烽火台威胁情报订阅0525: fastflux-feed

发表评论 / 技术 / 作者: / 2019-07-26
打印 .PDF 电子书

FAST-FLUX:快速迁移技术,将域名同若干IP地址绑定,让这些IP地址进行轮寻,每隔一段时间绑定的IP地址就会改变,譬如5分钟前域名绑定的是IP1,5分钟后系统自动绑定到IP2。挂马服务器、钓鱼网站这类恶意域名服务网络通常都使用这种技术。

恶意域名是指被网络犯罪人员注册的,用于发起网络攻击或其它违法犯罪活动的互联网域名。

动态恶意域名-一种使用了fastflux(快速迁移技术)的服务网络,是指网络犯罪人员拥有多个互联网域名,通过动态负载均衡技术同时或轮换使用域名,以达到发起网络攻击的同时隐藏攻击机所在的实际位置及避免被防火墙等安防设备阻断的目的。

1  fastflux-feed字段说明

每天推出一个dat文件供使用。同时根据用户实际情况推出3天、7天、月度(30天)版本。

  • [+/=]:关联标记,+标记表示该条数据在和昨天的数据对比中是新增的,=标记表示该条数据也同样出现在昨天的数据中;
  • [1.0.168.111]:代理服务器ip;
  • [1]:“1”:代表存活;“0”:代表非存活。我们设计一个字段来表示当天该IP地址是否存活;
  • [8016-8088]:我们设计一个字段来标志存活IP的端口信息,我们会对恶意ip进行云端的端口探测,根据端口信息情报的使用者可以对恶意ip有更全面的认识;
  • [linux]:操作系统Banner;
  • [www.watcherlab.com]:情报源,该条情报的来源,权威的机构或者组织等;
  • [CN]:国家代码

 

2  fastflux-feed样例说明

+,14.204.67.49,2016-05-23 12:25:20,2016-05-23 12:25:20,[‘fastflux’],[‘ftp’],blocklist.de,75,1,2016-05-23 12:25:20,0,[],[],CN

+,36.107.213.96,2016-05-23 12:25:20,2016-05-23 12:25:20,[‘fastflux’],[‘ftp’],blocklist.de,75,1,2016-05-23 12:25:20,1,[],[],CN

+,60.9.185.3,2016-05-23 12:25:20,2016-05-23 12:25:20,[‘fastflux’],[‘ftp’],blocklist.de,75,1,2016-05-23 12:25:20,1,[],[],CN

+,116.25.168.88,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘fastflux’],[‘ssh’],blocklist.de,75,1,2016-05-23 12:25:47,1,[‘Symantec Web Gateway 5.2.0.361 (Linux 2.6)’],[’22-53-443-1337-9000-34931′],CN

+,120.92.4.184,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘fastflux’],[‘ssh’],blocklist.de,75,1,2016-05-23 12:25:47,1,[‘Linux 3.0 – 3.9′],[’22-1521’],CN

+,182.18.60.100,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘fastflux’],[‘ssh’],blocklist.de,75,2,2016-05-16 00:49:02,1,[‘Linux 2.6.32′],[’21-22-80-111-57712’],CN

+,112.123.4.201,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘fastflux’],[‘imap’],blocklist.de,75,1,2016-05-23 12:25:47,1,[],[],CN

+,123.114.57.66,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘fastflux’],[‘imap’],blocklist.de,75,1,2016-05-23 12:25:47,0,[],[],CN

+,125.123.239.203,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘fastflux’],[‘imap’],blocklist.de,75,1,2016-05-23 12:25:47,1,[],[],CN

+,180.116.240.218,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘fastflux’],[‘imap’],blocklist.de,75,1,2016-05-23 12:25:47,1,[],[],CN

+,49.81.44.202,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘fastflux’],[‘imap’],blocklist.de,75,1,2016-05-23 12:25:47,1,[],[],CN

+,111.161.0.101,2016-05-23 12:25:47,2016-05-23 12:25:47,[‘bot’],[‘smtp’],blocklist.de,75,1,2016-05-12 00:53:56,0,[],[],CN

11111111111111

3  获取方式

下载:http://feed.watcherlab.com/

22222

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注