快速变换DNS

对手可能会使用快速变换DNS来隐藏命令和控制通道，背后是一个与单个域解析相关的快速变化的IP地址数组。此技术使用完全限定域名，分配给它的多个IP地址以高频率交换，使用循环IP地址分配和短时间生存（TTL）的DNS资源记录的组合。(引用: MehtaFastFluxPt1)(引用: MehtaFastFluxPt2)(引用: Fast Flux - Welivesecurity) 最简单的“单一变换”方法涉及将地址注册和注销为单个DNS名称的DNS A（地址）记录列表的一部分。这些注册的平均寿命为五分钟，导致IP地址解析的不断洗牌。(引用: Fast Flux - Welivesecurity) 相比之下，“双重变换”方法将地址注册和注销为DNS区域的DNS名称服务器记录列表的一部分，为连接提供额外的弹性。通过双重变换，额外的主机可以充当C2主机的代理，进一步隔离C2通道的真实来源。