Hallo Liebes Forum,

Ich beschäftige im Moment mit Botnetzen und wie sie funktionieren. Dabei bin ich auf "Fast Flux" Techniken gestoßen. Gut beschrieben wird dies zum Beispiel hier: hxxp://www.honeynet.org/book/export/html/130

Ich glaube ich verstehe wie das ganze funktioniert, habe aber ein paar Dinge, die mich stören bzw. die mir unklar sind.

1.) bei Single Flux: Das ganze basiert ja darauf, dass ich ein Zombienetzwerk habe, das eine reine Weiterleitung anbietet um mein Mothership zu schützen, bzw. den Antivirenherstellern zu verschleiern unter welcher IP der Server zu finden ist. So weit so gut. Auf den Flux-Agents muss aber die IP gespeichert sein, damit dieser weiß wohin er weiterleiten soll. Sehe ich es also richtig, dass wenn es einem AV Hersteller gelingt einen solchen Flux Agent in die Finger zu bekommen, dass das Ganze gescheitert ist, da er nun die IP des Servers kennt?

Außerdem zu single Flux: Damit das Ganze funktioniert muss ich meinen DNS Server bulletproof hosten. Nunja, wenn ich eh schon ein bulletproof hosting benötige, warum dann der ganze Aufwand? Dann kann ich ja gleich meinen C&C Server bullet proof hosten?

2.) Double Flux: Im Grunde selbe Frage wie bei Single Flux: Wenn ein AV Hersteller einen Flux Agent in die Finger bekommt (egal ob dieser als Web Proxy oder als DNS arbeitet) ist Game Over? Dann kennt derjenige die IP des motherships.

Vielleicht stehe ich auch nur auf dem Schlauch, aber mir ist der Sinn von Fast Flux noch nicht ganz klar.

Danke für die Denkhilfe :-)

ich glaube du bist hier im falschen forum