fast-flux域名检测

1、僵尸网络

僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器 。僵尸网络是一种由引擎驱动的恶意因特网行为：DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。DDoS 攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为 DDoS 攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。

2、分布式拒绝服务攻击

DDOS（DDOS）一般指分布式拒绝服务攻击 分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的。 分布式拒绝服务攻击方式在进行攻击的时候，可以对源IP地址进行伪造，这样就使得这种攻击在发生的时候隐蔽性是非常好的，同时要对攻击进行检测也是非常困难的，因此这种攻击方式也成为了非常难以防范的攻击。

分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

3、DNS查询的四种方式

DNS通过层次结构的分布式数据库建立一致性的名字空间，用来定位网络资源。DNS查询过程可以分为本地查询、直接查询、递归查询和迭代查询。 以http://qq.com的DNS查询为例，打开dos窗口：nslookup -qt=ns qq.com

3-1、本地查询

主机保存有近期的DNS查询记录，这里面主要包含两块内容。一是hosts文件，文件保存在客户机系统盘中，文件路径是Windows/system32/drivers/etc/。另外一个是客户机的高速缓存，可以用ipconfig /displaydns查看。

如果主机发起DNS查询，首先查询hosts文件，然后在查询DNS缓存。如果hosts文件被恶意程序篡改，那么上网将异常，甚至还会打开不良网页。

很明显，本地缓存不会有http://qq.com的DNS记录。因此，主机向本地DNS服务器发起查询。

3-2、直接查询

本地DNS服务器是192.168.16.1，这是一个家庭路由器，本地DNS缓存里也不会有相应的DNS记录，因为它并不负责解析http://qq.com。因此，本地DNS服务器必须将查询请求转发至转发器。这个转发器即家庭路由器WAN口内设置的DNS地址，一般会有主备两个。

3-3、迭代查询

转发器按照域名级别高低，先后查询根服务器、.com域服务器、http://qq.com域服务器，最终得到授权应答。这个查询过程即迭代查询。

3-4、递归查询

转发器将相应的查询结果返回至本地DNS服务器192.168.16.1，本地DNS服务器将查询结果返回至主机，最终得出http://qq.com的ns记录。 因为本地DNS服务器不是http://qq.com的授权解析服务器，所以查询得出的结果是非权威应答。

递归的意思是：只需要发出一次请求，就能得到相应的结果。比如主机-本地DNS、本地DNS-转发器，都是递归查询。 迭代的意思是：需要经过多次挨个查询，才能得到相应的结果。比如转发器-根服务器、转发器http://-.com域服务器等，都是迭代查询。

4、浅谈僵尸网络利器：Fast-flux技术

http://www.caotama.com/2049735.html

4-1、基本概念

在正常的DNS服务器中，用户对同一个域名做DNS查询，在较长的一段时间内，无论查询多少次返回的结果基本上是不会改变的。Fast-flux技术是指不断改变域名和IP地址映射关系的一种技术，也就是说在短时间内查询使用Fast-flux技术部署的域名，会得到不同的结果。

Fast-flux技术在僵尸网络中的具体使用方式 在僵尸网络中，Fast-flux从技术上可分为两类：Single-Flux 和Double-Flux

4-2、Single-Flux

Single-Flux模式是指只有一层的变化的Fast-flux。在Single-Flux中，一个域名拥有一个不断变化的IP地址列表，这个列表可能会有几百到上千条。为了实现频繁的变化IP地址，控制者提供最底层域名服务器，这个服务器会返回频繁变化的C C服务器IP地址。如果在别人提供的域名服务器中频繁更改域名的IP地址列表，容易被管理者检测出来，导致僵尸网络暴露。

4-3、Double-Flux

Double-Flux网络跟名字中的意思一样，比Single-Flux多一层变化。在Double-Flux中，控制者会部署多个解析C C服务器域名的底层域名服务器，并不断修改顶级域名服务器中，对应的底层域名服务器的IP地址，这样每次解析C C服务器域名的底层域名服务器也会变化。由于顶级域名服务器不是控制者所有，为了避免僵尸网络暴露，域名服务器IP地址修改的频率比C C服务器IP的修改频率低很多

Fast-flux僵尸网络有着大量的C C主机，且大部分C C主机不是控制者所有的，而是控制者控制的僵尸主机，控制者如果想要发布命令给所有C C主机会非常困难。所以在真正的Fast-flux僵尸网络中，真正保存有控制命令的C C主机很少（通常称为Mothership），其他的C C主机都是假的C C主机，只提供命令转发和跳板的功能。

4-3、Fast-flux僵尸网络的优点

Fast-flux技术在僵尸网络中存在三个明显的优势：

第一，Fast-flux技术在合法的和非法的犯罪运营中都存在，检测困难。Fast-flux技术在合法的运营中扮演调节服务器压力的角色，是每个网站都必备的功能。

第二，对于犯罪运营中，仅仅需要少量的高性能母体（mothership）主机，用于提供C C服务。而僵尸主机的数据请求连接的是Fast-flux网络，隐藏了实际的犯罪证据。在安全人员追踪僵尸网络时，通常只能最终到Fast-flux中的部分节点，在这些节点中没有真正的控制命令，这使得对网络犯罪的调查变得更加困难。

第三，Fast-flux延长了母体C C服务器的生命期，由于多层的跳板，使得安全人员需要更长的时间用于识别和关闭C C服务器。

4-4、Fast-flux僵尸网络的检测

安全人员对Fast-flux僵尸网络检测取决于对DNS查询结果的多次分析，需要通过算法评分机制来评估DNS记录，分析每个DNS查询返回的IP情况，A地址，NS资源数等相关信息来检测，这些分析方法工作量巨大，且准确率不高。

Fast-flux已经成为一种隐藏C C服务器以及延长僵尸网络生命周期的必备技术，借助该技术，僵尸网络的控制者们向互联网安全发起了新一轮的挑战。