Botnet bruger engangs-domæner

Artiklen blev oprindeligt publiceret den 27/8/2014

71 procent af domænerne på internettet er kun aktive i et døgn. En stor del af dem anvendes til botnet.

Det fremgår af analyser fra sikkerhedsfirmaet Blue Coat Security. Firmaet har kigget på internettrafikken i en periode på tre måneder. I den tid registrerede de 660 millioner navne (både domænenavne og rene IP-adresser). Ud af dem så de kun trafik inden for et enkelt døgn til 470 millioner.

En nærmere undersøgelse viste, at mange af engangsdomænerne bruges af såkaldte CDN-systemer (Content Delivery Network). Det er servere, der opbevarer webindhold tæt på brugeren, så svartiderne bliver kortere.

Ud af de 50 topdomæner, som stod for flest kortlivede underdomæner, blev hele 22 procent brugt til botnet. Nummer 12 på hitlisten var således domænet *.1-tr-18su-ka-8dow-56-oo9-13swx-r-k-ife-0nj-rnq-ihb-dd-p-1-0-z-a.info. Det bruges af en trojansk hest.

Forskerne fra Blue Coat konkluderer, at sikkerhedsløsninger skal kunne håndtere trusler, der anvender domæner, som ikke er kendt på forhånd. Det giver udfordringer for systemer baseret på sortlistning.

Links