Mask
VIP Members
-
03/07/2013
-
33
-
25 bài viết
Fast flux DNS
I. Khái niệm
- Fast flux DNS là một kĩ thuật các botnet sử dụng để che giấu các trang web lừa đảo, có mã độc phía sau một mạng các máy tính bị kiểm soát đóng vai trò là proxy. Những máy tính trong mạng này có các bản ghi DNS thay đổi rất nhanh, một số trường hợp chỉ trong vòng vài phút. Cơ cấu thay đổi bản ghi DNS nhanh chóng này khiến việc tìm ra và chặn đứng các hoạt động bất hợp pháp trở nên khó khăn hơn nhiều.
- Fast flux DNS được nhận biết vào tháng 11/2006 nhưng đến tháng 7/2007 mới bắt đầu gây được sự chú ý.
II. Hoạt động
- Mục tiêu của Fast-flux là một fully qualified domain name (ví dụ www.example.com) sẽ có nhiều (hàng trăm hoặc hàng nghìn) địa chỉ IP trỏ tới nó. Những địa chỉ IP này sẽ được thay đổi với một tần số rất lớn, sử dụng sự kết hợp của round-robin IP và một giá trị Time-To-Live (TTL) rất nhỏ cho các bản ghi DNS.
- Hostname của website có thể được gán bởi một tập các địa chỉ IP cứ mỗi 3 phút (trong khi thời gian TTL mặc định này là 3600s). Khi một trình duyệt kết nối tới cùng một website thì cứ mỗi 3 phút sẽ kết nối tới một máy tính đã bị lây nhiễm khác.
- Có một máy mẹ Fast-flux (mothership) điều khiển phía sau mạng Fast-flux, tương tự như các hệ thống command and control (C&C) của botnet. Tuy nhiên máy mẹ này có nhiều đặc điểm hơn. Nó ẩn phía sau mạng proxy Fast-flux và chuyển thông tin tới máy victim. Các máy mẹ này thường được cấu hình cả dịch vụ DNS và HTTP, với khả năng quản lý hàng ngàn domain đồng thời. Đến tháng 3/2007 chúng ta mới theo dõi được 2 máy mẹ phục vụ hàng ngàn domain, có thể dự đoán công nghệ này được phát triển bởi một số lượng nhỏ các nhóm và cá nhân.
- Các domain flux được đăng kí phần lớn là .hk và .info, do các nhà cung cấp các domain này quản lý lỏng lẻo hơn các Top Level Domains (TLD) khác.
III. Phân loại
1. Single flux
- Hình vẽ trên so sánh một giao tiếp web thông thường với một mạng Fast-flux. Khi victim tưởng rằng đang truy nhập vào http://flux.example.com thì thực chất victim đang giao tiếp với mạng Fast-flux, sau đó sẽ redirect tới website đích. Mạng Single-flux thay đổi các bản ghi DNS cứ 3-10 phút một lần. Do vậy nếu một zombie không hoạt động thì vẫn còn rất nhiều các zombie khác thay thế.
2. Double flux
- Double-flux là một kĩ thuật phức tạp hơn. Cụ thể, cả tập các bản ghi A và bản ghi NS cho một malicious domain được thay đổi liên tục trong mạng Fast-flux.
- Hình vẽ trên so sánh sự khác nhau giữa single-flux và double-flux:
Single-flux: client muốn phân giải tên miền flux.example.com
Bước 1: client hỏi root nameserver địa chỉ của nameserver .com và nhận được trả lời.
Bước 2: client hỏi nameserver .com địa chỉ của example.com và nhận được trả lời đến nameserver ns.example.com
Bước 3: client hỏi nameserver ns.example.com địa chỉ của flux.example.com
Bước 4: nameserver ns.example.com trả lời địa chỉ của flux.example.com. Với một DNS lookup thông thường thì địa chỉ IP này thường tồn tại trong một khoảng thời gian. Còn với single-flux thì câu trả lời thay đổi liên tục.
Double-flux: tương tự, client muốn tìm kiếm địa chỉ của flux.example.com
Bước 1, 2: giống như trên.
Bước 3: client hỏi ns.example.com địa chỉ của flux.example.com. Tuy nhiên, nameserver này lại là một phần của mạng double-flux và địa chỉ IP của nó thay đổi thường xuyên.
IV. Ứng dụng
- Fast-flux được dùng cho nhiều hoạt động bất hợp pháp như online pharmacy shops, money mule recruitment sites, phishing websites, illegal adult content, malware download…
- Ngoài các dịch vụ phổ biến như DNS và HTTP, các dịch vụ khác như SMTP, POP, IMAP đều có thể dùng dịch vụ Fast-flux.
- Fast flux DNS là một kĩ thuật các botnet sử dụng để che giấu các trang web lừa đảo, có mã độc phía sau một mạng các máy tính bị kiểm soát đóng vai trò là proxy. Những máy tính trong mạng này có các bản ghi DNS thay đổi rất nhanh, một số trường hợp chỉ trong vòng vài phút. Cơ cấu thay đổi bản ghi DNS nhanh chóng này khiến việc tìm ra và chặn đứng các hoạt động bất hợp pháp trở nên khó khăn hơn nhiều.
- Fast flux DNS được nhận biết vào tháng 11/2006 nhưng đến tháng 7/2007 mới bắt đầu gây được sự chú ý.
II. Hoạt động
- Mục tiêu của Fast-flux là một fully qualified domain name (ví dụ www.example.com) sẽ có nhiều (hàng trăm hoặc hàng nghìn) địa chỉ IP trỏ tới nó. Những địa chỉ IP này sẽ được thay đổi với một tần số rất lớn, sử dụng sự kết hợp của round-robin IP và một giá trị Time-To-Live (TTL) rất nhỏ cho các bản ghi DNS.
- Hostname của website có thể được gán bởi một tập các địa chỉ IP cứ mỗi 3 phút (trong khi thời gian TTL mặc định này là 3600s). Khi một trình duyệt kết nối tới cùng một website thì cứ mỗi 3 phút sẽ kết nối tới một máy tính đã bị lây nhiễm khác.
- Có một máy mẹ Fast-flux (mothership) điều khiển phía sau mạng Fast-flux, tương tự như các hệ thống command and control (C&C) của botnet. Tuy nhiên máy mẹ này có nhiều đặc điểm hơn. Nó ẩn phía sau mạng proxy Fast-flux và chuyển thông tin tới máy victim. Các máy mẹ này thường được cấu hình cả dịch vụ DNS và HTTP, với khả năng quản lý hàng ngàn domain đồng thời. Đến tháng 3/2007 chúng ta mới theo dõi được 2 máy mẹ phục vụ hàng ngàn domain, có thể dự đoán công nghệ này được phát triển bởi một số lượng nhỏ các nhóm và cá nhân.
- Các domain flux được đăng kí phần lớn là .hk và .info, do các nhà cung cấp các domain này quản lý lỏng lẻo hơn các Top Level Domains (TLD) khác.
III. Phân loại
1. Single flux
- Hình vẽ trên so sánh một giao tiếp web thông thường với một mạng Fast-flux. Khi victim tưởng rằng đang truy nhập vào http://flux.example.com thì thực chất victim đang giao tiếp với mạng Fast-flux, sau đó sẽ redirect tới website đích. Mạng Single-flux thay đổi các bản ghi DNS cứ 3-10 phút một lần. Do vậy nếu một zombie không hoạt động thì vẫn còn rất nhiều các zombie khác thay thế.
2. Double flux
- Double-flux là một kĩ thuật phức tạp hơn. Cụ thể, cả tập các bản ghi A và bản ghi NS cho một malicious domain được thay đổi liên tục trong mạng Fast-flux.
- Hình vẽ trên so sánh sự khác nhau giữa single-flux và double-flux:
Single-flux: client muốn phân giải tên miền flux.example.com
Bước 1: client hỏi root nameserver địa chỉ của nameserver .com và nhận được trả lời.
Bước 2: client hỏi nameserver .com địa chỉ của example.com và nhận được trả lời đến nameserver ns.example.com
Bước 3: client hỏi nameserver ns.example.com địa chỉ của flux.example.com
Bước 4: nameserver ns.example.com trả lời địa chỉ của flux.example.com. Với một DNS lookup thông thường thì địa chỉ IP này thường tồn tại trong một khoảng thời gian. Còn với single-flux thì câu trả lời thay đổi liên tục.
Double-flux: tương tự, client muốn tìm kiếm địa chỉ của flux.example.com
Bước 1, 2: giống như trên.
Bước 3: client hỏi ns.example.com địa chỉ của flux.example.com. Tuy nhiên, nameserver này lại là một phần của mạng double-flux và địa chỉ IP của nó thay đổi thường xuyên.
IV. Ứng dụng
- Fast-flux được dùng cho nhiều hoạt động bất hợp pháp như online pharmacy shops, money mule recruitment sites, phishing websites, illegal adult content, malware download…
- Ngoài các dịch vụ phổ biến như DNS và HTTP, các dịch vụ khác như SMTP, POP, IMAP đều có thể dùng dịch vụ Fast-flux.
Chỉnh sửa lần cuối bởi người điều hành: