Live殺人網站(Untraceable)

資料來源：維基百科
Live殺人網站

Live殺人網站(Untraceable)是在2008年由黛安·蓮恩(Diane Lane)主演的美國犯罪驚悚電影，該電影敘述一名連環殺手架設一個名為KillWithMe.com的網站，並且依照線上觀看的人數來操縱殺死受害者的裝置。每當該網站提供受害者即時實境播放，只要超過數百萬人同時登錄在線，殺手就會依人數上升逐漸加速殺死受害者並使其死亡。電影中擔任FBI探員的珍妮佛瑪許(黛安蓮恩飾演)為了抓到殺手費勁腦汁，只因為殺手使用了殭屍網路[1]經常使用，名稱為Fast Flux[2]的負載平衡與躲避技術，今天我們便針對該技術進行概要說明與介紹。

潛藏於人類的好奇心，是探索知識的動力，它驅使著人類社會邁向進步。但Live 殺人網站站長卻巧妙地運用這樣的好奇心，引誘著人們無意中慢慢成為殺人共犯。起初，站長將一隻貓咪黏在老鼠板上等死，攝影機對準獵物並在網路上直播，僅管大家對網站的虐殺手法都無法苟同，但線上觀看人數卻忠實地呈現大家的好奇心。同時站長訂下刺激人氣的規則：隨著線上觀看人數越多，能加速受害者死亡時間的到來。不久，網站將受害目標轉向活生生的人，並變本加厲施加各種變態的酷刑，雖然人們表面上不斷譴責，但身體還是誠實地登入網站觀看殺人現場，每個人都活脫脫成為偽善冷血地殺人共犯。

因此，美國FBI聯邦調查局偵辦網路犯罪的相關部門開始著手調查網站，傾全力要揪出背後的殺人兇手，但兇手對資訊匿蹤技術頗熟稔，使調查人員無法找出網站hxxp://www[.]killwithme[.]com的對應IP，甚至無法關閉網站，使殺人直播活動越演越烈，並波及到FBI調查人員的生命安全。

網路連線在正常使用下，人們開啟瀏覽器輸入網站域名並送出後，透過DNS域名查詢可得到一筆IP資訊，並連上該IP使用相關網頁資源。而兇手使用Fast Flux的IP匿蹤技術，使得在不同時間下，瀏覽器輸入hxxp://www[.]killwithme[.]com會得到不同的IP資訊，但卻是可以瀏覽相同網站，因此FBI調查人員無法準確掌握網站IP，這樣的匿蹤技術稱為Fast Flux。

Fast Flux常使用於殭屍網路匿蹤與延長存活時間，技術可分為Single-Flux與Double-Flux。Single-Flux與Double-Flux的差異主要在於最後的DNS解析是交由公用的域名解析伺服器(Single-Flux)還是駭客自行架設的域名解析伺服器(Double-Flux)。另外，Fast Flux所延伸的架構多樣，本文不著墨太多技術細節，僅以Single-Flux架構為介紹詳見下圖，更多技術細節可參考維基百科[2]、國家資通安全會報技術服務中心的文章[3]與連結[4]。

資料來源：自行整理
Single Fast-Flux 運作原理

Single Flux是指只有單一層變化的Fast Flux，首先駭客需準備若干個IP位址，目標是讓單一域名能頻繁切換對應到這些IP位址，因此無法鎖定這單一域名屬於哪個IP。為了實現這樣頻繁切換IP位址，控制者在DNS伺服器的Resource Record(RR)上設定非常短的TTL(Time To Live)，並以循序的方式於若干IP中做切換，而這些IP會將流量導至更後面的真正網站IP。因此DNS伺服器回應的IP算是一種代理伺服器(Proxy)，將使用者的查詢流量轉拋至真正的網站IP，並將網站資訊轉拋回覆予使用者。

不過，現今DNS伺服器有針對Fast Flux特徵做防堵，例如：DNS伺服器限制TTL不能過小；相關的偵測方法論也不斷被提出來，例如：針對DNS解析的IP數量、ASN數量、網域註冊單位等特徵，透過分析這些特徵的關聯與異值性來提高Fast Flux的偵測率。

Reference

[1] 殭屍網路(Botnet), https://zh.wikipedia.org/wiki/殭屍網絡
[2] Fast Flux, https://en.wikipedia.org/wiki/Fast_flux
[3] DNS舊技術新玩法- Fast Flux, https://www.nccst.nat.gov.tw/ArticlesDetail?lang=zh&seq=1131
[4] 殭屍網路連接技術- Fast Flux, https://download.icst.org.tw/attachfilearticles/殭屍網路連接技術(上)%20-%20Fast-flux.pdf