谈论僵尸网络武器: 快速通行技术

在早期的僵尸网络中，控制器通常将C＆C服务器的域名或IP地址硬编码为恶意程序. 僵尸网络使用此信息来定期访问C＆C主机以获取命令. 但是，与此同时，安全人员也可以通过反向恶意程序获取C＆C服务器的域名或IP. 安全人员可以使用此信息定位C＆C主机，从而隔离C＆C主机并破坏僵尸网络. 为了保护C＆C主机，许多控制器使用Fast-flux技术来提高C＆C服务器的健壮性.

在普通的DNS服务器中，用户使用相同的域名进行DNS查询. 在很长一段时间内，无论查询返回多少次，结果基本上都不会改变. Fast-flux技术是指不断更改域名和IP地址之间的映射关系的技术，即查询使用Fast-flux技术在短时间内部署的域名将产生不同的结果. 图2-1显示了Fast-flux的工作方式.

图2-1客户端对Fast-flux网络过程的访问

客户两次访问的过程如下:

1）为了获取网站的IP地址，客户端启动DNS查询.

2）然后DNS服务器返回IP地址1.2.3.4僵尸网络，而TTL是一个小值.

3）客户端使用IP 1.2.3.4访问服务器以获取内容.

4）IP 1.2.3.4的服务器响应该请求并返回相应的内容.

5）客户端再次访问. 因为TTL太低，所以本地缓存的DNS记录无效，客户端需要再次从DNS服务器获取新的IP地址.

6）这次DNS服务器返回IP 4.3.2.1，这次TTL仍然很小.

7）客户端访问IP为4.3.2.1的服务器以获取内容.

8）IP 4.3.2.1的服务器响应该请求并返回相应的内容.

当客户端在短时间内多次访问该网站时，尽管域名相同，但实际访问的服务器主机却不同. 这是Fast-flux网络的工作过程.

在僵尸网络中，Fast-flux从技术上可以分为两类: 单通量和双通量

单通量模式是指仅具有一层更改的快速通量. 在“单通量”中，域名具有不断变化的IP地址列表. 此列表可能包含数百到数千个条目. 为了实现频繁的IP地址更改，控制器提供了最低级别的域名服务器，该服务器返回频繁更改的C＆C服务器IP地址. 如果您经常更改其他人提供的域名服务器中域名的IP地址列表，则管理员很容易检测到它，从而导致僵尸网络暴露. 单通量的工作过程如图3-1所示:

图3-1单通量流程图

Double-Flux网络与名称具有相同的含义，并且比Single-Flux多一层更改. 在Double-Flux中，控制器部署多个基础域名服务器来解析C＆C服务器的域名，并不断更改顶级域名服务器中相应基础域名服务器的IP地址. 会改变. 由于顶级域名服务器不归控制器所有，因此为了避免僵尸网络暴露，域名服务器IP地址修改的频率比C＆C服务器IP修改的频率低得多. 图3-2是Double-Flux的过程

图3-2双通量流程图

快速通量僵尸网络具有大量C＆C主机，并且大多数C＆C主机不是由控制器拥有的，而是由控制器控制的僵尸. 如果控制器要向所有C＆C主机发出命令，将非常困难. 因此，在真正的Fast-flux僵尸网络中，几乎没有C＆C主机（通常称为Mothership）实际持有控制命令. 其他C＆C主机是伪造的C＆C主机，仅提供命令转发和跳板功能. 完整的Fast-flux网络如图3-3所示.

图3-3 Fast-flux僵尸网络

1-2）被指控的主机向顶级DNS服务器发送请求，询问僵尸网络的DNS服务器地址.

3-4）被指控的主机向僵尸网络的DNS服务器发送请求，询问C＆C跳板域名的当前IP地址.

5-6）被控主机访问IP为1.2.3.4的主机以获得控制命令，但是该主机未提供任何实质性的控制命令. 它充当代理或跳板. 它将被控主机的请求转发给母舰（真正的C＆C主机）进行处理.

7-8）父级取出控制器发出的最新命令僵尸网络，并将其返回给1.2.3.4主机. 然后，1.2.3.4主机将结果返回给受控主机.

快速通量技术在僵尸网络中具有三个明显的优势:

首先，快速通量技术存在于合法和非法活动中，并且难以检测. Fast-flux技术在调节法律运作中的服务器压力方面发挥着作用，并且是每个网站的必备功能.

第二，对于活动，只需要少数高性能母舰主机即可提供C＆C服务. 僵尸主机的数据请求已连接到Fast-flux网络，从而隐藏了实际的证据. 当安全人员跟踪僵尸网络时，它们通常只出现在Fast-flux中的某些节点中. 这些节点中没有实际的控制命令，这使得对网络的调查更加困难.

第三，Fast-flux延长了父C＆C服务器的寿命. 由于采用多层跳板，安全人员需要更长的时间来识别和关闭C＆C服务器.

安全人员的快速通量僵尸网络检测取决于对DNS查询结果的多次分析. 有必要通过算法评分机制对DNS记录进行评估，分析每个DNS查询返回的IP状态，地址和NS资源数量等. 要检测相关信息，这些分析方法工作量巨大，准确性很高. 不高.

快速通量已成为隐藏C＆C服务器并延长僵尸网络生命周期的一项必不可少的技术. 借助该技术，僵尸网络控制器已对Internet安全发起了新一轮挑战.

[1]

[2]

[3]

[4]金冲. Fast-Flux网络检测与分析技术研究[D]. 中国科学院院，中国科学院大学，2011.

[5]李小如. 快速变化网络的自动智能检测方法[J]. 内江师范学院学报，2013，（12）: 12-14.

[6]王洋. 快速通量服务网络检测方法研究[D]. 导师: 李志堂. 华中科技大学，2009年.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-276569-1.html