imported>SchlurcherBot: Bot: http → https

2025-09-20T02:30:54Z

Bot: http → https

Neue Seite

[[Datei:Facebook new login system spam fastflux 4.png|mini|Analyse einer Fast-Flux Domain mit Robtex]]
[[Datei:Fast-Flux.png|mini|Fast-Flux Netzwerk]]
[[Datei:Single und double flux.png|mini|Single und Double-Flux Netzwerk]]
'''Fast Flux''' ist eine von [[Botnetz]]en genutzte [[Domain Name System|DNS]]-Technik, mit der der Standort von Webservern verschleiert werden kann. Dieses wird mit einem DNS-Server und einer [[Lastverteilung per DNS]] (Round-Robin DNS) bewältigt. Üblicherweise werden Fast-Flux-Netzwerke bei [[Phishing]]- und [[Denial of Service|DoS]]-Attacken verwendet.

== Single-Flux ==

Die einfachste Sorte von Fast-Flux, auch genannt Single-Flux, wird charakterisiert durch multiple individuelle Knotenpunkte, welche ihre Adresse im [[A Resource Record|DNS A-Record]] einer einzelnen Domäne selbst ein- und wieder austragen können. Dies kombiniert Round Robin DNS mit einer sehr kurzen [[Time to Live]] (TTL) um permanent wechselnde Endadressen für die einzelnen Domains zu erzeugen. Diese Liste kann hunderte oder tausende Einträge lang sein.

== Double-Flux ==

Eine anspruchsvollere Art des Fast-Fluxes, welche auch ''double flux'' genannt wird, ist charakterisiert durch multiple Knotenpunkte, welche ihre Adresse selbstständig in einen Teil des [[NS Resource Record|DNS-NS Records]] für die DNS-Zone ein- und wieder austragen können. Dies erzeugt eine zusätzliche Schicht von Redundanz und Überlebensfähigkeit innerhalb des Malware-Netzwerks.

== Reverse Proxy ==
Die Botnet-Betreiber verwenden für ihre Fast-Flux-Netzwerke [[Reverse Proxy]]s die meist aus dem eigenen Botnetz stammen. Nur wer eine schnelle Internetanbindung hat und besonders lange online ist, wird in ein Fast-Flux-Netzwerk aufgenommen.

Ein Reverse Proxy ist eine Kommunikationsschnittstelle, die vor einen Server geschaltet wird und an dessen Stelle auf dem http-Port lauscht. Damit werden drei mögliche Ziele verfolgt:

# Performancesteigerung: Der Proxy kann Webinhalte cachen und diese direkt zurückliefern.
# Sicherheit: Der Server kann im internen Netz hängen und ist damit nach außen unsichtbar.
# Lastverteilung: Der Proxy kann seine Anfragen auf mehrere Server verteilen.

== Beispiele von Fast-Flux-Botnetzen ==
{|
|-
! Botnetz !! Trojaner
|-
| [[Storm Botnet]] || Tibs, Peacomm, Nuwar, Zhelatin, Peed
|-
| Rustock || RKRustok, Costrat
|-
| Pushdo || Pandex, Mutant, Wigon, Pushdo
|-
| Mega-D || Ozdok
|-
| Kneber || zBot, Zeus
|-
| Warezov || Stration
|-
|Kelihos<ref>{{Literatur |Autor=Dhia Mahjoub |Titel=Monitoring a fast flux botnet using recursive and passive DNS: A case study |Sammelwerk=2013 APWG eCrime Researchers Summit |Datum=2013-09 |DOI=10.1109/eCRS.2013.6805783 |Seiten=1–9 |Online=https://ieeexplore.ieee.org/document/6805783 |Abruf=2021-07-23}}</ref>
|Win32/Kelihos
|}

== Siehe auch ==
* [[Botnet]]
* [[Zombie (Internet)]]

== Weblinks ==
* [https://www.heise.de/security/artikel/Hydra-der-Moderne-Die-neuen-Tricks-der-Spammer-und-Phisher-270912.html Hydra der Moderne Die neuen Tricks der Spammer und Phisher]
* [https://www.fuzo-archiv.at/artikel/1617025v2 Angriff auf prominente Internetseiten in Südkorea und der USA durch mehrere Fast-Flux-Netzwerke]

== Einzelnachweise ==
<references />

[[Kategorie:Bot-Netze]]

Fast Flux - Versionsgeschichte

imported>SchlurcherBot: Bot: http → https