From 2f2f0818299c0bd7afe48a216348283119e21c71 Mon Sep 17 00:00:00 2001
From: HackMD <no-reply@hackmd.io>
Date: Sun, 19 Jan 2020 03:55:39 +0000
Subject: [PATCH] add fast flux

---
 malware-tech_ref_and_memo.md | 8 ++++++++
 1 file changed, 8 insertions(+)

diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md
index 6f46cc0..2fc33d4 100644
--- a/malware-tech_ref_and_memo.md
+++ b/malware-tech_ref_and_memo.md
@@ -255,3 +255,11 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
 - 数学的なアルゴリズムを利用して一定間隔ごとに異なる通信先ドメインを生成することにより，ドメイン名での検知を困難にする<br>
 - 43ファミリのDGAに対してseedタイプ，DGAタイプ，エントロピー，TLD等様々な観点から比較<br>
 [A Comprehensive Measurement Study of Domain Generating Malware,USENIX2016](https://www.usenix.org/conference/usenixsecurity16/technical-sessions/presentation/plohmann)
+
+## Fast Flux
+- ドメインに対応するIPアドレスを短い期間で切り替えることにより，悪意のあるサイト(マルウェア配布，c2，フィッシング)を維持させる手法
+- IPアドレスにはボットネットが用いられることがある
+- 切り替えは平均5分
+
+**ref:**<br>
+[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)