Fast Flux nedir?

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte3
Yottabyte3
Mesajlar: 28041
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek

Fast Flux nedir?

Mesaj gönderen velociraptor » 28 Şub 2011, 05:05

Fast flux botnet'lerin sürekli değişen (ve proxy görevi gören ele geçirilmiş sistemlerden oluşan) ağdaki phishing ve malware sunan siteleri gizlemek için kullandığı bir DNS tekniğidir. Aynı zamanda botnet'lerin tespitini ve önlemleri zorlaştırmak için p2p ağ, dağıtık komuta ve kontrol, web-tabanlı yük dengeleme ve proxy yönlendirmenin bir kombinasyonu olarak da kullanılan bir terimdir. Storm Worm bu tekniği kullanan kötü amaçlı yazılımlardan biriydi.

Fast Flux arkasındaki temel fikir tek bir tam alan adı için çok sayıda IP adresine sahip olmak ve bu IP adreslerinin, DNS kayıtlarını değiştirerek, aşırı sıklıkla değiştirilmesidir.

Güvenlik uzmanları bu teknikten 2006 yılından beri haberdar olsa da 2007 temmuz ayından sonra daha geniş ilgi görmeye başladı.

Single-flux ve double-flux (tek ve çift flux)
Single-flux olarak adlandırılan Fast Flux'un en basit tipi bir ağdaki birden fazla sistemin tek bir DNS adı için kendi adreslerini DNS A kaydı olarak kayıt ettirmesi (register) ve sonra bu kaydı kaldırmasıdır (de-register). Çok kısa TTL (time to live) değerleri ile round robin DNS birleştirilerek söz konusu tek DNS adı için sürekli değişen hedef adresleri yaratılır. Liste yüzlerce veya binlerce kayıttan oluşabilir.

Double flux olarak adlandırılan ve daha sofistike bir fast flux tipi ise ağdaki birden fazla sistemin DNS zone için kendi adreslerini DNS Name Server record listesine kaydettirip sonra bu kaydı kaldırmalarıyla gerçekleştirilir. Bu da kötü amaçlı ağın yedeğinin olması ve hayatta kalma süresini artırma amaçlıdır.

Kötü amaçlı bir saldırıda, DNS kayıtları normalde proxy sunucu olarak davranan ele geçirilmiş sistemi işaret eder. Bu metod bazı geleneksel defans mekanizmalarının işe yaramasını önler - ör. IP-tabanlı erişim kontrol listeleri (ACL). Bu metod ayrıca saldırganların sistemlerini maskeler ve saldırganların ağını belirlemeyi çok daha zor kılar. Kayıtlar normalde bot'ların kayıt olacağı, komut alacağı veya saldırıları başlatacağı bir IP adresini işaret eder. IP'ler proxy'lendiği için, bu komutları veren kaynağı gizlemek mümkün olur ve IP-tabanlı bloklama listeleri devrede iken de hayatta kalma şansını artırır.

Resim

Kaynak:
http://en.wikipedia.org/wiki/Fast_flux / Olympos
Knowledge determines destiny, And ye shall know the Truth and the Truth shall make you free



Kullanıcı avatarı
lord_leo
Megabyte2
Megabyte2
Mesajlar: 1113
Kayıt: 25 Nis 2010, 08:39
cinsiyet: Erkek
Konum: internet
İletişim:

Re: Fast Flux nedir?

Mesaj gönderen lord_leo » 28 Şub 2011, 22:39

iyimiş
artık ipdeğiştirme gizlemede yeni dönem yani
Ben Giderim, Tadım Kalır...

Cevapla