Existen varias técnicas para conseguir este propósito siendo las tres principales:
· Fast Flux básico, donde
· Name Server (NS) Fluxing, donde las direcciones IP de los Servidores de nombre DNS son cambiados.
· Double Flux, donde las direcciones IP de los sitios Web y los Servidores de nombre son cambiados.
Cuando un servidor tenía un exceso de carga se precisaba el poder balancear la carga con varios servidores (Host) que realicen la demanda, pudiéndose implementar con un equipo especializado denominado “load-balancer”, pero existe otro método para el caso que es la configuración “Round Robin DNS”.
Este objetivo en principio lícito de optimización de recursos ha sido aprovechado como método de ocultación de los hosts de resolución de los nombres de dominio. El objetivo de esta técnica es que la resolución de un nombre de dominio tenga múltiples asignaciones de direcciones IP (centenares e incluso miles). Las direcciones IP son constantemente intercambiadas usando combinaciones de “Round-robin DNS” (balanceo de carga de direcciones IP) junto con “Time to live” (TTL) muy cortos para registros de recursos “Resource Records” (RR).
Los nombres de los sitios Web pueden ser asociados con un nuevo conjunto de direcciones IP en frecuencias de pocos minutos. Así que los equipos que se conecten una vez pasado ese intervalo a esos sitios Web realmente se conectan a máquinas distintas pudiendo enmascarar en algunas de ellas las acciones ilícitas como la distribución de malware.
Se suele garantizar en el sistema de máquinas comprometidas un buen ancho de banda y la disponibilidad del servicio para sus fines delictivos, sustituyendo o eliminando aquellos nodos que no responde a su propósito.
Además suelen añadir una segunda capa para aumentar la seguridad y provocar el error que es la redirección a máquinas intermedias “Blind Proxy”, de forma que dificulta enormemente los intentos de rastreo para mitigar los nodos de la red de servicios Fast Flux. Lo que está sucediendo es que las numerosas direcciones IP que constantemente están sirviendo no provienen directamente de los hosts que existen en los registros de recurso ya que estos solo fluctúan entre muchos Hosts referentes o proxy que a su vez envía el contenido a otro grupo de servidores finales.
“Fast-flux motherships” son los elementos de control nodrizas para gestionar los servicios de red Fast Fllux, equivalente a los C&C “Command and Control” de las BotNets convencionales pero con notables ventajas. El “Fast Flux mothership” está oculto por los nodos proxy de Fast Flux que son los que responde a
Hasta finales de marzo de 2007 se conocía solo la existencia de dos de hosts nodriza sirviendo los miles de dominios en flux (cambio), lo que llevaba a pensar que esta técnica fue desarrollada y utilizada por un pequeño número de grupos e incluso un solo grupo. Encontrándose como dominios más utilizados en Fast flux los TLDs “.hk” e “.info”, si bien el resto de dominios entre los que esta “.com” también son utilizados.
Se distinguen dos tipos de técnicas de Redes Fast Flux: “Single Flux” (FF) y “Double Flux” (DF).
SINGLE FLUX (Flujo único): Se utiliza para alojar sitios Web referentes. Cada una de estas direcciones IP, que se van asignando a los dominios, corresponden a máquinas que previamente han sido comprometidas con algún código malicioso, formando parte de una Botnet. Los Bots de esta red de servicios no alojan el contenido del cliente Fast Flux sino que actúan de puente redirigiendo el tráfico al servidor Web donde el cliente de Fast Flux aloja las actividades ilegales o no autorizadas.
DOUBLE FLUX (Doble flujo): Se utiliza para alojar Servidores de Nombre de Dominio. Los Bots de esta red de servicios utilizan referentes del servidor de nombres para el cliente de Fast Flux. Estos servidores de nombres envían solicitudes DNS a servidores de nombres ocultos que alojan zonas que contienen registros de recursos DNS “A” para un conjunto de sitios web referentes. Los servidores de nombres ocultos no devuelven respuestas a través de su servidor de nombres de referencia sino que contestan directamente al host que realiza
En una modalidad de ataque, se registra un nombre de dominio (para una red de servicios Flux) para alojar sitios Web ilegales (webilegal.tld) y un segundo nombre de dominio (o más) para que la red de servicios Flux proporcione el la resolución de los nombres de dominio (redserviciodenombre.tld). Se asocia estos dominios con su operador de red de servicios Fast Flux. El operador de la red de servicios Fast Flux utiliza programas para cambiar rápidamente la información del servidor de nombres en los archivos de registro que el registrador mantiene para estos dominios, especialmente:
• Cambia las direcciones IP de los servidores de nombres de dominio para que señalen a diferentes hosts del dominio redserviciodenombre.tld
• Define el valor del tiempo de vida (TTL) en los registros de direcciones para estos servidores de nombres con un valor muy pequeño (de
Los registros de recursos asociados con un dominio de servidor de nombres utilizado en el alojamiento Fast Flux podrían ser similar en un archivo de zona TLD como:
$TTL 120 ; Time To Live (2 minutos)
webilegal.tld NS NS1. redserviciodenombre.tld
webilegal.tld. NS NS2. redserviciodenombre.tld
webilegal.tld. NS NS3. redserviciodenombre.tld
…
NS1. redserviciodenombre.tld. A 194.146.205.1
NS2. redserviciodenombre.tld. A 194.146.205.2
NS3. redserviciodenombre.tld. A 194.146.205.3
Si nos fijamos vemos que el tiempo de vida (TTL) de los registros de recursos es muy breve (120 segundos). Cuando transcurre ese TTL, la programación aplica un nuevo conjunto de registros “A” para los servidores de nombres que sustituye al anterior:
$TTL 120 ; Time To Live (2 minutos)
webilegal.tld. NS NS1. redserviciodenombre.tld
webilegal.tld. NS NS2. redserviciodenombre.tld
webilegal.tld. NS NS3. redserviciodenombre.tld
…
NS1. redserviciodenombre.tld. A 81.95.145.200
NS2. redserviciodenombre.tld. A 193.93.235.21
NS3. redserviciodenombre.tld. A 193.93.235.22
Evidentemente el tiempo para localizar y cerrar los Host servidores de nombres que dan soporte a esta técnica de Fast Flux es sumamente escaso. Además los registros de recursos en redserviciodenombre.tld apuntan a Hosts referentes o proxy en lugar de los Bots que proporcionan la resolución de nombres para webilegal.tld. Los hosts referentes escuchan en el puerto 53 y dirigen las consultas DNS a un Bot "DNS" que aloja un archivo de zona para webilegal.tld. El Bot "DNS" resuelve el nombre del dominio del sitio web fraudulento a
El alojamiento “Double Flux” añade un nivel adicional empleando Bots en la red redserviciodenombre.tld y cambiando rápidamente los registros “A” de los Hosts del servidor web referente en la red webilegal.tld. Los registros de recursos “A” de los servidores web referentes se configuran también con TTL breves. Cuando transcurre el TTL de los Hosts del servidor web, la automatización del operador de la red de servicios Fast Flux garantiza de nuevo que un nuevo conjunto de registros “A” para los servidores Web reemplaza al conjunto existente: Por tanto, el período durante el que es posible identificar y cerrar los servidores web referentes que participan en este ataque Fast Flux es muy reducido. Los registros asociados con el sitio web ilegal podrían aparecer en archivo de zona alojado en un Bot DNS en la red redserviciodenombre.tld como:
webilegal.tld. 120 IN A 194.146.207.1
webilegal.tld. 120 IN A 91.198.71.15
webilegal.tld. 120 IN A 81.95.148.135
webilegal.tld. 120 IN A 194.110.69.21
Observe de nuevo que se define un tiempo de vida (TTL) para cada registro de recursos a muy breve (en el ejemplo, 120 segundos). Transcurrido el TTL, los registros de recursos se modificarán automáticamente para apuntar a otros Bots que alojan este sitio web ilegal. Sólo unos minutos después, en el archivo de zona se podría leer:
webilegal.tld. 120 IN A 194.146.207.101
webilegal.tld. 120 IN A 91.198.71.18
webilegal.tld. 120 IN A 194.110.69.1
webilegal.tld. 120 IN A 194.146.205.1
Los efectos combinados de los registros A que se actualizan con rapidez en la zona webilegal.tld y los registros A del servidor de nombres en
No hay comentarios:
Publicar un comentario