2. 程式人生 > >Fast Flux技術——本質就是跳板,控制多個機器,同一域名指向極多的IP(TTL修改為0),以逃避追蹤

Fast Flux技術——本質就是跳板,控制多個機器,同一域名指向極多的IP(TTL修改為0),以逃避追蹤

阿新 發佈:2017-09-01
using sea 地址 3.2 網站 nslookup 不知道 維基百科 run

轉自:http://ytuwlg.iteye.com/blog/355718

通過病毒郵件和欺詐網站學到的對付網絡封鎖的好東西:Fast Flux技術
收到一封郵件,引起我的好奇了:

郵件標題是:Has it really happened?
郵件正文很短": Damned terrorists!!! http://iopbg.goodnewsdigital.com/contact.php

點開一看:內容是:

Powerful explosion burst in Changsha this morning.
At least 12 people have been killed and more than 40 wounded in a bomb blast near market in Changsha. Authorities suggested that explosion was caused by "dirty" bomb. Police said the bomb was detonated from close by using electric cables. "It was awful" said the eyewitness about blast that he heard from his shop. "It made the floor shake. So many people were running"
Until now there has been no claim of responsibility.


You need the latest Flash player to view video content. Click here to download.
Related Links:
http://en.wikipedia.org/wiki/Dirty_bomb
http://www.google.com/search?q=Changsha+terror+attack

大意就是說長沙受到恐怖襲擊了,還曬煞有介事的提供一個“臟彈”的維基百科鏈接,但問題是,中間那個圖片和“Click here”是指向的一個EXE文件的鏈接,有高手能夠反編譯一下那個EXE文件麽?我想知道這個有組織有預謀的陷阱是誰設置的,想知道是哪個有錢人搞的。
剛才把這個病毒上傳到virustotal了,結果是 https://www.virustotal.com/analisis/986833dbe078295b04885e9eb5cd5a88

我為什麽說這個欺詐郵件是“有組織有預謀的陷阱”呢?讓我們來調查一下:

C:\>nslookup iopbg.goodnewsdigital.com
服務器: registerlafonera.fon.com
Address: 192.168.10.1:53

非權威應答:
名稱: iopbg.goodnewsdigital.com
Address: 96.32.70.105

C:\>nslookup iopbg.goodnewsdigital.com
服務器: registerlafonera.fon.com
Address: 192.168.10.1:53

非權威應答:
名稱: iopbg.goodnewsdigital.com
Address: 76.100.243.204

C:\>nslookup iopbg.goodnewsdigital.com
服務器: registerlafonera.fon.com
Address: 192.168.10.1:53

非權威應答:
名稱: iopbg.goodnewsdigital.com
Address: 67.183.201.90

C:\>nslookup iopbg.goodnewsdigital.com
服務器: registerlafonera.fon.com
Address: 192.168.10.1:53

非權威應答:
名稱: iopbg.goodnewsdigital.com
Address: 89.215.17.167

C:\>nslookup iopbg.goodnewsdigital.com
服務器: registerlafonera.fon.com
Address: 192.168.10.1:53

非權威應答:
名稱: iopbg.goodnewsdigital.com
Address: 68.51.31.108

C:\>

這段DNS查詢顯示iopbg.goodnewsdigital.com有無數的IP,每個獨立的IP都是可以直接訪問的IP,IP地址果然是不斷變化的,能識我的IP
所在的城市顯示不同的內容,已經查到有9個IP了,每個IP都能直接訪問,顯示同樣的內容。
http://89.215.17.167/main.php
http://68.51.31.108/main.php
http://67.183.201.90/main.php
http://76.100.243.204/main.php
http://96.32.70.105/main.php
http://67.163.159.63/main.php
http://69.247.85.44/main.php
http://72.241.82.41/main.php
http://71.57.67.175/main.php
http://24.14.118.126/main.php

我用Nslookup查,發現iopbg.goodnewsdigital.com的A記錄的time to live(TTL)是0秒,也就是說,
這個域名的A記錄是不緩存的,

然後查詢了很多次,去掉重復的,這個iopbg.goodnewsdigital.com至少有25個IP,我還不知道這這些IP是肉雞還
是某幕後組織親自花錢買的IP:
208.120.85.40
24.4.148.160
64.194.71.148
66.168.217.225
67.163.213.245
68.36.175.10
68.46.249.189
68.57.189.195
69.146.242.207
69.242.22.235
69.247.85.44
69.248.156.235
71.226.237.56
72.138.2.127
72.24.114.230
72.241.82.41
76.100.243.204
76.92.65.155
85.28.124.2
89.139.202.194
89.29.140.76
89.78.198.19
96.10.57.207
98.195.51.11
99.140.165.64
網上查詢了一下,原來這就是 Fast Flux技術,這裏有更詳細的介紹,http://www.honeynet.org/papers/ff/
可惜全是英文,我看這這裏的介紹就明白是怎麽回事了:
Fast flux hosting 是指網絡罪犯用於逃避偵測的技術, 網絡罪犯可借此迅速修改 IP 地址和/或域名服務器。

來源:http://www.icann.org/zh/topics/policy/update-dec08-zh.htm#10

圖片來自:http://www.honeynet.org/node/134
原來只要把域名的A記錄的 TTL 改短一點甚至改為0秒,然後用上無數肉機作為反向代理,這就是Fast flux了啊。
網上還有文章說:
Fast-flux 基本上是 load-balancing 的新花樣。它是一種依序循環式(round-robin)的方法,在此受到感染的 bot 機器(通常是家庭電腦)成了proxies 或惡意網站的主機。這些電腦會不斷地輪流改變它們的 DNS 紀錄以避免被研究者、ISPs 或執法單位查獲。



此技術的目的是讓基於 IP 封鎖清單的方法在預防攻擊上變得英雄無用武之地,
from: http://www.wretch.cc/blog/fsj/8106356

Fast Flux技術——本質就是跳板,控制多個機器,同一域名指向極多的IP(TTL修改為0),以逃避追蹤

相關推薦

Fast Flux技術——本質就是跳板控制機器同一域名指向IPTTL修改0逃避追蹤

using sea 地址 3.2 網站 nslookup 不知道 維基百科 run 轉自:http://ytuwlg.iteye.com/blog/355718 通過病毒郵件和欺詐網站學到的對付網絡封鎖的好東西:Fast Flux技術 收到一封郵件,引起我的好奇了: 郵件標

機器學習特征表達——日期與時間特征做離散處理數字到分類的映射稀疏類分組相似特征歸檔創建虛擬變量提取新特征 本質就是要麽多變少或少變

通過 time 理想 ast 可能 ear 創建 eat 根據 特征表達 接下來要談到的特征工程類型雖然簡單卻影響巨大。我們將其稱為特征表達。 你的數據並不一定總是理想格式。你需要考慮是否有必要通過另一種形式進行特征表達以獲取有用信息。 日期與時間特征: 我們假設你擁有p

知識體系Android/深度學習等技術棧及行業

  學習至少半打的程式語言。包括一種支援類抽象的語言(象 Java 或 C++),一種支援函式化抽象的語言(象 Lisp 或 ML),一種支援語法抽象的語 言(象 Lisp),一種支援宣告規格說明的語言(象 Prolog 或 C++ 的模板),一種支援共行程式(corouti

jeesite應用實戰資料增刪改查認真讀完後10分鐘能開發一個模組

jeesite配置指南(官方文件有坑,我把坑填了!)這篇文章裡,我主要把jeesite官方給出的幫助文件的坑填了,按照裡面的方法可以搭建起來jeesite的站點。系統可以執行以後,就可以進入開發模組了,我們先從資料的增刪改查做起。 一、頁面效果 很

隨機圖片滾動隨機數+變化函數可運行

圖片 relative position parent border <!doctype html><html lang="en"><head><meta charset="UTF-8"><title>隨機圖片滾動</tit

MS17-010 "Eternal Blue永恒之藍 修復補丁下載匯總地址!

eternal blue 永恒之藍 ms17-010 4012598 4012212 MS17-010 "Eternal Blue(永恒之藍)”官方修復補丁,下載連接匯總地址 Product (Down-level)Release DateCDN LinkSecurity Update

基於TI Davinci架構的核/雙核開發高速掃盲OMAP L138dm8168核開發參考以及達芬奇系列資料user guide整理

uwa 全部 dap setting pos eclips develop serial ger 基於TI Davinci架構的雙核嵌入式應用處理器OMAPL138開發入門 原文轉自http://blog.csdn.net/wangpengqi/article/de

hdu 3183 A Magic Lamp給一個n位的數從中刪去m數字使得剩下的數字組成的數最小順序不能變然後輸出

urn scan eight sca query names efi family 題目 1.題目大意是,給你一個1000位的數,要你刪掉m個為,求結果最小數。 思路:在n個位裏面刪除m個位。也就是找出n-m個位組成最小數 所以在區間 [0, m]裏面找

求解多邊形面積2S= Σ【Xi Yi+1-Yi-1】,i屬於1~n公式解析及編程實現

poi logs 驗證 地圖 class view hide 對比 turn yogurt今天要個大家分享一個基礎的二維空間多邊形面積求算方法,主要也是為了下一篇《橢球體上某區域面積的求算,及Albers投影與墨卡托投影後該區域面積對比》打一個基礎。關於投影的相關過

NFSexpirtfs命令NFS客戶端創建新文件所屬組和所屬主都nobody

mar tfs 依然 我們 重啟 此刻 otto 全部 用戶 一、exportfs命令nfs進程不能隨便從新啟動,如果不得已要重啟,必須把客戶端的掛載目錄卸載,然後在從新啟動。這時候就可以用exportfs命令-a 全部掛載或者全部卸載-r

解決CentOS6和7版本/etc/sysconfig/下沒有iptables的問題

name 命令 install star spa lib cep pro centos 6 一、Centos 6版本解決辦法: 1.任意運行一條iptables防火墻規則配置命令: iptables -P OUTPUT ACCEPT 2.對iptables服務進行保存:

Expo大作戰(三十三)--expo sdk api之MapView地圖MailComposer磁力傳感計Lottie動畫

填充 標記 android commit anim subject conf 項目 cancel 簡要:本系列文章講會對expo進行全面的介紹,本人從2017年6月份接觸expo以來,對expo的研究斷斷續續,一路走來將近10個月,廢話不多說,接下來你看到內容,講全

服務器配置參考how2j教學網站很不錯親測可行

最快 .com jdk 參考 tom src 版本 alt 系統選擇 點擊訪問阿裏雲官網地址:http://aliyun.com/ 沒有賬號的點擊aliyun右上角免費註冊,註冊過程大同小異略過不表。 鏡像選擇公共鏡像,其中操作系統選

MySQL— pymysql模塊防止sql註入可視化軟件Navicat

字典類 open weight 學習 增加 所有 avi isp 實現 一.Pymysql import pymysql #python2.X 中是 mysqldb 和 pythonmysql 用法是一模一樣的 #pymysql可以偽裝成上面這兩個模塊

vue問題之被複用的vue檔案用vue-echarts實現資料有快取

一、問題 當多個路由複用同一個模板,此時在這幾個路由間切換,被複用的模板有資料快取問題。 如一個路由頁面出現的圖表有5個柱狀圖,在另一個路由頁面出現的圖表是7個柱狀圖,且資料項都不同, 問題:在另一個路由頁面會先出現第一個路由頁面的5個柱狀圖,再載入應有的7個柱狀圖 二、解決方法

idea+maven + spring security +springmvc入門 自定義登入頁面附idea如何建立web專案

第一次使用idea,上午在eclipse中 學習了spring security 入門,下午試試在idea中搭建。 剛開始 我以為 直接將eclipse的 檔案 copy過來就行了,結果發現copy過來以後 各種報錯。 後來把m

假設網絡的生產管理系統采用B/S工作方式經常上網的用戶數100每個用戶每分鐘平均產生11事務平均事務量大小0.06MB則這個系統需要的傳輸速率34

上半年 16px 產生 字節 需要 方式 解析 傳輸 nbsp 2014年上半年 網絡工程師 上午試卷 綜合知識 假設網絡的生產管理系統采用B/S工作方式,經常上網的用戶數為100個,每個用戶每分鐘平均產生11個事務,平均事務量大小為0.06MB,則這個系統需要的傳輸

maven工程部署到tomcat時新工程後面之前工程的名字一直導致404

 新建一個maven專案的時候,寫完要run on server 的時候發現部署的一直不是本工程的名字或者是本工程名後面 有括號裡面 有之前工程的名字,之後的訪問路徑也是之前工程的路徑,結果一直導致404.   解決方法,進入workspace找到本工程目錄\.setti

模擬IIC轉載只查閱方便若侵權立刪

模擬IIC IIC 即Inter-Integrated Circuit(積體電路匯流排),這種匯流排型別是由飛利浦半導體公司在八十年代初設計出來的一種簡單、雙向、二線制、同步序列匯流排,主要是用來連線整體電路(ICS) ,IIC是一種多向控制匯流排,也就是說多個晶片可以連線到同一匯流排結構下,同

socket阻塞與非阻塞同步與非同步、I/O模型轉載只查閱方便若有侵權立刪

socket阻塞與非阻塞,同步與非同步 作者:huangguisu     1. 概念理解        在進行網路程式設計時,我們常常見到同步(Sync)/非同步(Async),阻塞(Block)/非阻塞(Unbl