Сервер nginx, Windows и fast-flux

spiderСегодня немного “техничная” записка. Есть такой положительно оцениваемый админами и, очевидно, отличный продукт: веб-сервер nginx, единолично поддерживаемый автором – Игорем Сысоевым. Nginx очень популярен, используется массово.

Ну, думаю, понятно, что как всякий нормальный “интернетовский” серверный продукт nginx работает на платформе Unix/Linux. И вот на ReMIX в этом году Сысоев анонсировал бинарную версию nginx для Windows.

Что в этом особенно интересного?

А вот что: есть такая технология в DNS, называется fast-flux. В рамках этой технологии штатными средствами DNS быстро меняется соответствие конкретного доменного имени и IP-адреса сервера. Я как-нибудь напишу про fast-flux в подробностях, сейчас важен лишь один момент: fast-flux активно используется злоумышленниками для размещения вредоносного и просто “неправового” контента в Интернете. Злоумышленникам, fast-flux, применяемый вместе с ботнетом, позволяет скрывать следы и преодолевать провайдерские фильтры, блокирующие доступ по IP-адресам.

Важно: при этом сама технология fast-flux – не является “зловредной”, не использует какие-то уязвимости в DNS, а вполне “легитимна”. Но злоумышленники нашли ей своё применение.

Я только что упомянул ботнет, важный для “зловредного” fast-flux: элементы этого ботнета либо сами раздают “нехороший контент”, либо работают proxy, то есть, передают запросы-ответы между клиентом и каким-то скрытым веб-сервером, где плохой контент лежит. И в первой, и во второй схеме требуется специальное ПО на заражённой машине: веб-сервер, либо реверсивный proxy. Нужно ли говорить, что nginx отлично работает и в первой роли, и во второй? Наверное, нет – сами догадались. (При этом nginx ещё умеет и нагрузку балансировать, и кешировать.)

Специалисты из рабочей группы ICANN, занимающейся fast-flux, включили nginx, отвечающий на http-запросы под “исследуемым доменом”, в список признаков “злонамеренного fast-flux”. Это произошло ещё до выхода Windows-версии nginx. И казалось странным. Но, вообще говоря, появление такого пункта указывало на то, что в Сети есть некоторое заметное число захваченных злоумышленниками unix-серверов.

Ну да, уязвимости есть в разных ОС.

При этом, естественно, подавляющая масса компьютеров, составляющих ботнет работает под управлением Windows.

Для хостингов, для нагруженных серверов веб-сайтов – ОС линейки Windows пока не актуальны. Но, понятно, для Microsoft, особенно в Рунете, портирование nginx под Windows – это важное событие: MS активно пробирается на “хостинговый” рынок. Поэтому, можно предположить, что Microsoft активно поддерживала идею пересаживания nginx на дополнительную платформу (хотя, сам автор nginx говорил на ReMIX, что исходная задумка очень старая; но факты таковы: бета-версия появилась только в 2009 году и анонсировалась на майкрософтовской конференции).

Если взглянуть на практическую сторону: довольно сложно придумать, где бы, на каком бы узле системы предоставления услуг типичного современного хостинг-провайдера windows-nginx мог с выгодой крутиться (за исключением, разве что, windows-хостеров). Дело в том, что там же везде и давно FreeBSD, ну или что-то близкородственное. И nginx давно есть.

Зато вот для использования в ботнетах, работающих на fast-flux, где Windows безоговорочно лидирует – очень кстати соответствующий “бинарник” nginx. Вот такой выходит неожиданный поворот.

Ещё раз отмечу, чтобы избежать кривотолков: nginx – очевидно, хороший эффективный рабочий инструмент, который злоумышленники просто возьмут на вооружение. (Nginx даже гораздо “легитимнее” fast-flux, если так можно сравнивать.) А интересным аспектом здесь будет то, у кого же больше окажется востребована версия nginx под Windows.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

1 комментарий от читателей

  • 1. 28th May 2009, 01:40 // Читатель Сергей написал:

    забавно что в релиз под виндовс не включены исходники. вообще сложно ожидать что образованные хакеры станут использовать бинарник – скорее всего позаимствуют код для собственных творений или уж на худой конец доработают напильником и сами скомпилируют “улучшенный” вариант. а вот “пионерам” может и бинарник сгодится. хотя под виндовс доработано порядочно исходников, изменения в них прямо скажу не очень значительные (по крайней мере на первый взгляд). поэтому можно предположить что те кто использовал исходники nginx и раньше, наверняка все что нужно уже портировали, а для тех кто не использовал, бинарный релиз может сыграть роль эдакой приманки. хотя это уже мои предположения. на мой взгляд выгода для microsft здесь более заметна. покидать рынок без боя они вряд ли собираются.