Fast flux botnet'lerin sürekli değişen (ve proxy görevi gören ele
geçirilmiş sistemlerden oluşan) ağdaki phishing ve malware sunan
siteleri gizlemek için kullandığı bir DNS tekniğidir. Aynı zamanda
botnet'lerin tespitini ve önlemleri zorlaştırmak için p2p ağ, dağıtık
komuta ve kontrol, web-tabanlı yük dengeleme ve proxy yönlendirmenin bir
kombinasyonu olarak da kullanılan bir terimdir. Storm Worm bu tekniği
kullanan kötü amaçlı yazılımlardan biriydi.
Fast Flux arkasındaki temel fikir tek bir tam alan adı için çok sayıda
IP adresine sahip olmak ve bu IP adreslerinin, DNS kayıtlarını
değiştirerek, aşırı sıklıkla değiştirilmesidir.
Güvenlik uzmanları bu teknikten 2006 yılından beri haberdar olsa da 2007 temmuz ayından sonra daha geniş ilgi görmeye başladı.
Single-flux ve double-flux (tek ve çift flux)
Single-flux olarak adlandırılan Fast Flux'un en basit tipi bir ağdaki
birden fazla sistemin tek bir DNS adı için kendi adreslerini DNS A kaydı
olarak kayıt ettirmesi (register) ve sonra bu kaydı kaldırmasıdır
(de-register). Çok kısa TTL (time to live) değerleri ile round robin DNS
birleştirilerek söz konusu tek DNS adı için sürekli değişen hedef
adresleri yaratılır. Liste yüzlerce veya binlerce kayıttan oluşabilir.
Double flux olarak adlandırılan ve daha sofistike bir fast flux tipi ise
ağdaki birden fazla sistemin DNS zone için kendi adreslerini DNS Name
Server record listesine kaydettirip sonra bu kaydı kaldırmalarıyla
gerçekleştirilir. Bu da kötü amaçlı ağın yedeğinin olması ve hayatta
kalma süresini artırma amaçlıdır.
Kötü amaçlı bir saldırıda, DNS kayıtları normalde proxy sunucu olarak
davranan ele geçirilmiş sistemi işaret eder. Bu metod bazı geleneksel
defans mekanizmalarının işe yaramasını önler - ör. IP-tabanlı erişim
kontrol listeleri (ACL). Bu metod ayrıca saldırganların sistemlerini
maskeler ve saldırganların ağını belirlemeyi çok daha zor kılar.
Kayıtlar normalde bot'ların kayıt olacağı, komut alacağı veya
saldırıları başlatacağı bir IP adresini işaret eder. IP'ler
proxy'lendiği için, bu komutları veren kaynağı gizlemek mümkün olur ve
IP-tabanlı bloklama listeleri devrede iken de hayatta kalma şansını
artırır.