Le fast flux est une technique utilisée pour dissimuler des sites d'hameçonnage (phishing) et de disséminateurs de logiciels malveillants. Cette technique utilise les caractéristiques techniques du protocole DNS (ou Domain Name System), permettant d'attribuer à un même nom de domaine de nombreuses adresses IP. Sa mise en œuvre nécessite en général l'utilisation de botnets.
Présentation de la technique
Le protocole DNS est le protocole utilisé pour résoudre une adresse IP, et donc un serveur, à partir d'un nom de domaine. Afin de répartir les charges entre plusieurs serveurs, il est possible de configurer un DNS pour qu'il change d'adresse IP très régulièrement. On appelle cette technique le « DNS round-robin ».
Dans le cadre du fast flux, les adresses IP vers lesquelles pointe le DNS sont généralement des machines compromises. Ces dernières redirigent les requêtes vers le serveur réel, appelé « mothership », en fonctionnant comme des proxys inverses. L'objectif est de rendre difficile l'identification du serveur mothership, tout en conservant une robustesse face à la perte de machines compromises.
Fast-flux simple
La technique du fast-flux simple correspond à la dissimulation de l'IP du mothership par un ensemble de machines compromises agissant comme des proxys inverses[1]. Lorsqu'un internaute fait une demande de résolution de l'IP d'un nom de domaine, il passera par un proxy qui lui cachera donc l'adresse du mothership. Toutefois, cette technique a ses limites puisqu'il suffit alors de couper le serveur DNS résolvant le nom de domaine pour que le mothership ne soit plus du tout accessible.
Fast-flux double
Tout comme le fast-flux simple, la technique du fast-flux double dissimule l'adresse IP du mothership par un ensemble de machines compromises agissant comme des proxy inverse. Dans la technique du fast-flux double, les machines compromises redirigent également les requêtes effectuées au serveur DNS vers le mothership. Si le serveur DNS est maîtrisé et que le registrar du nom de domaine permet le changement aisé du NS gérant le nom de domaine, il devient alors beaucoup plus difficile de couper l'accès au DNS ainsi qu'au mothership[2].
Position de l'ICANN
Via un rapport publié en par le "Security and Stability Advisory Committee" (SSAC), l'ICANN émet la recommandation suivante :
- « SSAC encourage l'ICANN et les registars à examiner les recommandations de ce rapport, afin de déterminer les meilleures pratiques en vue d'atténuer les effets de l'hébergement de fast flux, et d'examiner si de telles pratiques devraient être traitées dans les accords futurs[3]. »
Références
- « Bulletin d'actualité 2007-29 », sur ssi.gouv.fr via Internet Archive (consulté le ).
- « Fast-Flux et double Fast-Flux : Techniques de résilience de sites "douteux" », sur orange-business.com via Internet Archive (consulté le ).
- http://www.icann.org/en/committees/security/sac025.pdf