什么是 DNS Fast Flux?

DNS Fast Fluxing 是一种快速交换与域相关的 IP 地址的方式,导致用于网络钓鱼攻击和其他犯罪活动的恶意域更难被阻止。

学习目标

阅读本文后,您将能够:

  • 了解什么是 DNS Fast Fluxing,以及攻击者为什么使用它
  • 了解 DNS Fast Fluxing 的工作原理
  • 了解如何阻止 DNS Fast Flux

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 DNS Fast Flux?

DNS Fast Fluxing 是一种技术,即把多个 IP 地址与一个域名联系起来,并迅速更换这些 IP 地址。有时,会使用数百甚至数千个 IP 地址。攻击者利用 DNS Fast Fluxing 来保持他们的 Web 资产启动并运行,隐藏他们恶意活动的真正来源,并阻止安全团队阻止他们的 IP 地址。这种技术通常由僵尸网络使用。

攻击者需要他们的网站保持正常运行,以便进行网络钓鱼攻击、托管恶意软件、出售被盗的信用卡信息,以及进行其他非法活动。有了 DNS Fast Flux,恶意域名就有了更多的正常运行时间,而且更难阻止,使网络犯罪分子能够进行更多的攻击。从本质上讲,DNS Fast Fluxing 将恶意域变成了一个移动的目标。

想象一下银行劫匪正在逃跑:如果警察知道劫匪开的是什么车,他们就可以对具有该车牌号的汽车保持警惕,并在他们离开城镇之前阻止他们。现在想象一下,银行劫匪有一大堆车牌,他们每隔几英里就会下车换车牌。警方要识别银行劫匪的汽车变得更加困难。 DNS Fast Flux 也有类似的效果:随着网站的 IP 地址不断变化,识别和阻止网站变得更加困难。

DNS Fast Flux 如何运作?

攻击者通过快速更改与该域名关联的 DNS 记录,将多个 IP 地址与一个域名相关联。在注册一个 IP 地址几分钟或几秒钟后,就会取消注册并替换为一个新的 IP 地址。攻击者可以通过利用称为循环 DNS负载平衡技术,并为每个 IP 地址设置非常短的生存时间 (TTL) 来做到这一点。通常,使用的部分或全部 IP 地址将是攻击者入侵的 Web 主机。这些 IP 地址的机器将充当攻击者源服务器的代理。

循环 DNS 是一种将多个冗余 Web 服务器与域相关联的方法,每个服务器都有自己的 IP 地址。当该域的权威名称服务器收到查询时,它每次都会分配一个不同的 IP 地址,因此没有一个 Web 服务器会被流量淹没(理论上)。虽然负载平衡是循环 DNS 的合法预期用途,但攻击者可以使用此功能来掩盖他们的恶意活动。

使用 Fast Flux 的攻击者还会为这些 IP 地址设置一个非常短的 TTL,有时短至 60 秒。一旦 TTL 过期,该 IP 地址将不再与该域名关联。

什么是双重 Fast Fluxing?

双重 Fast Fluxing 增加了另一层 DNS Fluxing,使得阻止域和追踪恶意活动来源更加困难。在双重 Fast Fluxing 的情况下,权威名称服务器的 IP 地址也被迅速改变。(更技术性的说法是,域的 DNS A 记录区域DNS NS 记录都在不断变化。)

这就好比上面描述的银行劫匪不仅不断更换车牌,还不断换车。

如何阻止 DNS Fast Fluxing?

阻止 DNS Fast Fluxing 的最有效方法关停域名。由于各种原因,域名注册商并非总是愿意或能够这样做。

网络管理员还可以要求其网络内的用户使用他们控制的 DNS 服务器,并将对恶意域名的查询放入黑洞或丢弃。这样一来,恶意域名就得不到解析,用户也就无法访问它们。这种技术被称为 DNS 过滤