fbpx
Wikipedia

DNS Fluxing

Agosto 01, 2021

Se llama DNS Fluxing a una serie de actividades destinadas a ocultar la ubicación real de determinados recursos dentro de una red. [1]​ Consiste en cambiar registros DNS con una frecuencia extrema[2]​ y reducir mucho el tiempo TTL del dominio para asegurarse que los otros servidores DNS no lleguen a cachear el dominio, obligando siempre a consultar el DNS raíz del dominio.[3]

Es usado habitualmente en ciberataques para mejorar la disponibilidad y la resistencia a fallos. En estos casos el recurso oculto es un servidor que entrega malware, un sitio web de phishing o un servidor de comando y control de una botnet.[1]

Hay dos posibles formas de hacer DNS Fluxing: Fast Flux, también llamado IP Flux, y Domain Flux.[4]

Fast Flux

Fast Flux o IP Flux consiste en el constante cambio de dirección IP asociada a un nombres de dominio con el fin de dificultar la localización del ataque. Las Botnet abusan de esta capacidad de cambiar la dirección IP asociada a un dominio vinculando varias direcciones IP y cambiando rápidamente las direcciones vinculadas. [4]

Habitualmente Fast Flux se combina con técnicas de Blind Proxy Redirection[4]​, de forma que las direcciones IP pertenecen a hosts comprometidos (bots), que se conocen como agentes fast-flux, que actúan como proxies inversos formando un servicio de red Fast-Flux (FFSN, del inglés Fast-Flux Service Network) que reenvían solicitudes del cliente al servidor C&C y reenvían las respuestas del servidor C&C al cliente. También se pueden usar varios niveles de indirección. La red Fast-Flux garantiza que un cliente víctima solo se conectará a agentes de flujo rápido, pero nunca al servidor real de C&C. De esta forma se evade la detección de servidores C&C y las listas negras basadas en IP. [5]

Hay tres tipos de Fast Flux:[4][5][6]

  • Single-flux. Se caracteriza por tener varias (cientos o incluso miles) direcciones IP asociadas a un nombre de dominio. Estas direcciones IP son registradas y desregistradas rápidamente - usando una combinación de planificación Round-robin y valores de tiempo de vida (Time-to-live, TTL) muy cortos - contra un registro de DNS particular. Los cambios aplican a registros A y AAAA. El servidor de DNS del dominio está alojado en un servidor fijo.
  • Name Server Flux, o simplemente NS flux, consiste en cambiar frecuentemente la dirección IP de registros de pegamento del DNS (registros A o AAAA que definen IP's donde se hacen las búsquedas de dominio apuntados por registro NS). Es decir, se cambian frecuente las direcciones IP de los servidores de nombre DNS.
  • Double-flux. Consiste en hacer a la vez Single-flux y NS fluxing. En este caso tanto las direcciones asociadas al nombre de dominio como el servidor de DNS del dominio son agentes fast-flux.

Domain Flux

Es el inverso del IP flux y consiste en el constante cambio y la asignación de múltiples dominios a una sola dirección IP. Para usar esta técnica es frecuente el uso de:[4]

  • Dominios con wildcards. Por ejemplo, se puede hacer que todos los dominios de la forma *.dominio.com apunten a la misma dirección IP. Esto se puede aprovechar para que el contenido aleatorio que aparece en el símbolo comodín (por ejemplo, 'asdkjlkwer.dominio.com') sirva para identificar de manera única a una víctima y así poder identificarla.
  • algoritmos de generación de dominio o (DGA). Son algoritmos que generan aleatoriamente nombres de dominio seudoaleatorios a partir de una semilla. Es habitual el uso de estos algoritmos en malware que se conectan a servidor C&C. El atacante selecciona una semilla e instala un malware con la misma. Como el atacante conoce la semilla, es capaz de predecir los dominios que se generarán, por lo que se anticipa y genera de forma aleatoria alguno de ellos, lo activa, espera a conectar con algunos nodos y los desactiva (des-registra) y vuelta a empezar. Esto dificulta la labor de administradores e investigadores de seguridad de bloquear accesos al servidor C&C para anular una botnet. Por ejemplo, los sistemas de detección basados en listas negras, listas de reputación y filtros web pueden ser evadidos sin problemas ya que, pasado un tiempo, el servidor C&C tendrá otro dominio y otra IP, y por tanto se permitirá el acceso. Por eso cuando se encuentra una muestra es muy importante aplicar ingeniería inversa y encontrar la semilla. Esta forma de elusión fue popularizado por los malware Conficker y es utilizado por el malware Kraken, Locky, Murofet, CryptoLocker y Torpig. Cada día es una técnica más habitual[7][8]

Referencias

  1. Detecting Algorithmically Generated Domains Using Data Visualization and N-Grams Methods. Tianyu Wang y Li-Chiou Chen. Seidenberg School of CSIS, Pace University, Pleasantville, New York. Proceedings of Student-Faculty Research Day, CSIS, Pace University, May 5th, 2017
  2. How to Protect Your Site at the DNS Level. Nathan Finch. bestwebhostingaustralia.org. 24 de marzo de 2020
  3. Entendiendo Fast Flux. admin. adrianramirez.es. 13 de mayo de 2016
  4. Botnet Communication Topologies. Understanding the intricacies of botnet Command-and-Control. Gunter Ollmann, VP of Research, Damballa, Inc. 2009
  5. Malicious uses of Fast-Flux Service Networks (FFSN). Shateel A. Chowdhury. 29 de abril de 2019
  6. FAST FLUX SERVICE NETWORKS. jcr. Diciembre de 2019
  7. Domain fluxing. techtarget.com. Noviembre de 2013
  8. Entendiendo el algortimo[sic de Generación de Dominios (DGA)]. Adrián Ramirez Correa. adrianramirez.es. 13 mayo de mayo 2016
  •   Datos: Q97179009

Agosto 01, 2021
fluxing, llama, serie, actividades, destinadas, ocultar, ubicación, real, determinados, recursos, dentro, consiste, cambiar, registros, frecuencia, extrema, reducir, mucho, tiempo, dominio, para, asegurarse, otros, servidores, lleguen, cachear, dominio, obliga. Se llama DNS Fluxing a una serie de actividades destinadas a ocultar la ubicacion real de determinados recursos dentro de una red 1 Consiste en cambiar registros DNS con una frecuencia extrema 2 y reducir mucho el tiempo TTL del dominio para asegurarse que los otros servidores DNS no lleguen a cachear el dominio obligando siempre a consultar el DNS raiz del dominio 3 Es usado habitualmente en ciberataques para mejorar la disponibilidad y la resistencia a fallos En estos casos el recurso oculto es un servidor que entrega malware un sitio web de phishing o un servidor de comando y control de una botnet 1 Hay dos posibles formas de hacer DNS Fluxing Fast Flux tambien llamado IP Flux y Domain Flux 4 Fast Flux EditarFast Flux o IP Flux consiste en el constante cambio de direccion IP asociada a un nombres de dominio con el fin de dificultar la localizacion del ataque Las Botnet abusan de esta capacidad de cambiar la direccion IP asociada a un dominio vinculando varias direcciones IP y cambiando rapidamente las direcciones vinculadas 4 Habitualmente Fast Flux se combina con tecnicas de Blind Proxy Redirection 4 de forma que las direcciones IP pertenecen a hosts comprometidos bots que se conocen como agentes fast flux que actuan como proxies inversos formando un servicio de red Fast Flux FFSN del ingles Fast Flux Service Network que reenvian solicitudes del cliente al servidor C amp C y reenvian las respuestas del servidor C amp C al cliente Tambien se pueden usar varios niveles de indireccion La red Fast Flux garantiza que un cliente victima solo se conectara a agentes de flujo rapido pero nunca al servidor real de C amp C De esta forma se evade la deteccion de servidores C amp C y las listas negras basadas en IP 5 Hay tres tipos de Fast Flux 4 5 6 Single flux Se caracteriza por tener varias cientos o incluso miles direcciones IP asociadas a un nombre de dominio Estas direcciones IP son registradas y desregistradas rapidamente usando una combinacion de planificacion Round robin y valores de tiempo de vida Time to live TTL muy cortos contra un registro de DNS particular Los cambios aplican a registros A y AAAA El servidor de DNS del dominio esta alojado en un servidor fijo Name Server Flux o simplemente NS flux consiste en cambiar frecuentemente la direccion IP de registros de pegamento del DNS registros A o AAAA que definen IP s donde se hacen las busquedas de dominio apuntados por registro NS Es decir se cambian frecuente las direcciones IP de los servidores de nombre DNS Double flux Consiste en hacer a la vez Single flux y NS fluxing En este caso tanto las direcciones asociadas al nombre de dominio como el servidor de DNS del dominio son agentes fast flux Domain Flux EditarEs el inverso del IP flux y consiste en el constante cambio y la asignacion de multiples dominios a una sola direccion IP Para usar esta tecnica es frecuente el uso de 4 Dominios con wildcards Por ejemplo se puede hacer que todos los dominios de la forma dominio com apunten a la misma direccion IP Esto se puede aprovechar para que el contenido aleatorio que aparece en el simbolo comodin por ejemplo asdkjlkwer dominio com sirva para identificar de manera unica a una victima y asi poder identificarla algoritmos de generacion de dominio o DGA Son algoritmos que generan aleatoriamente nombres de dominio seudoaleatorios a partir de una semilla Es habitual el uso de estos algoritmos en malware que se conectan a servidor C amp C El atacante selecciona una semilla e instala un malware con la misma Como el atacante conoce la semilla es capaz de predecir los dominios que se generaran por lo que se anticipa y genera de forma aleatoria alguno de ellos lo activa espera a conectar con algunos nodos y los desactiva des registra y vuelta a empezar Esto dificulta la labor de administradores e investigadores de seguridad de bloquear accesos al servidor C amp C para anular una botnet Por ejemplo los sistemas de deteccion basados en listas negras listas de reputacion y filtros web pueden ser evadidos sin problemas ya que pasado un tiempo el servidor C amp C tendra otro dominio y otra IP y por tanto se permitira el acceso Por eso cuando se encuentra una muestra es muy importante aplicar ingenieria inversa y encontrar la semilla Esta forma de elusion fue popularizado por los malware Conficker y es utilizado por el malware Kraken Locky Murofet CryptoLocker y Torpig Cada dia es una tecnica mas habitual 7 8 Referencias Editar a b Detecting Algorithmically Generated Domains Using Data Visualization and N Grams Methods Tianyu Wang y Li Chiou Chen Seidenberg School of CSIS Pace University Pleasantville New York Proceedings of Student Faculty Research Day CSIS Pace University May 5th 2017 How to Protect Your Site at the DNS Level Nathan Finch bestwebhostingaustralia org 24 de marzo de 2020 Entendiendo Fast Flux admin adrianramirez es 13 de mayo de 2016 a b c d e Botnet Communication Topologies Understanding the intricacies of botnet Command and Control Gunter Ollmann VP of Research Damballa Inc 2009 a b Malicious uses of Fast Flux Service Networks FFSN Shateel A Chowdhury 29 de abril de 2019 FAST FLUX SERVICE NETWORKS jcr Diciembre de 2019 Domain fluxing techtarget com Noviembre de 2013 Entendiendo el algortimo sic de Generacion de Dominios DGA Adrian Ramirez Correa adrianramirez es 13 mayo de mayo 2016 Datos Q97179009Obtenido de https es wikipedia org w index php title DNS Fluxing amp oldid 128124384, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos