黑白之間的FastFlux

DNS請求

---

一般咱們對一個域名進行DNS請求，尤爲是A記錄，通常在一段時間內是不變的，其結果的異同也就是可能因地域而獲得不一樣的結果。固然這個結果多是個集合，也多是一個IP地址。由於咱們要考慮到CDN、LVS和Cache這幾種狀況。

正義需求

---

隨着網站運營主體的發展速度愈來愈快，出現了對高速切換、遷移服務的需求。如何才能快速切換、遷移服務而又不對客戶的用戶體驗產生過多的影響呢？答案就是快速修改或者是動態進行DNS應答。經過快速更換DNS解析，來達到網站運營主體的需求。因而FastFlux誕生了。不只知足了這種客戶需求，同時也能夠支持LVS等需求。

黑客利用

---

先來講C&C

通常的，攻擊過去通常使用的C&C的控制端回連主控服務器時候是硬編碼的IP地址或者域名，並且域名通常是不變化的，直接回致使一個問題，直接逆向一下或者直接放在Sandbox裏面跑一下就清楚的知道了相關的域名、IP、URL等等IOC，能夠進行封堵，追蹤溯源甚至報警抓人等等。因而黑客就想到了一個方法，在C&C主控端中只寫域名，在DNS解析中快速更換域名的相關解析，致使IP快速變化，難以經過流量分析封鎖住IP和進行追蹤溯源，提升了軟件的對抗性和黑客組織的安全性，通常來講有兩種方式Single-FastFlax和Double-FastFlux

Single-FastFlux

攻擊者提供最底層的DNS服務器，在該DNS服務器中對C&C域名的解析是快速變化的，可能有數百上千個甚至更多，被控機器上的主控端會鏈接該DNS服務器進行域名解析，從而實現快速變化IP的功能。

• 特色：
  • 部署簡單、速度快

  • 容易被管理者檢查出來
    如今不多被真正的攻擊者使用
    

    Double-FastFlux

    攻擊者部署多臺底層域名服務器，底層域名服務器會有不一樣的解析，而後頂級域名服務器會以必定的慢些的速度修改迭代查詢的底層服務器的IP，這樣被控主機先去查頂級域名服務器，根據頂級域名服務器迭代查詢的底層域名服務器獲取最終IP，仍是能夠快速變化。
• 特色：
  • 部署相對複雜
  • 安全性更高，不易被管理者發現
    攻擊者較多使用
    

檢測惡意FastFlux

---

能夠根據一些FastFlux的特徵來進行判斷

• TTL 小於300秒
• ASN自治系統分佈普遍（地區國家分佈普遍、IP不連續不一樣段）
• IP地址數量高出正常使用的FastFlux的站點數量級

困難

---

咱們溯源到的IP列表，也大多數屬於Proxy，真正的主控端依然隱藏在後面，進一步溯源還有很長的路要走。