尽管 IT 管理员尽心尽责地监控设备、主机和网络是否存在恶意活动的迹象,却往往出力不讨好。主机入侵检测和端点保护对很多公司来说可能是“必需”的安全措施,但如果要找出 RAT、rootkit、APT 或其他盘踞在网络上的恶意软件,就没什么比监控 DNS 流量更有效了。
为什么是 DNS ?
犯罪分子会抓住任何互联网服务或协议的漏洞发动攻击,这当然也包括域名系统( DNS )。他们会注册一次性域名用于垃圾邮件活动和僵尸网络管理,还会盗用域名进行钓鱼和恶意软件下载。他们会注入恶意查询代码以利用域名服务器的漏洞或扰乱域名解析过程。他们会注入伪造的响应污染解析器缓存或强化 DDOS 攻击。他们甚至将 DNS 用作数据渗漏或恶意软件更新的隐蔽通道。
你可能没办法了解每一个新的 DNS 漏洞攻击,但是可以使用防火墙、网络入侵监测系统或域名解析器报告可疑的 DNS 行为迹象,作为主动防范的措施。
要找什么
预示网络中正出现可疑或恶意代码的 DNS 组合查询或流量特征。例如:
1.来自伪造源地址的 DNS 查询、或未授权使用且无出口过滤地址的 DNS 查询,若同时观察到异常大的 DNS 查询量或使用 TCP 而非 UDP 进行 DNS 查询,这可能表明网络内存在被感染的主机,受到了 DDoS 攻击。
2.异常 DNS 查询可能是针对域名服务器或解析器(根据目标 IP 地址确定)的漏洞攻击的标志。与此同时,这些查询也可能表明网络中有不正常运行的设备。原因可能是恶意软件或未能成功清除恶意软件。
3.在很多情况下,DNS 查询要求解析的域名如果是已知的恶意域名,或具有域名生成算法( DG
最低0.47元/天 解锁文章
1316
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
