fast-flux domain

snabbflyttande domän – inom dator­brotts­lig­het: skum internetdomän som göms bakom andra, infekte­rade domäner som ständigt byts ut. Syftet är att dölja webbsidor som gäller brotts­lig­het, till exempel som inne­håller bilder på sexu­ella över­grepp mot barn. Snabb­flyttande domäner används också för att ta emot svar från lätt­lurade per­soner som svarar på spam:

  1. – kriminellt eller annat suspekt innehåll publiceras på en viss domän (A);
  2. – men DNS-posten för den domänen har manipulerats så att den leder till andra domäner (B, C, D, E…) som är infekterade med så kallade bottar (servrarna har blivit zombies) som ingår i ett botnät;
  3. – den domänens (B, C, D, E…) innehavare är omedvetna om infektionen;
  4. – botten slussar trafik till slutmottagardomänen (A);
  5. – DNS-posten ändras ofta, kanske var femte minut, så att trafiken till slutmottagardomänen (A) går via olika infekterade domäner (B, C, D, E…) hela tiden (men alla ingår i samma botnät);
  6. – resultatet blir att det blir svårt att spåra och stoppa trafiken till den kriminella domänen (A);
  7. – det förekommer också att de infekterade domänerna (B, C, D, E…) vidarebefordrar trafiken till en irreguljär namnserver, som slussar trafiken vidare. Det kallas för double flux.

– Mer i Wikipedia och se information från ICANN –  länk.

[domäner] [skadeprogram] [ändrad 30 april 2019]