Redes Fast Flux

Las redes Fast Flux, o redes de flujo rápido en el idioma de Cervantes, es una técnica utilizada por redes bot para ocultar su origen y dificultar su desactivación.

El origen, las redes bot (botnets):

En esencia una red bot es un conjunto de equipos (pc’s), infectados por algún tipo de malware que permite a un tercero controlarlos sin el conocimiento del usuario. A los equipos infectados se les suele llamar “zombies”, porque permanecen en estado latente hasta que reciben una orden de su controlador para hacer algo, que generalmente suele ser enviar spam, phishing o realizar ataques de denegación de servicio DDOS.

Para desactivar una red bot hay 2 métodos, el primero de ellos es eliminar el malware de todos los equipos infectados, lo cual es una tarea faraónica y poco realista y el segundo mucho más razonable (que no fácil,) desactivar el controlador de la red bot, de esta manera los equipos seguirán infectados por el malware, pero no habrá nadie para explotarlo.

Como podéis imaginar, las organizaciones criminales que explotan estas redes, hacen lo imposible para dificultar la localización de los controladores y su desactivación.

Fast Flux, el siguiente paso:

Imaginad que la organización criminal “soplas malignos” controla una red de pc’s zombies, que decide utilizar para albergar un servicio web de phishing a una importante entidad bancaria, lógicamente la entidad bancaria intentara localizar las direcciones que alojan la web de phishing e intentará eliminarlas, pero… ¿qué ocurre si el servicio se mueve rápidamente en cientos o miles de equipos?, equipos que además estarán en distintos países…. pues que la labor de desactivación del sitio se ha complicado mucho.

 

 

<imagen original en proyecto honeynet, puedes verla aquí>

La mejor manera de desactivar esta amenaza sería eliminar a los controladores de la red, que esperemos no estén también en la red Fast Flux ;-).

¿Cómo lo hacen?

Pues muy sencillo, introduciendo cambios a nivel de DNS en un dominio con TTL muy bajo, de manera que cada vez que hagamos una consulta nos contesten con una dirección diferente.

Fast Flux, entramos en materia:

Ahora que sabemos en que consiste Fast Flux os diré que ademas existen dos tipos, simple y doble. El simple y más sencillo es el ilustrado en la imagen anterior y consistirá básicamente en una serie de entradas DNS que irán modificándose rápidamente para mover el servicio de un sitio a otro y evitar su desactivación, el doble es una vuelta de tuerca más al asunto.

Como hemos podido ver FastFlux suele depender de uno o varios dominios que su vez tendrán una serie de servidores DNS, ¡¡fantástico!!!, en lugar de intentar desactivar a los hosts o a los controladores (que están dentro de la red Fast Flux), desactivaremos a los DNS y así dejamos fuera de servicio la red…. salvo que los DNS estén a su vez incluidos en una red Fast Flux.

 

 

<imagen original en proyecto honeynet, puedes verla aquí>

La única opción que nos queda es conseguir eliminar el dominio o dominios origen del ataque, pero como podéis suponer estos suelen estar alojados en países poco colaboradores con la justicia, motivo por el cual es complicado y lento.

Como podéis intuir las redes Fast Flux son una de las amenazas a la seguridad más importantes que tenemos entre manos.

Fuentes:

Proyecto Honeynet

Wikipedia

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.