转自:http://ytuwlg.iteye.com/blog/355718

通过病毒邮件和欺诈网站学到的对付网络封锁的好东西:Fast Flux技术 
收到一封邮件,引起我的好奇了:

邮件标题是:Has it really happened? 
邮件正文很短": Damned terrorists!!! http://iopbg.goodnewsdigital.com/contact.php

点开一看:内容是:

Powerful explosion burst in Changsha this morning. 
At least 12 people have been killed and more than 40 wounded in a bomb blast near market in Changsha. Authorities suggested that explosion was caused by "dirty" bomb. Police said the bomb was detonated from close by using electric cables. "It was awful" said the eyewitness about blast that he heard from his shop. "It made the floor shake. So many people were running" 
Until now there has been no claim of responsibility.

You need the latest Flash player to view video content. Click here to download. 
Related Links: 
http://en.wikipedia.org/wiki/Dirty_bomb 
http://www.google.com/search?q=Changsha+terror+attack

大意就是说长沙受到恐怖袭击了,还晒煞有介事的提供一个“脏弹”的维基百科链接,但问题是,中间那个图片和“Click here”是指向的一个EXE文件的链接,有高手能够反编译一下那个EXE文件么?我想知道这个有组织有预谋的陷阱是谁设置的,想知道是哪个有钱人搞的。 
刚才把这个病毒上传到virustotal了,结果是 https://www.virustotal.com/analisis/986833dbe078295b04885e9eb5cd5a88

我为什么说这个欺诈邮件是“有组织有预谋的陷阱”呢?让我们来调查一下:

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  96.32.70.105

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  76.100.243.204

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  67.183.201.90

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  89.215.17.167

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  68.51.31.108

C:\>

这段DNS查询显示iopbg.goodnewsdigital.com有无数的IP,每个独立的IP都是可以直接访问的IP,IP地址果然是不断变化的,能识我的IP 
所在的城市显示不同的内容,已经查到有9个IP了,每个IP都能直接访问,显示同样的内容。 
http://89.215.17.167/main.php 
http://68.51.31.108/main.php 
http://67.183.201.90/main.php 
http://76.100.243.204/main.php 
http://96.32.70.105/main.php 
http://67.163.159.63/main.php 
http://69.247.85.44/main.php 
http://72.241.82.41/main.php 
http://71.57.67.175/main.php 
http://24.14.118.126/main.php

我用Nslookup查,发现iopbg.goodnewsdigital.com的A记录的time to live(TTL)是0秒,也就是说, 
这个域名的A记录是不缓存的,

然后查询了很多次,去掉重复的,这个iopbg.goodnewsdigital.com至少有25个IP,我还不知道这这些IP是肉鸡还 
是某幕后组织亲自花钱买的IP: 
208.120.85.40 
24.4.148.160 
64.194.71.148 
66.168.217.225 
67.163.213.245 
68.36.175.10 
68.46.249.189 
68.57.189.195 
69.146.242.207 
69.242.22.235 
69.247.85.44 
69.248.156.235 
71.226.237.56 
72.138.2.127 
72.24.114.230 
72.241.82.41 
76.100.243.204 
76.92.65.155 
85.28.124.2 
89.139.202.194 
89.29.140.76 
89.78.198.19 
96.10.57.207 
98.195.51.11 
99.140.165.64 
网上查询了一下,原来这就是 Fast Flux技术,这里有更详细的介绍,http://www.honeynet.org/papers/ff/ 
可惜全是英文,我看这这里的介绍就明白是怎么回事了: 
Fast flux hosting 是指网络罪犯用于逃避侦测的技术, 网络罪犯可借此迅速修改 IP 地址和/或域名服务器。

来源:http://www.icann.org/zh/topics/policy/update-dec08-zh.htm#10

图片来自:http://www.honeynet.org/node/134 
原来只要把域名的A记录的 TTL 改短一点甚至改为0秒,然后用上无数肉机作为反向代理,这就是Fast flux了啊。 
网上还有文章说: 
Fast-flux 基本上是 load-balancing 的新花樣。它是一種依序循環式(round-robin)的方法,在此受到感染的 bot 機器(通常是家庭電腦)成了proxies 或惡意網站的主機。這些電腦會不斷地輪流改變它們的 DNS 紀錄以避免被研究者、ISPs 或執法單位查獲。 

此技術的目的是讓基於 IP 封鎖清單的方法在預防攻擊上變得英雄無用武之地, 
from: http://www.wretch.cc/blog/fsj/8106356

Fast Flux技术——本质就是跳板,控制多个机器,同一域名指向极多的IP(TTL修改为0),以逃避追踪的更多相关文章

  1. 线程锁的本质:线程控制、线程状态控制 while if:根据线程的关系(模式)协调线程的执行

    线程锁的本质:线程控制.线程状态控制 while if https://www.cnblogs.com/feng9exe/p/8319000.html https://www.cnblogs.com/ ...

  2. 技术漫谈 | 远程访问和控制云端K8S服务器的方法

    对于部署在云端的K8S容器编排系统,可以先通过SSH远程登录到K8S所在主机,然后运行kubectl命令工具来控制K8S服务系统.然而,先SSH登录才能远程访问的二阶段方式,对于使用Linux桌面或者 ...

  3. Spring AOP技术本质认识

    Spring AOP技术本质认识 一.AOP简介   AOP(Aspect Oriented Programming,面向切面编程),把某一类问题集中在一个地方进行处理,比如处理程序中的点击事件.打印 ...

  4. ansible 通过堡垒机/跳板机 访问目标机器需求实战(ssh agent forward)

    一. 需求背景: 在我们使用ansible的过程中经常会遇到这样的情况,我们要管理的机器都在内网中,这些内网机器的登录都是通过跳板机或者堡垒机登录.我们的ansible机器不能直接管理到这些后端的机器 ...

  5. php后端控制可跨域的域名,允许图片跨域上传

    跨域问题经常需要面对,前端需要做的比较直接要么选择ajax异步提交,XML或者jsonp,要么表单提交前端常见跨域解决方案 jsonp基本可以搞定大部分跨域问题,但问题也比较明显,只能通过get方式提 ...

  6. 3.Docker与LXC、虚拟化技术的区别——虚拟化技术本质上是在模拟硬件,Docker底层是LXC,本质都是cgroups是在直接操作硬件

    先说和虚拟化技术的区别 难道虚拟技术就做不到吗? 不不不,虚拟技术也可以做到,但是会有一定程度的性能损失,灵活度也会下降.容器技术不是模仿硬件层次,而是 在Linux内核里使用cgroup和names ...

  7. Docker与LXC、虚拟化技术的区别——虚拟化技术本质上是在模拟硬件,Docker底层是LXC,本质都是cgroups是在直接操作硬件

    先说和虚拟化技术的区别: 难道虚拟技术就做不到吗? 不不不,虚拟技术也可以做到,但是会有一定程度的性能损失,灵活度也会下降.容器技术不是模仿硬件层次,而是 在Linux内核里使用cgroup和name ...

  8. 通过实例深入理解HTML5/CSS3/SVG/WebGL的技术本质

    常常听到人们对于HTML5的讨论,看了页面头部这个那个就是Html5,误认为HTML5只是新增些标签“而已”,学完了W3School似乎就理解了.实际上很多从业人员并没有深入理解业界为什么要推出HTM ...

  9. 【自动部署】Ansible 怎么通过堡垒机/跳板机 访问目标机器

    Ansible机器的 /root/.ssh/config 配置如下即可:Host 目标机器IP User root IdentityFile=/root/.ssh/xxx_id_rsa ProxyCo ...

随机推荐

  1. Excel数据导入___你hold住么(一)

    近期小编跟着团队一起开发ITOO3.0高校云平台项目,当中的收获是不言而喻滴,在项目中有个导入功能:导入学生信息:导入班级信息:导入教学楼信息等,在不知多少次的尝试之下,成功实现功能. 框架分析 详解 ...

  2. 安全风控的CAP原理和BASE思想

    CAP原理最多实现两个,需要牺牲一个来满足其他两个:

  3. 【React Native开发】React Native控件之ProgressBarAndroid进度条解说(12)

    ),React Native技术交流4群(458982758).请不要反复加群! 欢迎各位大牛,React Native技术爱好者增加交流!同一时候博客左側欢迎微信扫描关注订阅号,移动技术干货,精彩文 ...

  4. JAVA设计模式之【策略模式】

    策略模式 定义一些独立的类来封装不同的算法 类似于common方法或者引用类 角色 环境类Context 抽象策略Strategy 具体策略ConcreteStrategy 重构伴随着设计模式 重构类 ...

  5. nyoj--325--zb的生日(简单dp)

    zb的生日 时间限制:3000 ms  |  内存限制:65535 KB 难度:2 描述 今天是阴历七月初五,acm队员zb的生日.zb正在和C小加.never在武汉集训.他想给这两位兄弟买点什么庆祝 ...

  6. etxjs

    序言 编辑 功能丰富,无人能出其右. 无论是界面之美,还是功能之强,ext的表格控件都高居榜首. 单选行,多选行,高亮显示选中的行,拖拽改变列宽度,按列排序,这些基本功能ExtJS轻量级实现. 自动生 ...

  7. 【原创】websphere部署war包报错

    应用程序在Tomcat上运行一切正常,但在websphere上部署时报以下错误:错误 500 处理请求时发生一个错误: /admin/upload.do 消息: WEB-INF/web.xml 详细错 ...

  8. OSI参考模型概论

  9. PKI和加密,散列算法

    Day 11-PKI和加密,散列算法 PKI(Public Key Infrastructure公钥基础设施) 1 PKI(Public Key Infrastructure公钥基础设施)回顾学习 - ...

  10. 洛谷P3355 骑士共存问题 二分图_网络流

    Code: #include<cstdio> #include<cstring> #include<queue> #include<vector> #i ...