Fast-Flux

Fast-Flux bezeichnet eine Technik, um Aufrufe einer Domain an viele verschiedene IP-Adressen weiterzuleiten. Dabei werden die IP-Adressen, die der Domain zugewiesen sind, mit dem Round-Robin-Verfahren gewechselt und die DNS Ressource Records mit einer extrem kurzen Time-To-Live (TTL) versehen. Dadurch kann die IP-Adresse einer Domain etwa alle 3 Minuten wechseln. Fast-Flux-Netzwerke werden hauptsächlich verwendet, um die Kommunikation von Botnetzen zu verbergen. Dabei wird zwischen 2 Arten von Fast-Flux-Netzwerken unterschieden:
In einem Single-Flux-Netzwerk wird der DNS-Eintrag für eine Third-Level-Domain durch einen Server mit fester IP-Adresse vorgenommen. Dieser muss entsprechend sicher vor Entdeckung und Abschaltung sein. Man spricht daher auch von einem bullet-proof Server.
In einem Double-Flux-Netzwerk ist auch der Nameserver für die Third-Level-Domain variabel und kann daher auch ein Bot aus dem Botnetz sein. Die eigentliche DNS-Auflösung wird allerdings nicht von dem infizierten System, sondern von einem sogenannten Mothership vorgenommen, das durch den Bot als Proxy geschützt ist.