FastFlux是一种基于域名系统(DNS)的规避技术，网络犯罪分子使用该技术将网络钓鱼和恶意软件交付网站隐藏在不断变化的受感染主机网络后面，充当后端僵尸网络主机的反向代理——一个防弹自治系统。也可以指对等网络、分布式命令和控制、基于Web的负载平衡和代理的组合重定向用于使恶意软件网络更难以发现和采取反措施。

　　fast-flux背后的基本思想是让多个IP地址与一个完全合格的域名相关联，其中IP地址通过更改DNS资源记录以极高的频率换入和换出，从而成为上述权威名称服务器fast-fluxing域名在大多数情况下由犯罪分子托管。

　　根据基础设施的配置和复杂性，快速通量通常分为单、双和域快速通量网络。快速通量仍然是网络安全中的一个复杂问题，目前的对策仍然无效。

历史

　　2007年，TheHoneynetPRoject的安全研究人员WilliamSalusky和RobertDanford首次报告了Fast-fluxing；次年，他们在2008年发布了对fast-flux服务网络的系统研究。RockPhish(2004)和StormWorm(2007)是两个著名的fast-flux服务网络，用于恶意软件分发和网络钓鱼。

Fast-flux服务网络

　　快速通量服务网络(FFSN)是受感染主机的快速通量网络的网络基础设施；该技术也被合法的服务提供商使用，例如内容分发网络(CDN)，其中动态IP地址被转换以匹配Internet主机的域名，通常是为了使用循环域名系统(RR)进行负载平衡-DNS）。僵尸网络使用FFSN基础设施的目的是中继网络请求，并充当充当“源服务器”的后端防弹内容服务器的代理。

　　前端机器人充当附加到控制主机的临时主机，被称为通量代理，由于快速通量的动态特性，其网络可用性是不确定的。后端母舰不与用户代理建立直接通信，而是每个动作都通过受感染的前端节点进行反向代理，有效地使攻击持久并且可以抵御取消尝试。

类型

　　快速助焊剂通常分为两种类型：单助焊剂和双助焊剂，一种在单助焊剂基础上的构建。fast-fluxing涉及的术语包括“flux-herdermothershipnodes”和“fast-fluxagentnodes”，指后端防弹僵尸网络控制器和参与反向代理来回流量的受感染主机节点。和客户分别。fast-flux牧民使用的受感染主机通常包括住宅宽带接入电路，例如DSL和电缆调制解调器。

单通量网络

　　在单通量网络中，快速通量域名的权威名称服务器反复置换具有低生存时间(TTL)值的DNS资源记录，通常在180到600秒之间。区域文件中的排列记录包括A、AAAA和CNAME记录，处理通常通过被利用主机的IP地址和DDNS名称的注册表中的循环法来完成。尽管HTTP和DNS仍然是常用的代理应用程序协议通过前端流量代理，SMTP、IMAP和POP等协议也可以通过传输层(L4)TCP和UDP级端口绑定技术在流量代理和后端流量管理器节点之间传递。

双通量网络

　　双流量网络涉及流量域的权威名称服务器的高频排列，以及指向前端代理的DNS资源记录（例如A、AAAA或CNAME）。在此基础架构中，流动域的权威名称服务器指向前端重定向器节点，该节点将DNS数据报转发到解析查询的后端母节点。DNS资源记录，包括NS记录，被设置为较低的TTL值，因此导致额外的级别间接。double-fluxing网络中的NS记录通常指向侦听端口53的referrer主机，它将查询转发到对流域具有权威性的后端DNS解析器。 通过前端节点的盲代理重定向技术实现高级弹性和冗余； Fast-fluxing域还滥用域通配符RFC1034规范进行垃圾邮件传递和网络钓鱼，并使用DNS隐蔽通道传输封装在DNS数据报查询中的HTTP、SFTP和FTP等协议的应用层有效负载。

域通量网络

　　Domain-flux网络涉及通过不断轮换flux-herder母舰节点的域名来保持快速流动的网络运行。域名是使用选定的伪随机域生成算法(DGA)动态生成的，通量运算符会大量注册域名。受感染的主机反复尝试通过自发生成、解析和连接到IP地址来启动通量代理握手，直到收到确认，以将自己注册到通量放牧者母节点。一个著名的例子包括Conficker，这是一个通过在110中生成50,000个不同域来运行的僵尸网络顶级域(TLD)。

安全对策

　　由于快速流量的鲁棒性，快速流量域名的检测和缓解仍然是网络安全中的一个复杂挑战。尽管对后端快速通量母节点进行指纹识别仍然越来越困难，但服务提供商可以通过以特殊方式探测前端通量代理来检测上游母节点，方法是发送一个精心设计的HTTP请求，该请求会触发带外后端fast-flux母节点在独立通道中向客户端发送网络请求，这样客户端就可以通过分析其网络流量日志推断出母节点的IP地址。各种安全研究人员建议，对付fast-fluxing的有效措施是停止使用该域名。但是，域名注册商不愿意这样做，因为没有必须遵守的独立于管辖权的服务条款协议；在大多数情况下，fast-flux运营商和域名抢注者是这些注册商的主要收入来源。

　　针对快速通量域的其他对策包括深度数据包检测(DPI)、基于主机的防火墙和基于IP的访问控制列表(ACL)，尽管由于快速通量的动态特性，这些方法存在严重的局限性。

版权声明：本站部分文章来源或改编自互联网及其他公众平台，主要目的在于分享信息，版权归原作者所有，内容仅供读者参考，如有侵权请联系我们删除。
邮箱：2636484259@qq.com