Anche se so qual è l'uso di un sinkhole DNS (credo di sì), sto lottando per capire quanto sia scalabile tale soluzione.
DNS sinkhole or black hole DNS is used to spoof DNS servers to prevent resolving host names of specified URLs. This can be achieved by configuring the DNS forwarder to return a false IP address to a specific URL.
Mi sono imbattuto nella seguente discussione su Security StackExchange
Come possono qualcuno domini sinkhole ?
he CryptoLocker authors used the following scheme: the C&C registers random-looking domain names at a rather high rate (1000 per day !). The domain names are generated with a deterministic pseudo-random algorithm, that the malware knows too. Therefore, when CryptoLocker executes on a victim's computer, it tries to use one of the domain names du jour in order to talk to the C&C. The attacker's hope is that law enforcement agencies will have to go through heavy administrative bureaucracy to force the shut down of a domain name, and won't be able to do that 1000 times per day.
Più tardi dice:
Since the malware knows the domain-generation algorithm, a researcher (Dimiter Andonov) reverse-engineered the code, and thus became able to predict the domain names in advance.
Quindi immagino che sempre più spesso autori di vari tipi di malware traggano vantaggio dall'approccio utilizzato nel caso CryptoLocker - non usare un dominio, usarne migliaia, ma anche se c'è un solo dominio dietro questo, dobbiamo prima saperlo, configurare il nostro server DNS per risolvere l'IP del Sinkhole DNS. È il modo di farlo?