Flux rapid

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare

Fast Flux este o tehnică folosită în DNS- bazate pe botnet pentru a ascunde phishing și malware site - uri în spatele unei rețele de gazde compromise , care acționează ca proxy - uri și sunt în continuă schimbare. Se poate referi, de asemenea, la combinația de rețele peer-to-peer , sisteme distribuite de comandă și control, echilibrarea încărcării web și redirecționarea proxy utilizate pentru a face rețelele malware mai rezistente la detectarea și contramăsurile lor. Viermele Storm este una dintre variantele recente de malware care folosește această tehnică [1] .

Utilizatorii de internet pot observa utilizarea fluxului rapid în atacurile de phishing legate de organizații criminale, inclusiv atacul de pe MySpace .

În timp ce cercetătorii în domeniul securității au fost conștienți de tehnică din cel puțin noiembrie 2006, tehnica a primit o atenție sporită din partea presei din iulie 2007.

Flux unic și flux dublu

Cel mai simplu tip de flux rapid, cunoscut sub numele de „flux unic”, se caracterizează prin numeroase noduri din rețea care își înregistrează și își înregistrează propria adresă ca parte a listei de adrese DNS de tip A pentru un singur domeniu. Acest sistem combină „round robin DNS” cu valori TTL foarte scăzute pentru a crea o listă de adrese pentru un anumit domeniu care se schimbă constant. Această listă poate include sute de mii de adrese.

Un tip mai sofisticat de flux rapid, cunoscut sub numele de „flux dublu”, este caracterizat de noduri din rețea care își înregistrează și își anulează adresa ca parte a listei de înregistrări DNS pentru o anumită zonă. Aceasta oferă un strat suplimentar de redundanță și supraviețuire în cadrul rețelei malware.

În timpul unui atac malware, înregistrarea DNS va indica un sistem compromis care acționează ca proxy . Această metodă împiedică funcționarea unor mecanisme tradiționale de apărare, de ex. ACL - urile . Metoda poate masca și sistemele atacatorului, care vor exploata rețeaua printr-o serie de proxy și vor face mai dificilă identificarea rețelei atacatorului. Înregistrarea va indica în mod normal o adresă IP unde robotii merg să se înregistreze, să primească instrucțiuni sau să declanșeze atacuri. Pe măsură ce IP-urile trec printr-un proxy, este posibil să se falsifice originea acestor instrucțiuni, crescând șansa de a suprascrie ACL-urile IP care au fost plasate în rețea.

Notă

  1. ^ IlSoftware.it - ​​„Viermele furtunii” își schimbă pielea și vizează blogurile

Alte proiecte

Adus de la „ https://it.wikipedia.org/w/index.php?title=Fast_Flux&oldid=105701254