Wiki eintrag zur Überprüfung

[rat]

Hi,ich habe mit einen Kumpel einen Eintrag über Domain-Flux für Wiki vorbereitet und möchte jetzt mal das ihr das Überprüft befor es reingestellt wird.Ihr könnt ruhig sagen was gut ist und schlecht sowie auf Korregtheit.Ihr könnt alles Kritisieren,von Fehelrn bis zum Satzbau,aber dann auch bitte bessere vorschläge machen.

Domain Flux
http://de.wikipedia.org/wiki/Datei:Robtex_Analyse_DGA_Domains.png
Domain Flux ist eine Technik die von Botnetbetreibern genutzt wird um den Standort ihrer Command & Control Server zu verbergen.Der Vorteil gegenüber Fast Flux besteht darin, dass die Domain zu der sich die Infizierten Rechner verbinden ständig gewechselt wird. Somit ist es beinahe unmöglich den Command & Control Server (kurz: C&C) zu finden, ohne den DGA zu entschlüsseln.

Inhaltsverzeichnis [Verbergen]
1 Domain Generation Algorithmus
2 Domain Wildcard
3 Das wandelnde Command & Control Center
4 Domain Flux Botnetze
5 Weblinks

Domain Generation Algorithmus [Bearbeiten]
http://de.wikipedia.org/wiki/Datei:Domain_Generation_Algorithmus.jpg
Der sogenannte Domain-Generation-Algorithmus (kurz: DGA) ist ein Teil der Malware zum Generieren von Domainnamen. Beim Domain Flux ist dieses im Bot selbst und beim Botherder zu finden. Wenn nun der Bot eine Domain generiert hat, sieht dies der Herder und kann die Domain registrieren, über die sich die Infizierten Rechner dann zum Command & Control Server verbinden.Um das erraten einer Domain zu erschweren kann eine Zufallskomponente wie die Twitter API die das Botnetz Sinowal/Torpig verwendet Hinzugezogen werden.Durch das tägliche Wechseln der Domain, ist es sehr schwer den C&C des Botnetzes ausfindig zu machen.

Domain Wildcard [Bearbeiten]
Domain Wildcard´s benutzen eine einfache DNS funktionen um eine Wildcard (z.b. *) auf eine Domain zu legen um alle FQDN´s über die selbe IP-adresse laufen zu lassen. z.b. *.myOwnDomain.com könnte sowohl mypc.alt.myOwnDomain.com als auch myserver.myOwnDomain.com sein. Diese Technik wird vor allem von Botnetzen genutzt die Spam und Phishing verbreiten - die manipulierte information die zufällig erscheint (z.b. asdkjlkwer bei asdkjlkwer.atl.myOwnDomain) wird von Botnet-Betreibern zur eindeutigen Identifizierung eines Opfers verwendet und Anti-spam Techniken zu umgehen.

Das wandelnde Command & Control Center [Bearbeiten]
http://de.wikipedia.org/wiki/Datei:Wandelndes_CC.png

Einige Botnetze sind in der Lage ihr Steuerzentrum zu verlagern,hierfür enthält das Steuerungszentrum des Botnetzes eine Datenbank mit allen registrierten Domains und Daten,die zur Verschiebung des Command & Control Servers benutzt werden können.Das stetige wechseln des Steuerungszentrums erschwert das Aufspüren abermals und schützt es vor der Entdeckung durch Antiviren-Unternehmen und Behörden.

Domain Flux Botnetze [Bearbeiten]

Srizbi: Cbeplay, Exchanger

Sinowal: Torpig,Anserin

Conficker: DownUp, DownAndUp, DownAdUp, Kido


Weblinks [Bearbeiten]
Im Körper des Feindes: Forscher kontrollieren Botnetz (deutsch)
WP Botnet Communications Primer (englisch)
Botnetz wiederauferstanden (deutsch)
An Analysis of Conficker (englisch)
An Analysis of Conficker C (englisch)
Kaspersky Lab veröffentlicht Analyse „Bootkits – die Herausforderung des Jahres 2008“ (deutsch)

 

[Chromatin]

Nette Übersicht, aber Flux Netze geben weitaus mehr Stoff hern

Zudem wuerde ich an Deiner Stelle alle Spielarten der Flux Netze mit einbinden. Ganz bestimmt wuerden sich auch alle darueber freuen anstaendige und gut erklaerte Beispiele zu bekommen

Btw. der Artikel auf wikipedia.de zu Fast Flux ist auch Muell. Da kannste zugreifen. Leichte Beute

http://de.wikipedia.org/wiki/Fast_Flux

Edit: Vermutlich meinst Du mit Wiki wikipedia, anstelle des Habo-Wiki

 

[rat]

Ok was für beispiele,nenn mal welche,aber ich denek jetzt wo du den anderen Artikel zu Fast-Flux hier verlinkt hast,,kann man den doch auch gleich mit bearbeiten,macht mal vorschläge,ich setzte es dann um.

Aber erst zu meinem Domain-Flux bitte,was kan ich verbessern.Was mir wichtig ist,er ist aber nicht grob fahrlässig faldsch,nicht das ich fehler drinnen habe.

//edit ich wollte mal erwähnt haben das der fast-Flux beitrag auch von mir stammt und früher so aussah http://de.wikipedia.org/w/index.php?title=Fast_Flux&diff=64143297&oldid=62875539

Version vom 4. September 2009, 21:53 Uhr

Fast Flux ist eine von Botnetzen genutzte DNS-Technik, mit der der Standort von Webservern verschleiert werden kann. Üblicherweise werden Fast-Flux-Netzwerke bei Phishing und DoD-Attacken verwendet.

Was ich aus dem Artikel gemacht habe find ich schon mal besser als das

Aber zurück zum Domain-Flux Fast-Flux verbessere ich auch noch.

 

[proxy]

Der Artikel ist eine grammatische/orthographische Katastrophe.

- Leerzeichen nach Punkten und Kommas
- bei Plural kein Apostroph
- Groß- und Kleinschreibung (besonders bei Substantivierungen)

 

[rat]

Welcher ?

Was könnte ich beim Domain-Flux noch Hinzufügen ?

 

[storm_chaser]

Hallo rat,

vielleicht mal eine Sichtweise von einem Themenfremden. Ich weiß nähmlich nicht was Domain Flux ist. Wenn ich, obwohl mir dieses Thema etwas fernliegt, diesen Artikel lese, bleiben für mich viele Themen unklar....beantwortest Du sie ?

Domain Flux ist eine Technik die von Botnetbetreibern genutzt wird um den Standort ihrer Command & Control Server zu verbergen.

Ein C&C Server ist ein TCP ? Server der Verbindungen von Clients entgegennimmt? Die Verbindung erfolgt reverse ? oder gibt es bots, die auf einem Tcp Server lauschen ?

Der sogenannte Domain-Generation-Algorithmus (kurz: DGA) ist ein Teil der Malware zum Generieren von Domainnamen. Beim Domain Flux ist dieses im Bot selbst und beim Botherder zu finden.

Wer ist ein Botherder ?

Wenn nun der Bot eine Domain generiert hat, sieht dies der Herder und kann die Domain registrieren, über die sich die Infizierten Rechner dann zum Command & Control Server verbinden.

Wie sieht ein 'Botherder', dass ein bot eine Domain generiert? Eine DNS Domain ist immernoch bei einem DNS Server aufzulösen. Welcher DNSServer liefert denn diese RRs ? Und wie, wo ? werden dynamisch DNS Namen registriert ?

Hinzugezogen werden.Durch das tägliche Wechseln der Domain, ist es sehr schwer den C&C des Botnetzes ausfindig zu machen.

Naja, wenn ein Domain Name wechselt, wechelt nicht unbedingt die IP. Wenn die IP nicht wechselt, bleibt ein ominöser 'C&C' Server lokalisierbar. Warum und wie wechselt er die IP?

...zu legen um alle FQDN´s über die selbe IP-adresse laufen zu lassen.

Das verstärkt meine obige Frage. FQDN=FullQualifiedDomainName

Diese Technik wird vor allem von Botnetzen genutzt die Spam und Phishing verbreiten - die manipulierte information die zufällig erscheint (z.b. asdkjlkwer bei asdkjlkwer.atl.myOwnDomain) wird von Botnet-Betreibern zur eindeutigen Identifizierung eines Opfers verwendet und Anti-spam Techniken zu umgehen.

Antispam Techniken sind z.B. Wordlists, domainfilter oder vektorisierende Cores die Inhalte von Emails bewerten. Wo sind wir hier jetzt? Das Abseden einer Email mit gefäschter DNS Domain ?...da sind wir aber jetzt woander als vorher oder ?

Einige Botnetze sind in der Lage ihr Steuerzentrum zu verlagern,hierfür enthält das Steuerungszentrum des Botnetzes eine Datenbank mit allen registrierten Domains und Daten,die zur Verschiebung des Command & Control Servers benutzt werden können.Das stetige wechseln des Steuerungszentrums erschwert das Aufspüren abermals und schützt es vor der Entdeckung durch Antiviren-Unternehmen und Behörden.

In wiefern wird das 'Steuerzentrum' verschoben? Defintion !! Protokolldefinition!!

 

[rat]

Ok ich erkläre dir mal.

So jetzt ganz einfach erklärt.

1.) Du hast einen Server Webserver mit FTP Zugang oder VPS oder Dedicated auf dem läuft ein WebInterface oder IRC Server.Mit der Domain oder IP des Servers verbinden sich die Bots zu dem Server und sagen im Interface HALLO ich bin da und nehme befehle entgegen.

2.) Ein BotHerder ist der Botnet-Betreiber

3.) der Bot selber kann die Domain ja nicht Registrieren,das muss der BotHerder machen und er weiß welche Domain er reggen muss in dem er den gleichen Algo auf in einem Script oder Programm auf seinen Rechner hat,hier ein Beispiel von BuHa http://www.buha.info/board/showthread.php?t=55930

4.) Das stimmt wen der Domainname wechselt,ändert sich nciht die IP des Servers,vollkommen richtig,das Untenbeschriebene Script kann den Server aber verschieben,der muss aber natürlich vorher Registriert sein und das script muss die Daten dafür kennen.Aber der BotHerder kann das Interface des Bots auch Manuel verschieben,da diese Interfaces bei Aktueleln Botnetzen mit PHP und MYSQL gecoded sind haben sie nur eine größe von weniger als 10MB. Hier das Interface von Zunkerbot http://pandalabs.pandasecurity.com/blogs/images/PandaLabs/2007/05/08/zunker2.png


5.) Das mit dem Spam muss ich noch viel genauer erklären.


6.) Der Botnet Betreiber kann das Interface mit einem Script verschieben,sagen wir FTP,schau mal da ist auch ein Bild bei welches das erklärt.,Das hier http://de.wikipedia.org/wiki/Datei:Wandelndes_CC.png


Du must wissen,ich kann und darf sowas bei Wiki nicht so Detaliert erklären da es sonst eine Anleitung wäre und keine e3rklärung mehr und es dann ins Illegale geht.

 

[rat]

So ich habe jetzt verbesserungen am Text gemacht und hoffe er ist verständlicher.

Domain Generation Algorithmus [Bearbeiten]

Der sogenannte Domain-Generation-Algorithmus (kurz: DGA) ist ein Teil der Malware zum Generieren von Domainnamen. Wenn der Bot eine Domain generiert muss der Botnet-Betreiber die Domain registrieren, über die sich die Infizierten Rechner dann zum Command & Control Server verbinden. Um das erraten einer Domain zu erschweren kann eine Zufallskomponente wie die Twitter-API die das Botnetz Sinowal/Torpig verwendet Hinzugezogen werden. Durch das tägliche Wechseln der Domain, ist es sehr schwer den C&C des Botnetzes ausfindig zu machen.

Domain Wildcard [Bearbeiten]

Domain Wildcarding missbraucht systemeigene DNS-Funktionalität um eine höhergestellte Domain zu {verallgemeinern}, sodass alle FQDN`s auf dieselbe IP verweisen. Zum Beispiel könnte *.Domain.com sowohl mypc.atl.Domain.com als auch myserver.Domain.com einschließen. Diese Methode wird meistens mit Botnets in Verbindung gebracht die Spam und Phishing-Inhalte verbreiten - wobei die willkürlich aussehenden stellvertretenden Informationen (....) dem Botnet-Betreiber dazu dienen ein Opfer eindeutig zu erfassen, den Erfolgsverlauf durch verschiedene Zustellungsverfahren nachzuvollziehen und Anti-Spam-Technologien zu umgehen.

So das mit der Wildcard versuche ich jetzt mal so zu erklären.

Wie man sieht die Wildcard ist ein Platzhalter das *
Wen man nun für eine Domain eine Wildcard hat kann ich damit Subdomains anlegen.Wen ich jetzt die Domain *.Mercedes.MyDomain.de betreibe werden sämmtliche anfragen akzeptiert wie mail.mercedes.MyDomain.de oder fsddfds.mercedes.MyDomain.de und durch Tipfehler kann man stat auf Mercedes.de auf mercedes.MyDomain.de landen.Nun kann man sich vorstellen das dieses Mercedes nicht gefallen würde,noch schlimmer wen man dort teile von Mercedes anbietet.

Dazu hatte ich einen Artikel mit einen gerichtsbeschluss gefunden der das wunderbar erklärt hat,aber ich finde ihn nciht wider.

Hier habe ich noch einen Artikel dazu https://www.info-point-security.com...-phishing-unter-dem-mikroskop-betrachtet.html Um den ganzen Artikel Lesen zu können muss man sich Registrieren.


/edit Fast-Flux habe ich auch noch mal überarbeitet mit Bildern und neuem Text http://de.wikipedia.org/wiki/Fast_Flux

//edit ich habe hier ketzt noch mal eine erklärung für den Ablauf,den Text muss ich noch anpassen,klingt noch recht scheiße.

== Domain Registrierung ==
http://commons.wikimedia.org/wiki/File:Domain_Registrierung.png

Die Registrierung einer Domain läuft ganz einfach ab,der Bot Generiert eine Domain und der Betreiber Registriert die Domain über die sich die Infitierrten Rechner dann zum C&C verbinden.