Flujo rápido
|
Este artículo incluye un lista de referencias, pero sus orígenes no están claros porque tiene insuficiente citas en línea. (Abril de 2009) |
|
De este artículo el uso de enlaces externos No pueden seguir las políticas o directrices de Copro. (Agosto de 2010) |
Flujo rápido es un DNS técnica utilizada por botnets para ocultar "phishing" y malware sitios de entrega detrás de una red siempre cambiante de los ejércitos comprometidos actuando como intermediarios. También puede referirse a la combinación de redes Peer-to-peer, distribuidos de comando y control, basado en la web balanceo de carga y proxy redirección solía hacer redes de malware más resistentes al descubrimiento y contramedidas. El Storm Worm es una de las variantes de malware recientes para hacer uso de esta técnica.
La idea básica detrás de Fast flux es tener numerosas direcciones IP asociadas a un solo nombre de dominio completamente calificado, donde las direcciones IP se intercambian dentro y fuera con muy alta frecuencia, con el cambio de DNS records.[1]
Los usuarios de Internet pueden ver rápido flujo utilizado en los ataques de phishing vinculados a organizaciones criminales, incluyendo ataques en servicios de red social.
Mientras que los investigadores de seguridad han sido conscientes de la técnica desde por lo menos noviembre de 2006, la técnica sólo ha recibido mayor atención en la prensa especializada de seguridad a partir de julio de 2007.
Contenido
- 1 Single-flux y doble flujo
- 2 Véase también
- 3 Referencias
- 4 Fuentes
Single-flux y doble flujo
El tipo más simple de flujo rápido, llamado "single-flux", se caracteriza por múltiples nodos individuales dentro de la red de registro y de registrar sus direcciones como parte de la lista de registros DNS A (dirección) para un solo nombre DNS. Esto combina round robin DNS con muy poca — usualmente menos de cinco minutos (300s)[2] -() TTLtiempo para vivir) valores para crear una lista de direcciones de destino para ese único nombre DNS cambia constantemente. La lista puede ser cientos o miles de entradas largas.
Un tipo más sofisticado de flujo rápido, que se refirió a sí mismo como "doble flujo", se caracteriza por múltiples nodos dentro de la red de registro y de registrar sus direcciones como parte del DNS Registro de nombre de servidor lista para el Zona DNS. Esto proporciona una capa adicional de redundancia y la supervivencia dentro de la red de malware.
Dentro de un ataque de malware, los registros DNS normalmente apuntará a un sistema comprometido que actuará como un servidor proxy. Este método impide que algunos de los tradicionalmente mejores mecanismos de defensa — por ejemplo, basados en IP listas de control de acceso (ACL). El método también puede enmascarar los sistemas de los atacantes, que explotan la red a través de una serie de servidores proxy y hacen mucho más difícil identificar la red de los atacantes. El registro normalmente apuntará a una IP adónde los bots para que el registro, para recibir las instrucciones, o para activar los ataques. Porque las IPs son proxified, es posible disimular el origen de estas instrucciones, aumentando la tasa de supervivencia a medida basadas en IP bloque listas se ponen en práctica.
La medida sólo eficaz contra flujo rápido es tomar el nombre de dominio que utiliza. Sin embargo, los registradores son reacios a hacerlo porque los propietarios de dominio son los clientes legítimos para ellos y no hay ninguna política impuesta por el mundo de lo que constituye un abuso. Además de esto, ciberocupas, incluyendo flujo rápido operadores (que suelen registrar nuevos nombres en la demanda), son su principal fuente de ingresos. Expertos en seguridad sigue trabajando en las medidas para facilitar este proceso.
Véase también
Algoritmo de generación de dominio -Una técnica de control de malware donde se generan múltiples nombres de dominio por los anfitriones de la víctima.
Referencias
- ^ Danford; Salusky (2007). "El proyecto Honeynet: Cómo Fast-Flux servicio redes de trabajo". 2010-08-23.
- ^ https://www.spamhaus.org/FAQ/Answers.Lasso?Section=ISP%20Spam%20Issues#164
Fuentes
- Spamhaus explicación de alojamiento Fast Flux
- Phishing por proxy SANS Internet Storm Center diario desde 2006-11-28 describe el uso de hosts comprometidos dentro de botnets haciendo uso de técnicas de flujo rápido para entregar malware.
- MySpace Phish y Drive-by vector propagación de crecimiento rápido flujo de la red de ataque SANS Internet Storm Center diario desde 2007-06-26 con detalles técnicos sobre las técnicas de flujo rápido y FluxBot (ADVERTENCIA: contiene vínculos a códigos maliciosos).
- Conoce a tu enemigo: Las redes Fast-Flux servicio; Un enemigo cada vez más cambiante el artículo técnico Honeynet.org desde julio del de 2007 e información adicional sobre el flujo rápido, incluyendo "single-flux" y "doble flujo" técnicas.
- Flujo rápido láminas bot-net takedown SecurityFocus artículo 2007-07-09 describiendo impacto de flujo rápido en contramedidas botnet.
- Los atacantes se esconden en Fast Flux DarkReading artículo de 2007-07-17 sobre el uso de flujo rápido por las organizaciones criminales detrás de malware.
- .Registro de Asia para reprimir a los dominios de Phish artículo de 2007-10-12 menciona el uso de flujo rápido en los ataques de phishing.
- .Registro de Asia para reprimir a los dominios de Phish fuente alternativa para el artículo anterior.
- Edición del 15 de octubre de 2007 de CRYPTO-GRAM menciones rápido flujo como una técnica DNS utilizada por el gusano de la tormenta.
- Informe resumido de ATLAS -Informe global en tiempo real de la actividad de flujo rápido.
- Entrada Wiki spam Trackers Fast Flux
- SAC SSAC 025 asesoría sobre alojamiento Fast Flux y DNS
- Informe de cuestiones GNSO sobre alojamiento Fast Flux
- FluXOR proyecto de ordenador y red seguridad Lab (LaSeR) @ Università degli Studi di Milano (abajo como 27/07/2012)
- abuse.ch FastFlux Tracker
- Guía de RemovingMalware de Fast Flux DNS -Cómo criminales están utilizando Fast Flux DNS para permanecer ocultos
|
||||||||||||||