2019獨角獸企業重金招聘Python工程師標準>>>

盡管 IT 管理員盡心盡責地監控設備、主機和網絡是否存在惡意活動的跡象，卻往往出力不討好。主機入侵檢測和端點保護對很多公司來說可能是“必需”的安全措施，但如果要找出 RAT、rootkit、APT 或其他盤踞在網絡上的惡意軟件，就沒什么比監控 DNS 流量更有效了。

####為什么是 DNS ？

犯罪分子會抓住任何互聯網服務或協議的漏洞發動攻擊，這當然也包括域名系統（ DNS ）。他們會注冊一次性域名用于垃圾郵件活動和僵尸網絡管理，還會盜用域名進行釣魚和惡意軟件下載。他們會注入惡意查詢代碼以利用域名服務器的漏洞或擾亂域名解析過程。他們會注入偽造的響應污染解析器緩存或強化 DDOS 攻擊。他們甚至將 DNS 用作數據滲漏或惡意軟件更新的隱蔽通道。

你可能沒辦法了解每一個新的 DNS 漏洞攻擊，但是可以使用防火墻、網絡入侵監測系統或域名解析器報告可疑的 DNS 行為跡象，作為主動防范的措施。

####要找什么

預示網絡中正出現可疑或惡意代碼的 DNS 組合查詢或流量特征。例如：

1.來自偽造源地址的 DNS 查詢、或未授權使用且無出口過濾地址的 DNS 查詢，若同時觀察到異常大的 DNS 查詢量或使用 TCP 而非 UDP 進行 DNS 查詢，這可能表明網絡內存在被感染的主機，受到了 DDoS 攻擊。

2.異常 DNS 查詢可能是針對域名服務器或解析器（根據目標 IP 地址確定）的漏洞攻擊的標志。與此同時，這些查詢也可能表明網絡中有不正常運行的設備。原因可能是惡意軟件或未能成功清除惡意軟件。

3.在很多情況下，DNS 查詢要求解析的域名如果是已知的惡意域名，或具有域名生成算法( DGA )（與非法僵尸網絡有關）常見特征的域名，或者向未授權使用的解析器發送的查詢，都是證明網絡中存在被感染主機的有力證據。

4.DNS 響應也能顯露可疑或惡意數據在網絡主機間傳播的跡象。例如，DNS 響應的長度或組合特征可以暴露惡意或非法行為。例如，響應消息異常巨大（放大攻擊），或響應消息的 Answer Section 或 Additional Section 非常可疑（緩存污染，隱蔽通道）。

5.針對自身域名組合的 DNS 響應，如果解析至不同于你發布在授權區域中的 IP 地址，或來自未授權區域主機的域名服務器的響應，或解析為名稱錯誤( NXDOMAIN )的對區域主機名的肯定響應，均表明域名或注冊賬號可能被劫持或 DNS 響應被篡改。

6.來自可疑 IP 地址的 DNS 響應，例如來自分配給寬帶接入網絡 IP 段的地址、非標準端口上出現的 DNS 流量，異常大量的解析至短生存時間( TTL )域名的響應消息，或異常大量的包含“ name error ”( NXDOMAIN )的響應消息，往往是主機被僵尸網絡控制、運行惡意軟件或被感染的表現。

很多時候，各種形式的 DNS 監控可以及時地暴露這些威脅。下面筆者將會講述如何借助網絡入侵檢測系統、流量分析和日志數據在網絡防火墻上應用這些機制以檢測此類威脅。

####監控DNS流量五大招

防火墻

我們從最常用的安全系統開始吧，那就是防火墻。所有的防火墻都允許自定義規則以防止 IP 地址欺騙。添加一條規則，拒絕接收來自指定范圍段以外的 IP 地址的 DNS 查詢，從而避免域名解析器被 DDOS 攻擊用作開放的反射器。

接下來，啟動 DNS 流量檢測功能，監測是否存在可疑的字節模式或異常 DNS 流量，以阻止域名服務器軟件漏洞攻擊。具備本功能的常用防火墻的介紹資料在許多網站都可以找到（例如 Palo Alto、思科、沃奇衛士等）。Sonicwall 和 Palo Alto 還可以監測并攔截特定的 DNS 隧道流量。

入侵檢測系統

無論你使用 Snort、Suricata 還是 OSSEC，都可以制定規則，要求系統對未授權客戶的 DNS 請求發送報告。你也可以制定規則來計數或報告 NXDomain 響應、包含較小 TTL 數值記錄的響應、通過 TCP 發起的 DNS 查詢、對非標準端口的 DNS 查詢和可疑的大規模 DNS 響應等。DNS 查詢或響應信息中的任何字段、任何數值基本上都“能檢測”。唯一能限制你的，就是你的想象力和對 DNS 的熟悉程度。防火墻的 IDS （入侵檢測系統）對大多數常見檢測項目都提供了允許和拒絕兩種配置規則。

流量分析工具

Wireshark 和 Bro 的實際案例都表明，被動流量分析對識別惡意軟件流量很有效果。捕獲并過濾客戶端與解析器之間的 DNS 數據，保存為 PCAP （網絡封包）文件。創建腳本程序搜索這些網絡封包，以尋找你正在調查的某種可疑行為。或使用 PacketQ （最初是 DNS2DB ）對網絡封包直接進行 SQL 查詢。 ? （記住：除了自己的本地解析器之外，禁止客戶使用任何其他解析器或非標準端口。）

DNS 被動復制

該方法涉及對解析器使用傳感器以創建數據庫，使之包含通過給定解析器或解析器組進行的所有 DNS 交易（查詢/響應）。在分析中包含 DNS 被動數據對識別惡意軟件域名有著重要作用，尤其適用于惡意軟件使用由算法生成的域名的情況。將 Suricata 用做 IDS （入侵檢測系統）引擎的 Palo Alto 防火墻和安全管理系統，正是結合使用被動 DNS 與 IPS （入侵防御系統）以防御已知惡意域名的安全系統范例。

解析器日志記錄

本地解析器的日志文件是調查 DNS 流量的最后一項，也可能是最明顯的數據來源。在開啟日志記錄的情況下，你可以使用 Splunk 加 getwatchlist 或是 OSSEC 之類的工具收集 DNS 服務器的日志，并搜索已知惡意域名。

盡管本文提到了不少資料鏈接、案例分析和實際例子，但也只是涉及了眾多監控 DNS 流量方法中的九牛一毛，疏漏在所難免，要想全面快捷及時有效監控 DNS 流量，不妨試試 DNS 服務器監控。

####DNS 服務器監控

應用管理器可對域名系統（ DNS ）進行全面深入的可用性和性能監控，也可監控 DNS 監控器的個別屬性，比如響應時間、記錄類型、可用記錄、搜索字段、搜索值、搜索值狀態以及搜索時間等。

DNS 中被監控的一些關鍵組件：

<table> <thead> <tr> <th>響應時間</th> <th>給出 DNS 監控器的響應時間，以毫秒表示</th> </tr> </thead> <tbody><tr> <td>記錄類型</td> <td>顯示記錄類型連接到 DNS 服務器的耗時</td> </tr> <tr> <td>可用記錄</td> <td>根據可用記錄類型輸出 True 或 False</td> </tr> <tr> <td>搜索字段</td> <td>顯示用于 DNS 服務器的字段類型</td> </tr> <tr> <td>搜索值</td> <td>顯示在DNS 服務器中執行的搜索值</td> </tr> <tr> <td>搜索值狀態</td> <td>根據輸出信息顯示搜索值狀態：Success (成功)或 Failed (失敗)</td> </tr> <tr> <td>搜索時間</td> <td>DNS 服務器中的搜索執行時間</td> </tr> </tbody></table>

監控可用性和響應時間等性能統計數據。這些數據可繪制成性能圖表和報表，即時可用，還可以按照可用性和完善性對報表進行分組顯示。

若 DNS 服務器或系統內任何特定屬性出現問題，會根據配置好的閾值生成通知和警告，并根據配置自動執行相關操作。目前，國內外 DNS 監控工具主要有 New relic、appDynamic、OneAPM。

（圖片來源：Cloud Test）

本文系 OneAPM 工程師編譯整理。Cloud Test?是基于云技術的實時監控系統，能夠幫大家實時監控網站性能，監控CDN、DNS、API等第三方服務提供商的可用性，實現應用性能及時監測及時報警。想技術文章，請訪問?OneAPM?官方技術博客。

本文轉自 OneAPM 官方博客

轉載于:https://my.oschina.net/oneapmofficial/blog/605587

總結

以上是生活随笔為你收集整理的监控 DNS 流量，预防安全隐患五大招！的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。