概述
DNS fast flux是一种技术,它涉及将多个IP地址与单个域名关联,并快速更改这些IP地址。有时会使用数百甚至数千个IP地址。攻击者使用DNS fast flux来保持其网络属性的运行,隐藏其恶意活动的真正来源,阻止安全团队封锁其IP地址。这种技术通常由僵尸网络(botnets)使用。
攻击者需要他们的网站保持运行,以执行网络钓鱼攻击、托管恶意软件、出售窃取的信用卡信息和执行其他非法活动。通过DNS fast flux,恶意域名的正常运行时间更长,更难以封锁,使网络犯罪分子能够执行更多攻击。实际上,DNS fast flux将恶意域名变成了一个移动目标。
想象一下一名银行劫匪逃跑:如果警察知道劫匪开的是哪辆车,他们可以警惕带有那个车牌号码的车辆,并在其离开城镇之前将它们拦下。现在想象一下,那名银行劫匪车里装满了车牌,他们每隔几英里就下车换一次车牌。警察要识别银行劫匪的车就变得困难得多。DNS fast flux具有类似的效果:随着一个网站的IP地址不断变化,要识别和封锁该网站变得更加困难。
DNS fast flux是如何工作的?
攻击者通过快速更改与域名关联的DNS记录来将多个IP地址与一个域名关联。IP地址将被注册然后注销,并在几分钟或几秒钟内替换为新的IP地址。攻击者能够做到这一点是通过利用一种称为循环DNS(round robin DNS)的负载均衡技术,以及为每个IP地址设置非常短的生存时间(TTL)。通常情况下,使用的一些或所有IP地址将是攻击者已经入侵的Web主机。这些IP地址的机器将充当攻击者的源服务器的代理。
循环DNS是一种将多个冗余Web服务器与一个域关联的方法,每个Web服务器都有自己的IP地址。当该域的授权名称服务器接收到查询时,它每次都会分配一个不同的IP地址,因此没有一个Web服务器会因流量而过载(理论上)。虽然负载均衡是循环DNS的合法、预期用途,但攻击者可以使用这个功能来混淆他们的恶意活动。
使用快速流动的攻击者还会为这些IP地址设置非常短的TTL,有时短至60秒。一旦TTL过期,该IP地址将不再与该域名关联。
什么是双重快速流动?
双重快速流动增加了另一层DNS流动,使封锁域名和追踪恶意活动的来源变得更加困难。使用双重快速流动,授权名称服务器的IP地址也会被快速更改。 (更技术的说法是域的DNS A记录和区域的DNS NS记录都不断更改。)
这就像上面描述的银行劫匪不仅不断更改他们的车牌,还不断更换车辆一样。
如何防止DNS fast flux?
阻止DNS fast flux最有效的方法是简单地关闭域名。由于各种原因,域名注册商并不总是愿意或能够这样