फास्ट फ्लक्स डीएनएस या नई साइबरक्राइम तकनीक

इंटरनेट पर आज हमारे सामने आने वाले सबसे सक्रिय खतरों में से एक साइबर अपराध है। तेजी से, अपराधी ऑनलाइन आपराधिक गतिविधि से लाभ के अधिक परिष्कृत साधनों का विकास कर रहे हैं। यह लेख फास्ट-फ्लक्स नेटवर्क्स नामक एक परिष्कृत पद्धति की बढ़ती लोकप्रियता को प्रदर्शित करता है, जो कि जैसा कि हमने देखा है, तेजी से जंगली में उपयोग किया जाता है। फास्ट-फ्लक्स नेटवर्क हैक किए गए कंप्यूटर सिस्टम के सार्वजनिक DNS रिकॉर्ड हैं जो लगातार बदलते हैं, कुछ मामलों में, हर 3 मिनट में। लगातार बदलती वास्तुकला से आपराधिक गतिविधि की निगरानी करना और उसे बंद करना अधिक कठिन हो जाता है।

तेज़ प्रवाह DNS क्या है?

फास्ट फ्लक्स डीएनएस एक विधि है जो एक हमलावर अपने कंप्यूटर के आईपी पते की पहचान को रोकने के लिए उपयोग कर सकता है। डीएनएस तकनीक का दुरुपयोग करके, एक अपराधी नोड्स के साथ एक बॉटनेट बना सकता है, उनके माध्यम से जुड़ सकता है और कानून प्रवर्तन अधिकारियों की तुलना में उन्हें तेजी से बदल सकता है।

फास्ट फ्लक्स डीएनएस डोमेन नाम प्रणाली में निर्मित एक लोड संतुलन विधि का उपयोग करता है। DNS व्यवस्थापक को एकल होस्ट नाम के साथ IP पते की nth संख्या दर्ज करने की अनुमति देता है। वैकल्पिक पते का उपयोग वैध रूप से कई सर्वरों के बीच इंटरनेट ट्रैफ़िक को वितरित करने के लिए किया जाता है। आमतौर पर, डोमेन होस्ट के साथ जुड़े आईपी पते बहुत बार नहीं बदलते हैं, यदि सभी।

हालांकि, अपराधियों को पता चला कि वे आईपी पते से जुड़े DNS संसाधन के 1/62 जीवनकाल (TTL) रिकॉर्ड का उपयोग करके मुख्य सर्वरों को छिपा सकते हैं और उन्हें बहुत जल्दी बदल सकते हैं। क्योंकि सिस्टम के दुरुपयोग के लिए एक डोमेन नाम रजिस्ट्रार के सहयोग की आवश्यकता होती है, अधिकांश फास्ट फ्लक्स डीएनएस बोटनेट को साइबर क्राइम के कानूनों के बिना विकासशील देशों में या अन्य देशों में होने वाले माना जाता है।

हनीपोट प्रोजेक्ट के अनुसार, फास्ट फ्लक्स डीएनएस बोटनेट कई अवैध गतिविधियों के लिए जिम्मेदार हैं, जिनमें फ़िशिंग वेबसाइट, ऑनलाइन मेडिकल उत्पादों की अवैध बिक्री, चरमपंथी या वयस्कों के लिए अवैध सामग्री वाली साइटें, दुर्भावनापूर्ण साइटें जो दुर्भावना फैलाने के लिए ब्राउज़र कमजोरियों और वेब स्ट्रिप्स का उपयोग करती हैं। कार्यक्रम।

वास्तविक जीवन के उदाहरण

मूलभूत सिद्धांतों की व्याख्या करने के बाद, हम अब अपराध के संदर्भ में फास्ट फ्लक्स नेटवर्क को देखेंगे और फास्ट फ्लक्स सेवाओं को स्थापित करने के लिए आवश्यक बुनियादी चरणों की समीक्षा करेंगे। सबसे पहले, अपराधियों ने हमला करने के लिए एक डोमेन पंजीकृत किया। एक उदाहरण एक नकली डोमेन नाम वाला एक डोमेन होगा जो बैंक नाम, या फ़ार्मास्यूटिकल प्रमोशन साइट जैसा दिखता है। हमारे मामले में, हम example.com का उपयोग करेंगे। हमारे शोध के आधार पर .info और .hk डोमेन सबसे अधिक उपयोग किए जाने वाले शीर्ष-स्तरीय डोमेन (TLD) में से एक हैं। यह इस तथ्य के कारण हो सकता है कि इन डोमेन रजिस्ट्रारों के लिए बिचौलियों के पास अन्य TLD की तुलना में एक कमजोर नियंत्रण प्रणाली है। अक्सर, ये फर्जी डोमेन चोरी किए गए क्रेडिट कार्ड और फर्जी दस्तावेजों का उपयोग करके या अन्य तरीकों से पंजीकृत होते हैं। अपराधियों के पास पहले से ही हैक किए गए सिस्टम का एक नेटवर्क है जो पुनर्निर्देशक के रूप में कार्य कर सकता है, या वे अस्थायी रूप से एक बॉटनेट किराए पर ले सकते हैं। इसके अलावा, सबसे सस्ता डोमेन अक्सर पंजीकृत होता है। फिर अपराधी नाम सर्वर (एनएस) रिकॉर्ड प्रकाशित करते हैं, या अपमानजनक होस्टिंग और उनके नियंत्रण के तहत किसी भी प्रॉक्सी / रीडायरेक्ट फ्लक्स-एजेंट को इंगित करते हैं। बुलेटप्रूफ होस्टिंग प्रदाता के उदाहरणों में रूस, चीन और दुनिया भर के कई अन्य देशों से डीएनएस सेवाएं शामिल हो सकती हैं। यदि अपराधियों के पास इस प्रकार की सेवा तक पहुंच नहीं है, तो वे अपने स्वयं के हैक किए गए सिस्टमों पर DNS सेवाओं का निर्माण करते हैं, और अक्सर मदरशिप साइटों पर जो होस्ट साइटें। अब हम वास्तविक तैनाती के दो मामलों को देखते हैं।

एकल-प्रवाह: एक पैसा खच्चर

पहले हम सिंगल-फ्लक्स के DNS रिकॉर्ड्स को देखते हैं। यह धन खच्चरों के घोटाले के एक वास्तविक दुनिया का उदाहरण है। धन खच्चर कोई व्यक्ति जो धन हस्तांतरित करने या निकालने में मध्यस्थ के रूप में कार्य करता है, अक्सर धोखाधड़ी में शामिल होता है। उदाहरण के लिए, एक अपराधी बैंक खाते से पैसे चुराएगा, कोई इसे एक बैंक खाते में एक धन खच्चर के साथ स्थानांतरित करता है, अर्थात, पैसा, एक खच्चर वापस लेता है और इसे अपराधी के स्थानों पर स्थानांतरित करता है, संभवतः किसी अन्य देश में। कुछ आधुनिक धन खच्चर धोखाधड़ी की विशिष्टता यह है कि धन खच्चर सोच सकते हैं कि वे वैध कंपनियों के लिए यह महसूस किए बिना काम करते हैं कि वे धन शोधन योजनाओं में अपराधियों की ओर से कार्य करते हैं। अक्सर एक पैसा खच्चर वास्तव में अन्य पीड़ितों की श्रृंखला में एक और शिकार होता है।

निम्नलिखित ऐसे बुनियादी ढांचे के विशिष्ट एकल-फ्लक्स डीएनएस रिकॉर्ड हैं। Divewithsharks.hk स्नैपशॉट्स की DNS टेबल लगभग हर 30 मिनट में बदल जाती हैं; पांच रिकॉर्डों ने चक्रीय रूप से डायल-अप और ब्रॉडबैंड नेटवर्क एक्सेस के होम / बिजनेस नेटवर्क में स्पष्ट पैठ दिखाई है। कृपया ध्यान दें कि एनएस रिकॉर्ड नहीं बदले गए हैं, लेकिन कुछ रिकॉर्ड अलग हैं। यह पैसा खच्चर की वेबसाइट है:

;; WHEN: Sat Feb 3 20:08:08 2007
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services]
divewithsharks.hk. 1800 IN A 85.207.74.xxx [adsl-ustixxx-74-207-85.bluetone.cz]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]
divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.
ns1.world-wr.com. 87169 IN A 66.232.119.212 [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 87177 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]


एकल-फ्लक्स नेटवर्क यह तय करने के लिए तर्क के कुछ रूप को लागू करने की कोशिश करते हैं कि उनके उपलब्ध आईपी पते में से कौन सा उत्तर के अगले सेट में विज्ञापित किया जाएगा। यह संचार गुणवत्ता की निरंतर निगरानी पर आधारित हो सकता है और, संभवतः, एक लोड संतुलन एल्गोरिथ्म। नए फ्लक्स-एजेंट आईपी पते को सेवा नेटवर्क के तेज प्रवाह में डाला जाता है ताकि कम प्रदर्शन वाले नोड्स को बदलने के लिए, सॉफ्टनिंग या अन्य संदेश नोड्स के अधीन किया जा सके। अब आइए 30 मिनट के बाद उसी डोमेन नाम के DNS रिकॉर्ड पर एक नज़र डालें और देखें कि क्या बदल गया है:

;; WHEN: Sat Feb 3 20:40:04 2007 (~30 minutes/1800 seconds later)
divewithsharks.hk. 1800 IN A 24.85.102.xxx [xxx.vs.shawcable.net] NEW
divewithsharks.hk. 1800 IN A 69.47.177.xxx [d47-69-xxx-177.try.wideopenwest.com] NEW
divewithsharks.hk. 1800 IN A 70.68.187.xxx [xxx.vf.shawcable.net]
divewithsharks.hk. 1800 IN A 90.144.43.xxx [d90-144-43-xxx.cust.tele2.fr]
divewithsharks.hk. 1800 IN A 142.165.41.xxx [142-165-41-xxx.msjw.hsdb.sasknet.sk.ca]
divewithsharks.hk. 1800 IN NS ns1.world-wr.com.
divewithsharks.hk. 1800 IN NS ns2.world-wr.com.
ns1.world-wr.com. 85248 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 82991 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]


जैसा कि हम देख सकते हैं, विज्ञापित आईपी पते में से दो बदल गए हैं। फिर, ये दो आईपी पते डायल-अप या ब्रॉडबैंड नेटवर्क सेगमेंट के हैं। एक और 30 मिनट बाद, क्षेत्र की खोज, निम्नलिखित जानकारी लौटाता है:

;; WHEN: Sat Feb 3 21:10:07 2007 (~30 minutes/1800 seconds later)
divewithsharks.hk. 1238 IN A 68.150.25.xxx [xxx.ed.shawcable.net] NEW
divewithsharks.hk. 1238 IN A 76.209.81.xxx [SBIS-AS - AT&T Internet Services] This one came back!
divewithsharks.hk. 1238 IN A 172.189.83.xxx [xxx.ipt.aol.com] NEW
divewithsharks.hk. 1238 IN A 200.115.195.xxx [pcxxx.telecentro.com.ar] NEW
divewithsharks.hk. 1238 IN A 213.85.179.xxx [CNT Autonomous System] NEW
divewithsharks.hk. 1238 IN NS ns1.world-wr.com.
divewithsharks.hk. 1238 IN NS ns2.world-wr.com.
ns1.world-wr.com. 83446 IN A 66.232.119.xxx [HVC-AS - HIVELOCITY VENTURES CORP]
ns2.world-wr.com. 81189 IN A 209.88.199.xxx [vpdn-dsl209-88-199-xxx.alami.net]


अब हम चार नए आईपी पते और एक आईपी पता देखते हैं, जिसे हमने पहले अनुरोध में देखा था। यह तेजी से तेज-प्रवाह नेटवर्क में उपयोग किए जाने वाले चक्रीय प्रतिक्रिया पता तंत्र को इंगित करता है। जैसा कि हमने इस उदाहरण में देखा, एक डोमेन के रिकॉर्ड लगातार बदल रहे हैं। इनमें से प्रत्येक प्रणाली एक खतरा है, मेजबान एक पुनर्निर्देशक के रूप में कार्य करता है, और पुनर्निर्देशक अंततः धन खच्चर वेबसाइट को इंगित करता है। यहां महत्वपूर्ण बिंदु यह है कि विश्लेषकों को साइट के वास्तविक पते का पता लगाने में सक्षम नहीं है, जब तक कि वे किसी एक पुनर्निर्देशित नोड तक पहुंच प्राप्त नहीं करते हैं, जो साइबर अपराधियों के लिए गतिशील रूप से बदल रहा है और इसलिए मजबूत सुरक्षात्मक खोल बनाता है। अगला, हम आर्किटेक्चर में दोहरी-स्ट्रीम फास्ट-फ्लक्स नेटवर्क को देखते हैं, जिसमें हमलावर अपनी सुरक्षा को मजबूत करने के लिए सुरक्षा के एक अतिरिक्त स्तर का परिचय देते हैं।

- यह इस तकनीक की क्षमताओं के विवरण का एक छोटा सा हिस्सा है। यदि आप में से कोई भी रुचि रखता है, तो मैं इसे पूरक करूंगा।
या आप लिंक पर जाकर खुद को समझने की कोशिश कर सकते हैं।

* मुद्रा खच्चर अनिवार्य रूप से एक ऐसा प्राणी है जो न जाने कितने ही अवैध मंचों जैसे ड्रॉप, ड्रॉप एडजस्टेबल इत्यादि। यानी एक व्यक्ति जो अपने ज्ञान के बिना, अपने स्वयं के गैरकानूनी उद्देश्यों के लिए उपयोग किया जाता है।