转自:http://ytuwlg.iteye.com/blog/355718

通过病毒邮件和欺诈网站学到的对付网络封锁的好东西:Fast Flux技术 
收到一封邮件,引起我的好奇了:

邮件标题是:Has it really happened? 
邮件正文很短": Damned terrorists!!! http://iopbg.goodnewsdigital.com/contact.php

点开一看:内容是:

Powerful explosion burst in Changsha this morning. 
At least 12 people have been killed and more than 40 wounded in a bomb blast near market in Changsha. Authorities suggested that explosion was caused by "dirty" bomb. Police said the bomb was detonated from close by using electric cables. "It was awful" said the eyewitness about blast that he heard from his shop. "It made the floor shake. So many people were running" 
Until now there has been no claim of responsibility.

You need the latest Flash player to view video content. Click here to download. 
Related Links: 
http://en.wikipedia.org/wiki/Dirty_bomb 
http://www.google.com/search?q=Changsha+terror+attack

大意就是说长沙受到恐怖袭击了,还晒煞有介事的提供一个“脏弹”的维基百科链接,但问题是,中间那个图片和“Click here”是指向的一个EXE文件的链接,有高手能够反编译一下那个EXE文件么?我想知道这个有组织有预谋的陷阱是谁设置的,想知道是哪个有钱人搞的。 
刚才把这个病毒上传到virustotal了,结果是 https://www.virustotal.com/analisis/986833dbe078295b04885e9eb5cd5a88

我为什么说这个欺诈邮件是“有组织有预谋的陷阱”呢?让我们来调查一下:

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  96.32.70.105

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  76.100.243.204

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  67.183.201.90

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  89.215.17.167

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  68.51.31.108

C:\>

这段DNS查询显示iopbg.goodnewsdigital.com有无数的IP,每个独立的IP都是可以直接访问的IP,IP地址果然是不断变化的,能识我的IP 
所在的城市显示不同的内容,已经查到有9个IP了,每个IP都能直接访问,显示同样的内容。 
http://89.215.17.167/main.php 
http://68.51.31.108/main.php 
http://67.183.201.90/main.php 
http://76.100.243.204/main.php 
http://96.32.70.105/main.php 
http://67.163.159.63/main.php 
http://69.247.85.44/main.php 
http://72.241.82.41/main.php 
http://71.57.67.175/main.php 
http://24.14.118.126/main.php

我用Nslookup查,发现iopbg.goodnewsdigital.com的A记录的time to live(TTL)是0秒,也就是说, 
这个域名的A记录是不缓存的,

然后查询了很多次,去掉重复的,这个iopbg.goodnewsdigital.com至少有25个IP,我还不知道这这些IP是肉鸡还 
是某幕后组织亲自花钱买的IP: 
208.120.85.40 
24.4.148.160 
64.194.71.148 
66.168.217.225 
67.163.213.245 
68.36.175.10 
68.46.249.189 
68.57.189.195 
69.146.242.207 
69.242.22.235 
69.247.85.44 
69.248.156.235 
71.226.237.56 
72.138.2.127 
72.24.114.230 
72.241.82.41 
76.100.243.204 
76.92.65.155 
85.28.124.2 
89.139.202.194 
89.29.140.76 
89.78.198.19 
96.10.57.207 
98.195.51.11 
99.140.165.64 
网上查询了一下,原来这就是 Fast Flux技术,这里有更详细的介绍,http://www.honeynet.org/papers/ff/ 
可惜全是英文,我看这这里的介绍就明白是怎么回事了: 
Fast flux hosting 是指网络罪犯用于逃避侦测的技术, 网络罪犯可借此迅速修改 IP 地址和/或域名服务器。

来源:http://www.icann.org/zh/topics/policy/update-dec08-zh.htm#10

图片来自:http://www.honeynet.org/node/134 
原来只要把域名的A记录的 TTL 改短一点甚至改为0秒,然后用上无数肉机作为反向代理,这就是Fast flux了啊。 
网上还有文章说: 
Fast-flux 基本上是 load-balancing 的新花樣。它是一種依序循環式(round-robin)的方法,在此受到感染的 bot 機器(通常是家庭電腦)成了proxies 或惡意網站的主機。這些電腦會不斷地輪流改變它們的 DNS 紀錄以避免被研究者、ISPs 或執法單位查獲。 

此技術的目的是讓基於 IP 封鎖清單的方法在預防攻擊上變得英雄無用武之地, 
from: http://www.wretch.cc/blog/fsj/8106356

Fast Flux技术——本质就是跳板,控制多个机器,同一域名指向极多的IP(TTL修改为0),以逃避追踪的更多相关文章

  1. 线程锁的本质:线程控制、线程状态控制 while if:根据线程的关系(模式)协调线程的执行

    线程锁的本质:线程控制.线程状态控制 while if https://www.cnblogs.com/feng9exe/p/8319000.html https://www.cnblogs.com/ ...

  2. 技术漫谈 | 远程访问和控制云端K8S服务器的方法

    对于部署在云端的K8S容器编排系统,可以先通过SSH远程登录到K8S所在主机,然后运行kubectl命令工具来控制K8S服务系统.然而,先SSH登录才能远程访问的二阶段方式,对于使用Linux桌面或者 ...

  3. Spring AOP技术本质认识

    Spring AOP技术本质认识 一.AOP简介   AOP(Aspect Oriented Programming,面向切面编程),把某一类问题集中在一个地方进行处理,比如处理程序中的点击事件.打印 ...

  4. ansible 通过堡垒机/跳板机 访问目标机器需求实战(ssh agent forward)

    一. 需求背景: 在我们使用ansible的过程中经常会遇到这样的情况,我们要管理的机器都在内网中,这些内网机器的登录都是通过跳板机或者堡垒机登录.我们的ansible机器不能直接管理到这些后端的机器 ...

  5. php后端控制可跨域的域名,允许图片跨域上传

    跨域问题经常需要面对,前端需要做的比较直接要么选择ajax异步提交,XML或者jsonp,要么表单提交前端常见跨域解决方案 jsonp基本可以搞定大部分跨域问题,但问题也比较明显,只能通过get方式提 ...

  6. 3.Docker与LXC、虚拟化技术的区别——虚拟化技术本质上是在模拟硬件,Docker底层是LXC,本质都是cgroups是在直接操作硬件

    先说和虚拟化技术的区别 难道虚拟技术就做不到吗? 不不不,虚拟技术也可以做到,但是会有一定程度的性能损失,灵活度也会下降.容器技术不是模仿硬件层次,而是 在Linux内核里使用cgroup和names ...

  7. Docker与LXC、虚拟化技术的区别——虚拟化技术本质上是在模拟硬件,Docker底层是LXC,本质都是cgroups是在直接操作硬件

    先说和虚拟化技术的区别: 难道虚拟技术就做不到吗? 不不不,虚拟技术也可以做到,但是会有一定程度的性能损失,灵活度也会下降.容器技术不是模仿硬件层次,而是 在Linux内核里使用cgroup和name ...

  8. 通过实例深入理解HTML5/CSS3/SVG/WebGL的技术本质

    常常听到人们对于HTML5的讨论,看了页面头部这个那个就是Html5,误认为HTML5只是新增些标签“而已”,学完了W3School似乎就理解了.实际上很多从业人员并没有深入理解业界为什么要推出HTM ...

  9. 【自动部署】Ansible 怎么通过堡垒机/跳板机 访问目标机器

    Ansible机器的 /root/.ssh/config 配置如下即可:Host 目标机器IP User root IdentityFile=/root/.ssh/xxx_id_rsa ProxyCo ...

随机推荐

  1. HDU 4333 Contest 4

    一开始就想到了扩展KMP,因为只有扩展KMP才是处理后缀的.但忽然短路以为扩展KMP求的是最长公共后缀,囧....又浪费了很多时间,都是对这个算法练得不多 再看那个扩展KMP算法之后,就很确定要的就是 ...

  2. Raspberry PI 系列 —— 裸机点亮LED灯

    Raspberry PI 系列 -- 裸机点亮LED灯 背景 近期刚买了Raspberry PI B+,配置执行了官方提供的Raspbian系统,折腾了一周Linux系统,感觉没啥意思,于是就试着想了 ...

  3. 文件类似性推断 -- SimHash

    近期调研了一下simhash算法,它主要用在谷歌网页去重中.网上有非常多原理性的介绍. 既然能够用来推断文件的相似性,就想知道效果怎么样.simhash的准确度是否依赖于分词算法?是否和simhash ...

  4. Android动态载入JAR包的实现方法

    有时候我们须要使用动态更新技术,简单来说就是:当我们把开发jar包发送给用户后.假设后期升级了部分代码.这时让用户的jar包自己主动更新,而不是用户主动手动地去更新的技术就是动态更新.这个须要使用的技 ...

  5. Android语音播报、后台播报、语音识别

    Android语音播报.后台播报.语音识别 本文介绍使用讯飞语音实现语音播报.语音识别功能. 讯飞开放平台:http://www.xfyun.cn/index.php/default/index 程序 ...

  6. Linux下iscsi的使用

    查看是否已安装了iscsi-initiator:  [root@test\ ~]# rpm -qa |grep iscsi iscsi-initiator-utils-6.2.0.868-0.18.e ...

  7. javascript系列-Class1.JavaScript基础

    欢迎加入前端交流群来py:749539640 转载请标明出处!   JavaScript概述        一个页面分成三个部分,结构,样式,行为.               HTML代表了页面的结 ...

  8. Codeforces 677D Vanya and Treasure 暴力+BFS

    链接 Codeforces 677D Vanya and Treasure 题意 n*m中有p个type,经过了任意一个 type=i 的各自才能打开 type=i+1 的钥匙,最初有type=1的钥 ...

  9. C#调用webservice(一)

    最近一直在搞网络编程,这篇是关于webservice的,准备写两篇例子这篇是实现手机号码归宿地查询,下篇准备写实现机票查询. 这个网站(http://www.webxml.com.cn/zh_cn/i ...

  10. EL与JSTL学习(二)——JSTL技术

    1.JSTL概述 JSTL(JSP Standard Tag Library),JSP标准标签库,可以嵌入在jsp页面中使用标签的形式完成业务逻辑等功能. jstl出现的目的同el一样也是要代替jsp ...