Fast Flux — оружие неуловимых мстителей

По крайней мере, вредной эту технологию полагают в ICANN. До недавнего времени, правда, в ICANN Fast Flux не любили, но не могли сказать, что же это такое. Данное теперь определение, несмотря на всю свою общность, позволяет понять суть «быстрого потока». Итак, Fast Flux-сеть — сеть, удовлетворяющая следующим условиям:



• Некоторые (но необязательно все) узлы сети — взломанные компьютеры: ПО на них было установлено помимо воли владельца;

• Сеть изменчива — в том смысле, что активные узлы сети меняются, чтобы поддержать ее жизнеспособность, упростить распространение компонент ПО сети, проводить другие атаки;

• Для достижения этой изменчивости используются «подозрительные» техники.

К подозрительным относятся техники быстрой и повторяющейся смены системы, использующейся как name server, рассеяние узлов системы среди широкого числа автономных подсистем, мониторинг узлов с целью определить их «выход из игры» и изменения топологии сети, происходящие по какому-то закону изменения во времени.

Fast Flux для вирусописателей и правозащитников

Отмечается, что это определение дает много ложноположительных срабатываний и нуждается в уточнении. Однако, важнее, чем уточнить, что считать, а что не считать Fast Flux’ом, — придумать как с ним бороться хотя бы в тех ситуациях, когда он очевиден. Например, именно технология Fast Flux, — или нечто подобное, вопрос определений — позволила комфортно размножаться червю Conficker/Downandup.

В то же время, в докладе ICANN отмечается, что пользу из работы такой техники могут извлечь не только преступники и мошенники, но и организации, защищающие права меньшинств и свободу слова в странах, где такие вещи не поощряются. В то же время, страдают от Fast Flux’а не только те, чьи компьютеры поражены, но и провайдеры, когда блокируются их диапазоны IP-адресов, и регистраторы, когда используются их мощности.

В качестве решения проблемы рассматриваются два пути. Первый — информационный. Вынудить регистрантов указывать больше информации. Второй — технологический: проработать ограничения по работе с DNS, имеющими малое время жизни (TTL).

Окончательное решение GNSO (Комитета по поддержке доменов общего пользования) будет принято еще через три недели. Тогда и станет ясно, как ICANN планирует бороться с этим явлением, которое само по себе еще не является полноценной атакой, но сопровождает ее.

Будучи спутником серьезной грозы, Fast Flux и сам по себе наносит ущерб. Поэтому средство борьбы с ним совершенно необходимо, но излишне усложнять процедуру смены DNS-записей тоже было бы неправильно, — отмечается в докладе ICANN. Хотя, человечество очень быстро привыкло снимать обувь в аэропорту.