Fast Flux 快速通量
Fast Flux 快速通量 是什么?
Fast Flux 快速通量僵尸网络使用的 DNS 技术,在许多被入侵主机间快速轮换恶意域名背后的 IP 地址,以抵抗下架和封禁。
Fast flux 是犯罪网络用以保持恶意内容可访问的弹性技术。攻击者将域名 TTL 设得非常短,并在被攻陷的设备池(通常是家用路由器或 IoT 僵尸节点)间每隔几分钟更换 A 记录。Single-flux 只轮换前端 IP;Double-flux 还轮换权威域名服务器,使下架更加困难。Storm Worm、Avalanche 以及众多钓鱼工具包都曾用 fast flux 托管 C2 或凭据收集页面。防御措施包括被动 DNS 分析、可阻断 fluxing FQDN 的 RPZ 订阅、监控异常低的 TTL,以及由 CISA、欧洲执法机构和 ISP 联合开展的注册级下架行动。
● 示例
- 01
Storm Worm 僵尸网络通过轮换数千台被入侵的家用 PC,持续提供恶意软件下载域名。
- 02
Avalanche 网络在 2016 年被打掉之前曾用 double-flux 庇护钓鱼与银行木马的分发。
● 常见问题
Fast Flux 快速通量 是什么?
僵尸网络使用的 DNS 技术,在许多被入侵主机间快速轮换恶意域名背后的 IP 地址,以抵抗下架和封禁。 它属于网络安全的 攻击与威胁 分类。
Fast Flux 快速通量 是什么意思?
僵尸网络使用的 DNS 技术,在许多被入侵主机间快速轮换恶意域名背后的 IP 地址,以抵抗下架和封禁。
Fast Flux 快速通量 是如何工作的?
Fast flux 是犯罪网络用以保持恶意内容可访问的弹性技术。攻击者将域名 TTL 设得非常短,并在被攻陷的设备池(通常是家用路由器或 IoT 僵尸节点)间每隔几分钟更换 A 记录。Single-flux 只轮换前端 IP;Double-flux 还轮换权威域名服务器,使下架更加困难。Storm Worm、Avalanche 以及众多钓鱼工具包都曾用 fast flux 托管 C2 或凭据收集页面。防御措施包括被动 DNS 分析、可阻断 fluxing FQDN 的 RPZ 订阅、监控异常低的 TTL,以及由 CISA、欧洲执法机构和 ISP 联合开展的注册级下架行动。
如何防御 Fast Flux 快速通量?
针对 Fast Flux 快速通量 的防御通常结合技术控制与运营实践,详见上方完整定义。
Fast Flux 快速通量 还有哪些其他名称?
常见的别称包括: Single-flux, Double-flux。
● 相关术语
- attacks№ 350
域名暗影攻击(Domain Shadowing)
攻击者入侵合法域名所有者的注册商账户,在受信任的父域下悄悄创建恶意子域名的攻击手法。
- attacks№ 348
域名生成算法(DGA)
恶意软件用于按确定性规则批量生成候选域名,以便被感染主机找到其命令控制服务器的算法。
- malware№ 119
僵尸网络
由受恶意软件感染、由攻击者远程控制以执行协同动作的联网设备组成的网络。
- malware№ 201
命令与控制(C2)
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
- network-security№ 344
DNS 隧道
通过将任意数据编码到 UDP/TCP 53 端口的 DNS 查询与响应中而形成的隐蔽通道,常用于命令控制和数据外泄。