Kvartal-SP.Ru

Одной из наиболее настоящих опасностей, с которой нам нужно сталкиваться в интернете, считается киберпреступность. При этом правонарушители регулярно улучшают средства принятия ими нелегальной выгоды. Эта работа призвана поведать о все более и более распространенной методике под наименованием fast-flux (в буквальном передвижении – «оперативное направление, поток»), количество примеров применения которой в открытой среде регулярно растет. Сервисные сети fast-flux представляют из себя сети скомпрометированных ПК с общественными именами DNS записей, которые регулярно изменяются, время от времени 3 раза за минуту.

Такая регулярно изменяющаяся архитектура ощутимо затрудняет наблюдение и подавление противозаконной работы. В данном изучении мы предварительно изобразим, что такое сервисные сети astflux dns, как они работают, как правонарушители применяют их для достижения собственных задач, и исследуем 2 вида подобных сетей, которые мы представили однопоточными и двухпоточными сетями fast-flux, затем доведем несколько новых образцов работы таких сетей в настоящем мире. Потом мы поведаем как функционирует вредное ПО, сопряженное с компанией сетей fast-flux и предположим итоги изучения, в процессе которого мы предумышленно восприняли нашу наживку представителем сети fast-flux. Ну и в конце концов, мы объясним, как считать и устанавливать такие сети, и уменьшать вред от их работы, в основном в огромных сетевых окружениях.

Задачей fast-flux считается предназначение каждому полнофункциональному названию сайта (к примеру, www.example.com) огромного количества (сотен, а время от времени и миллионов) Ip. Перескакивание между ними в потоке происходит с ошеломляющей скоростью, при этом применяется композиция повторяющегося комплекта Ip и весьма небольшого значения TTL для любой автономной записи в DNS. Свежий комплект Ip именам хостов может предназначаться с периодичностью в 3 секунды. Вследствие этого интернет-браузер, каждые 3 секунды соединяющийся с одним и аналогичным веб-сайтом, действительно всегда связывается с различными инфицированными ПК.

И более того, хакеры всегда беспокоятся о том, чтобы зараженные автомашины, которые они применяют для выполнения собственных сделок, по возможности имели предельно обширный канал и уровень доступности. Обычно они применяют такие модели расположения перегрузки, которые рассматривают итоги проверки положения участков сети, давая возможность, так что, вычеркивать из потока пассивные участки и гарантировать регулярную работу системы. Кроме этого для преодоления обстановки отказа и снабжения безопасности применяется перенаправление втемную. Она дает возможность прекращать попытки наблюдения и отключения участков сети, применяемых для сетей fast-flux. При этом спектр изменяющихся Ip не классифицируется конечной точкой отправки запроса на установленный текст, вместо этого зараженные автомашины, располагающиеся на входе в технологию, работают только как средства перенаправления, которые «переливают» данные и требования между располагающимися основательно внутри серверами и внутренним миром.

В сути, доменные имена и сноски на афишируемый текст не менее не соединяются с Адресом некоторого компьютера, переходя вместо этого входными прокси-серверами, которые, к тому же, пересылают их команде внешних компьютеров. Несмотря на то что одно время такая методика применялась для вполне законных серверных операций, задачей которых было обеспечение мерной закачки и повышенной доступности сервисов, в этом случае мы имеем, как сегодняшняя система поднялась на службу к нарушителям закона. «Базы» системы fast-flux – это контролирующие детали сети, подобные компьютерам администрирования нынешними ботнетами. Но их работоспособность сравнивая со стандартным IRC-сервером обычного ботнета значительно выше. Практически, это размещенный в восходящем потоке данных правящий участок, закамуфлированный сетью внутренних прокси-узлов и доставляющий текст в ответ на запрос клиента-жертвы. Такие правящие участки готовы благополучно работать в открытых сетях очень долгое время. Исследования продемонстрировали, что они могут иметь как DNS, так и HTTP сервисы, с такой конфигурацией онлайн хостинга, которая может распоряжаться доступностью на одном хосте миллионов доменов синхронно. Вплоть до конца мая 2007 года отслеживалось только 2 подобных главных хоста, обслуживающих очень многие тыс доменов в потоке, это дает возможность сделать мнение о том, что их подготовкой и применением занималась урезанная команда людей. Наиболее часто встречающимися доменами высшего значения при разработке ресурсов, работающих с fast-flux, были домены с заключениями .hk и .info, впрочем работа по их регистрации, судя по всему, размеренно делилась между всеми регистраторами (так как время от времени случались и домены с завершением .com, к примеру). Мы выделили 2 вида сетей fast-flux и представили их однопоточными и двухпоточными сетями fast-flux. Все, о чем ты смог почитать к этому моменту, относилось к однопоточным сетям, а двухпоточные сети подчеркивают в данную архитектуру еще один особый уровень безопасности, регулярно меняя Адреса для отвечающих за зону DNS-серверов. Мы доведем образцы сетей двух видов, начиная с однопоточной сети fast-flux.