Thông lượng tên miền, còn được gọi là Fast Flux, là một kỹ thuật được sử dụng để thay đổi nhanh chóng các địa chỉ IP được liên kết với một tên miền nhằm tránh bị phát hiện, tăng khả năng phục hồi trước việc gỡ bỏ và duy trì tính khả dụng liên tục của các dịch vụ trực tuyến độc hại hoặc không mong muốn. Cách thức này thường được tội phạm mạng sử dụng để lưu trữ các trang web độc hại, phân phối phần mềm độc hại và phát động các cuộc tấn công lừa đảo.
Lịch sử về nguồn gốc của Domain fluxing và lần đầu tiên đề cập đến nó.
Thông lượng tên miền lần đầu tiên xuất hiện vào đầu những năm 2000 như một phản ứng trước những nỗ lực của các chuyên gia an ninh mạng nhằm đưa vào danh sách đen và chặn các trang web độc hại dựa trên địa chỉ IP của chúng. Kỹ thuật này trở nên nổi bật khi tội phạm mạng tìm cách kéo dài tuổi thọ của cơ sở hạ tầng độc hại và tránh bị phát hiện bởi các giải pháp bảo mật.
Sự đề cập đầu tiên đến việc chuyển đổi tên miền có từ năm 2007 khi mạng botnet Storm Worm tận dụng kỹ thuật này để duy trì cơ sở hạ tầng chỉ huy và kiểm soát của nó. Việc sử dụng thông lượng tên miền cho phép botnet liên tục thay đổi vị trí lưu trữ, gây khó khăn cho các nhà nghiên cứu bảo mật và cơ quan chức năng trong việc ngăn chặn nó một cách hiệu quả.
Thông tin chi tiết về thông lượng tên miền. Mở rộng chủ đề Domain fluxing.
Thông lượng tên miền về cơ bản là một kỹ thuật trốn tránh dựa trên DNS. Các trang web truyền thống có liên kết tĩnh giữa tên miền và địa chỉ IP, nghĩa là tên miền trỏ đến một địa chỉ IP cố định. Ngược lại, việc chuyển đổi tên miền tạo ra sự liên kết thay đổi liên tục giữa một tên miền và nhiều địa chỉ IP.
Thay vì liên kết một địa chỉ IP với một tên miền, tính năng thông lượng miền sẽ thiết lập nhiều địa chỉ IP và thường xuyên thay đổi các bản ghi DNS, khiến miền phân giải thành các địa chỉ IP khác nhau trong khoảng thời gian nhanh chóng. Tốc độ thay đổi có thể xảy ra thường xuyên cứ sau vài phút, khiến các giải pháp bảo mật truyền thống gặp khó khăn trong việc chặn quyền truy cập vào cơ sở hạ tầng độc hại.
Cấu trúc bên trong của Domain fluxing. Cách thức hoạt động của thông lượng miền.
Chuyển miền liên quan đến nhiều thành phần làm việc cùng nhau để đạt được hành vi năng động và lảng tránh của nó. Các thành phần chính là:
-
Botnet hoặc cơ sở hạ tầng độc hại: Kỹ thuật chuyển miền thường được sử dụng cùng với botnet hoặc cơ sở hạ tầng độc hại khác lưu trữ nội dung hoặc dịch vụ thực sự có hại.
-
Nhà đăng ký tên miền và thiết lập DNS: Tội phạm mạng đăng ký một tên miền và thiết lập các bản ghi DNS, liên kết nhiều địa chỉ IP với tên miền.
-
Thuật toán thông lượng tên miền: Thuật toán này cho biết tần suất thay đổi bản ghi DNS và việc lựa chọn địa chỉ IP để sử dụng. Thuật toán thường được điều khiển bởi máy chủ chỉ huy và kiểm soát của botnet.
-
Máy chủ ra lệnh và điều khiển (C&C): Máy chủ C&C điều phối quá trình chuyển miền. Nó gửi hướng dẫn đến các bot trong mạng botnet, cho chúng biết địa chỉ IP nào sẽ sử dụng cho tên miền theo các khoảng thời gian cụ thể.
-
Bot: Các máy bị xâm nhập trong mạng botnet, do máy chủ C&C kiểm soát, chịu trách nhiệm khởi tạo các truy vấn DNS và lưu trữ nội dung độc hại.
Khi người dùng cố gắng truy cập miền độc hại, truy vấn DNS của họ sẽ trả về một trong nhiều địa chỉ IP được liên kết với miền. Khi bản ghi DNS thay đổi nhanh chóng, địa chỉ IP mà người dùng nhìn thấy liên tục thay đổi, gây khó khăn cho việc chặn quyền truy cập vào nội dung độc hại một cách hiệu quả.
Phân tích các tính năng chính của Domain fluxing.
Thông lượng tên miền sở hữu một số tính năng chính khiến nó trở thành một kỹ thuật ưa thích của các tác nhân độc hại:
-
Trốn tránh sự phát hiện: Bằng cách liên tục thay đổi địa chỉ IP, việc chuyển miền sẽ tránh được danh sách đen dựa trên IP truyền thống và các hệ thống phát hiện dựa trên chữ ký.
-
Khả năng phục hồi cao: Kỹ thuật này mang lại khả năng phục hồi cao cho các nỗ lực gỡ bỏ vì việc tắt một địa chỉ IP không làm gián đoạn quyền truy cập vào dịch vụ độc hại.
-
Sẵn có liên tục: Việc thay đổi tên miền đảm bảo tính khả dụng liên tục của cơ sở hạ tầng độc hại, đảm bảo hoạt động của mạng botnet có thể tiếp tục mà không bị gián đoạn.
-
Dư: Nhiều địa chỉ IP đóng vai trò là vị trí lưu trữ dự phòng, đảm bảo dịch vụ độc hại vẫn có thể truy cập được ngay cả khi một số địa chỉ IP bị chặn.
Các loại thông lượng tên miền
Thông lượng tên miền có thể được phân loại thành hai loại chính: Thông lượng đơn Và Thông lượng đôi.
Thông lượng đơn
Trong Single Flux, tên miền liên tục phân giải thành một nhóm địa chỉ IP thay đổi. Tuy nhiên, máy chủ định danh có thẩm quyền của miền vẫn không đổi. Điều này có nghĩa là các bản ghi NS (Máy chủ tên) cho miền không thay đổi, nhưng các bản ghi A (Địa chỉ), chỉ định địa chỉ IP, được cập nhật thường xuyên.
Thông lượng đôi
Double Flux đưa kỹ thuật trốn tránh tiến thêm một bước bằng cách liên tục thay đổi cả địa chỉ IP được liên kết với tên miền và máy chủ định danh có thẩm quyền của tên miền. Điều này làm tăng thêm độ phức tạp, khiến việc theo dõi và phá vỡ cơ sở hạ tầng độc hại càng khó khăn hơn.
Sử dụng thông lượng tên miền:
-
Phân phối phần mềm độc hại: Tội phạm mạng sử dụng tính năng thay đổi tên miền để lưu trữ các trang web phát tán phần mềm độc hại, chẳng hạn như Trojan, ransomware và phần mềm gián điệp.
-
Tấn công lừa đảo: Các trang web lừa đảo được thiết kế để đánh cắp thông tin nhạy cảm như thông tin đăng nhập và chi tiết thẻ tín dụng thường sử dụng tính năng thay đổi tên miền để tránh bị đưa vào danh sách đen.
-
Cơ sở hạ tầng C&C của Botnet: Thông lượng tên miền được sử dụng để lưu trữ cơ sở hạ tầng chỉ huy và kiểm soát của các botnet, cho phép liên lạc và kiểm soát các máy bị xâm nhập.
Vấn đề và giải pháp:
-
Tích cực sai: Các giải pháp bảo mật có thể vô tình chặn các trang web hợp pháp do chúng liên kết với các địa chỉ IP thay đổi. Các giải pháp nên sử dụng các kỹ thuật phát hiện nâng cao hơn để tránh kết quả dương tính giả.
-
Cơ sở hạ tầng thay đổi nhanh chóng: Các thủ tục gỡ xuống truyền thống không hiệu quả đối với việc thay đổi tên miền. Sự hợp tác giữa các tổ chức an ninh và cơ chế phản ứng nhanh là điều cần thiết để chống lại các mối đe dọa đó một cách hiệu quả.
-
Lỗ hổng DNS: Việc đào chìm các miền độc hại có thể làm gián đoạn quá trình chuyển đổi miền. Các nhà cung cấp bảo mật có thể chuyển hướng lưu lượng truy cập từ các miền độc hại đến các hố sụt, ngăn chúng tiếp cận cơ sở hạ tầng độc hại thực tế.
Các đặc điểm chính và các so sánh khác với các thuật ngữ tương tự dưới dạng bảng và danh sách.
Dưới đây là so sánh giữa Domain Fluxing và các kỹ thuật liên quan khác:
| Kỹ thuật | Sự miêu tả |
|---|---|
| Thông lượng tên miền | Thay đổi nhanh chóng các địa chỉ IP được liên kết với tên miền để tránh bị phát hiện và duy trì tính khả dụng liên tục. |
| Thuật toán tạo tên miền (DGA) | Các thuật toán được phần mềm độc hại sử dụng để tạo ra một số lượng lớn tên miền tiềm năng để liên lạc với máy chủ C&C. |
| Thông lượng nhanh | Một thuật ngữ tổng quát hơn bao gồm Domain Fluxing nhưng cũng bao gồm các kỹ thuật khác như DNS và Service Fluxing. |
| Thông lượng DNS | Một biến thể của Domain Fluxing chỉ thay đổi bản ghi DNS mà không thay đổi máy chủ định danh có thẩm quyền. |
| Thông lượng dịch vụ | Tương tự như Fast Flux, nhưng liên quan đến việc thay đổi nhanh chóng số cổng dịch vụ được liên kết với tên miền hoặc địa chỉ IP. |
Tương lai của việc chuyển đổi tên miền dự kiến sẽ được định hình bởi những tiến bộ trong công nghệ giám sát mạng và an ninh mạng. Một số phát triển tiềm năng bao gồm:
-
Học máy và phát hiện dựa trên AI: Các giải pháp bảo mật sẽ ngày càng sử dụng các thuật toán học máy để xác định các kiểu thay đổi dòng tên miền và dự đoán các hoạt động tên miền độc hại chính xác hơn.
-
DNS dựa trên chuỗi khối: Các hệ thống DNS phi tập trung, được xây dựng trên công nghệ blockchain, có thể làm giảm hiệu quả của việc chuyển đổi tên miền bằng cách tăng khả năng chống giả mạo và thao túng.
-
Thông tin mối đe dọa hợp tác: Cải thiện việc chia sẻ thông tin về mối đe dọa giữa các tổ chức bảo mật và ISP có thể tạo điều kiện cho thời gian phản hồi nhanh hơn nhằm giảm thiểu các mối đe dọa chuyển miền.
-
Thông qua DNSSEC: Việc áp dụng rộng rãi hơn DNSSEC (Tiện ích mở rộng bảo mật hệ thống tên miền) có thể tăng cường bảo mật DNS và giúp ngăn ngừa ngộ độc bộ đệm DNS, điều này có thể bị lợi dụng bởi các cuộc tấn công chuyển miền.
Cách sử dụng hoặc liên kết máy chủ proxy với việc chuyển miền.
Máy chủ proxy có thể vừa là công cụ hỗ trợ vừa là biện pháp đối phó với việc thay đổi tên miền:
1. Ẩn danh đối với cơ sở hạ tầng độc hại:
- Tội phạm mạng có thể sử dụng máy chủ proxy để ẩn địa chỉ IP thực của cơ sở hạ tầng độc hại của chúng, khiến việc theo dõi vị trí hoạt động thực tế của chúng trở nên khó khăn hơn.
2. Phát hiện và phòng ngừa:
- Mặt khác, các nhà cung cấp máy chủ proxy có uy tín như OneProxy có thể đóng một vai trò quan trọng trong việc phát hiện và ngăn chặn các nỗ lực chuyển miền. Bằng cách giám sát các mẫu lưu lượng truy cập và phân tích các liên kết tên miền, họ có thể xác định các hoạt động đáng ngờ và bảo vệ người dùng khỏi truy cập nội dung độc hại.
Liên kết liên quan
Để biết thêm thông tin về Domain Fluxing, bạn có thể tham khảo các tài nguyên sau:
- Hiểu mạng dịch vụ thông lượng nhanh - US-CERT
- Dòng chảy nhanh: Kỹ thuật và phòng ngừa – Viện SANS
- Thông lượng miền: Cấu trúc của Mạng dịch vụ thông lượng nhanh – Symantec
Hãy nhớ rằng, việc cập nhật thông tin về các mối đe dọa an ninh mạng mới nổi là rất quan trọng để bảo vệ sự hiện diện trực tuyến của bạn. Hãy luôn cảnh giác và sử dụng các giải pháp bảo mật uy tín để bảo vệ bản thân khỏi những rủi ro tiềm ẩn.
