Botnetbeheerders gebruiken een nieuwe techniek om hun botnet te beschermen, wat het oprollen van zombies een stuk lastiger maakt. Hydraflux is de benaming van een techniek die verder gaat dan "fastflux", een techniek die botnetbeheerders nu vaak toepassen om het zombienetwerk zolang mogelijk operationeel te houden. Bij fastflux koppelen de botnetbeheerders hun domein aan meerdere, snel wisselende IP-adressen. Elke keer als bij een Domain Name Server het IP-adres van het malafide domein wordt opgevraagd, zal een ander antwoord worden gegeven.

In sommige gevallen van fast flux is er sprake van duizenden IP-adressen voor een domein. Verwijst een phishing-link, zoals www.mijnbank.nl, het ene moment nog naar een computer (of IP-adres) in Brazilië, even later kan deze alweer verwijzen naar een computer in Rusland. Deze snelle wisselingen maken
het lastig om malafide domeinen te bestrijden en kwaadaardige sites uit de lucht te halen.

Moederschip

Bij een fastflux-netwerk communiceren de clients met een fluxnode, die weer communiceert met het "moederschip". Weten beveiligers een fluxnode uit te schakelen, dan heeft dit gevolgen voor het aantal bots in het botnet, maar wordt het moederschip gepakt, dan heeft dit echt effect. Hydraflux verandert dit.

Met de nieuwe technologie heeft elke fluxnode een "één op veel" relatie met het moederschip en communiceren de individuele nodes met het command center op een niet standaard poort. Deze opzet maakt het lastiger om een netwerk uit te schakelen, aangezien de fluxnode nog steeds instructies van de overige "moederschepen" kan ontvangen, aldus onderzoeker Mark Hofman.

Een bijkomend probleem is dat het bijna niet te bepalen is of een bepaald moederschip de uiteindelijke bestemming of slechts een hop in een netwerk van moederschepen is. Zelfs als een moederschip uit de lucht wordt gehaald, kan een andere dit gat eenvoudig vullen. "Zoals je kunt zien is het spel wederom veranderd," gaat Hofman verder.