如何利用DNS监控来检测网络攻击?

安全 黑客攻防
监控DNS数据就是判定你的网络是否被攻击的最好的方法。目前有很多DNS监控方法,但网络安全专家Brad Casey认为最好的有三个:域名年龄、可疑域名和DNS故障。

有报道称监控域名系统(DNS)数据可以确定网络是否被攻击。这是真的吗?那么您建议企业使用哪些工具进行DNS监控呢?

Brad Casey:其实,监控DNS数据就是判定你的网络是否被攻击的最好的方法。由于DNS是机器与C2节点相互通信的主要方式,所以DNS数据变得越来越重要。因此,一个可疑的DNS流量就有可能是你的网络设备成为僵尸网络目标的警示。虽然目前有很多DNS监控方法,但我认为最好的有三个:域名年龄、可疑域名和DNS故障。下面我们回顾一下这三种方法:

域名年龄。它是编写Whois查询和监控所有第一次穿过网关的域名,还特别关注所创建的字段的日期。比如有一个域名是两天前创建的,那么它会阻止流向该域名的任何流量,直到进一步检查后再执行。

可疑域名。其实“可疑”的界限很难界定,但是你能一眼看出来。举个例子来说,我们上网时常使用google.com这个域名,但是goole.co1.123.abc却不常见。如果你注意到流向某域名的流量不正常,那么你就需要小心谨慎。

DNS故障。如果有很多DNS查找故障信息进入你的网络,那么你就有可能是某人利用域名生成算法(DGA)的受害者。因为很少有人会利用DGA创建数千个域名来进行通信。与真实域名通信就是机器如何通过相应的C2节点来控制机器的过程。

上面提到的功能对于经验丰富的管理来说很容易实施。唯一一个相对困难一点的就是可疑域名这个功能,因为企业通常认为不同事情的可疑程度取决于他们使用的度量方法。但是,域名年龄和DNS故障很容易编写脚本,而且也不需要购买额外硬件设施。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2023-07-26 14:49:08

2022-03-31 09:00:00

边缘侧DNS缓存边缘计算

2010-08-28 15:38:11

2017-02-21 08:47:22

2016-09-23 15:43:33

2018-04-11 10:38:52

2016-11-13 16:34:10

2011-04-02 12:52:37

MRTG监控

2014-02-24 09:13:49

2019-03-29 15:11:13

2010-09-09 10:52:12

2013-12-16 17:35:34

2020-04-16 16:34:10

戴尔攻击BIOS

2024-01-17 12:01:06

2021-04-27 16:43:05

安全漏洞数据

2015-10-22 09:31:22

2013-09-11 19:45:20

2021-02-19 10:21:33

黑客攻击l安全

2020-03-25 09:45:23

DDoS攻击僵尸网络零日漏洞

2022-02-13 23:51:44

DeepfenceLog4j2漏洞
点赞
收藏

51CTO技术栈公众号