شار سریع

شار سریع یا Fast flux یک تکنیک DNS است که توسط بات‌نت‌ها برای پنهان کردن سایت‌های تحویل فیشینگ و بدافزار در پشت شبکه‌ای از میزبان‌های خطرناک که نقش پروکسی را ایفا می‌کنند، استفاده می‌شود. همچنین می‌تواند به ترکیبی از شبکه‌های نظیر به نظیر ، فرماندهی و کنترل توزیع شده ، توازن بار مبتنی بر وب و تغییر مسیر پراکسی اشاره داشته باشد که برای ایجاد مقاومت در برابر شبکه‌های بدافزار در برابر کشف و اقدامات متقابل، استفاده می‌شود. Storm Worm (2007) یکی از اولین انواع بدافزارها است که از این روش استفاده می‌کند.

ایدهٔ اصلی در مورد شار سریع، داشتن آدرسهای IP متعددی است که با یک نام دامنه کاملاً واجد شرایط مرتبط باشند، جایی که آدرس‌های IP با فرکانس بسیار بالا از طریق تغییر رکوردهای DNS داخل و خارج می‌شوند.^[۱]

کاربران اینترنت ممکن است شار سریع را به شکل مورد استفاده در حملات فیشینگ مرتبط با سازمان‌های جنایی، از جمله حمله به خدمات شبکه‌های اجتماعی را مشاهده کنند.

درحالی‌که محققان امنیتی حداقل از نوامبر ۲۰۰۶ از این تکنیک آگاه بوده‌اند، این روش تنها از ژوئیه ۲۰۰۷ در مطبوعات تجارت امنیتی مورد توجه بیشتری قرار گرفت.

تک-شار(single-flux) و دو-شار(double-flux) ویرایش

ساده‌ترین نوع شار سریع، با نام «تک-شار»، با چندین راس مستقل در شبکه ثبت و حذف آدرس‌های خود به عنوان بخشی از لیست ضبط DNS A (آدرس) برای نام تک DNS، ثبت می‌شود. این ترکیبی از DNS دور پیچیده با مقادیر بسیار کوتاه - معمولاً کمتر از پنج دقیقه (۳۰۰ ثانیه)^[۲]- TTL (زمان زندگی) است تا لیستی از آدرس‌های مقصد را برای نام آن واحد DNS که به‌طور مداوم تغییر می‌کند، ایجاد کند. این لیست می‌تواند صدها یا هزاران مدخل داشته باشد.

نوع پیچیده‌تری از شار سریع، که آن را «شار مضاعف» می‌نامند،^[۳] با چندین راس در شبکه مشخص می‌شود که آدرس‌های خود را به عنوان بخشی از لیست نام رکورد سرور DNS برای منطقه DNS حذف و ثبت می‌کند. این یک لایه اضافی برای زنده ماندن در شبکه بدافزار فراهم می‌کند.

در یک حمله بدافزار، سوابق (رکوردهای) DNS معمولاً به سیستمی آسیب دیده اشاره می‌کنند که به عنوان یک سرور پراکسی عمل می‌کند. این روش مانع کار برخی از مکانیسم‌های دفاعی سنتی می‌شود - به عنوان مثال، لیست‌های کنترل دسترسی مبتنی بر IP یا "ACL". این روش همچنین می‌تواند سیستم‌های مهاجمان را مخفی کند، که از طریق یک سری پروکسی‌ها از شبکه بهره‌برداری می‌کنند و شناسایی شبکه مهاجمان را بسیار دشوارتر می‌کند. این رکورد به‌طور معمول به یک IP اشاره می‌کند که ربات‌ها برای ثبت‌نام (رجیستر)، دریافت دستورالعمل‌ها یا فعال کردن حملات به آنجا می‌روند. از آنجا که IPها مجزا هستند، می‌توان منبع اصلی این دستورالعمل‌ها را استتار (پنهان) کرد، با تنظیم لیست‌های بلوک مبتنی بر IP، میزان بقا را افزایش داد.

موثرترین اقدام در برابر شار سریع، حذف نام دامنه مورد استفاده است. با این حال ثبت‌کنندگان تمایلی به این کار ندارند زیرا دارندگان دامنه مشتریان قانونی برای آنها هستند و هیچ سیاست اعمال‌شده‌ای در سراسر جهان در مورد سوءاستفاده از این موضوع وجود ندارد. علاوه بر این، متولیان سایبری از جمله اپراتورهای شار سریع (که معمولاً نام‌های جدید را در صورت تقاضا ثبت می‌کنند)، منبع اصلی درآمد آنها هستند. کارشناسان امنیتی در حال کار بر روی تدابیری برای سهولت این روند هستند.^{^{[نیازمند منبع]}}

سایر اقدامات توسط مدیران شبکه محلی انجام می‌شود. یک مدیر (ادمین) شبکه می‌تواند نقاط انتهایی را در شبکه خود مجبور کند که تنها قادر به استفاده از سرورهای محلی DNS باشند، این کار با مسدود کردن همه ترافیک خروجی DNS و سپس درخواست سیاه چاله برای دامنه‌های مخرب در سطح DNS انجام می‌شود. در عوض، سرپرستان با دستگاه‌های شبکه‌ای که قادر به انجام بازرسی و مداخله لایه ۷ هستند، می‌توانند سیاست‌هایی را تنظیم کنند که اتصالاتی که برای ساخت HTTP درخواست می‌دهند یا شامل دامنه‌های مخرب هستند را بازبینی کند.

جستارهای وابسته ویرایش

بهمن (گروه فیشینگ) - جریان سریع دو برابر را روی دامنه ۸۰۰۰۰۰ پیاده‌سازی کرد.
الگوریتم تولید دامنه - یک تکنیک کنترل بدافزار که چندین نام دامنه توسط میزبان‌های قربانی تولید می‌شود.

منابع ویرایش

↑ Danford; Salusky (2007). "The Honeynet Project: How Fast-Flux Service Networks Work". Archived from the original on 3 September 2019. Retrieved 2010-08-23.
↑ "The Spamhaus Project - Frequently Asked Questions (FAQ)". www.spamhaus.org.
↑ Shateel A. Chowdhury, "MALICIOUS USES OF FAST-FLUX SERVICE NETWORKS (FFSN)", Hackers Terminal, Apr 29, 2019

توضیح Spamhaus در مورد میزبانی Fast Flux
فیشینگ توسط پروکسی SANS Internet Storm دفتر خاطرات از ۲۰۰۶-۱۱-۲۸ شرح استفاده از میزبان‌های به خطر افتاده در بات نت‌ها را می‌دهد که از تکنیک‌های شار سریع برای ارائه بدافزار استفاده می‌کنند.
MySpace Phish و Drive-by بردار حمله تبلیغ سریع شبکه Flux رشد روزشمار SANS اینترنت طوفان دفتر خاطرات از ۲۰۰۶-۰۶-۲۶ با جزئیات فنی در مورد FluxBot و تکنیک‌های شار سریع (توجه داشته باشید: حاوی لینک به کد مخرب).
دشمن خود را بشناسید: شبکه‌های خدمات سریع شار. مقاله فنی Ever Changing Enemy honeynet.org از ژوئیه ۲۰۰۷ و اطلاعات بیشتر در مورد شار سریع، از جمله تکنیک‌های «تک شار» و «دو شار».
مقاله اندازه‌گیری و ردیابی شبکه‌های سرویس سریع شار توسط Holz و همکاران. از فوریه ۲۰۰۸ با نتایج اندازه‌گیری تجربی در شار سریع.
مقاله SecurityFocus برای حذف تأثیر شار سریع در اقدامات مقابله ای با نت با استفاده از مقاله SecurityFocus از ورقه‌های شار سریع ورقه ورقه می‌شود.
مهاجمان در مقاله تاریک سریع Flux از تاریخ ۲۰۰۷-۰۷-۱۷ در مورد استفاده از شار سریع توسط سازمان‌های جنایی در پشت بدافزار مخفی می‌شوند.
شماره CRYPTO-GRAM در ۱۵ اکتبر ۲۰۰۷ ، بروس اشنایر از شار سریع به عنوان یک روش DNS استفاده شده توسط کرم طوفان یاد می‌کند.
گزارش خلاصه ATLAS - گزارش جهانی لحظه ای از فعالیت شار سریع.
مشاوره SAC 025 SSAC در میزبانی سریع و DNS
گزارش GNSO در مورد میزبانی سریع Flux
پروژه FluXOR از آزمایشگاه امنیت رایانه و شبکه (LaSeR) @ Università degli Studi di Milano (سقوط در تاریخ ۰۷/۲۷/۲۰۱۲)

[1] Danford; Salusky (2007). "The Honeynet Project: How Fast-Flux Service Networks Work". Archived from the original on 3 September 2019. Retrieved 2010-08-23.

[2] "The Spamhaus Project - Frequently Asked Questions (FAQ)". www.spamhaus.org.

[3] Shateel A. Chowdhury, "MALICIOUS USES OF FAST-FLUX SERVICE NETWORKS (FFSN)", Hackers Terminal, Apr 29, 2019

[۱]

[۲]

[۳]