黑白之间的FastFlux
DNS请求
通常我们对一个域名进行DNS请求,尤其是A记录,一般在一段时间内是不变的,其结果的异同也就是可能因地域而得到不同的结果。当然这个结果可能是个集合,也可能是一个IP地址。因为我们要考虑到CDN、LVS和Cache这几种情况。
正义需求
随着网站运营主体的发展速度越来越快,出现了对高速切换、迁移服务的需求。如何才能快速切换、迁移服务而又不对客户的用户体验产生过多的影响呢?答案就是快速修改或者是动态进行DNS应答。通过快速更换DNS解析,来达到网站运营主体的需求。于是FastFlux诞生了。不仅满足了这种客户需求,同时也可以支持LVS等需求。
黑客利用
先来说C&C
一般的,攻击过去一般使用的C&C的控制端回连主控服务器时候是硬编码的IP地址或者域名,而且域名一般是不变化的,直接回导致一个问题,直接逆向一下或者直接放在Sandbox里面跑一下就清楚的知道了相关的域名、IP、URL等等IOC,可以进行封堵,追踪溯源甚至报警抓人等等。于是黑客就想到了一个方法,在C&C主控端中只写域名,在DNS解析中快速更换域名的相关解析,导致IP快速变化,难以通过流量分析封锁住IP和进行追踪溯源,提高了软件的对抗性和黑客组织的安全性,一般来说有两种方式Single-FastFlax和Double-FastFlux
Single-FastFlux
攻击者提供最底层的DNS服务器,在该DNS服务器中对C&C域名的解析是快速变化的,可能有数百上千个甚至更多,被控机器上的主控端会连接该DNS服务器进行域名解析,从而实现快速变化IP的功能。
- 特点:
- 部署简单、速度快
容易被管理者检查出来
现在很少被真正的攻击者使用
Double-FastFlux
攻击者部署多台底层域名服务器,底层域名服务器会有不同的解析,然后顶级域名服务器会以一定的慢些的速度修改迭代查询的底层服务器的IP,这样被控主机先去查顶级域名服务器,根据顶级域名服务器迭代查询的底层域名服务器获取最终IP,还是可以快速变化。
- 特点:
- 部署相对复杂
- 安全性更高,不易被管理者发现
攻击者较多使用
检测恶意FastFlux
可以根据一些FastFlux的特征来进行判断
- TTL 小于300秒
- ASN自治系统分布广泛(地区国家分布广泛、IP不连续不同段)
- IP地址数量高出正常使用的FastFlux的站点数量级
困难
我们溯源到的IP列表,也大多数属于Proxy,真正的主控端依然隐藏在后面,进一步溯源还有很长的路要走。
最新文章
- 浏览器渲染引擎,提高css渲染速度。
- 浅析z-index(覆盖顺序)和定位
- Linux系统重要快捷键&; Shell 常用通配符
- Mysql忽略文件名的安全编码
- Cocos2d-JS引入资源
- 收藏一部山地车教学视频,Fabien Barel主讲及动作示范
- JAXB--学习1
- MYSQL连接字符串参数详细解析(大全参考)
- ACdream 1732
- java从网络中下载图片到本地
- es简单打造站内搜索
- 解决java web中safari浏览器下载后文件中文乱码问题
- 高级组件——进度条 JProgressBar
- layer层、modal模拟窗 单独测试页面
- ajax返回数据
- 【AD】实用组策略/脚本集合 (重大更新20160627)
- BZOJ 2467: [中山市选2010]生成树(矩阵树定理+取模高斯消元)
- WM_COMMAND介绍和用法(转)
- jquery获得select option的值和对select option的操作
- Letter Combinations of a Phone Number——简单的回溯算法
热门文章
- ETA:
- linux pkgsrc 学习(一) 安装pkgsrc
- appium--元素等待和屏幕截图
- Codeforces Round 573 (Div.1) 题解
- [LeetCode] 41. First Missing Positive 首个缺失的正数
- 在Chrome上运行安卓(ARC环境)
- 分析并解决Linux发行版的自带OpenJdk和自己安装的OracleJdk新旧版本冲突问题
- 认识beanstalkd
- GreenPlum 大数据平台--segment 失效问题恢复《二》(全部segment宕机情况下)
- Elasticsearch由浅入深(七)搜索引擎:_search含义、_multi-index搜索模式、分页搜索以及深分页性能问题、query string search语法以及_all metadata原理