Всё про техногию Fast-Flux сетей

Есть такая технология в DNS – fast-flux… А вот что в ней такого интересного и почему с ней так активно, но пока безуспешно, борится ICANN? Читаем…

Термин «fast flux» (дословно переводиться как “быстрое течение, поток”) относится к быстрому многократному внесению изменений в записи ресурсов и/или NS в зоне DNS, что приводит к быстрому изменению расположения (IP-адреса), к которому относится доменное имя интернет-хоста (A) или сервера имен (NS).

Но сама по себе технология fast-flux не является “вредоносной”, так как не использует какие либо уязвимости DNS. И используется как для распределения нагрузки, так и годится на роль инструмента защиты «добропорядочных, но проблемных» веб-сайтов.

Но злоумышленники нашли ей своё применение. Они используют её вместе с ботнетом (см. ниже), что позволяет скрывать следы и преодолевать провайдерские фильтры, блокирующие доступ по IP-адресам. И делает это успешней, чем прокси-серверы.

Пример на домене pill-us.com:

nslookup pill-us.com

Name: pill-us.com
Address: 24.90.114.185
Name: pill-us.com
Address: 59.149.201.184
Name: pill-us.com
Address: 68.144.184.77
Name: pill-us.com
Address: 77.41.123.70
и т.д.

Список IP адресов связанные с именем домена меняется каждые пять секунд. И таким образом данный домен постоянно остается online и когда Ваш браузер заходит по адресу данного домена, то он, по сути, соединяется с одной из бот-машин (зараженный компьютер). Так же злоумышленники проверяют бот-машины на доступность и полосу пропускания интернет канала, чтобы более эффективно использовать данные компьютеры.

Схематично это выглядит так:

Сети fast flux
Сети услуг fast flux используются для достижения двух целей:
1) Для размещения перенаправляющих веб-сайтов. Боты в данной сети
услуг обычно не размещают содержимое клиента fast flux, а выполняют
перенаправление на веб-сервер, с которого клиент fast flux выполняет
несанкционированные или противозаконные действия. Если для хостинга
fast flux используется только эта сеть, для описания данной деятельности
применяется термин single flux.

2) Для размещения серверов имен. Боты в данной сети услуг запускают
направляющие серверы для клиента fast flux. Эти серверы имен
переадресовывают DNS-запросы на скрытые серверы имен, на которых
размещены зоны, содержащие записи ресурсов DNS A для набора
перенаправляющих веб-сайтов. Скрытые серверы имен не пересылают
запросы обратно через направляющий сервер имен, а отправляют ответ
непосредственно запрашивающему хосту. Когда для усиления эффекта
атаки вместе с сетью (1) используется вторая сеть, для описания данной
деятельности применяется термин double flux.

Принцип атаки

Шаги 5 и 7 повторяются после истечения времени TLL.

Признаки Fast-Flux
– Множество IP-адресов у одного доменного имени из разных AS и их частая смена
– Частая смена ip-адресов серверов доменных имен
– Частая смена имен серверов доменных имен
– IP-адреса принадлежат множеству различных блоков выделенных различным провайдерам (allocated)
– Малые значения TTL
– Небольшой возраст домена
– Недостоверная информация в whois(обычно скудная)
– Наличие сервера ngnixв качестве реверсивного прокси-сервера
– Упрощенная система управления эккаунтом администратора
– Управление эккаунтом регистранта без авторизации
– Уровень fast-flux домена ниже второго

Как понятно из всех вышесказанного, fast-flux сети представляют реальную угрозу. И с целью изучения этого вопроса корпорация ICANN создала рабочую группу, которая в начале этого года представила свой отчёт (на англ.) о проделанной работе. Но судя по отчёт, реального решения этой проблемы ещё нет. Краткое резюме отчёта можно прочесть тут.

Что предлагает рабочая группа ICANN
– Удаление доменов (ускорение и упрощение этой процедуры)
– Идентификация регистранта перед сменой DNS-информации
– Запрет автоматической смена DNS-информации
– «Белые списки» разрешенной активности
– Запрет на сервера в разных зонах и в «иностранных» зонах
– Ограничение на минимальный TTL и ограничения на действия с записями, для которых установлен малое значение TTL (15 –30 минут)
– Ограничение на частоту смены серверов доменных имен. Ограничение количества записей NS и A (не более 5 штук)
– Платная смена серверов (ограничения на транзакции с реестром).

Как найти на практике?
Чтобы найти домены из Fast-flux сети можно, например, заглянув в папку “Спам”. Сделайте DNS запрос по имени сайта указанного в письме. И если сайту соответствует множественные IP-адреса и к тому же они постоянно меняются, то это домен из Fast-flux сети. Так же тут можно прочитать про методы определения fast-flux сетей (на англ.).

Так же можно воспользоваться perl скриптом, который помогает найти бот-машины. Он проверяет список доменов из файла и делает DNS запросы по каждому их них, собирает DNS ответы и если обнаруживает указанные вами IP-адреса шлет вам e-mail сообщение. Как только достигнут конец файла с именами доменов скрипт «засыпает» на 60 секунд и процесс начинается сначала.

Есть ещё скрипты с использованием базы данных вместе тхт-файла.

Так же рекомендую посетить http://www.malwaredomains.com, чтобы получить свежий список Domain Blocking (Black Hole DNS).

Терминология
Single Flux
Разновидность fast flux, при котором быстрое внесение изменений в записи A в файле зоны субдомена (обычно второго или третьего уровня) приводит к быстрому изменению расположения IP-адреса) интернет-хостов (например, веб-сайтов или других серверов содержимого).

Flux сервера имен
Разновидность fast flux, при котором быстрое внесение изменений в записи NS в файле зоны домена высшего уровня приводит к быстрому изменению расположения (IP-адреса) серверов имен одного или нескольких субдоменов.

Double Flux
Это fast flux, дополненный частой сменой IP-адресов серверов доменных имен, которые отвечают за соответствие междуIP-адресом web-сайта и его доменным именем.

Хостинг Fast Flux
Использование приемов fast flux для маскировки расположения веб-сайтов или других интернет- слуг, посредством которых осуществляется противозаконная деятельность.

Сеть Fast Flux
Сеть взломанных компьютерных систем («бот-сеть») с постоянно изменяющимися
общедоступными записями DNS.

Бот-мастер
Архитектор-злоумышленник распределенной атаки, используемой для создания, поддержки и использования бот-сети в финансовых или иных (политических) целях. После установки бот-сети бот-мастер сдает ее в аренду, чтобы помочь оператору услуг Fast Flux.

Средства Fast Flux
В данном документе термин средство обозначает программного агента, установленного без согласия на большом количестве компьютеров с подключением к Интернету.