全球最大CDN(內容分發網絡)服務商Akamai公司的研究人員發現，惡意攻擊者利用1.4萬多個IP地址組成的僵尸網絡傳播惡意軟件。該僵尸網絡仍在運作，專家認為很難擊垮它，因為操作人員采用了一種更巧妙的技術——“Fast Flux”。

Fast Flux技術：

在正常的DNS服務器中，用戶對同一個域名做DNS查詢，在較長的一段時間內，無論查詢多少次返回的結果基本保持不變。

Fast-flux技術是指不斷改變域名和IP地址映射關系的一種技術，攻擊者可以將多個IP地址的集合鏈接到某個特定的域名，并將新的地址從DNS記錄中換入換出，回避檢測。也就是說在短時間內查詢使用Fast-flux技術部署的域名，會得到不同的結果，即Fast Flux技術利用DNS隱藏攻擊的來源。這項技術在2007年就已經有人使用它。下圖為Fast-flux技術工作方式。

惡意軟件開發人員2016年底首次使用Fast Flux技術。利用該技術的首個惡意軟件是“Storm Worm”，這款惡意軟件部署這種技術隱藏命令與控制服務器(C&C Server)的IP地址。大型惡意軟件托管網絡“Avalanche(雪崩)”同樣使用Fast Flux技術隱藏基礎設施。

僵尸網絡托管的惡意軟件C&C服務器

Akamai研究人員在2017年度EDGE會議上揭露與Avalanche類似的基礎設施，托管從網絡釣魚網頁到Web代理、從店鋪到各種惡意軟件C&C服務器的所有內容。

除了托管網絡釣魚網頁和惡意軟件C&C服務器，新發現的僵尸網絡還能用來執行自動化攻擊，例如網頁數據抓取、SQL注入和暴力破解字典攻擊。

研究人員研究所有“域名和IP地址”數月后發現，一個復雜的基礎設施使用Fast Flux技術不斷改變惡意域名的IP地址，這樣一來，托管惡意軟件的基礎設施便能駐留得更久。

操作人員在DNS Fast Flux僵尸網絡中將被感染主機作為代理發送(Proxy Relay)。研究人員認為，僵尸網絡操作人員將惡意軟件感染的設備作為不斷變化的惡意軟件托管基礎設施的一部分。 操作人員在每臺主機上安裝代理包將設備暴露在網絡中，并向攻擊者發送流量。

當有人想連接到惡意站點時，DNS服務器會分配被感染主機(當時托管域名)的IP地址，之后再將其輸入流量重定向至托管在其他地點的真實惡意網站。

僵尸網絡由兩個單獨的子網絡組成

深入鉆研這個僵尸網絡的結構后，研究人員發現整個基礎設施實際上包含兩個不同的部分——托管子網絡(托管并重定向惡意網站流量)和C&C子網絡(僵尸網絡自己的命令與控制基礎設施)。這些子網絡具有自己的IP段，用來臨時托管域名。

大多數托管子網絡由烏克蘭、羅馬尼亞和俄羅斯的IP地址構成，但C&C子網絡的構成不同。

大多數這些IP地址包含私有IP地址(本地局域網上的IP)，例如10.x.x.x、192.168.x.x，這意味著這些設備托管在私有的封閉網絡上。此外，有些IP地址包含一些指向財富100強企業的線索。

Akamai公司在分析所有暴露的IP地址后發現，大多數托管網絡將80和443端口暴露在外，而大多數C&C子網絡則暴露了7547端口。

7547是特定于TR-069協議(管理遠程路由器和調制調解器)的端口。這說明，這類設備可能也是僵尸網絡的組成部分。

目前，研究人員正在進一步調查。