Быстрый поток

Fast Flux — это на основе системы доменных имен (DNS), метод уклонения используемый киберпреступниками для сокрытия фишинговых веб-сайтов и сайтов доставки вредоносного ПО за постоянно меняющейся сетью скомпрометированных хостов, действующих как обратные прокси-серверы для внутреннего мастера ботнета — пуленепробиваемой автономной системы . ^[1] Это также может относиться к сочетанию одноранговых сетей , распределенного управления и контроля через Интернет , балансировки нагрузки и перенаправления прокси-серверов, используемых для того, чтобы сделать сети вредоносных программ более устойчивыми к обнаружению и противодействию.

Фундаментальная идея fast-flux заключается в том, чтобы иметь множество IP-адресов , связанных с одним полностью определенным доменным именем , при этом IP-адреса меняются местами с чрезвычайно высокой частотой посредством изменения записей ресурсов DNS , таким образом, авторитетные серверы имен указанного быстро меняющееся доменное имя — в большинстве случаев — принадлежит преступнику. ^[2]

В зависимости от конфигурации и сложности инфраструктуры сети fast-flux обычно подразделяются на одиночные, двойные и доменные сети fast-flux. Быстрое изменение ситуации остается сложной проблемой сетевой безопасности , и текущие меры противодействия остаются неэффективными.

История [ править ]

О быстром изменении впервые сообщили исследователи безопасности Уильям Саласки и Роберт Дэнфорд из проекта Honeynet в 2007 году; ^[3] В следующем году они опубликовали систематическое исследование сетей быстрого обслуживания в 2008 году. ^[4] Rock Phish (2004) и Storm Worm (2007) были двумя известными быстродействующими сервисными сетями, которые использовались для распространения вредоносного ПО и фишинга. ^[5]

Сеть обслуживания Fast-flux [ править ]

Сеть обслуживания fast-flux (FFSN) — это сетевая инфраструктура, возникшая в результате сети fast-flux скомпрометированных хостов; этот метод также используется законными поставщиками услуг, такими как сети распространения контента (CDN), где динамический IP-адрес преобразуется в соответствие с доменным именем интернет-хоста , обычно с целью балансировки нагрузки с использованием системы доменных имен с циклическим перебором (RR). -DNS). ^[6] Целью использования инфраструктуры FFSN для ботнетов является ретрансляция сетевых запросов и действие в качестве прокси-сервера для внутреннего защищенного сервера контента, который действует как « исходный сервер ». ^[7]

Фронтенд - боты, которые действуют как эфемерный хост, прикрепленный к мастеру управления , называются Flux-агентами, доступность сети которых не определена из-за динамической природы fast-fluxing. ^[1] Базовые серверы не устанавливают прямую связь с пользовательскими агентами , а все действия передаются через скомпрометированные внешние узлы. ^[8] эффективно делая атаку продолжительной и устойчивой к попыткам нейтрализации. ^[9]

Типы [ править ]

Быстрофлюсование обычно подразделяется на два типа: одинарное флюсование и двойное флюсование, являющееся развитием технологии одинарного флюсования. Фразеологии, задействованные в быстром потоке, включают в себя «материнские узлы-потоки» и «узлы-агенты быстрого потока», относящиеся к серверному пуленепробиваемому контроллеру ботнета и скомпрометированным хост-узлам, участвующим в обратном проксировании трафика туда и обратно между источником. и клиенты соответственно. ^[10]^[1] Скомпрометированные хосты, используемые пастухами быстрого потока, обычно включают в себя жилые схемы широкополосного доступа , такие как DSL и кабельные модемы . ^[11]

Однопоточная сеть [ править ]

В однопоточной сети авторитетный сервер имен быстро меняющегося доменного имени неоднократно меняет записи ресурсов DNS с низкими значениями времени жизни (TTL), обычно от 180 до 600 секунд. Перестановочная запись в файле зоны включает записи A, AAAA и CNAME . Удаление обычно выполняется посредством циклического перебора из реестра IP-адресов эксплуатируемых хостов и имен DDNS . ^[12]^[13]^[14] Хотя HTTP и DNS обычно остаются протоколами приложений , проксируемыми внешними агентами потока, такие протоколы, как SMTP , IMAP и POP, также могут быть доставлены через транспортный уровень (L4) TCP и UDP уровня методы привязки портов между агентами потока и внутренним потоком-гердером. узлы. ^[15]

Сеть с двойным потоком [ править ]

Сети с двойным потоком включают в себя высокочастотную перестановку авторитетных серверов имен домена потока, а также записи ресурсов DNS, такие как A, AAAA или CNAME, указывающие на внешние прокси. ^[15]^[16] В этой инфраструктуре авторитетный сервер имен домена Flux указывает на внешний узел перенаправления, который перенаправляет дейтаграмму DNS на внутренний материнский узел, который разрешает запрос. ^[17]^[18] Записям ресурсов DNS, включая запись NS, присваивается более низкое значение TTL, что приводит к дополнительному уровню косвенности . ^[19]^[20] Записи NS в сети с двойным потоком обычно указывают на хост-реферер, который прослушивает порт 53 и перенаправляет запрос внутреннему сопоставителю DNS, который является авторитетным для домена потока. ^[21]^[22]^: 6 Повышенный уровень устойчивости и избыточности достигается за счет методов слепого перенаправления прокси-серверов на внешних узлах; ^[22]^: 7 Быстро меняющиеся домены также злоупотребляют подстановочными знаками домена. Спецификация RFC 1034 для доставки спама и фишинга, а также использовать скрытые каналы DNS для передачи полезных данных прикладного уровня протоколов, таких как HTTP, SFTP и FTP, инкапсулированных в запрос дейтаграммы DNS. ^[23]^[22]^: 6-7

Сеть доменного потока [ править ]

Сеть доменного потока предполагает поддержание работоспособности быстро меняющейся сети посредством непрерывной ротации доменных имен узлов-носителей потока. ^[23] Доменные имена генерируются динамически с использованием выбранного алгоритма генерации псевдослучайных доменов (DGA), а оператор потока осуществляет массовую регистрацию доменных имен. Зараженный хост неоднократно пытается инициировать рукопожатие Flux-Agent , спонтанно генерируя, разрешая и подключаясь к IP-адресу до тех пор, пока не будет получено подтверждение , чтобы зарегистрироваться на базовом узле Flux-Herder. ^[19] Ярким примером является Conficker , ботнет, который работал, генерируя 50 000 различных доменов в 110 доменах верхнего уровня (TLD). ^[24]

Меры безопасности [ править ]

Обнаружение и смягчение последствий быстроизменяющихся доменных имен остается сложной задачей сетевой безопасности из-за надежной природы быстроизменяющихся доменных имен. ^[25] Хотя определение отпечатков пальцев на внутреннем материнском узле fast-flux остается все более сложной задачей, поставщики услуг могут обнаружить вышестоящие материнские узлы, проверив клиентские Flux-агенты особым способом, отправив созданный HTTP-запрос , который инициирует внеполосный сетевой запрос от внутренний материнский узел fast-flux к клиенту по независимому каналу , так что клиент может определить IP-адрес материнского узла, анализируя журналы его сетевого трафика. ^[26] Различные исследователи безопасности предполагают, что эффективной мерой против быстрого изменения доменного имени является прекращение его использования. Однако регистраторы доменных имен неохотно делают это, поскольку не существует независимых от юрисдикции соглашений об условиях обслуживания , которые необходимо соблюдать; в большинстве случаев операторы fast-flux и киберсквоттеры являются основным источником дохода этих регистраторов. ^[27]

Другие меры противодействия доменам fast-fluxing включают глубокую проверку пакетов (DPI), межсетевой экран на базе хоста на основе IP и списки управления доступом (ACL), хотя эти подходы имеют серьезные ограничения из-за динамической природы fast-fluxing. ^[28]

См. также [ править ]

Avalanche (фишинговая группа)

Ссылки [ править ]

↑ Перейти обратно: Перейти обратно: ^а ^б ^с Ли и Ван 2017 , с. 3.
^ Альмомани 2016 , с. 483.
^ Чжоу 2015 , с. 3.
^ Саиф Аль-Маршади; Мохамед Анбар; Шанкар Каруппая; Ахмед Аль-Ани (17 мая 2019 г.). «Обзор подходов к обнаружению ботнетов на основе анализа DNS-трафика» . Интеллектуальные и интерактивные вычисления . Конспекты лекций по сетям и системам. Том. 67. Сингапур : Springer Publishing , Universiti Sains Malaysia . п. 308. дои : 10.1007/978-981-13-6031-2_21 . ISBN 978-981-13-6030-5 . S2CID 182270258 .
^ Назарио, Джош; Хольц, Торстен (8 октября 2008 г.). По мере оттока сети: наблюдения за ботнетами Fast-flux . 3-я Международная конференция по вредоносному и нежелательному программному обеспечению (MALWARE). Александрия, Вирджиния : Институт инженеров по электротехнике и электронике . п. 24. дои : 10.1109/MALWARE.2008.4690854 . ISBN 978-1-4244-3288-2 .
^ Альмомани 2016 , с. 483-484.
^ Альмомани 2016 , с. 484.
^ Чжоу 2015 , с. 4.
^ Чжоу 2015 , с. 2-3.
^ Саласки и Дафорд 2007 , с. 1.
^ Конте, Фимстер и Юнг 2008 , стр. 8.
^ Саласки и Дафорд 2007 , с. 1-2.
^ Ли и Ван 2017 , с. 3-4.
^ «Часто задаваемые вопросы: Быстроплавкость» . Андорра : Проект Spamhaus . Архивировано из оригинала 29 апреля 2021 года . Проверено 12 декабря 2021 г.
↑ Перейти обратно: Перейти обратно: ^а ^б Саласки и Дафорд 2007 , с. 2.
^ Чжоу 2015 , с. 5.
^ Ли и Ван 2017 , с. 3-5.
^ Чжоу 2015 , с. 5-6.
↑ Перейти обратно: Перейти обратно: ^а ^б Ли и Ван 2017 , с. 4.
^ Саласки и Дафорд 2007 , с. 2-3.
^ Конте, Фимстер и Юнг 2008 , стр. 4-6.
↑ Перейти обратно: Перейти обратно: ^а ^б ^с Ольманн, Гюнтер (4 июня 2009 г.). «Топологии связи ботнетов: понимание тонкостей управления и контроля ботнетов» (PDF) . Основные технологии безопасности . Архивировано (PDF) из оригинала 26 марта 2020 г. Проверено 3 марта 2022 г.
↑ Перейти обратно: Перейти обратно: ^а ^б Хэндс, Николь М.; Ян, Байцзянь; Хансен, Раймонд А. (сентябрь 2015 г.). Исследование ботнетов, использующих DNS . RIIT '15: Материалы 4-й ежегодной конференции ACM по исследованиям в области информационных технологий, Университет Пердью . США : Ассоциация вычислительной техники . стр. 23–28. дои : 10.1145/2808062.2808070 .
^ Ли и Ван 2017 , с. 4-5.
^ Чжоу 2015 , с. 1-2.
^ Саласки и Дафорд 2007 , с. 7.
^ Конте, Фимстер и Юнг 2008 , стр. 8-11.
^ Флориан Тегелер; Сяомин Фу; Джованни Винья; Кристопер Крюгель (10 декабря 2012 г.). «BotFinder: поиск ботов в сетевом трафике без глубокой проверки пакетов». Материалы 8-й международной конференции «Новые сетевые эксперименты и технологии» . Ассоциация вычислительной техники . стр. 349–360. дои : 10.1145/2413176.2413217 . ISBN 9781450317757 . S2CID 2648522 .

Библиография [ править ]

Альмомани, Аммар (24 августа 2016 г.). «Охотник за быстрым потоком: система фильтрации онлайн-ботнета fast-flux» . Нейронные вычисления и приложения . 29 (7). Издательство Springer : 483–493. дои : 10.1007/s00521-016-2531-1 . S2CID 4626895 .
Ли, Синго; Ван, Цзюньфэн (25 сентября 2017 г.). «Технология обнаружения ботнетов на основе DNS» . Будущий Интернет . 9 (4). Сычуаньский университет : 55. doi : 10.3390/fi9040055 .
Салуски, Уильям; Дафорд, Роберт (13 июля 2007 г.). «Знай своего врага: сети обслуживания Fast-Flux» . Проект Honeynet . Архивировано из оригинала 30 сентября 2012 года — через Wayback Machine . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
Конте, М.; Фимстер, Н.; Юнг, Дж. (январь 2008 г.). «SAC 025: Рекомендации SSAC по хостингу Fast Flux и DNS» (PDF) . Консультативный комитет по безопасности и стабильности (SSAC) (1). Интернет-корпорация по присвоению имен и номеров . Архивировано (PDF) из оригинала 22 ноября 2021 года . Проверено 12 декабря 2021 г.
«СпамХаус: Часто задаваемые вопросы (FAQ)» . Проект «Спамхаус» . Архивировано из оригинала 22 февраля 2022 года . Проверено 3 марта 2022 г.
«Рекомендации SAC 025 SSAC по хостингу Fast Flux и DNS» (PDF) . Интернет-корпорация по присвоению имен и номеров . Январь 2008 г. Архивировано из оригинала (PDF) 19 января 2022 г.
Чжоу, Шицзе (29 июня 2015 г.). «Обзор атак Fast-flux» . Журнал информационной безопасности: глобальная перспектива . 24 (4–6). Университет электронных наук и технологий Китая : 79–97. дои : 10.1080/19393555.2015.1058994 . S2CID 34993719 .

[FOOTNOTELiWang20173-1] Перейти обратно: Перейти обратно: ^а ^б ^с Ли и Ван 2017 , с. 3.

[FOOTNOTEAlmomani2016483-2] Альмомани 2016 , с. 483.

[FOOTNOTEZhou20153-3] Чжоу 2015 , с. 3.

[4] Саиф Аль-Маршади; Мохамед Анбар; Шанкар Каруппая; Ахмед Аль-Ани (17 мая 2019 г.). «Обзор подходов к обнаружению ботнетов на основе анализа DNS-трафика» . Интеллектуальные и интерактивные вычисления . Конспекты лекций по сетям и системам. Том. 67. Сингапур : Springer Publishing , Universiti Sains Malaysia . п. 308. дои : 10.1007/978-981-13-6031-2_21 . ISBN 978-981-13-6030-5 . S2CID 182270258 .

[5] Назарио, Джош; Хольц, Торстен (8 октября 2008 г.). По мере оттока сети: наблюдения за ботнетами Fast-flux . 3-я Международная конференция по вредоносному и нежелательному программному обеспечению (MALWARE). Александрия, Вирджиния : Институт инженеров по электротехнике и электронике . п. 24. дои : 10.1109/MALWARE.2008.4690854 . ISBN 978-1-4244-3288-2 .

[FOOTNOTEAlmomani2016483-484-6] Альмомани 2016 , с. 483-484.

[FOOTNOTEAlmomani2016484-7] Альмомани 2016 , с. 484.

[FOOTNOTEZhou20154-8] Чжоу 2015 , с. 4.

[FOOTNOTEZhou20152-3-9] Чжоу 2015 , с. 2-3.

[FOOTNOTESaluskyDaford20071-10] Саласки и Дафорд 2007 , с. 1.

[FOOTNOTEKonteFeamsterJung20088-11] Конте, Фимстер и Юнг 2008 , стр. 8.

[FOOTNOTESaluskyDaford20071-2-12] Саласки и Дафорд 2007 , с. 1-2.

[FOOTNOTELiWang20173-4-13] Ли и Ван 2017 , с. 3-4.

[14] «Часто задаваемые вопросы: Быстроплавкость» . Андорра : Проект Spamhaus . Архивировано из оригинала 29 апреля 2021 года . Проверено 12 декабря 2021 г.

[FOOTNOTESaluskyDaford20072-15] Перейти обратно: Перейти обратно: ^а ^б Саласки и Дафорд 2007 , с. 2.

[FOOTNOTEZhou20155-16] Чжоу 2015 , с. 5.

[FOOTNOTELiWang20173-5-17] Ли и Ван 2017 , с. 3-5.

[FOOTNOTEZhou20155-6-18] Чжоу 2015 , с. 5-6.

[FOOTNOTELiWang20174-19] Перейти обратно: Перейти обратно: ^а ^б Ли и Ван 2017 , с. 4.

[FOOTNOTESaluskyDaford20072-3-20] Саласки и Дафорд 2007 , с. 2-3.

[FOOTNOTEKonteFeamsterJung20084-6-21] Конте, Фимстер и Юнг 2008 , стр. 4-6.

[Ollmann20-22] Перейти обратно: Перейти обратно: ^а ^б ^с Ольманн, Гюнтер (4 июня 2009 г.). «Топологии связи ботнетов: понимание тонкостей управления и контроля ботнетов» (PDF) . Основные технологии безопасности . Архивировано (PDF) из оригинала 26 марта 2020 г. Проверено 3 марта 2022 г.

[Yang15-23] Перейти обратно: Перейти обратно: ^а ^б Хэндс, Николь М.; Ян, Байцзянь; Хансен, Раймонд А. (сентябрь 2015 г.). Исследование ботнетов, использующих DNS . RIIT '15: Материалы 4-й ежегодной конференции ACM по исследованиям в области информационных технологий, Университет Пердью . США : Ассоциация вычислительной техники . стр. 23–28. дои : 10.1145/2808062.2808070 .

[FOOTNOTELiWang20174-5-24] Ли и Ван 2017 , с. 4-5.

[FOOTNOTEZhou20151-2-25] Чжоу 2015 , с. 1-2.

[FOOTNOTESaluskyDaford20077-26] Саласки и Дафорд 2007 , с. 7.

[FOOTNOTEKonteFeamsterJung20088-11-27] Конте, Фимстер и Юнг 2008 , стр. 8-11.

[28] Флориан Тегелер; Сяомин Фу; Джованни Винья; Кристопер Крюгель (10 декабря 2012 г.). «BotFinder: поиск ботов в сетевом трафике без глубокой проверки пакетов». Материалы 8-й международной конференции «Новые сетевые эксперименты и технологии» . Ассоциация вычислительной техники . стр. 349–360. дои : 10.1145/2413176.2413217 . ISBN 9781450317757 . S2CID 2648522 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

v т и доменного имени Парковка
Общий	Обратный захват домена Киберсквоттинг Выпадающий список доменных имен Спекуляции с доменными именами Снайпинг домена Парковка домена Дегустация домена Хранение доменных имен Домен двойника Введите трафик Тайпсквоттинг Доменное имя находится на переднем крае Удаление регистратора
Юридический	Единая политика разрешения споров о доменных именах Закон о защите потребителей от киберсквоттинга (Закон о предотвращении киберпиратства в области товарных знаков) Закон о ЗАЩИТЕ 2003 г.
Технический	Взлом домена DNS-запись с подстановочным знаком Быстрый поток