Fast flux
¿Qué es Fast flux?
Fast fluxTecnica de DNS de botnets que rota rapidamente las direcciones IP detras de un dominio malicioso entre muchos equipos comprometidos para resistir bloqueos y takedowns.
Fast flux es una tecnica de resiliencia que usan las redes criminales para mantener accesible su contenido malicioso. El atacante asigna al dominio un TTL muy bajo y rota sus registros A entre un pool de dispositivos comprometidos, a menudo routers domesticos o bots de IoT, cada pocos minutos. Single-flux solo cambia las IPs frontales; double-flux ademas rota los servidores de nombres autoritativos, dificultando aun mas las acciones. Storm Worm, Avalanche y muchos kits de phishing lo usaron para alojar C2 o paginas de captura de credenciales. La defensa combina analisis pasivo de DNS, feeds RPZ que bloquean FQDN en flux, monitorizar TTLs anormalmente bajos y coordinacion de takedowns a nivel de registro (CISA, fuerzas policiales europeas, ISPs).
● Ejemplos
- 01
La botnet Storm Worm rotaba miles de PCs domesticos comprometidos para servir su dominio de descarga de malware.
- 02
La red Avalanche uso double-flux para proteger la distribucion de phishing y troyanos bancarios antes de su desmantelamiento en 2016.
● Preguntas frecuentes
¿Qué es Fast flux?
Tecnica de DNS de botnets que rota rapidamente las direcciones IP detras de un dominio malicioso entre muchos equipos comprometidos para resistir bloqueos y takedowns. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Fast flux?
Tecnica de DNS de botnets que rota rapidamente las direcciones IP detras de un dominio malicioso entre muchos equipos comprometidos para resistir bloqueos y takedowns.
¿Cómo defenderse de Fast flux?
Las defensas contra Fast flux combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Fast flux?
Nombres alternativos comunes: Single-flux, Double-flux.