De Amerikaanse autoriteiten hebben vandaag samen met cyberagentschappen uit Australië, Canada en Nieuw-Zeeland een waarschuwing afgegeven voor een techniek genaamd 'fast flux'. Volgens de autoriteiten, waaronder de FBI en geheime dienst NSA, vormt de techniek een grote dreiging voor de nationale veiligheid en zorgt ervoor dat aanvallers, zoals cybercriminelen en statelijke actoren, detectie kunnen omzeilen.

Bij fast flux wijzigen aanvallers in hoog tempo de ip-adressen van domeinen die in de Domain Name System (DNS) records vermeld staan. Aanvallers gebruiken deze domeinen voor het communiceren met besmette systemen. Zodra één ip-adres wordt geblokkeerd of uit de lucht gehaald blijft het domein via andere ip-adressen beschikbaar. Naast deze flux-techniek is er ook nog 'double flux', waarbij niet alleen het ip-adres van de betreffende domeinnaam wordt aangepast, maar ook van de gebruikte DNS-server.

"Beide technieken maken gebruik van een groot aantal gecompromitteerde hosts, vaak een botnet dat als proxy of relay point fungeert, wat het lastiger voor netwerkverdedigers maakt om malafide verkeer te identificeren of blokkeren of het uit de lucht halen van de malafide infrastructuur door justitie", aldus de diensten.

De diensten adviseren onder andere internetproviders een meerlaagse aanpak om fast flux te detecteren. Zo moet er gekeken worden naar domeinen die snel en vaak van ip-adressen veranderen. Een doorsnee fast flux-domein kan elke drie tot vijf minuten een ander ip-adres krijgen, zo laat de waarschuwing weten. Ook wordt aangeraden om naar ip-geolocatiegegevens te kijken en fast flux detectiealgoritmes te ontwikkelen.