Fast Flux技术——本质就是跳板,控制多个机器,同一域名指向极多的IP(TTL修改为0),以逃避追踪

转自:http://ytuwlg.iteye.com/blog/355718

通过病毒邮件和欺诈网站学到的对付网络封锁的好东西:Fast Flux技术 
收到一封邮件,引起我的好奇了:

邮件标题是:Has it really happened? 
邮件正文很短": Damned terrorists!!! http://iopbg.goodnewsdigital.com/contact.php

点开一看:内容是:

Powerful explosion burst in Changsha this morning. 
At least 12 people have been killed and more than 40 wounded in a bomb blast near market in Changsha. Authorities suggested that explosion was caused by "dirty" bomb. Police said the bomb was detonated from close by using electric cables. "It was awful" said the eyewitness about blast that he heard from his shop. "It made the floor shake. So many people were running" 
Until now there has been no claim of responsibility.

You need the latest Flash player to view video content. Click here to download. 
Related Links: 
http://en.wikipedia.org/wiki/Dirty_bomb 
http://www.google.com/search?q=Changsha+terror+attack

大意就是说长沙受到恐怖袭击了,还晒煞有介事的提供一个“脏弹”的维基百科链接,但问题是,中间那个图片和“Click here”是指向的一个EXE文件的链接,有高手能够反编译一下那个EXE文件么?我想知道这个有组织有预谋的陷阱是谁设置的,想知道是哪个有钱人搞的。 
刚才把这个病毒上传到virustotal了,结果是 https://www.virustotal.com/analisis/986833dbe078295b04885e9eb5cd5a88

我为什么说这个欺诈邮件是“有组织有预谋的陷阱”呢?让我们来调查一下:

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  96.32.70.105

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  76.100.243.204

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  67.183.201.90

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  89.215.17.167

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  68.51.31.108

C:\>

这段DNS查询显示iopbg.goodnewsdigital.com有无数的IP,每个独立的IP都是可以直接访问的IP,IP地址果然是不断变化的,能识我的IP 
所在的城市显示不同的内容,已经查到有9个IP了,每个IP都能直接访问,显示同样的内容。 
http://89.215.17.167/main.php 
http://68.51.31.108/main.php 
http://67.183.201.90/main.php 
http://76.100.243.204/main.php 
http://96.32.70.105/main.php 
http://67.163.159.63/main.php 
http://69.247.85.44/main.php 
http://72.241.82.41/main.php 
http://71.57.67.175/main.php 
http://24.14.118.126/main.php

我用Nslookup查,发现iopbg.goodnewsdigital.com的A记录的time to live(TTL)是0秒,也就是说, 
这个域名的A记录是不缓存的,

然后查询了很多次,去掉重复的,这个iopbg.goodnewsdigital.com至少有25个IP,我还不知道这这些IP是肉鸡还 
是某幕后组织亲自花钱买的IP: 
208.120.85.40 
24.4.148.160 
64.194.71.148 
66.168.217.225 
67.163.213.245 
68.36.175.10 
68.46.249.189 
68.57.189.195 
69.146.242.207 
69.242.22.235 
69.247.85.44 
69.248.156.235 
71.226.237.56 
72.138.2.127 
72.24.114.230 
72.241.82.41 
76.100.243.204 
76.92.65.155 
85.28.124.2 
89.139.202.194 
89.29.140.76 
89.78.198.19 
96.10.57.207 
98.195.51.11 
99.140.165.64 
网上查询了一下,原来这就是 Fast Flux技术,这里有更详细的介绍,http://www.honeynet.org/papers/ff/ 
可惜全是英文,我看这这里的介绍就明白是怎么回事了: 
Fast flux hosting 是指网络罪犯用于逃避侦测的技术, 网络罪犯可借此迅速修改 IP 地址和/或域名服务器。

来源:http://www.icann.org/zh/topics/policy/update-dec08-zh.htm#10

图片来自:http://www.honeynet.org/node/134 
原来只要把域名的A记录的 TTL 改短一点甚至改为0秒,然后用上无数肉机作为反向代理,这就是Fast flux了啊。 
网上还有文章说: 
Fast-flux 基本上是 load-balancing 的新花樣。它是一種依序循環式(round-robin)的方法,在此受到感染的 bot 機器(通常是家庭電腦)成了proxies 或惡意網站的主機。這些電腦會不斷地輪流改變它們的 DNS 紀錄以避免被研究者、ISPs 或執法單位查獲。 

此技術的目的是讓基於 IP 封鎖清單的方法在預防攻擊上變得英雄無用武之地, 
from: http://www.wretch.cc/blog/fsj/8106356

时间: 2024-10-10 07:24:44

Fast Flux技术——本质就是跳板,控制多个机器,同一域名指向极多的IP(TTL修改为0),以逃避追踪的相关文章

技术漫谈 | 远程访问和控制云端K8S服务器的方法

对于部署在云端的K8S容器编排系统,可以先通过SSH远程登录到K8S所在主机,然后运行kubectl命令工具来控制K8S服务系统.然而,先SSH登录才能远程访问的二阶段方式,对于使用Linux桌面或者macOS桌面的同学来说,Kubectl运行环境脱离了本地桌面环境,感觉到使用不方便,心情不爽. 下面介绍一种从本地桌面远程直接访问和控制云端K8S服务器的方法,有助于恢复愉快心情.该方法对于Windows桌面也适用,只不过本地文件路径不同,需要作适当修改. 一.kubectl远程访问控制原理  

3.Docker与LXC、虚拟化技术的区别——虚拟化技术本质上是在模拟硬件,Docker底层是LXC,本质都是cgroups是在直接操作硬件

先说和虚拟化技术的区别 难道虚拟技术就做不到吗? 不不不,虚拟技术也可以做到,但是会有一定程度的性能损失,灵活度也会下降.容器技术不是模仿硬件层次,而是 在Linux内核里使用cgroup和namespaces来打造轻便的.将近裸机速度的虚拟技术操作系统环境.因为不是虚拟化存储,所以容器技术不会管 底层存储或者文件系统,而是你放哪里,它操作哪里. 这从根本上改变了我们如何虚拟化工作负载和应用程序,因为容器速度比硬件虚拟化技术更快,更加便捷,弹性扩容的更加高效,只是它的工作负载要求操作系统,而不是

免token一键登录跳板机或指定机器

配置方式 注意,只在mac下测过 首先配置ssh session clone,保证你新开终端窗口时,跳板机的session在窗口间共享, 以及配置30秒向服务端发一个keep-alive包保持会话不会闲时中断 编辑 ~/.ssh/config 增加如下内容 Host * ControlPath ~/.ssh/master-%[email protected]%h:%p ControlMaster auto ServerAliveInterval 30 其次在 ~/.bashrc 或者 ~/.zs

华为HCNA教程(笔记)

第一章 VRP操作基础 1VRP基础 MiniUsb串口连接交换机的方法 2eNSP入门 3命令行基础(1) eNSP中路由开启后(记住port)---第三方软件连接该路由方法:telnet 127.0.0.1 port 用户视图(文件)-–系统视图(系统sys)--接口视图(接口 interface GigabitEthernet 0/0/0)--协议视图(路由) display hotkey 显示功能键 display clock 显示时间 clock timezone CST add 8

.net用url重写URLReWriter实现任意二级域名

.net用url重写URLReWriter实现任意二级域名 这两天需要用到URLReWriter来搞那个猪头的Blog,网上看到篇好文,收藏 摘要:解释了url重写的相关知识.用asp.net实现二级域名重写的方法.对重写的一些问题做了汇总解答.提供了几段示例代码. 好久没有写技术文章,如果大家看不明白,就多看几篇,汗,或者,在文章的后面回复(这是最有效的办法),我会尽力帮助大家解答疑惑. 来找这篇文章的,应该都知道什么叫二级域名吧,废话就不说了.但是讨论前,先要明白一个思想问题.很多朋友一直考

简历准备

简历答疑准备 简历答疑准备专业技能答疑:1.orm框架2.restful接口规范3.Django restframework框架4.django框架5.分布式系统:6.缓存系统7.Mysql查询优化1.从索引上优化2.sql语句上优化8.分库分表,读写分离9.redis10.mongdb11.高并发负载均衡的处理1 什么是负载均衡?2.处理负载均衡的四种方式1.HTTP重定向实现负载均衡过程描述调度策略优缺点分析2. DNS负载均衡DNS是什么具体做法调度策略优缺点分析动态DNS综上所述3. 反

负载均衡-四层负载-七层负载

负载均衡:是一种服务或基于硬件设备等实现的高可用反向代理技术,负载均衡将特定的业务(web服务.网络流量等)分担给指定的一个或多个后端特定的服务器或设备,从而提高了公司业务的并发处理能力.保证了业务的高可用性.方便了业务后期的水平动态扩展. (一)HTTP重定向实现负载均衡 过程描述:当用户向服务器发起请求时,请求首先被集群调度者截获:调度者根据某种分配策略,选择一台服务器,并将选中的服务器的IP地址封装在HTTP响应消息头部的Location字段中,并将响应消息的状态码设为302,最后将这个响

前端知识点总结——AJAX

前端知识点总结--Ajax 1.ajax 1.URL的作用 用于表示任意一个资源的位置(互联网上) 2.详解 格式: <scheme>://<user>:<pwd>@<host>:<port>/<path>;<params>?<query>#<frag> scheme:方案\协议,以哪种方式到服务获取资源,协议不区分大小写, 常见的协议:http,https,ftp ssh:安全的远程登录 SMTP

JavaScript中的跨域详解(内附源码)

什么是跨域? 什么是跨域? 所谓跨域,就是如果在不同的域名下面存在数据交互,这个时候就会存在跨域的问题,这里要说明的是在同一个网站不同的文件夹下的数据交互是不存在跨域问题的. 哪些情况下存在跨域问题? 主域和子域之间会存在跨域问题(比如 www.a.com 和 www.a.b.com). 不同的域名存在跨域问题,哪怕这两个域名指向的是同一个ip地址. 为什么 ajax 不可以跨域? 因为 ajax 是通过 XMLHttpRequest 这个对象来进行数据之间的交互的,而 XMLHttpReque