去年8月,WireX上了头条。首先,它被称为第一个已知的使用Android平台的DDoS僵尸网络。另一方面,它使用了一种技术——对于那些在这个行业已经有一段时间的人来说现在耳熟能熟:快速流动。

在网络安全的背景下,快速助焊剂可以指的是两件事:一个,一个类似于a的网络P2P.托管Botnet的命令和控制(C&C)服务器和代理节点;和两个,一种在域名系统(DNS)上注册的方法,该系统可防止主机服务器IP地址。对于这篇文章,我们专注于后者。

恶意软件的创造者是第一批使用这种策略的参与者。和风暴这是一种臭名昭著的蠕虫病毒,在2007年曾令互联网用户和安全研究人员感到困惑和恼怒。它是第一批证明了快速通量在保护其母舰免受检测和暴露方面有效性的二进制病毒之一。快速流动使得安全部门和执法机构追查犯罪活动和关闭行动变得更加困难。最终,尽管是逐渐地,storm的统治结束了,这主要是由于宿主蠕虫主服务器的ISP,Atrivo,黑暗。

从那时起,“快速流动”运动的幕后推手就变得五花八门:从钓鱼者、机器人牧人到幕后的犯罪团伙金钱骡子招聘网站。还有一些使用快速助焊剂来参与其他非法方案,例如托管利用网站,极端或非法成人内容网站,梳理站点,虚假在线药店和网络陷阱。最近,快速通量一直赢得了令人愉快和用法在网络中间,这使得在线存在的企业成为这种威胁。必威官网多少

快速通量到底是什么?

简单地说,快速流动是一种高级的捉迷藏游戏。网络犯罪分子通过分配数百或数千个IP地址来隐藏,这些IP地址会以极高的频率交换到某个完全合格的域名(FQDN)小的说www.unquedomainname.org.。这是使用(1)的组合完成的分配负载由服务器接收跨越许多地理点作为代理或重定向(2)银行在一个非常短的时间到Live(TTL)寿命数据。这种地址交换发生得如此之快,以至于整个体系结构似乎都在不断变化。

这是一个简单的插图:如果犯罪分子分配www.unquedomain.org.一组每150秒改变一次的IP地址,访问的用户www.unquedomain.org.实际上每次都在连接不同的受感染机器

快速通量偶尔将用作独立术语;但是,我们还看到它用作网络,僵尸网络或恶意代理的性质的描述符。因此,您也可以找到以下术语,以及清楚起见,我们列出了他们的定义:

  • FAST-FLUX服务网络(FFSN):HoneyNet项目定义这是“带有公共DNS记录的受损计算机系统网络,在某些情况下每隔几分钟在某些情况下仍然不断变化。”有两种已知类型的:单通通量双助焊
  • 快中子通量僵尸网络:指使用快速通量技术的僵尸网络。已知这样一个僵尸网络背后的牧民参与托管服务方案,其中他们将网络租用给其他罪犯。另外,一些快速通量的僵尸网络已经开始支持SSL通信
  • 快速通量代理:根据上下文,这可以参考(1)负责感染系统的恶意软件,将其添加到Fast-Flux网络或(2)所属的机器,该计算机属于快速通量网络。

快速助焊剂不应该混淆域通量,这涉及更改域名,而不是IP地址。两种助熔剂技术已被网络犯罪分子使用。

等等,给一个域名分配不同的IP地址是合法的吗?

虽然一般是一个域名指向一个IP地址的情况,但这个关联不是严格的映射。那是一件好事!否则,Web管理员将无法有效地将传入的网络流量分发到多个资源,其中单个资源对应于唯一的IP地址。这是后面的基本概念负载平衡,流行的网站一直使用它。和循环DNS-这个单域到多个IP地址关联 - 只是一个可以实现的多个负载平衡算法之一。

这没什么不正当的。犯罪分子所做的只是利用或滥用网络技术已经提供的东西。

除了风暴,其他恶意软件是否与快速通量有关?

使用与快速流量网络相关联的恶意软件的威胁活动通常涉及僵尸网络。在早些年,蠕虫是使用快速通量僵尸网络的类型。Storm是一个蠕虫双星;那么,,它的竞争对手。如今,其他恶意软件应对快速助焊剂的疗效。我们有克罗斯和宙斯/ ZBOT,两个已知的银行木工特洛伊木马;Kelihos,一个特洛伊木马垃圾邮件和比特币矿工;Teslacrypt,一个勒索软件(找到他们的付款网站在东欧的FFSN上托管);和asprox,一个特洛伊木语密码偷窃贼持续的威胁(APT)

作为侧面,快速助焊网络不仅用于隐藏恶意活动。Akamai,已知的云交付平台,已在白皮书中披露[PDF]快速流量网络被用于针对自己客户的几次web攻击,特别是SQL注入、web抓取和凭证滥用。

阅读:克罗诺斯恶意软件内部-第1部分第2部分

可以检测/识别快速通量吗?如果是这样,怎么样?

肯定。安全行业的一些组织和独立团体已经投入了大量的精力来调查、研究和教育其他人什么是快速流量,它是如何工作的,以及如何检测它。以下是一些你可以访问、浏览和更彻底地阅读的参考资料:

用户可以保护自己免受快速的助焊剂活动吗?

当涉及将计算设备安全地免受物理和在线妥协 - 在他们中的数据中,不插入和安全 - 额外的警惕和良好的安全卫生可以拯救未来很多头痛的人。安装带有URL拦截功能的反恶意软件在设备上不仅可以保护他们免受恶意软件的攻击,而且还可以屏蔽那些被认为是恶意的网站停止攻击链。最后,定期更新您使用的所有安全软件。

保持安全!