Życie cyberprzestępcy nie jest łatwe. Biorąc za przykład phisher-a, który przygotowuje się do ataku od dwóch tygodni, skrupulatnie dopracowując każdy szczegół, liczy on na wymierne korzyści. Przychodzi dzień, w którym przygotowany przez niego atak ma ujrzeć światło dzienne. Wszystko idzie dobrze do momentu kiedy serwer, na którym jest umieszczona strona nagle przestaje odpowiadać z powodu szybkiej interwencji służb odpowiedzialnych za bezpieczeństwo w sieci. A co jeśli phisher nie zdążył jeszcze zarobić tyle, ile by oczekiwał po dwóch tygodniach ciężkiej pracy?

Z pomocą przychodzi sieć Fast - Flux, która jest alternatywą dla powyższej sytuacji, a zarazem narzędziem, które może zminimalizować straty poniesione przez phisher-a spowodowane zbyt wczesną eliminacją zagrożenia. Ofiara odwiedzając serwer, na którym jest umieszczona spreparowana strona, tak naprawdę łączy się z pośrednikiem, których może być wiele. Właśnie dzięki zastosowaniu dodatkowej warstwy komunikacyjnej w przypadku gdy jeden z węzłów pośredniczących zostanie zablokowany lub wyłączony jest on dynamicznie zastępowany przez kolejny.

W ataku wykorzystującym tę technikę, dla jednej domeny przeznaczonych jest wiele adresów IP. Atakujący korzystają z Round - Robin DNS. Metoda ta jest powszechnie stosowana do balansowania obciążenia usług oraz utrzymania ich wysokiej dostępności. Obciążenie związane z odwiedzinami na danej stronie zostaje rozłożone pomiędzy kilka serwerów. Natomiast w przypadku zastosowania tej metody do przeprowadzenia ataku, podczas gdy jeden serwer zostaje zamknięty, jego rolę przejmuje kilka innych. Adresy IP zmieniają się z dużą częstotliwością, natomiast rekordy w systemie DNS mają ustawione krótkie czasy ważności wynoszące od 3 do 10 minut.

Dzięki zastosowaniu sieci Fast - Flux cyberprzestępcy pozostają przez dłuższy czas „online”. To sprawia, że na ich oszustwo nabiera się większa, niż w przypadku standardowego ataku, liczba ofiar. Co ciekawe, w takiej sieci mogą działać także usługi SMTP, POP oraz IMAP. Taką sieć stosuje się także do rozprzestrzeniania maleware'u lub utrzymywania stron zawierających nielegalne treści czy rekrutujących „muły pieniężne”.

Omówiony powyżej przykład dotyczy sieci Single - Flux. Istnieje także sieć Double - Flux ale o niej innym razem.