Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 34, views: 15.391 •
Bron: Honeynet.org

Cybercriminelen nemen steeds betere maatregelen om hun websites met criminele inhoud te verbergen. Ze nemen sinds enige tijd hun toevlucht tot fast flux. Tot deze conclusie komen onderzoekers van de Honeynet-organisatie in een rapport.

Verschillende criminele organisaties, waaronder degene die verantwoordelijk is voor de Stration-malwarefamilie, brengen hun infrastructuur onder in zogenaamde fast flux-netwerken. In een fast flux-netwerk heeft een domeinnaam, bijvoorbeeld www.phisingsite.com, enkele duizenden ip-adressen toegewezen gekregen. Deze adressen worden onderling in een hoog tempo uitgewisseld door een combinatie van round robin - een techniek die gebruikt wordt bij load balancing - en een extreem korte time-to-live van een individueel dns-record. De hostname verwijst zo ongeveer iedere drie minuten naar een andere computer. De computers zijn vaak geïnfecteerde computers van thuisgebruikers die middels een groot botnet met elkaar verbonden zijn. Binnen het netwerk controleren de criminelen regelmatig de status van de machines. Machines die niet reageren of een beperkte bandbreedte hebben worden uit het netwerk verwijderd.

Naast de hierboven beschreven methode, wordt er om de beschikbaarheid verder te verhogen gebruik gemaakt van een tweede laag: blind proxy redirection. De computers waar de duizenden verschillende ip-adressen naar verwijzen serveren niet zelf de inhoud van de websites. In plaats daarvan fungeren ze als proxy tussen de bezoeker van de website, en de webservers in de backend. Een domeinnaam verwijst op deze manier niet meer naar een specifieke server, maar naar een grote groep frontend-proxy's, die op hun beurt de gebruiker doorsturen naar een groep backend-servers. Nog geavanceerder zijn de netwerken die gebruik maken van de double flux-techniek. Hierbij wordt ook het ip-adres van de Authoritive Name Server constant gewijzigd. De netwerken worden alle door enkele zogenaamde flux-motherships aangestuurd, vergelijkbaar met de manier waarop meer traditionele botnetwerken hun commando's van enkele master-computers in het netwerk krijgen.

Voorbeeld Fast flux-netwerken
Voorbeeld van een single flux en double flux-netwerk

Helemaal nieuw is het gebruik van fast flux door criminelen niet, een jaar geleden doken de eerste rapporten al op. The Honeynet Project & Research Alliance heeft nu echter voor het eerst grondig onderzoek naar deze netwerken gedaan. Met een honeypot werd het verkeer en de techniek van de criminelen blootgelegd. Door het toepassen van deze technieken, die ook gebruikt worden in situaties waar een hoge beschikbaarheid cruciaal is, is het opsporen en uitschakelen van criminele websites een stuk moeilijker geworden. Sites kunnen immers niet meer op basis van een ip-adres of via een enkele hostingprovider uit de lucht gehaald worden.

Reacties (34)

Reactiefilter:-134032+117+212+30
Ook ideaal dus om aan organisaties te ontkomen die "auteursrechten beschermen"
Het maakt niet uit aan wie je probeert te ontkomen, je blijft een cybercrimineel.
Is het niet beter om de malafide providers op te sporen / te sanctioneren die geen controle zelf uitvoeren op hun netwerk? Zo zit op onze (nederlandstalige) website praktisch heel ASIA & AFRIC in onze firewall ... als we ooit ergens mee zever hebben, dan zijn het altijd wel IP's uit die regio. Verder ben ik van mening dat het voor een provider toch mogelijk moet zijn om binnen een eigen netwerk bots op te sporen en de betreffende klant (tijdelijk) van het netwerk af te sluiten of te beperken van verkeer. Men zit steeds maar te roepen voor controle op het verkeer (voor het downloaden tegen te gaan) maar ik denk dat men eerst beter hier kan aan werken :)

[Reactie gewijzigd door KimG op 19 juli 2007 09:40]

Hoe wil je dat wereldwijd aan gaan pakken?

In Nederland zou je eventueel nog wel zoiets voor elkaar kunnen krijgen, maar het internet is vele malen groter dan dat. Er zijn ook providers in de wereld die daar niet aan mee zouden werken, omdat het ze a) niet interesseert, of b) zelf belang bij zoiets hebben, omdat elk verkeer wat ze hebben bijdraagt aan hun bestaansrecht.
true;

maar als wij als europa (en de vs?) zouden besluiten dat jij als ISP geen bestaansrecht hebt omdat je spammende organisaties in de hand werkt, en ineens blijkt dat jouw klanten niet meer op hives, msn en google kunne, etc... dan ga je toch eens denken lijkt me zo..
Als de/een overheid er voorzorgt dat jou klanten niet meer op hyves of google kunnen komen, kun je spreken van censuur O-)
Niet mee eens. Het zou censuur zijn als jou klanten vanwege de inhoud van Hyves of Google geweerd worden.

i-chat doelt op ISP's die malafide methoden eropna houden dan wel niet voldoende bestrijden.

Stel jij begint een piratenzender en je moet daar mee stoppen van de overheid. Dan kun je niet zeggen dat jouw luisteraars gecensureerd worden, nee, jij bent gewoon verkeerd bezig.

[Reactie gewijzigd door Rekcor op 19 juli 2007 11:39]

Jouw methode werkt uitstekend voor sommige organisaties die geen wereldwijde contacten hebben, maar geloof het of niet: uit Afrika of Azie kunnen ook nuttige mails komen...
De computers zijn vaak geïnfecteerde computers van thuisgebruikers die middels een groot botnet met elkaar verbonden zijn.
Kwestie van dat oplossen en je bent al een heel eind. Gewoon toejuichen dus als MS straks met Windows gratis antivirussoftware mee gaat leveren :)
offtopic:
MS zal nooit gratis met windows antivirus software mee gaan leveren.. mag niet van de EU AFAIK
Moet jij eens opletten wat mevrouw Kroes ervan gaat vinden, als MS gratis antivirussoftware gaat meeleveren.

Zowiezo denk ik dat het gevaar meer schuilt in oudere Windows-versies van gebruikers die hun boel niet updaten, geen of outdated antivirus draaien, en/of geen firewall hebben. Windows zal best steeds veiliger worden, maar dat staat of valt met of mensen ook daadwerkelijk hun machientje bijhouden.

[Reactie gewijzigd door RefriedNoodle op 19 juli 2007 09:56]

Als er alleen maar vrije marktwerking was dan was de wereld inmiddels in bezit van hoogstens 10-20 bedrijven....
precies wat mevrouw kroes probeert te bereiken, alleen jammer dat MS gebaat is bij zo min mogelijk marktwerking.

Marktfalen noemen we de huidige situatie...
tja ik kan me ook niet zo'n legale doeleinde van zulke fast flux-netwerk. Maar mischien zie ik een voordehand liggende toepassing boven het hoofd?
voor Loadballancing zijn er naar mijn weten wel andere oplossingen.

Ik zou me kunnen voorstellen dat zulke providers dan ook illegaal zouden kunnen worden bestempeld. (waarschijnlijk niet handhaafbaar maar das een ander probleem)

In elk geval is het duidelijk dat instanties/mensen die dit toepassen niet achterhaald willen worden. Overigens kun je dit rookscherm verder dan double doorvoeren theoretisch zou je over net zo veel tussen hubs kunnen gaan als je zelf wilt (wordt wel elke keer trager)

Anoniem is leuk totdat je het slachtoffer ergens van bent. En zo wordt het onmogelijk om iemand te traceren ook bij "bewezen misdaad" en of "gerechtelijk uitspraak"

aan de andere kant met landen als china is dit natuurlijk weer overleven voor je mening..

[Reactie gewijzigd door a.prinsen op 19 juli 2007 09:46]

flux.thepiratebay.org :D
Ik denk niet dat zij flux hebben. De naam van de eigenaar is bekend: "Fredrick Neij". Zijn servers staan in zweden en in zweden is hete volledig legaal wat zij doen.. Dus waarom zouden zij flux hebben. Daarnaast zijn ze ook geen criminele organisatie en is het niet de bedoeling van thepiratebay.org om al zijn users te hacken maar juist om alle software producenten te dissen.. (en ander copyright materiaal)
Hoewel organisaties, zoals de consumentenbond, veel verantwoordelijkheid bij de ISP proberen te leggen denk ik dat consumenten zichzelf (en anderen) heel eenvoudig kunnen beschermen door geen computers direct aan het internet te hangen.

Volgens mij is het gebruik van een simpele IP-masquerading/NAT router voldoende om te voorkomen dat een PC te gebruiken is voor dit doel. Waarbij de pc, als bijkomend voordeel gelijk, niet meer kwetsbaar is voor andere aanvallen van het internet en je eventueel meerdere PCs op 1 internet aansluiting kunt gebruiken.

Er is dus helemaal geen overdreven noodzaak voor anti-virus of anti-(spy|mal)ware in het besturingssysteem...
Het is wel veiliger (een firewall te nemen) en je weet nooit zeker. Ik denk niet dat die criminelen ze gaan vertellen wanneer ze een manier gevonden hebben om routers te omzeilen. Dan ben je vervolgens weer kwetsbaar.. :)

[Reactie gewijzigd door LucaPD805 op 19 juli 2007 10:17]

Volgens mij is het gebruik van een simpele IP-masquerading/NAT router voldoende om te voorkomen dat een PC te gebruiken is voor dit doel. Waarbij de pc, als bijkomend voordeel gelijk, niet meer kwetsbaar is voor andere aanvallen van het internet en je eventueel meerdere PCs op 1 internet aansluiting kunt gebruiken.
Nee dus, de welbekende trojans maken verbinding naar buiten en krijgen via de weg de commando's om te spammen, DoS'en, etc. En als dan ook nog UPnP in de router aanstaat (zoals in 9 van de 10 gevallen is, AnDuRs KuN jE nIeT zO gOeD vUsTuRuH met MSN), kan de geinfecteerde machine ook bereikbaar gemaakt worden van buitenaf.
Het gaat dus om een verbinding van buiten naar binnen en die blokkeer je -in principe- dus wel op deze manier.

Als UPnP dan echter weer een achterdeur openzet dan heb je er inderdaad niet veel aan, in dat geval zou de ISP het account toch gewoon moeten blokkeren - je bent dan mijns inziens een gevaar op de internetsnelweg aan het worden; dan ben ik niet meer tegen proactief blokkeren hoor :). Dan moet het MSN protocol maar verbeterd worden zodat je geen potentieel te misbruiken features nodig hebt...

[Reactie gewijzigd door Little Penguin op 19 juli 2007 11:06]

Ook ideaal dus om aan organisaties te ontkomen die "auteursrechten beschermen
De nieuwe torrent manier :D Weg Brein.

Ik heb er van gehoord en je kunt er een ding concreet tegen doen: UDP poort 53 afsluiten en nog een serie poorten. Meestal heb ik snel door aan het lampje op het modem hoe actief mijn netwerk is als de PC in rust is en dan knippert het haast niet. Zodra dat anders wordt weet ik genoeg.

Jammer voor hun dat ik de status op mijn modem in een oogwenk kan zien. Dat heb ik binnen 2 uur door.

[Reactie gewijzigd door Rogresalor op 19 juli 2007 10:23]

Ja joh, dat is een goed idee!
Als we dat allemaal zouden doen hebben we helemaal geen last meer van dit probleem!

Dan gaan we weer met hosts files werken, dat werkte vroeger ook 8)7

Wel goed dat jij elke 2 uur naar de lampjes van je modem kijkt!

/Pirate Mode On
Hey, een handleiding, allemachtig wat een idee. Laat ik dat ook eens proberen O-)
/Pirate Mode Off
Dus in kort gewoon iedereen die een geinfecteerd pc heeft 1 keer waarschuwen en bij een 2de keer wordt de pc 1 maand lang in beslag genomen en alle kosten voor de eigenaar van die pc. Het wordt tijd dat mensen bewust worden van hun slechte computer/internet gedrag.

[Reactie gewijzigd door cybergen007 op 19 juli 2007 10:53]

Waarom ook niet. XS4all sloot vroeger je verbinding af als je je mailserver niet goed had geconfigureerd en als relay werkte.
Ik vind het op zich een leuke vinding, maar waar het voor gebruikt word wat minder..

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013