什麼是 DNS Fast Flux?

DNS Fast Fluxing 是一種快速交換與網域名稱相關聯的 IP 位址的方法,從而使用於網路釣魚攻擊和其他犯罪活動的惡意網域更難以封鎖。

學習目標

閱讀本文後,您將能夠:

  • 瞭解什麼是 DNS Fast Fluxing,以及攻擊者為什麼使用它
  • 瞭解 DNS Fast Fluxing 的運作方式
  • 瞭解如何防止 DNS Fast Fluxing

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 DNS Fast Flux?

DNS Fast Fluxing 是一種技術,涉及將多個 IP 位址與單個網域名稱相關聯,並快速更換這些 IP 位址。有時,會使用數百甚至數千個 IP 位址。攻擊者使用 DNS Fast Fluxing 來保持其 Web 資產正常執行,隱藏惡意活動的真實來源,並阻止安全團隊封鎖其 IP 位址。殭屍網路通常使用此技術。

攻擊者需要其網站保持運作狀態,以進行網路釣魚攻擊、託管惡意軟體、出售被盜的信用卡資訊以及執行其他非法活動。使用 DNS Fast Flux,惡意網域具有更長的運作時間且更難以封鎖,從而使網路罪犯能夠進行更多攻擊。本質上,DNS Fast Fluxing 將惡意網域變成了一個移動目標。

想像一下,一個銀行劫匪正在逃跑:如果警察知道劫匪開的是什麼車,他們就可以對具有該車牌號的汽車保持警惕,並在他們離開城鎮之前阻止他們。現在想像一下,銀行劫匪有一大堆車牌,他們每隔幾英里就會下車換車牌。對警察來說,識別銀行劫匪的汽車變得更加困難了。DNS Fast Flux 也有類似的效果:隨著網站的 IP 位址不斷變化,識別和封鎖網站變得更加困難。

DNS Fast Flux 如何運作?

攻擊者會快速變更與該網域名稱相關聯的 DNS 記錄,將多個 IP 位址與一個網域名稱相關聯。在註冊一個 IP 位址幾分鐘或幾秒鐘後,就會取消註冊並替換為一個新的 IP 位址。攻擊者可利用稱為循環 DNS負載平衡技術,並為每個 IP 位址設定極短的存留時間 (TTL) 來達成此目的。通常,使用的部分或全部 IP 位址將是攻擊者入侵的 Web 主機。在這些 IP 位址的機器將充當攻擊者原始伺服器的代理。

循環 DNS 是一種將多個備援 Web 伺服器(每個伺服器都有其自己的 IP 位址)與一個網域相關聯的方式。當該網域的權威名稱伺服器收到查詢時,它每次都會分發不同的 IP 位址,因此沒有任何 Web 伺服器因流量過多而不堪重負(理論上)。雖然負載平衡是循環 DNS 的合法用途,但攻擊者可以使用此功能來混淆其惡意活動。

使用 Fast Flux 的攻擊者還會為這些 IP 位址設定非常短的 TTL,有時最短可達 60 秒。一旦 TTL 到期,該 IP 位址將不再與該網域名稱關聯。

什麼是 Double Fast Fluxing?

Double Fast Fluxing 增加了另一層 DNS Fluxing,使得封鎖網域和追踪惡意活動來源變得更加困難。使用 Double Fast Fluxing,權威名稱伺服器的 IP 位址也會迅速更換。(更技術性的說法是網域的 DNS A 記錄區域DNS NS 記錄都會不斷變更。)

這就好比上面描述的銀行劫匪不僅不斷變更他們的車牌,還不斷地換車。

如何防止 DNS Fast Fluxing?

阻止 DNS Fast Fluxing 的最有效方法是使該網域名稱完全下線。由於各種原因,網域名稱註冊商並不總是願意或能夠這樣做。

網路管理員也可以要求其網路中的使用者使用他們控制的 DNS 伺服器,以及捨棄對惡意網域的查詢。這樣,就不會解析惡意網域,使用者也無法存取這些網域。這項技術稱為 DNS 篩選