Fast Flux

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Analyse einer Fast-Flux Domain mit Robtex
Fast-Flux Netzwerk
Single und Double-Flux Netzwerk

Fast Flux ist eine von Botnetzen genutzte DNS-Technik, mit der der Standort von Webservern verschleiert werden kann. Dieses wird mit einem DNS-Server und einer Lastverteilung per DNS (Round-Robin DNS) bewältigt. Üblicherweise werden Fast-Flux-Netzwerke bei Phishing- und DoS-Attacken verwendet.

Die einfachste Sorte von Fast-Flux, auch genannt Single-Flux, wird charakterisiert durch multiple individuelle Knotenpunkte, welche ihre Adresse im DNS A-Record einer einzelnen Domäne selbst ein- und wieder austragen können. Dies kombiniert Round Robin DNS mit einer sehr kurzen Time to Live (TTL) um permanent wechselnde Endadressen für die einzelnen Domains zu erzeugen. Diese Liste kann hunderte oder tausende Einträge lang sein.

Eine anspruchsvollere Art des Fast-Fluxes, welche auch double flux genannt wird, ist charakterisiert durch multiple Knotenpunkte, welche ihre Adresse selbstständig in einen Teil des DNS-NS Records für die DNS-Zone ein- und wieder austragen können. Dies erzeugt eine zusätzliche Schicht von Redundanz und Überlebensfähigkeit innerhalb des Malware-Netzwerks.

Die Botnet-Betreiber verwenden für ihre Fast-Flux-Netzwerke Reverse Proxys die meist aus dem eigenen Botnetz stammen. Nur wer eine schnelle Internetanbindung hat und besonders lange online ist, wird in ein Fast-Flux-Netzwerk aufgenommen.

Ein Reverse Proxy ist eine Kommunikationsschnittstelle, die vor einen Server geschaltet wird und an dessen Stelle auf dem http-Port lauscht. Damit werden drei mögliche Ziele verfolgt:

  1. Performancesteigerung: Der Proxy kann Webinhalte cachen und diese direkt zurückliefern.
  2. Sicherheit: Der Server kann im internen Netz hängen und ist damit nach außen unsichtbar.
  3. Lastverteilung: Der Proxy kann seine Anfragen auf mehrere Server verteilen.

Beispiele von Fast-Flux-Botnetzen

[Bearbeiten | Quelltext bearbeiten]
Botnetz Trojaner
Storm Botnet Tibs, Peacomm, Nuwar, Zhelatin, Peed
Rustock RKRustok, Costrat
Pushdo Pandex, Mutant, Wigon, Pushdo
Mega-D Ozdok
Kneber zBot, Zeus
Warezov Stration
Kelihos[1] Win32/Kelihos

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Dhia Mahjoub: Monitoring a fast flux botnet using recursive and passive DNS: A case study. In: 2013 APWG eCrime Researchers Summit. September 2013, S. 1–9, doi:10.1109/eCRS.2013.6805783 (ieee.org [abgerufen am 23. Juli 2021]).