तेज़ प्रवाह

तेजी से प्रवाहित होने वाले डोमेन का रोबटेक्स डीएनएस विश्लेषण।

फास्ट फ्लक्स एक डोमेन नाम प्रणाली (डीएनएस) आधारित चोरी (नेटवर्क सुरक्षा) है जिसका उपयोग साइबर अपराधियों द्वारा फ़िशिंग और मैलवेयर डिलीवरी वेबसाइटों को छिपाने के लिए समझौता किए गए होस्ट के कभी-कभी बदलते नेटवर्क के पीछे बैकएंड बॉटनेट # क्लाइंट-सर्वर मॉडल के प्रॉक्सी को उल्टा करें के रूप में कार्य करने के लिए किया जाता है। एक बुलेट प्रूफ़ होस्टिंग स्वायत्त प्रणाली (इंटरनेट)।^[1] यह मैलवेयर नेटवर्क को खोज और प्रति-उपायों के प्रति अधिक प्रतिरोधी बनाने के लिए पियर-टू-पियर नेटवर्किंग, वितरित कमांड और नियंत्रण (मैलवेयर), वेब-आधारित लोड संतुलन (कंप्यूटिंग) और प्रॉक्सी सर्वर पुनर्निर्देशन के संयोजन को भी संदर्भित कर सकता है।

फास्ट-फ्लक्स के पीछे मूल विचार यह है कि एक पूर्णतः योग्य डोमेन नाम के साथ कई आईपी पते जुड़े होते हैं, जहां डोमेन नाम सिस्टम#संसाधन रिकॉर्ड, इस प्रकार नाम सर्वर# को बदलने के माध्यम से आईपी पते को अत्यधिक उच्च आवृत्ति के साथ अंदर और बाहर स्वैप किया जाता है। उक्त तेजी से प्रवाहित होने वाले डोमेन नाम का आधिकारिक नाम सर्वर - ज्यादातर मामलों में - आपराधिक अभिनेता द्वारा होस्ट किया जाता है।^[2]

बुनियादी ढांचे के विन्यास और जटिलता के आधार पर, फास्ट-फ्लक्सिंग को आम तौर पर सिंगल, डबल और डोमेन फास्ट-फ्लक्स नेटवर्क में वर्गीकृत किया जाता है। नेटवर्क सुरक्षा में तेजी से प्रवाह एक जटिल समस्या बनी हुई है और वर्तमान प्रति-उपाय अप्रभावी बने हुए हैं।

इतिहास

फास्ट-फ्लक्सिंग की रिपोर्ट सबसे पहले 2007 में हनीनेट परियोजना के सुरक्षा शोधकर्ता विलियम सैलुस्की और रॉबर्ट डैनफोर्ड द्वारा की गई थी;^[3] अगले वर्ष, उन्होंने 2008 में फास्ट-फ्लक्स सेवा नेटवर्क का एक व्यवस्थित अध्ययन जारी किया।^[4] रॉक फिश (2004) और तूफ़ान कीड़ा (2007) दो उल्लेखनीय फास्ट-फ्लक्स सेवा नेटवर्क थे जिनका उपयोग मैलवेयर वितरण और फ़िशिंग के लिए किया गया था।^[5]

फास्ट-फ्लक्स सेवा नेटवर्क

फास्ट-फ्लक्स सर्विस नेटवर्क (एफएफएसएन) समझौता किए गए होस्ट के फास्ट-फ्लक्स्ड नेटवर्क का परिणामी नेटवर्क का बुनियादी ढांचा है; इस तकनीक का उपयोग सामग्री वितरण नेटवर्क (सीडीएन) जैसे वैध सेवा प्रदाताओं द्वारा भी किया जाता है, जहां गतिशील आईपी पते को इंटरनेट होस्ट के डोमेन नाम से मेल खाने के लिए परिवर्तित किया जाता है, आमतौर पर राउंड-रॉबिन डीएनएस|राउंड-रॉबिन का उपयोग करके लोड संतुलन के उद्देश्य से डोमेन नाम प्रणाली (आरआर-डीएनएस)।^[6]बॉटनेट के लिए एफएफएसएन इंफ्रास्ट्रक्चर का उपयोग करने का उद्देश्य नेटवर्क को रिले करना और बैकएंड बुलेट प्रूफ होस्टिंग सामग्री सर्वर के लिए प्रॉक्सी के रूप में कार्य करना है जो अपस्ट्रीम सर्वर के रूप में कार्य करता है।^[7]

फ्रंटएंड और बैकएंड बॉट, जो बॉटनेट#कमांड और नियंत्रण से जुड़े एक अल्पकालिक होस्ट के रूप में कार्य करते हैं, फ्लक्स-एजेंट कहलाते हैं जिनकी नेटवर्क उपलब्धता तेजी से-फ्लक्सिंग की गतिशील प्रकृति के कारण अनिश्चित होती है।^[1] बैकएंड मदरशिप उपयोगकर्ता एजेंटों के साथ सीधा संचार स्थापित नहीं करती है, बल्कि प्रत्येक क्रिया को समझौता किए गए फ्रंटएंड नोड्स के माध्यम से रिवर्स प्रॉक्सी किया जाता है,^[8] प्रभावी ढंग से हमले को लंबे समय तक चलने वाला और नीचे गिराने के प्रयासों के खिलाफ लचीला बनाना।^[9]

प्रकार

सिंगल और डबल डीएनएस फास्ट-फ्लक्सिंग नेटवर्क का एक चित्रण।

फास्ट-फ्लक्सिंग को आम तौर पर दो प्रकारों में वर्गीकृत किया जाता है: सिंगल फ्लक्सिंग और डबल फ्लक्सिंग, सिंगल फ्लक्सिंग पर एक बिल्ड-ऑन कार्यान्वयन। फास्ट-फ्लक्सिंग में शामिल वाक्यांशविज्ञान में फ्लक्स-हर्डर मदरशिप नोड्स और फास्ट-फ्लक्स एजेंट नोड्स शामिल हैं, जो बैकएंड बुलेटप्रूफ़ होस्टिंग बॉटनेट नियंत्रक और अपस्ट्रीम सर्वर के बीच ट्रैफ़िक को आगे-पीछे रिवर्स प्रॉक्सी करने में शामिल समझौता होस्ट (नेटवर्क) को संदर्भित करता है। और ग्राहक क्रमशः।^[10]^[1] फास्ट-फ्लक्स चरवाहों द्वारा उपयोग किए जाने वाले समझौता किए गए होस्ट में आमतौर पर ब्रॉडबैंड, जैसे डिजिटल खरीदारों की पंक्ति और केबल मॉडेम शामिल होते हैं।^[11]

एकल-फ्लक्स नेटवर्क

एकल-फ्लक्स नेटवर्क में, तेज़-फ़्लक्सिंग डोमेन नाम का नाम सर्वर#आधिकारिक नाम सर्वर, पारंपरिक रूप से 180 और 600 सेकंड के बीच, कम समय के लाइव (टीटीएल) मानों के साथ एनएस रिकार्ड को बार-बार व्यवस्थित करता है। ज़ोन फ़ाइल के भीतर क्रमपरिवर्तित रिकॉर्ड में DNS रिकॉर्ड प्रकारों की सूची शामिल है |^[12]^[13]^[14] हालाँकि HTTP और DNS आमतौर पर फ्रंटएंड फ्लक्स-एजेंटों द्वारा प्रॉक्सी किए गए अनुप्रयोग परत बने रहते हैं, SMTP, IMAP और डाकघर प्रोटोकॉल जैसे प्रोटोकॉल को ट्रांसपोर्ट परत (L4) प्रसारण नियंत्रण प्रोटोकॉल और डेटाग्राम प्रोटेकॉलका उपयोग करें लेवल पोर्ट फ़ॉरवर्डिंग#रिमोट पोर्ट फ़ॉरवर्डिंग के माध्यम से भी वितरित किया जा सकता है। फ्लक्स-एजेंटों और बैकएंड फ्लक्स-हर्डर नोड्स के बीच।^[15]

डबल-फ्लक्स नेटवर्क

डबल-फ़्लक्सिंग नेटवर्क में फ़्लक्सिंग डोमेन के आधिकारिक नाम सर्वरों की उच्च-आवृत्ति क्रमपरिवर्तन शामिल है, साथ ही डीएनएस संसाधन रिकॉर्ड जैसे ए, एएएए, या सीएनएएमई फ्रंटएंड प्रॉक्सी की ओर इशारा करते हैं।^[15]^[16] इस बुनियादी ढांचे में, फ़्लक्सिंग डोमेन का आधिकारिक नाम सर्वर एक फ्रंटएंड रीडायरेक्टर नोड को इंगित करता है, जो उपयोगकर्ता डेटाग्राम प्रोटोकॉल#एप्लिकेशन को बैकएंड मदरशिप नोड पर अग्रेषित करता है जो क्वेरी को हल करता है।^[17]^[18] एनएस रिकॉर्ड सहित डीएनएस संसाधन रिकॉर्ड, कम टीटीएल मान के साथ सेट किए जाते हैं, जिसके परिणामस्वरूप एक अतिरिक्त संकेत मिलता है।^[19]^[20] डबल-फ्लक्सिंग नेटवर्क में एनएस रिकॉर्ड आमतौर पर एक रेफरर होस्ट को इंगित करते हैं जो टीसीपी और यूडीपी पोर्ट नंबरों की सूची # प्रसिद्ध पोर्ट पर सुनता है, जो क्वेरी को बैकएंड डीएनएस रिज़ॉल्वर पर अग्रेषित करता है जो फ्लक्सिंग डोमेन के लिए आधिकारिक है।^[21]^[22]^: 6 लचीलेपन और अतिरेक का उन्नत स्तर प्रॉक्सी सर्वर#फ्रंटएंड नोड्स की पारदर्शी प्रॉक्सी तकनीकों के माध्यम से प्राप्त किया जाता है;^[22]^: 7 तेजी से प्रवाहित होने वाले डोमेन वाइल्डकार्ड डीएनएस रिकॉर्ड का भी दुरुपयोग करते हैं RFC 1034 स्पैम डिलीवरी और फ़िशिंग के लिए विशिष्टता, और DNS डेटाग्राम क्वेरी के भीतर समाहित HTTP, एसएसएच फाइल ट्रांसफर प्रोटोकॉल और FTP जैसे प्रोटोकॉल के एप्लिकेशन लेयर पेलोड को स्थानांतरित करने के लिए गुप्त चैनलों का उपयोग करें।^[23]^[22]^: 6-7

डोमेन-फ्लक्स नेटवर्क

डोमेन-फ्लक्स नेटवर्क में फ्लक्स-हर्डर मदरशिप नोड्स के डोमेन नाम को लगातार घुमाते हुए एक तेज़-फ्लक्सिंग नेटवर्क को चालू रखना शामिल है।^[23]डोमेन नाम चयनित छद्म यादृच्छिकता डोमेन जनरेशन एल्गोरिदम (डीजीए) का उपयोग करके गतिशील रूप से उत्पन्न होते हैं, और फ्लक्स ऑपरेटर डोमेन नामों को बड़े पैमाने पर पंजीकृत करता है। एक संक्रमित होस्ट बार-बार फ्लक्स-हर्डर मदरशिप नोड में खुद को पंजीकृत करने के लिए एक पावती (डेटा नेटवर्क) तक एक आईपी पते को स्वचालित रूप से उत्पन्न करने, हल करने और कनेक्ट करके एक हाथ मिलाना (कंप्यूटिंग) | फ्लक्स-एजेंट हैंडशेक शुरू करने का प्रयास करता है।^[19] एक उल्लेखनीय उदाहरण में कन्फ़िकर, एक बॉटनेट शामिल है जो 110 शीर्ष-स्तरीय डोमेन (टीएलडी) में 50,000 विभिन्न डोमेन उत्पन्न करके चालू था।^[24]

सुरक्षा प्रतिउपाय

तेज़-फ़्लक्सिंग की मजबूत प्रकृति के कारण तेज़-फ़्लक्सिंग डोमेन नामों का पता लगाना और उन्हें कम करना नेटवर्क सुरक्षा में एक जटिल चुनौती बनी हुई है।^[25] हालांकि फ़िंगरप्रिंट (कंप्यूटिंग) बैकएंड फास्ट-फ्लक्स मदरशिप नोड तेजी से कठिन बना हुआ है, सेवा प्रदाता एक पैकेट क्राफ्टिंग भेजकर फ्रंटएंड फ्लक्स-एजेंटों को एक विशेष तरीके से ट्रैसरआउट # कार्यान्वयन के माध्यम से अपस्ट्रीम मदरशिप नोड्स का पता लगा सकते हैं जो आउट-ऑफ को ट्रिगर करेगा -बैंड डेटा|कम्युनिकेशन चैनल#डिजिटल चैनल मॉडल में क्लाइंट के लिए बैकएंड फास्ट-फ्लक्स मदरशिप नोड से आउट-ऑफ-बैंड नेटवर्क अनुरोध, ताकि क्लाइंट अपने नेटवर्क ट्रैफिक के लॉग विश्लेषण द्वारा मदरशिप नोड का आईपी पता निकाल सके।^[26] विभिन्न व्हाइट हैट (कंप्यूटर सुरक्षा) सुझाव देते हैं कि तेजी से प्रवाह के खिलाफ प्रभावी उपाय इसके उपयोग से डोमेन नाम को हटाना है। हालाँकि, डोमेन नाम रजिस्ट्रार ऐसा करने में अनिच्छुक हैं, क्योंकि सेवा समझौतों की स्वतंत्र शर्तों के क्षेत्राधिकार नहीं हैं जिनका पालन किया जाना चाहिए; ज्यादातर मामलों में, फास्ट-फ्लक्स ऑपरेटर और साइबरस्क्वैटर उन रजिस्ट्रारों की आय का मुख्य स्रोत हैं।^[27]

तेजी से प्रवाहित होने वाले डोमेन के खिलाफ अन्य उपायों में डीप पैकेट निरीक्षण (डीपीआई), फ़ायरवॉल (कंप्यूटिंग)#एंडपॉइंट विशिष्ट|होस्ट-आधारित फ़ायरवॉल और आईपी-आधारित एक्सेस कंट्रोल सूचियां (एसीएल) शामिल हैं, हालांकि इन दृष्टिकोणों में गंभीर सीमाएं हैं। तीव्र प्रवाह की गतिशील प्रकृति।^[28]

यह भी देखें

हिमस्खलन (फ़िशिंग समूह)

संदर्भ

↑ ^1.0 ^1.1 ^1.2 Li & Wang 2017, p. 3.
↑ Almomani 2016, p. 483.
↑ Zhou 2015, p. 3.
↑ Saif Al-Marshadi; Mohamed Anbar; Shankar Karuppayah; Ahmed Al-Ani (17 May 2019). "A Review of Botnet Detection Approaches Based on DNS Traffic Analysis". इंटेलिजेंट और इंटरएक्टिव कंप्यूटिंग. Lecture Notes in Networks and Systems. Vol. 67. Singapore: Springer Publishing, Universiti Sains Malaysia. p. 308. doi:10.1007/978-981-13-6031-2_21. ISBN 978-981-13-6030-5. S2CID 182270258.
↑ Nazario, Josh; Holz, Thorsten (8 October 2008). As the net churns: Fast-flux botnet observations. 3rd International Conference on Malicious and Unwanted Software (MALWARE). Alexandria, Virginia: Institute of Electrical and Electronics Engineers. p. 24. doi:10.1109/MALWARE.2008.4690854. ISBN 978-1-4244-3288-2.
↑ Almomani 2016, p. 483-484.
↑ Almomani 2016, p. 484.
↑ Zhou 2015, p. 4.
↑ Zhou 2015, p. 2-3.
↑ Salusky & Daford 2007, p. 1.
↑ Konte, Feamster & Jung 2008, p. 8.
↑ Salusky & Daford 2007, p. 1-2.
↑ Li & Wang 2017, p. 3-4.
↑ "FAQ: Fast-fluxing". Andorra: The Spamhaus Project. Archived from the original on 29 April 2021. Retrieved 12 December 2021.
↑ ^15.0 ^15.1 Salusky & Daford 2007, p. 2.
↑ Zhou 2015, p. 5.
↑ Li & Wang 2017, p. 3-5.
↑ Zhou 2015, p. 5-6.
↑ ^19.0 ^19.1 Li & Wang 2017, p. 4.
↑ Salusky & Daford 2007, p. 2-3.
↑ Konte, Feamster & Jung 2008, p. 4-6.
↑ ^22.0 ^22.1 ^22.2 Ollmann, Gunter (4 June 2009). "Botnet Communications Topologies: Understanding the intricacies of botnet Command-and-Control" (PDF). Core Security Technologies. Archived (PDF) from the original on 26 March 2020. Retrieved 3 March 2022.
↑ ^23.0 ^23.1 Hands, Nicole M.; Yang, Baijian; Hansen, Raymond A. (September 2015). A Study on Botnets Utilizing DNS. RIIT '15: Proceedings of the 4th Annual ACM Conference on Research in Information Technology, Purdue University. United States: Association for Computing Machinery. pp. 23–28. doi:10.1145/2808062.2808070.
↑ Li & Wang 2017, p. 4-5.
↑ Zhou 2015, p. 1-2.
↑ Salusky & Daford 2007, p. 7.
↑ Konte, Feamster & Jung 2008, p. 8-11.
↑ Florian Tegeler; Xiaoming Fu; Giovanni Vigna; Christoper Kruegel (10 December 2012). "BotFinder: Finding bots in network traffic without deep packet inspection". Proceedings of the 8th international conference on Emerging networking experiments and technologies. Association for Computing Machinery. pp. 349–360. doi:10.1145/2413176.2413217. ISBN 9781450317757. S2CID 2648522.

ग्रन्थसूची

Almomani, Ammar (24 August 2016). "Fast-flux hunter: a system for filtering online fast-flux botnet". Neural Comput & Applic. Springer Publishing. 29 (7): 483–493. doi:10.1007/s00521-016-2531-1. S2CID 4626895.
Li, Xingguo; Wang, Junfeng (25 September 2017). "Botnet Detection Technology Based on DNS". Future Internet. Sichuan University. 9 (4): 55. doi:10.3390/fi9040055.
Salusky, William; Daford, Robert (13 July 2007). "Know Your Enemy: Fast-Flux Service Networks". The Honeynet Project. Archived from the original on 30 September 2012 – via Wayback Machine. {{cite journal}}: Cite journal requires |journal= (help)
Konte, M.; Feamster, N.; Jung, J. (January 2008). "SAC 025: SSAC Advisory on Fast Flux Hosting and DNS" (PDF). Security and Stability Advisory Committee (SSAC). Internet Corporation for Assigned Names and Numbers (1). Archived (PDF) from the original on 22 November 2021. Retrieved 12 December 2021.
"SpamHaus: Frequently Asked Questions (FAQ)". The Spamhaus Project. Archived from the original on 22 February 2022. Retrieved 3 March 2022.
"SAC 025 SSAC Advisory on Fast Flux Hosting and DNS" (PDF). Internet Corporation for Assigned Names and Numbers. January 2008. Archived from the original (PDF) on 2022-01-19.
Zhou, Shijie (29 June 2015). "A Survey on Fast-flux Attacks". Information Security Journal: A Global Perspective. University of Electronic Science and Technology of China. 24 (4–6): 79–97. doi:10.1080/19393555.2015.1058994. S2CID 34993719.

[FOOTNOTELiWang20173-1] 1.0 ^1.1 ^1.2 Li & Wang 2017, p. 3.

[FOOTNOTEAlmomani2016483-2] Almomani 2016, p. 483.

[FOOTNOTEZhou20153-3] Zhou 2015, p. 3.

[4] Saif Al-Marshadi; Mohamed Anbar; Shankar Karuppayah; Ahmed Al-Ani (17 May 2019). "A Review of Botnet Detection Approaches Based on DNS Traffic Analysis". इंटेलिजेंट और इंटरएक्टिव कंप्यूटिंग. Lecture Notes in Networks and Systems. Vol. 67. Singapore: Springer Publishing, Universiti Sains Malaysia. p. 308. doi:10.1007/978-981-13-6031-2_21. ISBN 978-981-13-6030-5. S2CID 182270258.

[5] Nazario, Josh; Holz, Thorsten (8 October 2008). As the net churns: Fast-flux botnet observations. 3rd International Conference on Malicious and Unwanted Software (MALWARE). Alexandria, Virginia: Institute of Electrical and Electronics Engineers. p. 24. doi:10.1109/MALWARE.2008.4690854. ISBN 978-1-4244-3288-2.

[FOOTNOTEAlmomani2016483-484-6] Almomani 2016, p. 483-484.

[FOOTNOTEAlmomani2016484-7] Almomani 2016, p. 484.

[FOOTNOTEZhou20154-8] Zhou 2015, p. 4.

[FOOTNOTEZhou20152-3-9] Zhou 2015, p. 2-3.

[FOOTNOTESaluskyDaford20071-10] Salusky & Daford 2007, p. 1.

[FOOTNOTEKonteFeamsterJung20088-11] Konte, Feamster & Jung 2008, p. 8.

[FOOTNOTESaluskyDaford20071-2-12] Salusky & Daford 2007, p. 1-2.

[FOOTNOTELiWang20173-4-13] Li & Wang 2017, p. 3-4.

[14] "FAQ: Fast-fluxing". Andorra: The Spamhaus Project. Archived from the original on 29 April 2021. Retrieved 12 December 2021.

[FOOTNOTESaluskyDaford20072-15] 15.0 ^15.1 Salusky & Daford 2007, p. 2.

[FOOTNOTEZhou20155-16] Zhou 2015, p. 5.

[FOOTNOTELiWang20173-5-17] Li & Wang 2017, p. 3-5.

[FOOTNOTEZhou20155-6-18] Zhou 2015, p. 5-6.

[FOOTNOTELiWang20174-19] 19.0 ^19.1 Li & Wang 2017, p. 4.

[FOOTNOTESaluskyDaford20072-3-20] Salusky & Daford 2007, p. 2-3.

[FOOTNOTEKonteFeamsterJung20084-6-21] Konte, Feamster & Jung 2008, p. 4-6.

[Ollmann20-22] 22.0 ^22.1 ^22.2 Ollmann, Gunter (4 June 2009). "Botnet Communications Topologies: Understanding the intricacies of botnet Command-and-Control" (PDF). Core Security Technologies. Archived (PDF) from the original on 26 March 2020. Retrieved 3 March 2022.

[Yang15-23] 23.0 ^23.1 Hands, Nicole M.; Yang, Baijian; Hansen, Raymond A. (September 2015). A Study on Botnets Utilizing DNS. RIIT '15: Proceedings of the 4th Annual ACM Conference on Research in Information Technology, Purdue University. United States: Association for Computing Machinery. pp. 23–28. doi:10.1145/2808062.2808070.

[FOOTNOTELiWang20174-5-24] Li & Wang 2017, p. 4-5.

[FOOTNOTEZhou20151-2-25] Zhou 2015, p. 1-2.

[FOOTNOTESaluskyDaford20077-26] Salusky & Daford 2007, p. 7.

[FOOTNOTEKonteFeamsterJung20088-11-27] Konte, Feamster & Jung 2008, p. 8-11.

[28] Florian Tegeler; Xiaoming Fu; Giovanni Vigna; Christoper Kruegel (10 December 2012). "BotFinder: Finding bots in network traffic without deep packet inspection". Proceedings of the 8th international conference on Emerging networking experiments and technologies. Association for Computing Machinery. pp. 349–360. doi:10.1145/2413176.2413217. ISBN 9781450317757. S2CID 2648522.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

v t e Domain name parking
General	Reverse domain hijacking Cybersquatting Domain name drop list Domain name speculation Domain sniping Domain parking Domain tasting Domain name warehousing Doppelganger domain Type-in traffic Typosquatting Domain name front running Drop registrar
Legal	Uniform Domain-Name Dispute-Resolution Policy Anticybersquatting Consumer Protection Act (Trademark Cyberpiracy Prevention Act) PROTECT Act of 2003
Technical	Domain hack Wildcard DNS record Fast flux