شار سریع
شار سریع یا Fast flux یک تکنیک DNS است که توسط باتنتها برای پنهان کردن سایتهای تحویل فیشینگ و بدافزار در پشت شبکهای از میزبانهای خطرناک که نقش پروکسی را ایفا میکنند، استفاده میشود. همچنین میتواند به ترکیبی از شبکههای نظیر به نظیر ، فرماندهی و کنترل توزیع شده ، توازن بار مبتنی بر وب و تغییر مسیر پراکسی اشاره داشته باشد که برای ایجاد مقاومت در برابر شبکههای بدافزار در برابر کشف و اقدامات متقابل، استفاده میشود. Storm Worm (2007) یکی از اولین انواع بدافزارها است که از این روش استفاده میکند.
ایدهٔ اصلی در مورد شار سریع، داشتن آدرسهای IP متعددی است که با یک نام دامنه کاملاً واجد شرایط مرتبط باشند، جایی که آدرسهای IP با فرکانس بسیار بالا از طریق تغییر رکوردهای DNS داخل و خارج میشوند.[۱]
کاربران اینترنت ممکن است شار سریع را به شکل مورد استفاده در حملات فیشینگ مرتبط با سازمانهای جنایی، از جمله حمله به خدمات شبکههای اجتماعی را مشاهده کنند.
درحالیکه محققان امنیتی حداقل از نوامبر ۲۰۰۶ از این تکنیک آگاه بودهاند، این روش تنها از ژوئیه ۲۰۰۷ در مطبوعات تجارت امنیتی مورد توجه بیشتری قرار گرفت.
تک-شار(single-flux) و دو-شار(double-flux)
[ویرایش]سادهترین نوع شار سریع، با نام «تک-شار»، با چندین راس مستقل در شبکه ثبت و حذف آدرسهای خود به عنوان بخشی از لیست ضبط DNS A (آدرس) برای نام تک DNS، ثبت میشود. این ترکیبی از DNS دور پیچیده با مقادیر بسیار کوتاه - معمولاً کمتر از پنج دقیقه (۳۰۰ ثانیه)[۲]- TTL (زمان زندگی) است تا لیستی از آدرسهای مقصد را برای نام آن واحد DNS که بهطور مداوم تغییر میکند، ایجاد کند. این لیست میتواند صدها یا هزاران مدخل داشته باشد.
نوع پیچیدهتری از شار سریع، که آن را «شار مضاعف» مینامند،[۳] با چندین راس در شبکه مشخص میشود که آدرسهای خود را به عنوان بخشی از لیست نام رکورد سرور DNS برای منطقه DNS حذف و ثبت میکند. این یک لایه اضافی برای زنده ماندن در شبکه بدافزار فراهم میکند.
در یک حمله بدافزار، سوابق (رکوردهای) DNS معمولاً به سیستمی آسیب دیده اشاره میکنند که به عنوان یک سرور پراکسی عمل میکند. این روش مانع کار برخی از مکانیسمهای دفاعی سنتی میشود - به عنوان مثال، لیستهای کنترل دسترسی مبتنی بر IP یا "ACL". این روش همچنین میتواند سیستمهای مهاجمان را مخفی کند، که از طریق یک سری پروکسیها از شبکه بهرهبرداری میکنند و شناسایی شبکه مهاجمان را بسیار دشوارتر میکند. این رکورد بهطور معمول به یک IP اشاره میکند که رباتها برای ثبتنام (رجیستر)، دریافت دستورالعملها یا فعال کردن حملات به آنجا میروند. از آنجا که IPها مجزا هستند، میتوان منبع اصلی این دستورالعملها را استتار (پنهان) کرد، با تنظیم لیستهای بلوک مبتنی بر IP، میزان بقا را افزایش داد.
موثرترین اقدام در برابر شار سریع، حذف نام دامنه مورد استفاده است. با این حال ثبتکنندگان تمایلی به این کار ندارند زیرا دارندگان دامنه مشتریان قانونی برای آنها هستند و هیچ سیاست اعمالشدهای در سراسر جهان در مورد سوءاستفاده از این موضوع وجود ندارد. علاوه بر این، متولیان سایبری از جمله اپراتورهای شار سریع (که معمولاً نامهای جدید را در صورت تقاضا ثبت میکنند)، منبع اصلی درآمد آنها هستند. کارشناسان امنیتی در حال کار بر روی تدابیری برای سهولت این روند هستند.[نیازمند منبع]
سایر اقدامات توسط مدیران شبکه محلی انجام میشود. یک مدیر (ادمین) شبکه میتواند نقاط انتهایی را در شبکه خود مجبور کند که تنها قادر به استفاده از سرورهای محلی DNS باشند، این کار با مسدود کردن همه ترافیک خروجی DNS و سپس درخواست سیاه چاله برای دامنههای مخرب در سطح DNS انجام میشود. در عوض، سرپرستان با دستگاههای شبکهای که قادر به انجام بازرسی و مداخله لایه ۷ هستند، میتوانند سیاستهایی را تنظیم کنند که اتصالاتی که برای ساخت HTTP درخواست میدهند یا شامل دامنههای مخرب هستند را بازبینی کند.
جستارهای وابسته
[ویرایش]- بهمن (گروه فیشینگ) - جریان سریع دو برابر را روی دامنه ۸۰۰۰۰۰ پیادهسازی کرد.
- الگوریتم تولید دامنه - یک تکنیک کنترل بدافزار که چندین نام دامنه توسط میزبانهای قربانی تولید میشود.
منابع
[ویرایش]- ↑ Danford; Salusky (2007). "The Honeynet Project: How Fast-Flux Service Networks Work". Archived from the original on 3 September 2019. Retrieved 2010-08-23.
- ↑ "The Spamhaus Project - Frequently Asked Questions (FAQ)". www.spamhaus.org.
- ↑ Shateel A. Chowdhury, "MALICIOUS USES OF FAST-FLUX SERVICE NETWORKS (FFSN)", Hackers Terminal, Apr 29, 2019
- توضیح Spamhaus در مورد میزبانی Fast Flux
- فیشینگ توسط پروکسی SANS Internet Storm دفتر خاطرات از ۲۰۰۶-۱۱-۲۸ شرح استفاده از میزبانهای به خطر افتاده در بات نتها را میدهد که از تکنیکهای شار سریع برای ارائه بدافزار استفاده میکنند.
- MySpace Phish و Drive-by بردار حمله تبلیغ سریع شبکه Flux رشد روزشمار SANS اینترنت طوفان دفتر خاطرات از ۲۰۰۶-۰۶-۲۶ با جزئیات فنی در مورد FluxBot و تکنیکهای شار سریع (توجه داشته باشید: حاوی لینک به کد مخرب).
- دشمن خود را بشناسید: شبکههای خدمات سریع شار. مقاله فنی Ever Changing Enemy honeynet.org از ژوئیه ۲۰۰۷ و اطلاعات بیشتر در مورد شار سریع، از جمله تکنیکهای «تک شار» و «دو شار».
- مقاله اندازهگیری و ردیابی شبکههای سرویس سریع شار توسط Holz و همکاران. از فوریه ۲۰۰۸ با نتایج اندازهگیری تجربی در شار سریع.
- مقاله SecurityFocus برای حذف تأثیر شار سریع در اقدامات مقابله ای با نت با استفاده از مقاله SecurityFocus از ورقههای شار سریع ورقه ورقه میشود.
- مهاجمان در مقاله تاریک سریع Flux از تاریخ ۲۰۰۷-۰۷-۱۷ در مورد استفاده از شار سریع توسط سازمانهای جنایی در پشت بدافزار مخفی میشوند.
- شماره CRYPTO-GRAM در ۱۵ اکتبر ۲۰۰۷ ، بروس اشنایر از شار سریع به عنوان یک روش DNS استفاده شده توسط کرم طوفان یاد میکند.
- گزارش خلاصه ATLAS - گزارش جهانی لحظه ای از فعالیت شار سریع.
- مشاوره SAC 025 SSAC در میزبانی سریع و DNS
- گزارش GNSO در مورد میزبانی سریع Flux
- پروژه FluXOR از آزمایشگاه امنیت رایانه و شبکه (LaSeR) @ Università degli Studi di Milano (سقوط در تاریخ ۰۷/۲۷/۲۰۱۲)