Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Fast-flux botnetek

2007.08.31. 18:36 | buherator | 1 komment

A Warezov/Stration és a Storm férgek egy már több mint egy éves módszerre hívták fel a figyelmet, melynek segítségével a bűnszervezetek által működtetett botnetek detektálása és felszámolása még nehezebbé vált.

A fast-flux tulajdonképpen egyfajta terhelés elosztást jelent: a fertőzött gépek proxyként üzemelnek a támadók altal működtetett phishing, pornó, hamis gyógyszertári, vagy más veszélyes oldalak előtt, illetve egyes esetekben ők maguk szolgálják ki ezeket. Ezen felül a botnet tagjai round-robin ütemezéssel (gyk. vetésforgó), nagyjából 3 percenként váltják egyást és megváltoztatják DNS bejegyzéseiket, hogy meggátolják az IP alapú szűrést, ezzel a hálózat felfedezését.

A fast-flux botnet ezen kívűl várhatóan jóval tartósabb lesz hagyományos társainál. Ha a szolgáltató leszed néhány ferőzött gépet, nemsokára újabbak lépnek a helyükbe, a "szolgáltatás" nem szűnik meg a valódi hostokon.

Mégis hogyan lehet gátat szabni egy ilyen rendszer működésének? Az egyik megoldás az otthoni felhasználók rendes tűzfalazása (elsősorban a 80-as és az 53-as porton), és behatolásérzékelő rendszerek használata lehetne, de mondanom sem, kell hogy ez csak egy szép álom.

Nicholas Bourbaki, független szakértő szerint fontos lenne bevezetni a hostnév alapú szűrést a különböző biztonsági rendszerekben, természetesen az IP alapú technikák mellé, hiszen ez utóbbi kényszeríti a botnetek tagjait mozgásra. Nicholas pedig azt állítja, hogy ez a mozgás érzékelhető, és felhasználható a fast-flux rendszerek elleni harcban, pontosabb részleteket azonban nem közölt, nehogy újabb ötleteket adjon a kibermaffiának.

A DarkReading cikkei alapján.


Címkék: botnet fast flux

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

xyz 2007.09.01. 20:02:38

Bourbaki (az eredeti, marmint) resze (kellene hogy legyen...) az altalanos muveltsegnek... en.wikipedia.org/wiki/Bourbaki