شار سریع یا Fast flux یک تکنیک DNS است که توسط بات نت ها برای پنهان کردن سایت های تحویل فیشینگ و بدافزار در پشت شبکه ای از میزبان های خطرناک که نقش پروکسی را ایفا می کنند، استفاده می شود. همچنین می تواند به ترکیبی از شبکه های نظیر به نظیر ، فرماندهی و کنترل توزیع شده ، توازن بار مبتنی بر وب و تغییر مسیر پراکسی اشاره داشته باشد که برای ایجاد مقاومت در برابر شبکه های بدافزار در برابر کشف و اقدامات متقابل، استفاده می شود. Storm Worm ( 2007 ) یکی از اولین انواع بدافزارها است که از این روش استفاده می کند.
ایدهٔ اصلی در مورد شار سریع، داشتن آدرسهای IP متعددی است که با یک نام دامنه کاملاً واجد شرایط مرتبط باشند، جایی که آدرس های IP با فرکانس بسیار بالا از طریق تغییر رکوردهای DNS داخل و خارج می شوند. [ ۱]
کاربران اینترنت ممکن است شار سریع را به شکل مورد استفاده در حملات فیشینگ مرتبط با سازمان های جنایی، از جمله حمله به خدمات شبکه های اجتماعی را مشاهده کنند.
درحالی که محققان امنیتی حداقل از نوامبر ۲۰۰۶ از این تکنیک آگاه بوده اند، این روش تنها از ژوئیه ۲۰۰۷ در مطبوعات تجارت امنیتی مورد توجه بیشتری قرار گرفت.
ساده ترین نوع شار سریع، با نام «تک - شار»، با چندین راس مستقل در شبکه ثبت و حذف آدرس های خود به عنوان بخشی از لیست ضبط DNS A ( آدرس ) برای نام تک DNS، ثبت می شود. این ترکیبی از DNS دور پیچیده با مقادیر بسیار کوتاه - معمولاً کمتر از پنج دقیقه ( ۳۰۰ ثانیه ) [ ۲] - TTL ( زمان زندگی ) است تا لیستی از آدرس های مقصد را برای نام آن واحد DNS که به طور مداوم تغییر می کند، ایجاد کند. این لیست می تواند صدها یا هزاران مدخل داشته باشد.
نوع پیچیده تری از شار سریع، که آن را «شار مضاعف» می نامند، [ ۳] با چندین راس در شبکه مشخص می شود که آدرس های خود را به عنوان بخشی از لیست نام رکورد سرور DNS برای منطقه DNS حذف و ثبت می کند. این یک لایه اضافی برای زنده ماندن در شبکه بدافزار فراهم می کند.
در یک حمله بدافزار، سوابق ( رکوردهای ) DNS معمولاً به سیستمی آسیب دیده اشاره می کنند که به عنوان یک سرور پراکسی عمل می کند. این روش مانع کار برخی از مکانیسم های دفاعی سنتی می شود - به عنوان مثال، لیست های کنترل دسترسی مبتنی بر IP یا "ACL". این روش همچنین می تواند سیستم های مهاجمان را مخفی کند، که از طریق یک سری پروکسی ها از شبکه بهره برداری می کنند و شناسایی شبکه مهاجمان را بسیار دشوارتر می کند. این رکورد به طور معمول به یک IP اشاره می کند که ربات ها برای ثبت نام ( رجیستر ) ، دریافت دستورالعمل ها یا فعال کردن حملات به آنجا می روند. از آنجا که IPها مجزا هستند، می توان منبع اصلی این دستورالعمل ها را استتار ( پنهان ) کرد، با تنظیم لیست های بلوک مبتنی بر IP، میزان بقا را افزایش داد.
این نوشته برگرفته از سایت ویکی پدیا می باشد، اگر نادرست یا توهین آمیز است، لطفا گزارش دهید: گزارش تخلفایدهٔ اصلی در مورد شار سریع، داشتن آدرسهای IP متعددی است که با یک نام دامنه کاملاً واجد شرایط مرتبط باشند، جایی که آدرس های IP با فرکانس بسیار بالا از طریق تغییر رکوردهای DNS داخل و خارج می شوند. [ ۱]
کاربران اینترنت ممکن است شار سریع را به شکل مورد استفاده در حملات فیشینگ مرتبط با سازمان های جنایی، از جمله حمله به خدمات شبکه های اجتماعی را مشاهده کنند.
درحالی که محققان امنیتی حداقل از نوامبر ۲۰۰۶ از این تکنیک آگاه بوده اند، این روش تنها از ژوئیه ۲۰۰۷ در مطبوعات تجارت امنیتی مورد توجه بیشتری قرار گرفت.
ساده ترین نوع شار سریع، با نام «تک - شار»، با چندین راس مستقل در شبکه ثبت و حذف آدرس های خود به عنوان بخشی از لیست ضبط DNS A ( آدرس ) برای نام تک DNS، ثبت می شود. این ترکیبی از DNS دور پیچیده با مقادیر بسیار کوتاه - معمولاً کمتر از پنج دقیقه ( ۳۰۰ ثانیه ) [ ۲] - TTL ( زمان زندگی ) است تا لیستی از آدرس های مقصد را برای نام آن واحد DNS که به طور مداوم تغییر می کند، ایجاد کند. این لیست می تواند صدها یا هزاران مدخل داشته باشد.
نوع پیچیده تری از شار سریع، که آن را «شار مضاعف» می نامند، [ ۳] با چندین راس در شبکه مشخص می شود که آدرس های خود را به عنوان بخشی از لیست نام رکورد سرور DNS برای منطقه DNS حذف و ثبت می کند. این یک لایه اضافی برای زنده ماندن در شبکه بدافزار فراهم می کند.
در یک حمله بدافزار، سوابق ( رکوردهای ) DNS معمولاً به سیستمی آسیب دیده اشاره می کنند که به عنوان یک سرور پراکسی عمل می کند. این روش مانع کار برخی از مکانیسم های دفاعی سنتی می شود - به عنوان مثال، لیست های کنترل دسترسی مبتنی بر IP یا "ACL". این روش همچنین می تواند سیستم های مهاجمان را مخفی کند، که از طریق یک سری پروکسی ها از شبکه بهره برداری می کنند و شناسایی شبکه مهاجمان را بسیار دشوارتر می کند. این رکورد به طور معمول به یک IP اشاره می کند که ربات ها برای ثبت نام ( رجیستر ) ، دریافت دستورالعمل ها یا فعال کردن حملات به آنجا می روند. از آنجا که IPها مجزا هستند، می توان منبع اصلی این دستورالعمل ها را استتار ( پنهان ) کرد، با تنظیم لیست های بلوک مبتنی بر IP، میزان بقا را افزایش داد.
wiki: شار سریع