Fast flux

Fast flux je metoda na skrývání závadného obsahu. Většinou se jedná o phising anebo malware. Fast flux je postavený na technice rychlého měnění DNS záznamů u domény, který má krátkou živostnost. Bezpečnostní týmy expertů si jí poprvé všimli v roce 2006.

K provedení Fast flux je potřeba legitimní domény a dostatečný počet IP adres, na které by tato doména mohla směřovat. Princip je v podstatě jednoduchý. Za normálních okolností je délka platnosti záznamu (TTLtime to live) v DNS jednotky dnů, popřípadě hodin. Ovšem lze jí snížit na jednotky minut. Legitimně se to využívá například pokud je server, na který směřuje doména pod těžkým DDoS útokem. Provozovatelé webu, mohou u domény změnit DNS záznamy na nový server. Vzhledem k nízké TTL, si návštěvník, který na web směřuje stáhne nové záznamy s IP adresou záložního serveru.

U Fast flux to funguje podobně jen rychleji a ve velkém. DNS kompromitované domény mění v rychlých intervalech IP adresu s cílovým hostingem. Takže i pokud někdo zjistí, kde se nachází napadený web, který obsahuje malware, je to teoreticky k ničemu, protože během pěti minut už doména směřuje na jiný webhosting. V praxi se využívají stovky až tisíce IP adres. Jakmile je některý webhosting odhalen a správce jej odstaví, detekční prvek tuto IP adresu ze seznamu odstraní a dále jí už nebude používat. Naopak průběžně jsou na seznam IP adres přidávány další napadené webhostingy.

Aby se dosáhlo většího utajení používá se ještě takzvaná druhá vrstva – blind proxy redirection. V podstatě se jedná o vytvoření jakéhosi tunelu, který přebírá a posílá data z dalších serverů. V této komunikaci pak nijak nefiguruje doména anebo původní IP adresy. Druhá vrstva totiž může být i několik strojů za sebou, které si předávají data, popřípadě dochází k přesměrování.

Na konci tohoto řetězce jsou C&C servery (command and control), které vše ovládají a posílají dál instrukce. Celá konstrukce Fast flux je často velice masivní a trvá delší dobu než se odhalí všechny IP adresy, kde se hostuje nebezpečný obsah. Většinou jsou na napadených webech, kde si majitel dostatečně neohlídal bezpečnost své aplikace.

Důvodem proč se Fast flux využívá je i náročnost znefunkčnění. Zatímco u napadených webů většinou správci reagují velice rychle a IP blokují, dokud si to provozovatel nedá dohromady, tak vyřadit doménu není tak jednoduché. Server s DNS záznamem se může měnit dle libosti. Lze jej hostovat po celém světě. Jediným řešením je zablokovat doménu, což může být u některých národních domén právně náročný úkon.

Share Button

Tento článek byl byl přečten 5056 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *