - Fast flux

Эта статья включает в себя список общих Рекомендации, но он остается в основном непроверенным, потому что ему не хватает соответствующих встроенные цитаты. Пожалуйста, помогите улучшать эта статья введение более точные цитаты. (Апрель 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения)

DNS Робтекс Анализ области Fast flux

Быстрый поток это DNS техника, используемая ботнеты прятаться фишинг и вредоносное ПО сайты доставки за постоянно меняющейся сетью скомпрометированных хостов, действующих как прокси. Это также может относиться к комбинации одноранговая сеть, распространяется командование и контроль, Интернет Балансировка нагрузки и доверенное лицо перенаправление, используемое для повышения устойчивости вредоносных сетей к обнаружению и контрмерам. В Штормовой червь (2007) - один из первых вариантов вредоносного ПО, использующего эту технику.

Основная идея Fast flux - иметь множество IP-адреса связаны с одним полное доменное имя, где IP-адреса меняются местами с очень высокой частотой путем изменения Записи DNS.^[1]

Пользователи Интернета могут увидеть, что Fast flux используется в фишинговые атаки связаны с преступными организациями, включая нападения на социальные сети.

Хотя исследователи в области безопасности знали об этой технике по крайней мере с ноября 2006 года, она получила более широкое внимание в прессе, посвященной вопросам безопасности, только с июля 2007 года.

Однопоточные и двухфлюсовые

Самый простой тип fast flux, названный «single-flux», характеризуется тем, что несколько отдельных узлов в сети регистрируют и отменяют регистрацию своих адресов как часть списка записей A (адресов) DNS для одного Имя DNS. Это объединяет циклический DNS с очень короткими - обычно менее пяти минут (300 секунд)^[2]—TTL (время жить ), чтобы создать постоянно меняющийся список адресов назначения для этого единственного DNS-имени. Список может содержать сотни или тысячи записей.

Более сложный тип быстрого потока, именуемый «двойным потоком»,^[3] характеризуется несколькими узлами в сети, регистрирующими и отменяющими регистрацию своих адресов как часть DNS. Запись сервера имен список для Зона DNS. Это обеспечивает дополнительный уровень избыточности и живучести в сети вредоносных программ.

При атаке вредоносного ПО записи DNS обычно указывают на скомпрометированную систему, которая будет действовать как Прокси сервер. Этот метод предотвращает работу некоторых из традиционно лучших защитных механизмов, например, на основе IP. списки контроля доступа (ACL). Этот метод также может маскировать системы злоумышленников, которые будут использовать сеть через ряд прокси-серверов, что значительно затруднит идентификацию сети злоумышленников. Запись обычно указывает на IP-адрес, по которому боты идут для регистрации, получения инструкций или активации атак. Поскольку IP-адреса проксифицируются, можно замаскировать источник этих инструкций, увеличивая выживаемость по мере создания списков блокировки на основе IP.

Самая эффективная мера против fast flux - удалить доменное имя, которое он использует. Регистраторы тем не менее, неохотно делают это, потому что владельцы доменов являются для них законными клиентами и не существует принятой во всем мире политики в отношении того, что является злоупотреблением. В дополнение к этому, киберсквоттеры, включая операторов fast flux (которые обычно регистрируют новые имена по запросу), являются их основным источником дохода. Эксперты по безопасности продолжают работать над мерами по облегчению этого процесса.^{[нужна цитата ]}

Другие меры могут быть приняты администраторами локальной сети. Сетевой администратор может заставить конечные точки в своей сети иметь возможность использовать только локальные DNS-серверы, блокируя весь исходящий DNS-трафик, а затем запрашивая черные дыры для вредоносных доменов на уровне DNS. В качестве альтернативы администраторы с сетевыми устройствами могут слой 7 проверка и вмешательство могут устанавливать политики, которые сбрасывают соединения, которые пытаются разрешить или выполнить HTTP-запросы с участием вредоносных доменов.

Смотрите также

• Лавина (фишинговая группа) - реализован двойной быстрый поток на 800000 доменах
• Алгоритм генерации домена - Техника контроля вредоносного ПО, при которой несколько доменных имен генерируются хостами-жертвами.

Рекомендации

Источники

• Объяснение Spamhaus хостинга Fast Flux
• Фишинг через прокси Дневник SANS Internet Storm Center от 28 ноября 2006 г. описывает использование скомпрометированных хостов в ботнетах с использованием методов fast flux для доставки вредоносных программ.
• MySpace Phish и вектор атаки Drive-by, способствующий росту сети Fast Flux Дневник SANS Internet Storm Center от 26 июня 2007 г. с техническими подробностями о FluxBot и методах fast flux (примечание: содержит ссылки на вредоносный код).
• Знай своего врага: сервисные сети Fast-Flux; Всегда меняющийся враг Техническая статья на honeynet.org от июля 2007 г. и дополнительная информация о Fast Flux, включая методы «single-flux» и «double-flux».
• Измерение и обнаружение сервисных сетей Fast-Flux статья Holz et al. с февраля 2008 г. с результатами эмпирических измерений быстрых потоков.
• Удаление бот-сетей fast flux foils Статья SecurityFocus от 2007-07-09, описывающая влияние fast flux на контрмеры ботнета.
• Злоумышленники прячутся в Fast Flux Статья darkreading от 17 июля 2007 г. об использовании fast flux преступными организациями, стоящими за вредоносным ПО.
• CRYPTO-GRAM Выпуск от 15 октября 2007 г. Брюс Шнайер упоминает fast flux как метод DNS, используемый Storm Worm.
• Сводный отчет ATLAS - Глобальный отчет о деятельности Fast flux в режиме реального времени.
• SAC 025 Рекомендации SSAC по хостингу Fast Flux и DNS
• Отчет GNSO о проблемах с хостингом Fast Flux
• Проект FluXOR от Лаборатории компьютерной и сетевой безопасности (LaSeR) @ Università degli Studi di Milano (по состоянию на 27.07.2012)