Fast flux es una técnica de evasión de DNS utilizada por los ciberdelincuentes para ocultar sitios de entrega de phishing y malware detrás de una red en constante cambio de hosts comprometidos que actúan como proxies inversos del maestro de la botnet backend, un AS a prueba de balas . [1] También puede referirse a la combinación de redes peer-to-peer , comando y control distribuidos , balanceo de carga basado en web y redirección de proxy que se usa para hacer que las redes de malware sean más resistentes al descubrimiento y contramedidas. El gusano de la tormenta (2007) es una de las primeras variantes de malware en hacer uso de esta técnica.
La idea básica detrás de Fast flux es tener numerosas direcciones IP asociadas con un solo nombre de dominio completamente calificado , donde las direcciones IP se intercambian dentro y fuera con una frecuencia extremadamente alta, a través del cambio de registros de recursos DNS , por lo tanto, los servidores de nombres autorizados de dicho rápido. -El nombre de dominio que fluye es, en la mayoría de los casos, alojado por el actor criminal. [2]
El cambio rápido fue informado por primera vez por los investigadores de seguridad William Salusky y Robert Danford de The Honeynet Project en 2007; al año siguiente, publicaron un estudio sistemático de las redes de servicios de flujo rápido en 2008. [3]
Una red de servicio de flujo rápido (FFSN) es una infraestructura de red resultante de la red de flujo rápido de hosts comprometidos; la técnica también es utilizada por redes de distribución de contenido (CDN) donde la dirección IP dinámica se convierte para que coincida con el nombre de dominio del host de Internet , generalmente con el propósito de equilibrar la carga utilizando el sistema de nombres de dominio por turnos (RR-DNS). [4] El propósito de usar la infraestructura FFSN para las redes de bots es retransmitir las solicitudes de red y actuar como un proxy para el servidor de contenido a prueba de balas que funciona como un " servidor de origen ".[5] Losbots frontend , que actúan como un host efímero adherido a un maestro de control , se denominan agentes de flujo cuya disponibilidad de red es indeterminada debido a la naturaleza dinámica del flujo rápido. [1]
El flujo rápido se clasifica generalmente en dos tipos: flujo simple y flujo doble, una implementación complementaria sobre flujo simple. Las fraseologías involucradas en el flujo rápido incluyen "nodos de nave nodriza de flujo-pastor" y "nodos de agente de flujo rápido", referidos al controlador de botnet a prueba de balas de backend y los nodos de host comprometidos involucrados en el proxy inverso del tráfico de ida y vuelta entre el origen y clientes respectivamente. [6] [1] Los hosts comprometidos utilizados por los pastores de flujo rápido generalmente incluyen circuitos de acceso de banda ancha residenciales , como DSL y módems de cable . [7]
En una red de flujo único, el servidor DNS autorizado de un nombre de dominio de flujo rápido permuta repetidamente los registros de recursos DNS de dicho dominio con valores bajos de tiempo de vida (TTL), convencionalmente entre 180 y 600 segundos. El registro permutado dentro del archivo de zona incluye el registro A, AAAA y CNAME , la disposición generalmente se realiza mediante round robin desde el registro de direcciones IP de host explotado y nombres DDNS . [8] [9] [10] Aunque el protocolo de aplicación comúnmente sustituido por proxypor los nodos redirectores del agente de flujo de la interfaz sigue siendo HTTP y DNS , otros servicios como SMTP , IMAP y POP también se pueden entregar a través del agente de flujo, ya que la transferencia entre el nodo de la nave nodriza de flujo y el agente de flujo utiliza la capa de transporte ( L4) Técnicas de enlace de puertos a nivel TCP y UDP . [11]