Il fast-flux descrive un’infrastruttura che ruota rapidamente le risposte DNS o gli IP di destinazione, così che un sito dannoso, un proxy o un servizio di comando e controllo sia più difficile da bloccare. Invece di puntare un dominio a un singolo server stabile, l’attaccante sposta il traffico tra molti host, spesso usando valori di time-to-live DNS brevi e frequenti cambi di indirizzo.
Questo è importante perché semplici liste di blocco e rimozioni diventano rapidamente obsolete: quando un IP viene bloccato, il dominio potrebbe già risolvere altrove. Il fast-flux è comune nel phishing, nella distribuzione di malware e nell’hosting di botnet, dove la resilienza è più importante della velocità. I difensori cercano un elevato churn DNS, insiemi insolitamente ampi di IP dietro un singolo dominio e rapidi cambiamenti nei modelli di risoluzione. Correlare la telemetria DNS, proxy, email ed endpoint aiuta a distinguere la normale distribuzione dei contenuti dalla rotazione malevola e supporta sinkholing, blocco basato sulla reputazione e risposta agli incidenti.