使用DNS來保護你的網(wǎng)絡(luò)

責(zé)任編輯:cres

作者:HERO編譯

2017-03-13 10:39:33

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

如今,網(wǎng)絡(luò)中的惡意行為者或惡意軟件無時無刻地都在試圖利用組織的DNS基礎(chǔ)設(shè)施。無論是用于泄漏數(shù)據(jù)還是命令和控制服務(wù)器通信,DNS在啟用網(wǎng)絡(luò)上的惡意活動方面都發(fā)揮著至關(guān)重要的作用。

如今,網(wǎng)絡(luò)中的惡意行為者或惡意軟件無時無刻地都在試圖利用組織的DNS基礎(chǔ)設(shè)施。無論是用于泄漏數(shù)據(jù)還是命令和控制服務(wù)器通信,DNS在啟用網(wǎng)絡(luò)上的惡意活動方面都發(fā)揮著至關(guān)重要的作用。
 
為什么這么重要?
 
作為一個關(guān)鍵的網(wǎng)絡(luò)服務(wù),網(wǎng)絡(luò)罪犯可以合理地期望任何網(wǎng)絡(luò)具有DNS可用。此外,它幾乎總是提供一個走出網(wǎng)絡(luò)的路徑:找到主機的IP地址,惡意軟件必須與互聯(lián)網(wǎng)上的域名服務(wù)器通信,并聽取答案。而且對于大多數(shù)網(wǎng)絡(luò)允許某種類型的互聯(lián)網(wǎng)訪問,對于這些DNS查詢往往會有一個路由。
 
最后,由于DNS沒有內(nèi)在安全性,它本身容易受到入侵。因為在最初設(shè)計的30多年前,互聯(lián)網(wǎng)是一個非常不同的領(lǐng)域。更糟糕的是,傳統(tǒng)的安全解決方案往往沒有考慮DNS或解決其漏洞。
 
簡單來說:這個網(wǎng)絡(luò)雖然無處不在,但其本質(zhì)上是不安全的,DNS往往被組織的安全投資所忽視。但它并沒有逃過網(wǎng)絡(luò)罪犯的注意…
 
最終,經(jīng)濟學(xué)的問題意味著黑客現(xiàn)在使用DNS作為控制平臺將惡意軟件植入到組織中。
 
作為一個行業(yè),人們已經(jīng)成功地保護HTTP,它被廣泛應(yīng)用于多層次的現(xiàn)代網(wǎng)絡(luò)安全電子商務(wù)協(xié)議。人們投資了端點安全,入侵防御系統(tǒng),下一代防火墻,以及現(xiàn)在的網(wǎng)絡(luò)應(yīng)用防火墻。
 
因此,網(wǎng)絡(luò)犯罪分子越來越難以逾越組織設(shè)置越來越多的障礙。與此同時,黑客行業(yè)也在以更快的速度創(chuàng)新,通過利用DNS作為新的隱蔽渠道,增加入侵成功的機會。 DNS被所有網(wǎng)絡(luò)和安全設(shè)備所信任,因此可以靜默地遍歷任何網(wǎng)絡(luò)設(shè)備,安全系統(tǒng),數(shù)據(jù)丟失防護功能(DLP),甚至應(yīng)用服務(wù)器。
 
通過在DNS查詢或在從DNS協(xié)議的角度看起來“正確”的相關(guān)聯(lián)響應(yīng)中可以編碼任意數(shù)據(jù),使得數(shù)據(jù)過濾的檢測變得困難。
 
例如,如果為名為Jane-doe-2000-11-25.domainownedby badguys.com的域發(fā)出查詢,可能是主機被稱為jane-doe-2000-11-25,或者它是某人的姓名和出生日期的組織。無論響應(yīng)是什么,其數(shù)據(jù)已經(jīng)被過濾。如果它是二進制數(shù)據(jù),它可以在ASCII編碼,將其分離成200字節(jié)塊的流,然后通過多個查詢發(fā)送出去。
 
基本上,當(dāng)不是智能部署時,DNS風(fēng)險單獨消耗了組織在安全技術(shù)方面的數(shù)百萬美元的投資,并造成嚴重后果。
 
使用DNS進行網(wǎng)絡(luò)防御
 
雖然具有固有的脆弱性,DNS可以安全管理,也是組織保護其網(wǎng)絡(luò)的一個最佳武器。
 
使DNS成為有用工具的第一步是通過查看其數(shù)據(jù),如果不是這樣做的話。但是查看日志只會讓工作人員知道發(fā)生了什么。相反,重要的是智能地使用數(shù)據(jù),因此組織首先可以防止惡意活動發(fā)生。
 
將威脅情報放入DNS服務(wù)器是DNS武器化的關(guān)鍵步驟。有三種技術(shù)可以應(yīng)用于DNS基礎(chǔ)設(shè)施,以確定其流量是否為“差”。
 
第一個是聲譽,聲譽可用列表將已知的惡意域名在互聯(lián)網(wǎng)上列出:因此如果DNS服務(wù)器正在查詢這些域,就會有一個強有力的指示。通過配置服務(wù)器,以中斷與這些域的通信,它可以消除惡意軟件,或者使網(wǎng)絡(luò)管理員能夠記錄它,以備將來調(diào)查。
 
第二是簽名。有在線可用的套件設(shè)置DNS隧道,通常在設(shè)置查詢時具有可檢測的簽名。雖然簽名可能沒有被人們看過,因此也不會出現(xiàn)在信譽列表上,簽名檢測軟件可能仍然能夠識別惡意活動并阻止它。
 
第三是分析?;ヂ?lián)網(wǎng)的地址簿,DNS將人們知道并識別的主機名轉(zhuǎn)換為機器可以引導(dǎo)到的位置。因此,“合法”DNS流量具有某些屬性,例如使用元音,字母頻率和長度,這些屬性不會出現(xiàn)在以文本格式編碼的任意數(shù)據(jù)中。分析還可以查看請求和響應(yīng)的詞法分析,數(shù)據(jù)響應(yīng)的大小和頻率,以確定什么是合法的DNS查詢,以及什么是黑客攻擊。
 
保護DNS需要對這種脆弱的基礎(chǔ)設(shè)施應(yīng)如何工作的復(fù)雜理解。沒有能夠真正保護它的傳統(tǒng)解決方案,防御從問題的核心開始是重要的。
 
通過使用DNS作為一種戰(zhàn)略安全武器,組織可以中斷惡意軟件的鏈條,防止未經(jīng)授權(quán)泄露敏感數(shù)據(jù)和保護基礎(chǔ)設(shè)施,而無需在端點,網(wǎng)絡(luò)設(shè)備或服務(wù)器上安裝任何特殊軟件。這就是為什么利用DNS將其從易受攻擊的基礎(chǔ)設(shè)施轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)防御的主要原因。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號