[ホーム] ＞ [サイバー攻撃大辞典 トップ] ＞ [Fast-Flux]


作成日：2020/09/18

Fast-Flux

DNSのラウンドロビン機能を悪用する。主に「フィッシング詐欺」に利用する。
簡単に言うと、フィッシングサイトへのアクセスをボット経由とし、かつボットのIPを次から次へと変えて、対策を遅らせる仕組み。

『攻撃に利用するドメイン名の中継点』を DNSに登録するが、ラウンドロビン機能により複数IPアドレスを割り当てる。
さらにAレコードのTTLを極端に短くすることにより、アクセスするたびに異なるIPアドレスを返す設定とする。

この中継点にアクセスして被害にあった場合、すでにIPアドレスが異なっているため、調査が困難となる。
この攻撃をFast-Fluxの一種で「Single-Flux」と呼ぶ。

例えば 以下のフィッシングサイトを作成したとする。
www..phisingsite.example.com

IPアドレスをa.b.c.dとした場合、仮にセキュリティシステムに a.b.c.d がブロックされるとフィッシングにユーザを導くことが不可能となる。

そこで www..phisingsite.example.comをボットを経由してアクセスさせる仕組みとする。
www..phisingsite.example.comにボットのIPアドレスをラウンドロビンで割り当てる。

仮にボットのIPアドレスをセキュリティシステムでブロックされても、他のIPアドレスが生きているため、フィッシングサイトは機能してしまう。
このようにフィッシングサイトを延命するために使用するのが、Fast-Fluxである。

[ホーム] ＞ [サイバー攻撃大辞典 トップ] ＞ [Fast-Flux]