1. 事件背景
2025 年 4 月 3 日,美国国家安全局(NSA)联合 CISA、FBI 及澳加新三国网络安全主管机构发布 联合网络安全预警(CSA,编号 AA25-093A),直指 Fast Flux 给全球网络带来的长期漏洞。 Fast Flux = “快速轮换解析”——攻击者把一个域名在数分钟甚至数秒内不断解析到新的 IP(以及不断更换 NS / CNAME 记录),借此隐藏 C2 服务器和钓鱼站点的位置并抵御 IP 封禁。
2. 什么是Flux
当恶意行为者入侵设备或网络后,其植入的恶意软件需要定期“回连” (call home) 以上报状态并接收后续指令。为降低被安全团队发现的概率,攻击者通常会采用 Fast Flux(快速轮换解析) 等动态解析技术,使其通信难以被识别并加以封锁。
单层 Flux 与双层 Flux
| 单层 Flux | ||
| 双层 Flux |
图 1:单层 Flux 技术
图 2:双层 Flux 技术
运作方式
两种 Flux 技术都依赖大规模受控主机(僵尸网络)作为代理或跳板节点,对外转发流量。这种分布式、快速变化的基础设施让防御方难以定位恶意源头或通过执法渠道实施 takedown。
已知滥用场景
弹性托管(Bulletproof Hosting, BPH)
部分 BPH 服务公然无视执法请求,为攻击者提供匿名托管,并附带 Fast Flux 功能以提升恶意基础设施的可用性与隐蔽性。
Hive、Nefilim 等家族在搭建支付站点和密钥服务时使用 Fast Flux 躲避封禁。
Gamaredon 在其 C2 架构中采用 Fast Flux,以削弱传统 IP 封锁手段的效果 。
Fast Flux 对攻击者的三大优势
| 韧性更高 | |
| IP 封锁失效 | |
| 匿名性提升 |
3.攻击者如何利用 Fast Flux?
4.技术拆解:单层 vs. 双层 Flux
┌─单层 Flux────────┐ ┌─双层 Flux─────────────────┐│ 域名 -> IP 列表 │ │ 域名 -> NSx (随时更换) ││ IP 周期性轮换 │ │ NSx -> IP 列表 (再轮换) │└────────────────────┘ └───────────────────────────┘单层 Flux:同一域名指向大量 IP,DNS TTL 极低(3-5 min)。 双层 Flux:再把域名的 NS/CNAME 记录一起轮换,匿名性 ×②。
5. 8 大检测思路(ISP/SOC/PDNS 参考)
1.威胁情报 / 信誉库:集成 IOC,于边界 FW / 解析器 / SIEM 拦截。
2.DNS异常检测:捕捉高熵域名 + 单日解析 >N 个 IP 的异常域。
3.TTL 分析:TTL ≤ 300 s 且频繁变动为高危信号。
4.地理离散度:同域名解析到跨洲际 IP,高概率为 Fast Flux。
5.流量可视化:NetFlow 检测短时与大量 IP 通信的客户端。
6.机器学习基线:训练正常 DNS 行为模型,识别偏差模式。
7.钓鱼关联:邮件网关命中钓鱼 URL 时同步查域名轮换速率。
8.客户透明:确认恶意后,立即推送告警给受影响客户。
6. 5 层防护措施(政企 & 关基单位通用)
7. PDNS 供应商自检清单
是否对 MITRE ATT&CK T1568.001 进行特征/行为覆盖? 是否支持自定义 TTL 阈值 + IP 多样性 规则? 是否提供 实时 IOC 同步 & 客户专属视图? Fast Flux 域引流后,是否具备 受感染端定位 报表?
若答案出现空白,应立即评估替换或补强方案。
8. 结语
Fast Flux 是“看得见、封不住”的顽疾:它借由全球僵尸网络与弹性托管,将 C2、钓鱼与暗网服务点缀在不断变化的 IP 池中。 多国安全机构已将其上升至“国家安全”层面。 唯有 多层检测 + 协同情报 + 持续演练,才能真正弥补这块长期防御缺口。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...