İPUCU

Genel Güvenlik Web, Gprs, Wap, Üzerinde Gizlenmek İçin Neler Yapmanız Gerekenler ...

Seçenekler

Fast-Flux Networkler ve çalışma yapıları

04-06-2018 19:43
#1
Üyelik tarihi:
08/2015
Nereden:
İstanbul
Yaş:
20
Mesajlar:
751
Teşekkür (Etti):
192
Teşekkür (Aldı):
122
Konular:
54


Fast Flux Nedir

Fast Flux Hızlı Akı atağı, genellikle, dolandırıcılık yapan bilgisayar ağı arkasında kimlik avı ve kötü amaçlı yazılım dağıtım sitelerini gizlemek için dünya çapında botnetler tarafından kullanılır. Ayrıca, kötü niyetli ağları keşfetmeye ve karşı önlemlere karşı daha dirençli hale getirmek için kullanılan peer-to-peer ağ oluşturma, dağıtılan komut ve kontrol, web tabanlı yük dengeleme ve proxy yönlendirmenin kombinasyonuna da işaret edebilir

Fast Flux Nasıl Çalışır

Fast Flux’ın ardındaki temel fikir, IP adreslerinin DNS kayıtlarını değiştirerek son derece yüksek frekansta içeri ve dışarı takaslandığı tek bir tam alan adı ile ilişkili sayısız IP adresine sahip olmaktır. Bu IP adresleri, belirli bir DNS Kaynak Kaydı (RR) için yuvarlak-robin IP adresleri ve çok kısa bir Canlı Yaşama (TTL) kombinasyonunu kullanarak aşırı frekansta akı içinde ve dışında akmaktadır. Web sitesi ana bilgisayar adları, her 3 dakikada bir yeni bir IP adresi kümesiyle ilişkilendirilebilir, yani, her 3 dakikada bir aynı web sitesine bağlanan tarayıcı, aslında her seferinde farklı bir virüs bulaşmış bilgisayara bağlanacak olan son kullanıcı istemcisi anlamına gelir



Dönen IP adreslerinin büyük havuzu içerik talebinin son hedefi değildir. Bunun yerine, uzlaşmaya maruz kalan ön uç sistemleri yalnızca, içeriği hizmet eden diğer arka uç sunucularına ve diğer arka uç sunucularından istek ve veri toplayan akıcı aracı olarak adlandırılan yeniden yönlendiriciler olarak konuşlandırılır. Esasen, reklamı yapılan içerik için alan adları ve URL’ler artık belirli bir sunucunun IP adresine çözümlenmez, bunun yerine bir çok ön uç yönlendirme yönlendiricisi veya proxy’si arasında dalgalanır ve daha sonra içerik arka plan sunucularının başka bir grubuna yönlendirilir.

Buna ek olarak, saldırganlar aldatmacalarını barındırmak için kullandıkları tehlikeli sistemlerin mümkün olan en iyi bant genişliği ve hizmet kullanılabilirliğine sahip olmalarını sağlar. Yanıt vermeyen düğümlerin akıştan uzak tutulması ve içerik kullanılabilirliğinin her zaman korunması için düğümün sağlık kontrolü sonuçlarını dikkate alan bir yük dağıtım şeması kullanırlar.

Flux Ağlarının Türleri

Hızlı Akım ağları 2 ana kategoride sınıflandırılır
1-Tek akı ağları: Bunlar, bir dizi tehlikeye atılmış düğümün adreslerini tek bir DNS adı için DNS adres kayıt listesinin bir parçası olarak kaydettiği ve kaydını kaldırdığı ağlardır. Örneğin, aşağıdaki şekilde, normal istemci sunucusu iletişiminde bir web tarayıcı gibi normal bir son kullanıcı aracısının sunucuyu talep ettiğini ve sunucunun müşterinin isteğini yerine getirdiğini, buna karşılık tek bir akış ağında sunucuyla olan web tarayıcısı iletişimi gibi son kullanıcı aracısı, normalde bir flux-bot olarak adlandırılan bir yeniden yönlendirici aracılığıyla proxyleştirilir. Örneğin, aşağıdaki şekil example.com ve tarayıcı için kurban talebinin aslında akış ağıyla iletişim kurduğunu göstermektedir.



Talep böylece hedef web sitesine yönlendirilir. Tek akış hizmeti ağları, ön uç düğüm IP adresinin DNS kayıtlarını her 3-10 dakikada bir sıklıkla değiştirir; bu nedenle, bir akış-aracı yeniden yönlendirici düğümü kapatıldığında bile, birçok diğer enfekte yönlendirici ana bilgisayar ayakta durur ve hızlı bir şekilde yeri. Hızlı Akıcılık teknikleri kör TCP ve UDP yönlendirmelerini kullandığından, tek bir hedef porta sahip herhangi bir yönlü hizmet protokolü, muhtemelen Fast Flux servis ağı aracılığıyla sunulan birkaç sorunla karşılaşmaz. Örneğin, DNS ve HTTP hizmetleri ile birlikte SMTP, IMAP, POP vb. Hizmetleri de içerir.






2-Çift akı ağları: Bu ağlar, DNS NS kayıtlarının bir parçası olarak kaydedilen ve kayıtları iptal eden çok sayıda düğümle karakterizedir. Kötü amaçlı bir alan adı için hem DNS A kayıt setleri hem de yetkili NS kayıtları sürekli olarak değiştirilir ve Fast Flux servis ağına ilan edilir. Aşağıdaki şekilde, çiftli akış ağlarının nasıl gerçekte çalıştıkları ve tekli akı şebekelerinden nasıl farklı oldukları açıklanmaktadır.



İlk önce, tek akı ağlarının nasıl çalıştığını gözden geçirelim. Kullanıcı http://abc.example.com adlı bir kaynak talep ettiğini varsayalım, böylece rakam öncelikle son kullanıcı istemcisinin, yani tarayıcının DNS kökünü NS’ya üst seviye alan adının, diğer bir deyişle com çözümlemesini istediğini görebilir. Kök NS daha sonra ilgili NS adresi ile yanıt verir.
Bir sonraki adımda tarayıcı, example.com alan adı için NS’yi sorgular ve ad sunucusu ns.example.com’a bir başvuru alır. Ardından, tarayıcı abc.example.com adresi için ns.example.com’u sorgular. NS bir IP adresi ile yanıt verir ve tek bir akı şebekesi olduğu için bu IP adresi değeri sıklıkla değişir.


Şimdi çift akı ağlarının nasıl çalıştığını görelim. Müşteri, abc.example.com çözümlemesi için yetkili NS’ye sorduğu son adım dışında, aynı şeydir. Çift akışlı şebekelerde, yetkili NS’nin IP’si değişiyor - sıklıkla. Abc.example.com için bir DNS isteği istemciden alındığında, geçerli yetkili ad sunucusu, sorguların gerekli bilgi için ana makine düğümüne iletilir. Hedef sistem kendisi dinamik olarak değişen bir ön uç akış-aracı düğümü olmasına rağmen, müşteri hedef sistemle doğrudan iletişim kurmaya çalışabilir. Bu, kötü amaçlı yazılım ağı içinde fazladan bir katman ve hayatta kalma olanağı sağlar.
Kullanıcı İmzası
Gerilir zorlu bir yay
Oku fırlatmak için;
Gece gökte doğar ay
Yükselip batmak için.

Hüseyin Nihal Atsız
Konu CryptoCoder tarafından (04-06-2018 19:45 Saat 19:45 ) değiştirilmiştir.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı