스톰캐스트 : Fast Flux Hosting

Fast Flux Hosting
xeraph	작성 일시 : 2008-06-30 15:42:04
Fast Flux 도메인 호스팅은 봇넷에 속한 광대역망의 봇 IP들을 웹사이트나 네임서버의 리버스 프록시로 사용하는 기법입니다. 고정된 호스트만 사용하게 되면 스팸이나 피싱 메일을 통해 사용자를 웹사이트로 유도하는 도중에 차단당하기 쉬우므로, DNS의 TTL (Time To Live) 값을 1~3분 정도로 아주 짧게 주고 NS 레코드 (네임서버 IP)나 IN 레코드 (웹서버 IP)를 계속 바꾸는 방법을 사용하는데 이를 Fast Flux Hosting이라 부릅니다. 특히 네임서버용 도메인을 별도로 등록하고 네임서버 IP까지 바꾸는 경우(NS 레코드 갱신)를 Double Flux라 부릅니다. 이 네임서버들은 DNS 요청을 받아서 숨겨진 네임서버로 포워딩하고, 숨겨진 네임서버는 응답을 전송할 때 요청을 보낸 네임서버를 거치지 않고 직접 클라이언트에게 보냅니다. 봇들은 리버스 프록시로 동작하기 때문에 실제 웹사이트의 IP가 쉽게 드러나지 않아 추적하기가 어렵고, 단순한 IP 차단만으로는 막기 어렵습니다. 그나마 다행인 것은 도메인을 등록할 때 추적을 피하기 위해 대부분 가짜 정보를 기입하기 때문에, ICANN 규정에 의거하여 도메인 사용을 중지시킬 수 있다는 것입니다. 아래와 같은 방법을 사용하여 피해를 줄일 수 있습니다: - 네임서버 설정 변경을 허용하기 전에 연락처 확인 - 스크립트를 이용해서 자동으로 네임서버 설정을 변경할 수 없도록 함 - 최소 TTL 값을 30분 이상으로 제한 - 과도한 DNS 설정 변경을 탐지하는 모니터링 시스템 구축 - 등록된 도메인과 호스팅 서비스의 불법적인 사용을 금지하는 약관 공표 및 집행 - 수상한 도메인은 설정 변경을 금지하고 변경 시도를 모니터링 - 도메인 설정 변경 횟수 제한 - 짧은 TTL 설정은 별도로 확인을 거치도록 처리 - 불법적인 도메인 사용으로 차단한 경우 바로 풀어주지 말 것 Arbor Networks에서 ATLAS를 통해 FASTFLUX 모니터링 정보를 제공하고 있습니다. 아래 링크를 따라가시면 됩니다. http://atlas.arbor.net/summary/fastflux 자세한 내용은 아래 Honeynet Project 문서를 읽어보시기 바랍니다. http://www.honeynet.org/papers/ff/fast-flux.html

Fast Flux 도메인 호스팅은 봇넷에 속한 광대역망의 봇 IP들을 웹사이트나 네임서버의 리버스 프록시로 사용하는 기법입니다. 고정된 호스트만 사용하게 되면 스팸이나 피싱 메일을 통해 사용자를 웹사이트로 유도하는 도중에 차단당하기 쉬우므로, DNS의 TTL (Time To Live) 값을 1~3분 정도로 아주 짧게 주고 NS 레코드 (네임서버 IP)나 IN 레코드 (웹서버 IP)를 계속 바꾸는 방법을 사용하는데 이를 Fast Flux Hosting이라 부릅니다.

특히 네임서버용 도메인을 별도로 등록하고 네임서버 IP까지 바꾸는 경우(NS 레코드 갱신)를 Double Flux라 부릅니다. 이 네임서버들은 DNS 요청을 받아서 숨겨진 네임서버로 포워딩하고, 숨겨진 네임서버는 응답을 전송할 때 요청을 보낸 네임서버를 거치지 않고 직접 클라이언트에게 보냅니다.

봇들은 리버스 프록시로 동작하기 때문에 실제 웹사이트의 IP가 쉽게 드러나지 않아 추적하기가 어렵고, 단순한 IP 차단만으로는 막기 어렵습니다. 그나마 다행인 것은 도메인을 등록할 때 추적을 피하기 위해 대부분 가짜 정보를 기입하기 때문에, ICANN 규정에 의거하여 도메인 사용을 중지시킬 수 있다는 것입니다.

아래와 같은 방법을 사용하여 피해를 줄일 수 있습니다:
- 네임서버 설정 변경을 허용하기 전에 연락처 확인
- 스크립트를 이용해서 자동으로 네임서버 설정을 변경할 수 없도록 함
- 최소 TTL 값을 30분 이상으로 제한
- 과도한 DNS 설정 변경을 탐지하는 모니터링 시스템 구축
- 등록된 도메인과 호스팅 서비스의 불법적인 사용을 금지하는 약관 공표 및 집행
- 수상한 도메인은 설정 변경을 금지하고 변경 시도를 모니터링
- 도메인 설정 변경 횟수 제한
- 짧은 TTL 설정은 별도로 확인을 거치도록 처리
- 불법적인 도메인 사용으로 차단한 경우 바로 풀어주지 말 것

Arbor Networks에서 ATLAS를 통해 FASTFLUX 모니터링 정보를 제공하고 있습니다. 아래 링크를 따라가시면 됩니다.
http://atlas.arbor.net/summary/fastflux

자세한 내용은 아래 Honeynet Project 문서를 읽어보시기 바랍니다.
http://www.honeynet.org/papers/ff/fast-flux.html

Natashaguh	다운로드하는 방법 XRumer 7.0.10 ELITE? 나에게 보내기 URL 하시기 바랍니다!	2012-01-31 00:25
Natashaguh	무료로 다운로드 하는 방법 X-Rumer 7.0.10 ?? 내가 URL을 하시기 바랍니다 줘!!! 그것은 질량 이 포럼 에 게시 위한 최상의 프로그램입니다 ! XRumer 는 captchas 대부분의 유형 을 깰 수 있습니다!	2012-02-12 05:07

최근 글

최근 덧글