A Warezov/Stration és a Storm férgek egy már több mint egy éves módszerre hívták fel a figyelmet, melynek segítségével a bűnszervezetek által működtetett botnetek detektálása és felszámolása még nehezebbé vált.
A fast-flux tulajdonképpen egyfajta terhelés elosztást jelent: a fertőzött gépek proxyként üzemelnek a támadók altal működtetett phishing, pornó, hamis gyógyszertári, vagy más veszélyes oldalak előtt, illetve egyes esetekben ők maguk szolgálják ki ezeket. Ezen felül a botnet tagjai round-robin ütemezéssel (gyk. vetésforgó), nagyjából 3 percenként váltják egyást és megváltoztatják DNS bejegyzéseiket, hogy meggátolják az IP alapú szűrést, ezzel a hálózat felfedezését.
A fast-flux botnet ezen kívűl várhatóan jóval tartósabb lesz hagyományos társainál. Ha a szolgáltató leszed néhány ferőzött gépet, nemsokára újabbak lépnek a helyükbe, a "szolgáltatás" nem szűnik meg a valódi hostokon.
Mégis hogyan lehet gátat szabni egy ilyen rendszer működésének? Az egyik megoldás az otthoni felhasználók rendes tűzfalazása (elsősorban a 80-as és az 53-as porton), és behatolásérzékelő rendszerek használata lehetne, de mondanom sem, kell hogy ez csak egy szép álom.
Nicholas Bourbaki, független szakértő szerint fontos lenne bevezetni a hostnév alapú szűrést a különböző biztonsági rendszerekben, természetesen az IP alapú technikák mellé, hiszen ez utóbbi kényszeríti a botnetek tagjait mozgásra. Nicholas pedig azt állítja, hogy ez a mozgás érzékelhető, és felhasználható a fast-flux rendszerek elleni harcban, pontosabb részleteket azonban nem közölt, nehogy újabb ötleteket adjon a kibermaffiának.
A DarkReading cikkei alapján.
A fast-flux tulajdonképpen egyfajta terhelés elosztást jelent: a fertőzött gépek proxyként üzemelnek a támadók altal működtetett phishing, pornó, hamis gyógyszertári, vagy más veszélyes oldalak előtt, illetve egyes esetekben ők maguk szolgálják ki ezeket. Ezen felül a botnet tagjai round-robin ütemezéssel (gyk. vetésforgó), nagyjából 3 percenként váltják egyást és megváltoztatják DNS bejegyzéseiket, hogy meggátolják az IP alapú szűrést, ezzel a hálózat felfedezését.
A fast-flux botnet ezen kívűl várhatóan jóval tartósabb lesz hagyományos társainál. Ha a szolgáltató leszed néhány ferőzött gépet, nemsokára újabbak lépnek a helyükbe, a "szolgáltatás" nem szűnik meg a valódi hostokon.
Mégis hogyan lehet gátat szabni egy ilyen rendszer működésének? Az egyik megoldás az otthoni felhasználók rendes tűzfalazása (elsősorban a 80-as és az 53-as porton), és behatolásérzékelő rendszerek használata lehetne, de mondanom sem, kell hogy ez csak egy szép álom.
Nicholas Bourbaki, független szakértő szerint fontos lenne bevezetni a hostnév alapú szűrést a különböző biztonsági rendszerekben, természetesen az IP alapú technikák mellé, hiszen ez utóbbi kényszeríti a botnetek tagjait mozgásra. Nicholas pedig azt állítja, hogy ez a mozgás érzékelhető, és felhasználható a fast-flux rendszerek elleni harcban, pontosabb részleteket azonban nem közölt, nehogy újabb ötleteket adjon a kibermaffiának.
A DarkReading cikkei alapján.
xyz 2007.09.01. 20:02:38