Fluxy: Fast-Flux Botnetze erkennen
Java, Linux/OpenSource November 16th, 2009Fast-Flux Botnets sind derzeit angesagt: Um Viagra, „Günstige Software“ und andere Artikel über Spam zu bewerben muss auch ein „Onlineshop“ irgendwo gehostet werden.
Damit den Spam Versendern nicht der Webserver abgeschaltet wird, oder unter der Last zusammenbricht, bedienen sich immer mehr Spam-Betreiber bei Botnetzen. So werden sogar auf privaten Rechnern hinter DSL Accounts die Inhalte gehostet: Ein „passive Botnet“.
„Kunden“ solcher Online Pharmacy Seiten riskieren dabei eine Menge: Im harmlosesten Fall werden wirkungslose Placebos statt Potenzmittel verschickt. Im schlimmsten Fall werden die Bankdaten und Kreditkartendaten und womöglich noch ein Standardpasswort des Users eingefangen und können dann verwertet werden. (Die wenigsten Anwender verwenden für jeden Dienst ein eigenes Passwort, und schon ist es geschehen.)
Um Nutzer zu schützen und auch um weitergehende Analysen machen zu können, gibt es inzwischen Ansätze, die Fast Flux Botnetzte als solche zu identifizieren. Dabei macht sich z.B. die Software Fluxy zu nutze, dass bestimmte Charakteristika von Fastflux Botnetzen ausnutzt: Bei Botnetzen gibt es eine geringe TTL beim DNS, die IPs zu einem Hostnamen kommen aus verschiedenen Netzen, DNS Reverseanfragen lösen zu Hosts auf, die „dynamic“, „dsl“, „dialup“ o.ä. beinhalten. Mit diesen Kriterien läßt sich eine Bewertung erstellen, die sowohl genutzt werden kann, um Endanwender vor Fastflux Botnets zu schützen, aber auch Internetprovidern helfen kann betroffene Kunden zu identifizieren. Fluxy ist dabei eine Opensource Java Lösung, die als Library und Browserplugin für Firefox zur Verfügung steht: http://sourceforge.net/projects/fluxy/
November 20th, 2009 at 10:39
Typo im Satz „Für “Kunden” solcher Online Pharmacy Seiten riskieren dabei eine Menge:“.
Und: Schönen Blog hast du da. Lese ich gern!
November 21st, 2009 at 12:42
Danke für den Hinweis und auch das Lob! 🙂