Fast Fluxと Botnet
スパムメール等で悪意のあるWebサイトにユーザーを誘導する受動型の攻撃で、最近は Fast-Fluxという手法が多く使われているようだ。ICANNからもアドバイザリが出ている。
SAC 025 SSAC Advisory on Fast Flux Hosting and DNS
Fast-FluxはサーバのIPアドレスを次々と変えていくことによって、フィッシングなど悪意のあるサイトの存在を隠す働きをもっている。これを具体的にはDNSのTTLを極端に短くする(例えば180sくらい)ことと、Botnetを利用することで実現している。
Fast-Fluxはその形態によって Single-FluxとDouble-Fluxの2種類がある。
- Single-Flux
- WebサーバのIPアドレスだけを変更するタイプ。攻撃に利用するドメインのAレコードを短いTTLでどんどん変えていく。この時、Aレコードに登録されるIPアドレスは Botnet内のIPアドレス。Botは実際のWebサイトに対してリクエストを中継する役割を担う。
- Double-Flux
- Single-Fluxに加えて、DNSサーバのIPアドレスも変更するタイプ。攻撃に利用するドメインのNSレコードを短いTTLで変えていく。この時、NSレコードに登録されるIPアドレスもやはり Botnet内のもの。Double-Fluxでは BotはDNSクエリーの中継とHTTPリクエストの中継という2つの役割を担う。
Fast-Fluxを利用しているドメインはTTLが極端に短くなっているのでわかりやすいが、被害にあった場合にあとからそのWebサイトを追跡することは非常に難しくなる。BotnetのHerderは Fast-Flux用のサービスネットワークを利用者に貸し出しすということをビジネスとしてやっている場合もあるようだ。なかなか頭の痛い問題である。
(関連URL)
Dark Reading | Security | Protect The Business - ...
http://www.honeynet.org/papers/ff/index.html
攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その1 | 日経 xTECH(クロステック)
攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その2 | 日経 xTECH(クロステック)