image

"Honderden miljoenen hostnames zijn eendagsvliegen"

woensdag 27 augustus 2014, 13:26 door Redactie, 4 reacties

Honderden miljoenen hostnames die op internet worden gebruikt blijken eendagsvliegen te zijn die na 24 uur weer verdwijnen. Het gaat dan om hostnames die onder andere via de domeinen van Google, Yahoo en Amazon worden aangemaakt, zo meldt beveiligingsbedrijf Blue Coat.

Het bedrijf analyseerde het verkeer van 75 miljoen internetgebruikers gedurende een periode van 90 dagen. 71% van de opgevraagde hostnames zou slechts 24 uur in gebruik zijn, wat op 470 miljoen hostnames neerkomt. Verder blijkt dat van de hostnames die bij de 50 meest gebruikte hoofddomeinen worden aangemaakt 22% kwaadaardig is. De hostnames worden bijvoorbeeld gebruikt voor de communicatie met botnets of andere aanvallen.

"Hoewel de meeste eendagsvliegen essentieel zijn voor legitieme internetdoeleinden en niet kwaadaardig zijn, zorgt het grote aantal ervan voor de perfecte omgeving voor kwaadaardige activiteiten", zegt Tim van der Horst van Blue Coat. Deze eendagsvliegen zouden populair zijn bij cybercriminelen omdat ze lastiger zouden zijn te herkennen en blokkeren dan statische domeinen.

Reacties (4)
27-08-2014, 14:14 door Anoniem
Jammer dat de mensen die dit soort artikelen schrijven (de marketing afdeling neem ik aan) zo weinig van de materie weten.
Nu houd je alleen een advertentie voor blue coat over, en leer je helemaal niks over wat nou het security probleem is waar
ze het over hebben en hoe zich dat manifesteert.
Uit dit verhaal is het al niet eens duidelijk of ze het nou over hostnamen of domeinnamen hebben.
27-08-2014, 14:37 door Anoniem
Het gaat dan om hostnames die onder andere via de domeinen van Google, Yahoo en Amazon worden aangemaakt
Dus bijvoorbeeld: dgffhuifhifgfjkfewfhwuiefg.google.com?

Deze eendagsvliegen zouden populair zijn bij cybercriminelen omdat ze lastiger zouden zijn te herkennen en blokkeren dan statische domeinen.
Statische domeinen? Of wordt misschien bedoeld: statische hostnames?
Het domein is in mijn voorbeeld immers "google.com" en dit is volgens mij een statisch domein. (=niet vluchtig: het bestaat al jaren)
De hostname is "dgffhuifhifgfjkfewfhwuiefg.google.com", en kan morgen weer verdwenen zijn. (=vluchtig =niet statisch)

Of zie ik dit verkeerd?
27-08-2014, 22:35 door Anoniem
Even de spraakverwarring recht breien.
Citaat uit de O.P.: >>Honderden miljoenen hostnames die op internet worden gebruikt blijken eendagsvliegen te zijn die na 24 uur weer verdwijnen. Het gaat dan om hostnames die onder andere via de domeinen van Google, Yahoo en Amazon worden aangemaakt, zo meldt beveiligingsbedrijf Blue Coat.<<

Hier wordt voor het gemak het woord "hostnames" gebruikt. Is niet terecht, een "host" heeft een "name". Denk aan hosting providers als XS4all, Ziggo, Scarlet enz. dat zijn "hosts" en hun bedijfsnaam is een "name"
Wat Blue Coat bedoelt zijn domeinen - oftewel URL's - en subdomeinen en dat vegen ze op één hoop.
Een domein eindigt altijd direct op een extensie, zoals dot-com / dot-net of dot-country extension.
Een subdomein "hangt onder" een domein, voorbeeld "huppeldepup.blogspot. com" of "huppeldepup.wordpress.com"
Hier is "huppeldepup" de sub en blogspot.com of wordpress.com het domein.

In domeinen zowel als subdomeinen vindt je enorm veel eendagsvliegen. Denk bij domeinen maar 's aan de Nigerian 419 scams, ook bekend als AFF fake banking domains. Zie deze site van Artists against 419 : http://db.aa419.org/fakebankslist.php?x_Status=active&z_Status=LIKE%2C%27%25%2C%25%27

En inderdaad, in subdomeinen zit ook veel wat is gebruikt als wegwerp URL. Kijk maar 's in deze linkfarm : http://www.tipjes.nl . Als die zouden gaan puinruimen in hun sub's hebben ze wat te doen..... ( als dat al kan en mag ).

Enneh, malware kom je in beiden tegen in allerlei vormen.

Peter http://peterswebsafety.com
28-08-2014, 17:43 door Anoniem
Is niet terecht, een "host" heeft een "name". Denk aan hosting providers als XS4all, Ziggo, Scarlet enz. dat zijn "hosts" en hun bedijfsnaam is een "name"

Inderdaad nogal verwarrend die hostnames en domain names.
De exacte betekenis van "hostname" hangt namelijk mede af van de context.
Zo is inderdaad een internet provider ook een "host", en deze host heeft een "name".
Maar dit is toch iets anders dan een "Internet host". En in de context van het originele topic dien je "hostnames" volgens mij op te vatten als "internet hostnames", en niet als internet provider hostnames.

Wat ik in elk geval uit het oorspronkelijke bericht begrijp is dat er nogal veel huppeldepup.Google.huppeldepup, huppeldepup.Yahoo.huppeldepup en huppeldepup.Amazon.huppeldepup (merknamen die bij veel mensen vertrouwt klinken, zodat ze al snel denken: "'t zal wel goed zitten") worden aangemaakt en misbruikt om malware te verspreiden,
en dat deze URL's na 24 uur al niet meer bestaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.