转自:http://ytuwlg.iteye.com/blog/355718

通过病毒邮件和欺诈网站学到的对付网络封锁的好东西:Fast Flux技术 
收到一封邮件,引起我的好奇了:

邮件标题是:Has it really happened? 
邮件正文很短": Damned terrorists!!! http://iopbg.goodnewsdigital.com/contact.php

点开一看:内容是:

Powerful explosion burst in Changsha this morning. 
At least 12 people have been killed and more than 40 wounded in a bomb blast near market in Changsha. Authorities suggested that explosion was caused by "dirty" bomb. Police said the bomb was detonated from close by using electric cables. "It was awful" said the eyewitness about blast that he heard from his shop. "It made the floor shake. So many people were running" 
Until now there has been no claim of responsibility.

You need the latest Flash player to view video content. Click here to download. 
Related Links: 
http://en.wikipedia.org/wiki/Dirty_bomb 
http://www.google.com/search?q=Changsha+terror+attack

大意就是说长沙受到恐怖袭击了,还晒煞有介事的提供一个“脏弹”的维基百科链接,但问题是,中间那个图片和“Click here”是指向的一个EXE文件的链接,有高手能够反编译一下那个EXE文件么?我想知道这个有组织有预谋的陷阱是谁设置的,想知道是哪个有钱人搞的。 
刚才把这个病毒上传到virustotal了,结果是 https://www.virustotal.com/analisis/986833dbe078295b04885e9eb5cd5a88

我为什么说这个欺诈邮件是“有组织有预谋的陷阱”呢?让我们来调查一下:

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  96.32.70.105

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  76.100.243.204

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  67.183.201.90

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  89.215.17.167

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  68.51.31.108

C:\>

这段DNS查询显示iopbg.goodnewsdigital.com有无数的IP,每个独立的IP都是可以直接访问的IP,IP地址果然是不断变化的,能识我的IP 
所在的城市显示不同的内容,已经查到有9个IP了,每个IP都能直接访问,显示同样的内容。 
http://89.215.17.167/main.php 
http://68.51.31.108/main.php 
http://67.183.201.90/main.php 
http://76.100.243.204/main.php 
http://96.32.70.105/main.php 
http://67.163.159.63/main.php 
http://69.247.85.44/main.php 
http://72.241.82.41/main.php 
http://71.57.67.175/main.php 
http://24.14.118.126/main.php

我用Nslookup查,发现iopbg.goodnewsdigital.com的A记录的time to live(TTL)是0秒,也就是说, 
这个域名的A记录是不缓存的,

然后查询了很多次,去掉重复的,这个iopbg.goodnewsdigital.com至少有25个IP,我还不知道这这些IP是肉鸡还 
是某幕后组织亲自花钱买的IP: 
208.120.85.40 
24.4.148.160 
64.194.71.148 
66.168.217.225 
67.163.213.245 
68.36.175.10 
68.46.249.189 
68.57.189.195 
69.146.242.207 
69.242.22.235 
69.247.85.44 
69.248.156.235 
71.226.237.56 
72.138.2.127 
72.24.114.230 
72.241.82.41 
76.100.243.204 
76.92.65.155 
85.28.124.2 
89.139.202.194 
89.29.140.76 
89.78.198.19 
96.10.57.207 
98.195.51.11 
99.140.165.64 
网上查询了一下,原来这就是 Fast Flux技术,这里有更详细的介绍,http://www.honeynet.org/papers/ff/ 
可惜全是英文,我看这这里的介绍就明白是怎么回事了: 
Fast flux hosting 是指网络罪犯用于逃避侦测的技术, 网络罪犯可借此迅速修改 IP 地址和/或域名服务器。

来源:http://www.icann.org/zh/topics/policy/update-dec08-zh.htm#10

图片来自:http://www.honeynet.org/node/134 
原来只要把域名的A记录的 TTL 改短一点甚至改为0秒,然后用上无数肉机作为反向代理,这就是Fast flux了啊。 
网上还有文章说: 
Fast-flux 基本上是 load-balancing 的新花樣。它是一種依序循環式(round-robin)的方法,在此受到感染的 bot 機器(通常是家庭電腦)成了proxies 或惡意網站的主機。這些電腦會不斷地輪流改變它們的 DNS 紀錄以避免被研究者、ISPs 或執法單位查獲。 

此技術的目的是讓基於 IP 封鎖清單的方法在預防攻擊上變得英雄無用武之地, 
from: http://www.wretch.cc/blog/fsj/8106356

Fast Flux技术——本质就是跳板,控制多个机器,同一域名指向极多的IP(TTL修改为0),以逃避追踪的更多相关文章

  1. 线程锁的本质:线程控制、线程状态控制 while if:根据线程的关系(模式)协调线程的执行

    线程锁的本质:线程控制.线程状态控制 while if https://www.cnblogs.com/feng9exe/p/8319000.html https://www.cnblogs.com/ ...

  2. 技术漫谈 | 远程访问和控制云端K8S服务器的方法

    对于部署在云端的K8S容器编排系统,可以先通过SSH远程登录到K8S所在主机,然后运行kubectl命令工具来控制K8S服务系统.然而,先SSH登录才能远程访问的二阶段方式,对于使用Linux桌面或者 ...

  3. Spring AOP技术本质认识

    Spring AOP技术本质认识 一.AOP简介   AOP(Aspect Oriented Programming,面向切面编程),把某一类问题集中在一个地方进行处理,比如处理程序中的点击事件.打印 ...

  4. ansible 通过堡垒机/跳板机 访问目标机器需求实战(ssh agent forward)

    一. 需求背景: 在我们使用ansible的过程中经常会遇到这样的情况,我们要管理的机器都在内网中,这些内网机器的登录都是通过跳板机或者堡垒机登录.我们的ansible机器不能直接管理到这些后端的机器 ...

  5. php后端控制可跨域的域名,允许图片跨域上传

    跨域问题经常需要面对,前端需要做的比较直接要么选择ajax异步提交,XML或者jsonp,要么表单提交前端常见跨域解决方案 jsonp基本可以搞定大部分跨域问题,但问题也比较明显,只能通过get方式提 ...

  6. 3.Docker与LXC、虚拟化技术的区别——虚拟化技术本质上是在模拟硬件,Docker底层是LXC,本质都是cgroups是在直接操作硬件

    先说和虚拟化技术的区别 难道虚拟技术就做不到吗? 不不不,虚拟技术也可以做到,但是会有一定程度的性能损失,灵活度也会下降.容器技术不是模仿硬件层次,而是 在Linux内核里使用cgroup和names ...

  7. Docker与LXC、虚拟化技术的区别——虚拟化技术本质上是在模拟硬件,Docker底层是LXC,本质都是cgroups是在直接操作硬件

    先说和虚拟化技术的区别: 难道虚拟技术就做不到吗? 不不不,虚拟技术也可以做到,但是会有一定程度的性能损失,灵活度也会下降.容器技术不是模仿硬件层次,而是 在Linux内核里使用cgroup和name ...

  8. 通过实例深入理解HTML5/CSS3/SVG/WebGL的技术本质

    常常听到人们对于HTML5的讨论,看了页面头部这个那个就是Html5,误认为HTML5只是新增些标签“而已”,学完了W3School似乎就理解了.实际上很多从业人员并没有深入理解业界为什么要推出HTM ...

  9. 【自动部署】Ansible 怎么通过堡垒机/跳板机 访问目标机器

    Ansible机器的 /root/.ssh/config 配置如下即可:Host 目标机器IP User root IdentityFile=/root/.ssh/xxx_id_rsa ProxyCo ...

随机推荐

  1. Android application framework 分析[in process]

    application activity application service application UI system application sdk tool JVM 1 activity t ...

  2. hdu1290

    由二维的切割问题可知,平面切割与线之间的交点有关,即交点决定射线和线段的条数,从而决定新增的区域数. 当有n-1个平面时,切割的空间数为f(n-1).要有最多的空间数.则第n个平面需与前n-1个平面相 ...

  3. jquery outerHeight方法 outerWidth方法 获取元素实际宽度高度

    曾经写代码中,每当须要获取元素的实际"宽度"(这里的宽度是指元素宽度加上其边距)时,都须要用元素宽度加上margin值才行,今天发现一个叫outerWidth(options)的方 ...

  4. sql server2008对字符串日期字段分区

    近期对公司产品的日志数据库做了一个数据分区,数据库使用的是sql server 2008,这里给大家提供一个參考. 须要特别说明的是,非常多网上的样例分区字段都使用的是时间类型的.而这里因为时间字段原 ...

  5. jmeter脚本编写之五类常见请求编写

    1.普通post请求 2.普通json请求 3.带query參数的json请求 4.xml请求 5.上传请求 starting (Windows系统 点击 F12 调出开发人员工具,选择Network ...

  6. keras安装及使用

    安装全称参考https://keras-cn.readthedocs.io/en/latest/for_beginners/keras_linux/ 环境中已配置cuda8.0.cudnn5.0,ub ...

  7. Kali linux 2016.2 的 plyload模块之meterpreter plyload详解

    不多说,直接上干货! 前期博客 Kali linux 2016.2(Rolling)中的payloads模块详解 当利用成功后尝试运行一个进程,它将在系统进程列表里显示,即使在木马中尝试执行系统命令, ...

  8. Scalable, Distributed Systems Using Akka, Spring Boot, DDD, and Java--转

    原文地址:https://dzone.com/articles/scalable-distributed-systems-using-akka-spring-boot-ddd-and-java Whe ...

  9. SAS小记

    2011年8月13日 最近一直在跟着李东风的<统计软件教程>学习SAS,刚刚学完初等统计,感觉还没入门,找不到matlab编程时那种手顺的感觉.继续学习吧,加油!     最近用spss处 ...

  10. highcharts的使用:从数据库获取数据显示在图上

    //月产量统计图 function GetHighCharts() { var date = new Date(); var year = date.getFullYear(); var month_ ...