Cos'è il DNS a flusso veloce?
Fast flux DNS è una tecnica che un criminale informatico può utilizzare per impedire l'identificazione dell'indirizzo IP del suo server host chiave. Abusando del modo in cui funziona il sistema dei nomi di dominio, il criminale può creare una botnet con nodi che si uniscono e si staccano dalla rete più velocemente di quanto le forze dell'ordine possano rintracciarli.
Fast Flux DNS sfrutta il modo in cui il bilanciamento del carico è integrato nel sistema dei nomi di dominio. Il DNS consente a un amministratore di registrare una serie di indirizzi IP con un unico nome host. Gli indirizzi alternativi sono legittimamente utilizzati per distribuire il traffico Internet tra più server. In genere, gli indirizzi IP associati a un dominio host non cambiano molto spesso, se non del tutto.
Tuttavia, i criminali hanno scoperto che possono nascondere i server chiave utilizzando un'impostazione di sessanta secondi time-to-live (TTL) per i loro record di risorse DNS e scambiando gli indirizzi IP associati ai record dentro e fuori con estrema frequenza. Poiché l'abuso del sistema richiede la collaborazione di un registrar di nomi di dominio, si ritiene che la maggior parte delle botnet DNS a flusso rapido abbia origine in paesi emergenti o in altri paesi privi di leggi per il crimine informatico.
Secondo un white paper del progetto Honeypot, le botnet a flusso rapido sono responsabili di molte pratiche illegali, inclusi siti di reclutamento di money mule, siti Web di phishing, farmacie online illecite, siti di contenuti per adulti estremi o illegali, siti di exploit di browser dannosi e trappole Web per la distribuzione malware.
Per ulteriori informazioni:
L'esperto di sicurezza Ed Skoudis spiega come il DNS di flusso veloce può essere utilizzato per creare una botnet di phishing.
Questo documento del progetto Honeypot spiega come i criminali abbiano abusato del sistema dei nomi di dominio per creare sistemi botnet a flusso rapido.