2025年4月3日，美國國家安全局(NSA)、網(wǎng)絡安全和基礎設施安全局(CISA)、聯(lián)邦調查局(FBI)聯(lián)合澳大利亞、加拿大、新西蘭等五眼聯(lián)盟成員國的網(wǎng)絡安全機構，共同發(fā)布名為《快速通量：國家安全威脅》的全球性安全警報。報告指出，快速通量(Fast Flux)技術正被惡意行為者廣泛用于規(guī)避網(wǎng)絡防御，威脅關鍵基礎設施和國家安全。該技術通過動態(tài)篡改域名系統(tǒng)(DNS)記錄，使攻擊者能夠隱藏惡意服務器位置，維持持久化控制，并大幅提升攻擊活動的隱蔽性與彈性。報告強調，快速通量已被勒索軟件團伙、國家級黑客組織(APT)及網(wǎng)絡犯罪論壇大規(guī)模采用，尤其在針對能源、金融、醫(yī)療和政府系統(tǒng)的攻擊中表現(xiàn)突出。NSA網(wǎng)絡安全主管戴夫·盧伯警告稱：“快速通量正在成為現(xiàn)代網(wǎng)絡攻擊的‘隱形武器’，其威脅等級已達到國家安全優(yōu)先級?！?024年5月，CISA發(fā)布了加密域名系統(tǒng)(DNS)實施指南，供聯(lián)邦民事行政部門(FCEB)機構滿足DNS流量的加密要求并增強其IT網(wǎng)絡的網(wǎng)絡安全彈性。

這份名為《快速通量：國家安全威脅》的公告由美國國家安全局 (NSA)、網(wǎng)絡安全和基礎設施安全局 (CISA)、聯(lián)邦調查局 (FBI)、澳大利亞信號局澳大利亞網(wǎng)絡安全中心 (ASD's ACSC)、加拿大網(wǎng)絡安全中心 (CCCS) 和新西蘭國家網(wǎng)絡安全中心 (NCSC-NZ) 發(fā)布，公告詳細說明，當惡意網(wǎng)絡行為者入侵設備和網(wǎng)絡時，他們使用的惡意軟件需要“呼叫總部”來發(fā)送狀態(tài)更新并接收進一步的指令?！盀榱私档捅痪W(wǎng)絡防御者檢測到的風險，惡意網(wǎng)絡行為者使用快速通量等動態(tài)解析技術，因此他們的通信不太可能被檢測為惡意并被阻止?！?/span>

什么是快速通量?

快速通量是一種通過頻繁修改域名解析記錄(DNS)來混淆攻擊源的技術。其核心運作分為兩種模式：單通量(Single Flux)和雙通量(Double Flux)。

在單通量模式下，單個域名會綁定數(shù)十甚至數(shù)百個IP地址，這些IP地址通常來自被劫持的僵尸網(wǎng)絡設備或云服務商。攻擊者每2至5分鐘輪換一次IP地址，確保某個節(jié)點被封鎖后，其他節(jié)點仍能維持通信。例如，某勒索軟件的指揮控制(C2)服務器可能在一小時內切換20個不同國家的IP，其中既有家用路由器，也有亞馬遜云服務的合法IP。

雙通量則進一步升級隱匿能力：攻擊者不僅頻繁更換IP地址，還會同步修改域名服務器(NS記錄)的解析路徑。這種雙重動態(tài)變化使得追蹤惡意流量的難度呈指數(shù)級上升。報告提到，部分APT組織甚至利用規(guī)范名稱(CNAME)記錄，將惡意域名偽裝成合法子域名(如“cdn.example.com”)，進一步融入正常網(wǎng)絡流量。

該技術的核心優(yōu)勢在于抗封鎖性和匿名性。由于IP地址和域名服務器不斷變化，傳統(tǒng)防火墻的黑名單機制幾乎無法生效。此外，惡意流量?；祀s于谷歌云、AWS等平臺的合法服務中，防御者難以區(qū)分正常與異常行為。

現(xiàn)實危害

情報機構已經(jīng)發(fā)現(xiàn)Fast Flux被用于多種威脅載體。防彈托管服務會忽略執(zhí)法請求和濫用通知，通常會提供Fast Flux作為服務差異化因素，幫助客戶逃避攔截。該技術已在勒索軟件攻擊中得到證實，包括Hive和Nefilim的攻擊。Gamaredon等民族國家行為者已采用快速通量來限制IP阻止在其行動中的有效性。

在勒索軟件領域，Hive和Nefilim團伙利用快速通量技術維持C2服務器的持久控制。例如，Hive在一次攻擊中通過單通量模式在48小時內輪換超過200個IP地址，覆蓋15個云服務商。即使部分節(jié)點被執(zhí)法部門查封，攻擊鏈仍能在幾分鐘內通過剩余節(jié)點恢復。Nefilim團伙則利用雙通量技術攻擊歐洲能源公司，迫使德國政府啟動國家網(wǎng)絡應急響應機制。

國家級APT組織同樣依賴快速通量技術。俄羅斯背景的Gamaredon組織通過雙通量將針對烏克蘭政府機構的間諜活動偽裝成東歐電商平臺流量。攻擊域名每10分鐘切換一次IP地址，且部分節(jié)點位于波蘭和羅馬尼亞的合法數(shù)據(jù)中心，成功規(guī)避地理封鎖策略長達數(shù)月。

網(wǎng)絡釣魚活動也因快速通量技術而“生命力”大增。比如釣魚網(wǎng)站通過單通量模式，在3周內可輪換超過100個國家的IP地址。此外，快速通量還被用于維護暗網(wǎng)犯罪論壇的“高可用性”。防彈托管服務商將其作為核心功能，幫助客戶逃避執(zhí)法打擊。例如，暗網(wǎng)市場通過雙通量技術，使其域名服務器每小時更換一次，執(zhí)法部門的濫用投訴處理速度完全跟不上變化。

如何防御?

為了防御快速通量，政府和關鍵基礎設施組織應與其互聯(lián)網(wǎng)服務提供商、網(wǎng)絡安全服務提供商和/或其保護性DNS服務協(xié)調，利用準確、可靠和及時的快速通量檢測分析實施緩解措施。這些措施包括 DNS和IP阻止和惡意快速通量域和IP地址的Sinkholing、對啟用快速通量的惡意活動進行信譽過濾、增強監(jiān)控和日志記錄、協(xié)作防御和信息共享以及網(wǎng)絡釣魚意識和培訓。

情報機構呼吁組織使用可檢測和阻止快速通量的網(wǎng)絡安全和PDNS服務。通過利用可檢測快速通量的提供商并實施DNS和IP阻止、“ sinkholing ”、聲譽過濾、增強監(jiān)控、日志記錄和惡意快速通量域和 IP地址的協(xié)作防御功能，組織可以減輕與快速通量相關的許多風險并維護更安全的環(huán)境。但是，一些PDNS提供商可能無法檢測和阻止惡意快速通量活動。

此外，組織不應假設他們的PDNS提供商會自動阻止惡意快速通量活動，而應聯(lián)系他們的PDNS提供商來驗證對這種特定網(wǎng)絡威脅的覆蓋范圍。

結論

隨著快速通量威脅的復雜性與日俱增，防御側的緊迫性同步顯現(xiàn)。PDNS服務的局限性表現(xiàn)為PDNS提供商仍無法有效檢測快速通量活動。而生成式AI可能被用于自動化生成通量域名，攻擊頻率或提升百倍。正如Cybersec Innovation Partners首席執(zhí)行官安德魯·詹金森批評稱：“盡管CISA早在2019年就關注DNS濫用問題，但至今未形成有效解決方案?！狈烙咝杓铀俅蚱茢?shù)據(jù)孤島，推動跨國聯(lián)合行動。

快速通量技術的泛濫暴露了現(xiàn)代網(wǎng)絡基礎設施的深層漏洞。從勒索軟件到國家級間諜活動，其威脅已滲透至國家安全的核心領域。防御者唯有通過技術迭代、數(shù)據(jù)共享與跨國協(xié)作，才能在這場動態(tài)博弈中搶占先機。正如報告所呼吁：“對抗快速通量，是一場關乎數(shù)字時代主權的持久戰(zhàn)?！?/span>

參考資源

1、https://media.defense.gov/2025/Apr/02/2003681172/-1/-1/0/CSA-FAST-FLUX.PDF

2、https://cyberscoop.com/fast-flux-nsa-cisa-advisory-bulletproof-hosting/

3、https://industrialcyber.co/cisa/advisory-warns-of-fast-flux-national-security-threat-urges-action-to-protect-critical-infrastructure/

文章來源：網(wǎng)空閑話plus