转自:http://ytuwlg.iteye.com/blog/355718

通过病毒邮件和欺诈网站学到的对付网络封锁的好东西:Fast Flux技术 
收到一封邮件,引起我的好奇了:

邮件标题是:Has it really happened? 
邮件正文很短": Damned terrorists!!! http://iopbg.goodnewsdigital.com/contact.php

点开一看:内容是:

Powerful explosion burst in Changsha this morning. 
At least 12 people have been killed and more than 40 wounded in a bomb blast near market in Changsha. Authorities suggested that explosion was caused by "dirty" bomb. Police said the bomb was detonated from close by using electric cables. "It was awful" said the eyewitness about blast that he heard from his shop. "It made the floor shake. So many people were running" 
Until now there has been no claim of responsibility.

You need the latest Flash player to view video content. Click here to download. 
Related Links: 
http://en.wikipedia.org/wiki/Dirty_bomb 
http://www.google.com/search?q=Changsha+terror+attack

大意就是说长沙受到恐怖袭击了,还晒煞有介事的提供一个“脏弹”的维基百科链接,但问题是,中间那个图片和“Click here”是指向的一个EXE文件的链接,有高手能够反编译一下那个EXE文件么?我想知道这个有组织有预谋的陷阱是谁设置的,想知道是哪个有钱人搞的。 
刚才把这个病毒上传到virustotal了,结果是 https://www.virustotal.com/analisis/986833dbe078295b04885e9eb5cd5a88

我为什么说这个欺诈邮件是“有组织有预谋的陷阱”呢?让我们来调查一下:

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  96.32.70.105

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  76.100.243.204

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  67.183.201.90

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  89.215.17.167

C:\>nslookup iopbg.goodnewsdigital.com 
服务器:  registerlafonera.fon.com 
Address:  192.168.10.1:53

非权威应答: 
名称:    iopbg.goodnewsdigital.com 
Address:  68.51.31.108

C:\>

这段DNS查询显示iopbg.goodnewsdigital.com有无数的IP,每个独立的IP都是可以直接访问的IP,IP地址果然是不断变化的,能识我的IP 
所在的城市显示不同的内容,已经查到有9个IP了,每个IP都能直接访问,显示同样的内容。 
http://89.215.17.167/main.php 
http://68.51.31.108/main.php 
http://67.183.201.90/main.php 
http://76.100.243.204/main.php 
http://96.32.70.105/main.php 
http://67.163.159.63/main.php 
http://69.247.85.44/main.php 
http://72.241.82.41/main.php 
http://71.57.67.175/main.php 
http://24.14.118.126/main.php

我用Nslookup查,发现iopbg.goodnewsdigital.com的A记录的time to live(TTL)是0秒,也就是说, 
这个域名的A记录是不缓存的,

然后查询了很多次,去掉重复的,这个iopbg.goodnewsdigital.com至少有25个IP,我还不知道这这些IP是肉鸡还 
是某幕后组织亲自花钱买的IP: 
208.120.85.40 
24.4.148.160 
64.194.71.148 
66.168.217.225 
67.163.213.245 
68.36.175.10 
68.46.249.189 
68.57.189.195 
69.146.242.207 
69.242.22.235 
69.247.85.44 
69.248.156.235 
71.226.237.56 
72.138.2.127 
72.24.114.230 
72.241.82.41 
76.100.243.204 
76.92.65.155 
85.28.124.2 
89.139.202.194 
89.29.140.76 
89.78.198.19 
96.10.57.207 
98.195.51.11 
99.140.165.64 
网上查询了一下,原来这就是 Fast Flux技术,这里有更详细的介绍,http://www.honeynet.org/papers/ff/ 
可惜全是英文,我看这这里的介绍就明白是怎么回事了: 
Fast flux hosting 是指网络罪犯用于逃避侦测的技术, 网络罪犯可借此迅速修改 IP 地址和/或域名服务器。

来源:http://www.icann.org/zh/topics/policy/update-dec08-zh.htm#10

图片来自:http://www.honeynet.org/node/134 
原来只要把域名的A记录的 TTL 改短一点甚至改为0秒,然后用上无数肉机作为反向代理,这就是Fast flux了啊。 
网上还有文章说: 
Fast-flux 基本上是 load-balancing 的新花樣。它是一種依序循環式(round-robin)的方法,在此受到感染的 bot 機器(通常是家庭電腦)成了proxies 或惡意網站的主機。這些電腦會不斷地輪流改變它們的 DNS 紀錄以避免被研究者、ISPs 或執法單位查獲。 

此技術的目的是讓基於 IP 封鎖清單的方法在預防攻擊上變得英雄無用武之地, 
from: http://www.wretch.cc/blog/fsj/8106356

转载于:https://www.cnblogs.com/bonelee/p/7463613.html

Fast Flux技术——本质就是跳板,控制多个机器,同一域名指向极多的IP(TTL修改为0),以逃避追踪...相关推荐

  1. 世界最成功的僵尸网络使用Fast Flux技术躲避检测

    2014年以来,安全企业RiskAnalytics一直在互联网上跟踪一个特别具有传染性的僵尸网络.经过了两年的研究,RiskAnalytics发布了一份报告,解释了这个世界上最成功的僵尸网络之一为何仍 ...

  2. 搜狐视频P2P技术揭秘 - 分享率控制篇

    搜狐视频P2P技术揭秘 - 分享率控制篇 1 业务决定控制逻辑 2 搜狐影音/搜狐视频 2.1 状态定义 2.2 输入事件 2.3 状态转换 2.4 转换逻辑 3 Flash 播放器/H5 播放器 在 ...

  3. 软件系统的4大技术本质

    软件系统的4大技术本质 需求         软件定位在哪些用户,能帮用户解决什么问题,给用户带来多少价值,选择放弃的成本.         需求是一个软件最重要的东西,如果你的软件不能帮用户解决问题 ...

  4. NFV技术本质是强调网络功能的软硬件同化能力,实现网络价值由硬件向软件的前移

    最近2018.9运营商炒的比较火的概念,除5G外,就是NFV了,那究竟NFV是何方神圣,今天咱们就要一起认识一下. 一.NFV概念 NFV即Network Functions Virtualizati ...

  5. 相邻位数字差值的绝对值不能超过_热点争议中技术问题,伺服控制有几个零点?对应真绝对值多圈编码器意义...

    回归技术,把技术问题单独挑出来讲透,争要争个明白,看要看得明白. 技术就能越辩越明.如果有"真"与"假"之争,沉默不去争,就是让"真的"受伤 ...

  6. 前端18个月难度翻番?来这里把握大前端技术本质进展丨稀土开发者大会

    图片来源:pexels.com "别更新了,学不动了"向来是前端开发群体的切肤之痛: React 还没学明白,Vue 就出来了: Vue 2.0 还没上手,3.0 就发布了: No ...

  7. java源码系列:HashMap底层存储原理详解——4、技术本质-原理过程-算法-取模具体解决什么问题

    目录 简介 取模具体解决什么问题? 通过数组特性,推导ascii码计算出来的下标值,创建数组非常占用空间 取模,可保证下标,在HashMap默认创建下标之内 简介 上一篇文章,我们讲到 哈希算法.哈希 ...

  8. 《中国企业报》专访高承实:区块链的技术本质与应用 | 另:欢迎参加中国数据与存储峰会-【区块链技术与实践】分论坛...

    高承实,密码学博士,曾任解放军信息工程大学计算机应用专业副教授,研究生导师.<回归常识>.<区块链中的密码技术>作者,高博士的第三本专著也将不久上市.后面有更多高博士的详情和文 ...

  9. 微型计算机接口与技术的交通灯,《微机原理与接口技术》交通灯控制实验.doc...

    <微机原理与接口技术>交通灯控制实验 2.4实验详细步骤 首先接线,8255C口的0.1.2.5.6.7号管脚接LED显示电路L0.L1.L2.L5.L6.L71,.WR*.A0.A1.R ...

最新文章

  1. java getstringbounds_java-AttributedString的FontMetrics.getStringBounds给出...
  2. 《Java8实战》笔记(10):用Optional取代null
  3. php curl for win7_win7 wamp 64位 php环境开启curl服务遇到的问题及解决方法
  4. python requests form data_Python爬虫:Request Payload和Form Data的简单区别说明
  5. 【Spring源码】AOP切面源码
  6. cookie知识总结
  7. 2019年第一份DApp调查报告出炉
  8. jmeter学习指南之快速玩转16个逻辑控制器
  9. 泰牛php第10期百度云,泰牛程序员 韩顺平 2017年 MyBatis
  10. 实时监控input输入框,获取输入的内容,去除拼音
  11. 思科模拟器连通服务器网页,思科模拟器主机访问服务器
  12. qt感叹号_QT使用教程(四)之初体验
  13. python中while循环的特点是什么_Python中while循环简介(66)
  14. ClickHouse用户路径分析之桑基图
  15. 变位词算法C语言,第二章 啊哈!算法(变位词)
  16. 竟然如愿让我拿到诸多大厂offer(头条,PDD,Alibaba)-来自Alibaba的Java面试指南,
  17. 选SSD就是选闪存颗粒!全面解析原片/白片/黑片
  18. 苹果G5机箱改造 (螺帽法)
  19. No.1 STM32F429IGT6开发板简介 (STM32F429/F767/H743)
  20. 面向对象(Object Oriented)

热门文章

  1. 秒杀系统架构优化思路
  2. mongo里的type_MongoDB $type 操作符
  3. msra数据集_ACL2020 | 香侬科技提出使用Dice Loss缓解数据集数据不平衡问题
  4. python打开摄像头获取图片_Python基于opencv调用摄像头获取个人图片的实现方法
  5. oracle数据加载控制文件格式,oracle数据加载的几种常用方法
  6. php mysql读写分离主从复制_mysql主从复制 读写分离原理及实现
  7. php函数变成变量,为什么我不能在PHP函数中将函数作为默认变量提供?
  8. java 监听 循环_java循环按键循环监听事件
  9. 每天一个linux命令(2):cd命令
  10. java深拷贝如何执行_Java克隆执行深拷贝