Fast Flux — оружие неуловимых мстителей

Опубликовано: 29.01.2009, 13:24 Автор: Николай Двас Рубрики: безопасностьдомены
Тематика: ВирусыICANNFast FluxConficker/Downandup
Fast Flux — оружие неуловимых мстителей Fast Flux — техника динамического изменения соответствия между ip-адресом и доменным именем. Преимущественно ее используют злоумышленники, хотя случаются и законные использования. Впрочем, независимо от целей использования, технология эта вредна.

По крайней мере, вредной эту технологию полагают в ICANN. До недавнего времени, правда, в ICANN Fast Flux не любили, но не могли сказать, что же это такое. Данное теперь определение, несмотря на всю свою общность, позволяет понять суть «быстрого потока». Итак, Fast Flux-сеть — сеть, удовлетворяющая следующим условиям:



• Некоторые (но необязательно все) узлы сети — взломанные компьютеры: ПО на них было установлено помимо воли владельца;

• Сеть изменчива — в том смысле, что активные узлы сети меняются, чтобы поддержать ее жизнеспособность, упростить распространение компонент ПО сети, проводить другие атаки;

• Для достижения этой изменчивости используются «подозрительные» техники.


К подозрительным относятся техники быстрой и повторяющейся смены системы, использующейся как name server, рассеяние узлов системы среди широкого числа автономных подсистем, мониторинг узлов с целью определить их «выход из игры» и изменения топологии сети, происходящие по какому-то закону изменения во времени.


Fast Flux для вирусописателей и правозащитников


Отмечается, что это определение дает много ложноположительных срабатываний и нуждается в уточнении. Однако, важнее, чем уточнить, что считать, а что не считать Fast Flux’ом, — придумать как с ним бороться хотя бы в тех ситуациях, когда он очевиден. Например, именно технология Fast Flux, — или нечто подобное, вопрос определений — позволила комфортно размножаться червю Conficker/Downandup.


В то же время, в докладе ICANN отмечается, что пользу из работы такой техники могут извлечь не только преступники и мошенники, но и организации, защищающие права меньшинств и свободу слова в странах, где такие вещи не поощряются. В то же время, страдают от Fast Flux’а не только те, чьи компьютеры поражены, но и провайдеры, когда блокируются их диапазоны IP-адресов, и регистраторы, когда используются их мощности.


В качестве решения проблемы рассматриваются два пути. Первый — информационный. Вынудить регистрантов указывать больше информации. Второй — технологический: проработать ограничения по работе с DNS, имеющими малое время жизни (TTL).


Окончательное решение GNSO (Комитета по поддержке доменов общего пользования) будет принято еще через три недели. Тогда и станет ясно, как ICANN планирует бороться с этим явлением, которое само по себе еще не является полноценной атакой, но сопровождает ее.


Будучи спутником серьезной грозы, Fast Flux и сам по себе наносит ущерб. Поэтому средство борьбы с ним совершенно необходимо, но излишне усложнять процедуру смены DNS-записей тоже было бы неправильно, — отмечается в докладе ICANN. Хотя, человечество очень быстро привыкло снимать обувь в аэропорту.


Добавьте комментарий
Для размещения комментария необходима регистрация или авторизация:
 пользователь:   
 запись OpenID: 


Заработай деньги
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2

ТЕМА НЕДЕЛИ


Rambler's Top100