如何通过被动DNS缓解DNS劫持和DNS攻击?

如何通过被动DNS缓解DNS劫持和DNS攻击?

DNS自出现以来，一直被认为是最重要的互联网服务之一，几乎所有的网络服务都依托于DNS服务将域名解析为IP地址，普遍被其他协议使用，如HTTP，SMTP等，可以说，它是协议中的无名英雄。但相较于DNS服务的重要性，企业在对其基础架构进行安全加固时，却没有得到充分的重视，导致了DNS成为了一个关键的攻击媒介，一旦发生针对DNS恶意攻击，所造成的后果之严重，影响之广泛都让人难以接受。由于DNS是一个明文协议，故此在网络犯罪调查期间，被动DNS的引用可以帮助安全团队做必要的威胁检测。

　　1、检测网络钓鱼域名、缓解垃圾邮件干扰

　　被动DNS传感器可以实时监测到最新出现的域名(NOD，Newly Observed Domain)，这一特性至关重要，因为全新的域名通常与恶意活动的关联程度非常高，在被短暂用于网络钓鱼或垃圾邮件发送后即被丢弃。所以，对新域名阻断一段时间是被证实为有效且成本最低的方法。德因科技(公众号：德因科技)提供完全自动化、实时向用户推送NOD RPZ/DNSBL服务，大大降低企业维护成本。

　　2、识别恶意域名

　　通常情况下，正常合法域名并不会经常变更其地址、名称服务器等信息。而通过被动DNS数据库，可以有效识别出企图通过速变(fast-flux)等技术来隐藏其恶意活动的这些域名。

　　3、威胁情报

　　当某IP地址、域名或名称服务器被标记为恶意时，可以通过被动DNS轻松识别哪些域名映射到该IP地址、哪些域名托管在该名称服务器或哪些IP曾经与该恶意域名相关联，进而能够找到入侵或攻击最初发生时的有效证据。

　　4、检测域名劫持

　　被动DNS数据库，可以几乎实时的对类似缓存投毒等域名劫持行为进行发现。通过对被动DNS数据库的定期查询，能够让管理员了解主要域名所映射的地址信息，如果发现与常规映射有任何偏差，则极有可能表示一场针对您企业的攻击行动已经发生。

　　5、品牌保护

　　通过对某一品牌关键字进行模糊匹配查询，可以找出与您企业名称或注册商标名称类似而没有经过任何授权的域名，特别是仿冒域名往往会出现在新注册域名(NOD)中，通过及时发现，通报，关停未授权域名，可以及时消除由此产生的品牌负面影响，降低企业用户数据被钓鱼的安全风险

　　6、域名DNS历史记录查询

　　利用被动DNS主要目的之一是让分析人员有能力访问DNS历史记录以供分析使用。比如，通过DNSDB API，您可以分析历史DNS记录，检查新记录，比较差异，洞察可能的攻击向量等。另外，在管理员想要恢复DNS服务器中不管出于什么原因而被删除、修改过的DNS记录时，被动DNS数据库也显得尤为重要。我们的DNSDB中保存了所有类型的DNS记录信息。