企业如何抵御利用DNS隧道的恶意软件?

最新推荐文章于 2023-09-10 07:00:00 发布
最新推荐文章于 2023-09-10 07:00:00 发布
阅读量86 收藏
点赞数
文章标签: 运维
原文链接:https://segmentfault.com/a/1190000003876712
版权

恶意软件编写者开始使用DNS请求进行数据渗透,那么,这些攻击的工作原理是什么,以及抵御它们的最佳做法有哪些?

Nick Lewis:多年来,高级攻击者一直在利用DNS隧道、ICMP隧道等进行数据渗透。基于他们取得的成功,很多其他攻击者也开始采用这种技术,让这种技术逐渐普遍。DNS通常也被允许出站连接到互联网,而不需要进行过滤,这让攻击者可以利用它来从受感染网络渗出数据。

DNS隧道通常用于已经受感染的计算机,它会编码恶意DNS域名中少量数据。受感染的计算机可以在恶意域名和/或使用攻击者控制的DNS服务器来执行DNS查询。当受感染计算机的DNS请求到达预期接收者的DNS服务器或设备,攻击者可以记录数据供以后使用和/或在DNS响应中发送少量数据回受感染计算机,DNS响应可能是由受感染计算机执行的命令。这种交换可以从网络渗出少量数据,并在网络上两台计算机之间建立间接通信。

抵御利用DNS隧道的攻击首先需要检测异常DNS流量,这可以通过监控DNS日志或直接使用工具监控网络来执行。初始DNS服务器还可以配置为记录DNS查询请求,并且,企业可以监控这些日志信息查询来自一个端点的大量DNS请求,或者需要被转发的大量DNS请求。这种相同的分析也可以通过监控网络流量来执行。

企业可以在内部部署DNS安全工具或者将这个工作外包给DNS提供商以对企业DNS流量执行分析,并可能阻止或拦截发送到恶意DNS服务器的DNS查询,这些供应商包括Neustar、OpenDNS和Percipient Networks等。

weixin_34153893
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CleanDNS Appliance:基于DNS恶意软件防护-开源
04-15
这是一种概念验证技术,可通过防止DNS恶意请求/响应来保护最终用户免受恶意软件,高级威胁和其他恶意内容的侵害。 注意事项:建议使用虚拟硬件(所有后端兼容):-CPU类型:x86_64(AMD64)-4vCPU-8GB RAM-40GB按需...
百度DNS是什么意思?百度公共DNS有什么用途?
10-01
近日,百度推出了自己的公共DNS,面向所有普通上网用户,并且此服务是免费的。那么,百度DNS是什么意思?百度DNS是多少?以及百度公共DNS有什么作用和功能?针对此问题,本文就为大家详细介绍百度DNS,有兴趣的朋友...
DNS隧道
swordheart的博客
01-24 4947
DNS隧道 原理说明 DNS隧道是一种隐秘隧道,通过将其他协议封装到DNS协议中传输建立通信的方式。因为DNS协议在网络中一种基础必不可少的服务,所以大部分防火墙和入侵检测设备是不会对对DNS流量进行拦截过滤,这就给DNS作为隐蔽通信提供了有力条件,从而可以利用它实现诸如僵尸网络或木马的远程控制通道和对外传输数据等。 DNS隧道运营的原理可以归结为:“如果你不知道,请问别人”。当DNS服务器收到要解析的地址的DNS请求时,服务器开始在其数据库中查找。如果没有找到记录,则服务器向数据库中指定的域发送请求
常见的DNS攻击与相应的防御措施
qq_32044265的博客
04-13 2571
重点介绍安全领域比较常见的一些DNS攻击以及相应的防御措施:DNS Request Flood攻击与防御,DNS Reply Flood攻击与防御和DNS缓存投毒攻击与防御。
简析DNS攻击的常见类型、危害与防护建议
网络安全
11-15 5070
域名系统(DNS)是一种结构化的命名系统,是Internet基础结构的关键部分。目前,针对DNS的攻击已经成为网络安全中的一个严重问题,每年都有数千个网站成为此类攻击的受害者。为了保护网络免受此类攻击,重要的是要了解不同类型的DNS攻击,并找到相对应的缓解方法。
什么是 DNS 隧道以及如何检测和防止攻击
最新发布
网络研究观
09-10 6787
DNS 隧道攻击利用 DNS 协议通过客户端-服务器模型来隧道恶意软件和其他数据。
dns隧道攻击原理及常用工具流量分析
Fiverya的博客
02-20 2950
今天看到一个关于Lyceum组织的文章,这个组织擅长使用dns隧道攻击,这种攻击方式还是头一次听说,于是搜集了一些文章来看看。
怎么查看联通宽带dns是否被劫持?
10-01
怎么查看联通宽带dns是否被劫持?想要看看自己的dns是否被劫持了,该怎么查看呢?下面我们就来看看详细的教程,需要的朋友可以参考下
动态dns是什么意思?
10-01
主要介绍了动态dns是什么意思?本文讲解了什么是动态dns,并用一个实例讲解了动态DNS的使用,需要的朋友可以参考下
dns是什么意思?dns怎么设置(手动设置/软件设置)
10-01
DNS是域名系统 (Domain Name System) 的缩写,它是由解析器和域名服务器组成的,是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,具体祥看本
DDOS攻击防护DNS
qq_37980458的博客
10-11 4152
DNS request flood 黑客控制僵尸网络向DNS服务器发送大量不存在的域名的解析请求,最终导致服务器因大量DNS请求而超载。   1.TC源认证 ①客户端发送的DNS请求报文长度超过告警阈值,启动源认证机制。 ②拦截DNS请求,将TC标志位置为1并进行回应,要求客户端以TCP方式重新发起DNS查询。 ③如果这个源是虚假源,则不会正常响应这个DNS回应报文,更不会重新通过TC...
内网渗透之DNS隧道搭建
蚁景网安学院
08-26 982
原创稿件征集 邮箱:[email protected] QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 本文作者:D1m0n 前言 年初有幸参加了一次hvv,我主要负责内网渗透的部分,包括代理搭建,横向移动等等。那个时候,也是刚刚接触内网没两个月,赶鸭子上架的学了一下就上了战场。好在运气不错,通过weblogic的反序列化RCE拿到系统权限,后来发现了一个尴尬的问题,目标主机不出网,借助搜索引擎,大佬们都.
Cobaltstrike DNS 隐蔽隧道
LuckySec
02-16 2303
0x01 DNS 隧道攻击 DNS协议是一种请求应答协议,也是一种可用于应用层的隧道技术。虽然DNS流量的异常变化可能会被发现,但是在基于传统socket隧道已经濒临淘汰,TCP、UDP通信大量被安全设备拦截的大背景下,DNS、ICMP、HTTP/HTTPS等难以禁用的协议已经成为攻击者使用隧道的主流选择。DNS隐蔽隧道基于互联网不可或缺的DNS基础协议,天然具备穿透性强的优势,是恶意团伙穿透安全防护的一把利器。 0x02 DNS Beacon Cobalt Strike 提供了现成利用模块,DNS Be
利用 DNS 隧道传递数据和命令来绕过防火墙
热门推荐
不急不躁
08-07 2万+
不论你对出站流量采取多么严格的访问控制,你可能都要允许至少对一个服务器的 DNS 请求。对手就可以利用这个防火墙上的“大洞”来偷运数据,并且建立一个非常难以限制的隐蔽命令控制信道。为了学习 DNS 作为命令控制信道的使用方法,我们今天来介绍一个由 Ron Bowes 开发的工具 dnscat2,有了这个工具我们就能轻而易举的实现这种攻击技术。 隧道的部署实施需要一个由攻击者控制的主机来运行 dns
xshell通过隧道连接_DNS安全之隧道攻击
weixin_39560029的博客
12-20 607
DNS隧道攻击原理:即协议封装,IP over DNS,将其他协议封装在合法的dns请求和应答报文中,clent端通过构造特殊的域名记录请求发送数据给server,server端通过构造特殊的txt记录值来回应数据给client。其特点:请求应答包很大、客户端txt类型记录请求频率高,常用在渗透中,例如之前的xshell窃取用户登录信息事件。DNS 隧道攻击可以为攻击者提供一种永远可用的后方隧道来...
DNS攻防说明
focus on security
05-26 1166
针对四种防护方法进行DNS攻防测试,防护方法如下: 1.默认(限速) 2.TC重传 3.cname跳转 4.首次query丢弃 重点针对攻击原理、防护原理进行说明,针对测试提供参考方法。
DNS隧道技术绕防火墙
零度危险个人博客
04-05 1516
0x01 概念 隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。 0x02 实例分析- DNS隧道技术 环境:客户机(Kali)+DNS服务器(window2003)+目标机(redh
DNS隧道检测特征
WangYouJin321的博客
03-07 6782
参考连接: DNS隧道检测特征总结 - 知乎 基于DNS隐蔽信道的攻击与检测 - FreeBuf网络安全行业门户 1.DNS检测特征 BotDAD中统计分析了15种DNS的行为特征,如下: 序号 DNS特征 描述 p1 每小时DNS请求的数量 受感染的僵尸主机每小时的请求数量往往高于正常主机。 p2 每小时不同的DNS请求数 感染DGA恶意软件的主机往往比普通主机具有更多不同的请求。 p3 单个域的最大请求数 帮助检测DNS隧道,敏感信.
内网渗透之DNS隧道
蚁景网安学院
08-26 484
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
使用海外DNS服务器违法吗?
04-27
在大多数国家和地区,使用海外DNS服务器本身并不违法。然而,一些国家和地区可能会限制或禁止访问特定的网站或内容,如果你使用海外DNS服务器来绕过这些限制,可能会违反当地的法律。此外,一些服务提供商可能会将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值