Ejemplo práctico:
Dado un nombre de dominio flu-project.com, tenga asignadas varias direcciones IP.
1. Dominio
que no utiliza sistemas Fast-Flux, realizamos una consulta DNS para que
nos devuelva todas las IP a las que resuelve un dominio en concreto.
seifreed@darkmac:~:dig flu-project.com
; <<>> DiG 9.8.1-P1 <<>> flu-project.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59428;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:;flu-project.com. IN A
;; ANSWER SECTION:flu-project.com. 890 IN A 134.0.11.133
;; Query time: 120 msec;; SERVER: 172.19.1.12#53(172.19.1.12);; WHEN: Mon Sep 17 16:15:19 2012;; MSG SIZE rcvd: 49
; <<>> DiG 9.8.1-P1 <<>> flu-project.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59428;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:;flu-project.com. IN A
;; ANSWER SECTION:flu-project.com. 890 IN A 134.0.11.133
;; Query time: 120 msec;; SERVER: 172.19.1.12#53(172.19.1.12);; WHEN: Mon Sep 17 16:15:19 2012;; MSG SIZE rcvd: 49
Como veis no hay múltiple IP
resolviendo a un dominio, además el TTL no es tan bajo como ocurre en las redes
Fast-Flux.
2. Dominio que si que usa redes Fast-Flux
seifreed@darkmac:~:dig
datesbooking.com
; <<>>
DiG 9.8.1-P1 <<>> datesbooking.com
;; global options: +cmd
;; Got answer:
;;
->>HEADER<<- opcode: QUERY, status: NOERROR, id:
40922
;; flags: qr rd ra; QUERY: 1,
ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;datesbooking.com. IN A
;; ANSWER SECTION:
datesbooking.com. 300 IN A
222.106.31.112
datesbooking.com. 300 IN A
71.196.187.168
datesbooking.com. 300 IN A
194.90.36.187
datesbooking.com. 300 IN A
67.175.74.110
datesbooking.com. 300 IN A
186.156.6.65
;; Query time: 153 msec
;; SERVER:
87.216.1.65#53(87.216.1.65)
;; WHEN: Thu Aug 23 00:32:11
2012
;; MSG SIZE rcvd: 114
El dominio resuelve a varias
direcciones IP.
Para verlo de manera más
gráfica podemos consultar el gráfico de Robtex
En las redes Fast-Flux existen
de dos tipos, las redes Single Fast-Flux y Dobe Fast-Flux.
- Single Fast-Flux: Las redes single Fast-Flux, es la implementación más sencilla. Cuando una víctima intenta acceder a un determinado dominio, la respuesta del DNS se corresponde con una dirección IP de los equipos infectados, que varían continuamente, que capturarán la petición del cliente y serán ellos quien negocien con el servidor donde se aloja el contenido. A pesar de que en general esta técnica se aplica al tráfico HTTP, indistintamente podría utilizarse con cualquier conexión tipo TCP o UDP.
- Doble Fast-Flux: Por otro lado las redes Doble Fast-Flux mantienen el concepto de las Single Fast-Flux pero añadiendo una capa más de redundancia. En este tipo de implementaciones, además de variar los registros A del DNS para que un mismo dominio resuelva direcciones IP diferentes, también varían los registros NS correspondientes a los servidores DNS autorizados. Por tanto, en este caso, las peticiones DNS de las víctimas son respondidas directamente por la red Fast-Flux.
Detección de redes Fast-Flux
La detección de redes que usen
Fast-Flux es algo que se lleva haciendo desde hace tiempo, existen ya
implementaciones en IDS que ayudan a detectar este tipo de redes. Ya expusieron
como en el blog del proyecto HoneyNet
Existen también proyectos como
pffdetect que realizarán las comprobaciones necesarias para detectar dominios
que usen redes Fast-Flux
La herramienta posee las
siguientes características:
Posibilidad de procesar un
único dominio o lista de ellos
Múltiples formas de comprobar
el AS de una dirección IP, entre las que se encuentran los servicios de
Team-Cymru y la base de datos de MaxMind
Posibilidad de usar múltiples
cores
Posibilidad de ejecutarse como
aplicación de consola o importarse como módulo
Realizamos una comprobación
con la herramienta en un dominio que use Fast-Flux
seifreed@darkmac:~/tools/malware/pffdetect:python
pffdetect.py -d datesbooking.com -s 8.8.8.8 -m DNS
|----------------------------------------------------------|
|
Fast-Flux domain
detector |
|
Alejandro Nolla (z0mbiehunt3r)
|
|
Powered by Buguroo! |
|----------------------------------------------------------|
[*] Checking if
datesbooking.com is a fast-fluxed domain (could take a while depending on
domain TTL)
[!] Domain
datesbooking.com is fast-fluxed
[-] Done
La herramienta ha sido capaz
detectar si usa Fast-Flux o no. La herramienta funcionaría de la siguiente
forma:
Se quiere comprobar si el
dominio datesbooking.com usa técnicas Fast-Flux, la herramienta consulta y
almacena que direcciones IP resuelven a dicho dominio. La herramienta se espera
a que expire el TTL para que se tenga que volver a resolver dicho dominio.
Realizando estas comprobaciones hay un alto grado de acierto en saber si un
dominio usa técnica Fast-Flux.
No hay comentarios:
Publicar un comentario