Wat is fast flux DNS?
Fast flux DNS is een techniek die een cybercrimineel kan gebruiken om identificatie van het IP-adres van zijn belangrijkste hostserver te voorkomen. Door misbruik te maken van de manier waarop het domeinnaamsysteem werkt, kan de crimineel een botnet creëren met knooppunten die zich sneller bij het netwerk aansluiten en weer afhaken dan rechtshandhavingsambtenaren ze kunnen traceren.
Snelle flux DNS maakt gebruik van de manier waarop load balancing is ingebouwd in het domeinnaamsysteem. Met DNS kan een beheerder een aantal IP-adressen bij een enkele hostnaam registreren. De alternatieve adressen worden rechtmatig gebruikt om internetverkeer over meerdere servers te verdelen. Normaal gesproken veranderen de IP-adressen die aan een hostdomein zijn gekoppeld niet vaak, als ze al veranderen.
Criminelen hebben echter ontdekt dat ze belangrijke servers kunnen verbergen door een time-to-live (TTL)-instelling van zestig seconden te gebruiken voor hun DNS resource records en de bijbehorende IP-adressen van de records extreem vaak in en uit te wisselen. Omdat misbruik van het systeem de medewerking van een domeinnaamregistrar vereist, worden de meeste fast flux DNS-botnets geacht hun oorsprong te vinden in opkomende landen of andere landen zonder wetten voor cybercriminaliteit.
Volgens een witboek van het Honeypot Project zijn fast flux botnets verantwoordelijk voor veel illegale praktijken, waaronder wervingssites voor geldezels, phishing-websites, illegale online apotheken, sites met extreme of illegale inhoud voor volwassenen, exploit-sites voor schadelijke browsers en webvallen voor de verspreiding van malware.
Lees meer:
De beveiligingsexpert Ed Skoudis legt uit hoe fast flux DNS kan worden gebruikt om een phishing-botnet te creëren.
In deze paper van het Honeypot Project wordt uitgelegd hoe criminelen het domeinnaamsysteem hebben misbruikt om fast flux-botnetsystemen te creëren.