DNS常见的的5个网络安全威胁103.91.210.106

shengliankeji22

网络安全可能是一项令人筋疲力尽的工作。现在网络上有信号和操控点，这些信号和操控点从网络角度来看都没有得到充分运用，不是说要增加新功用，运用您现有的功用。
进犯者运用盲点，专攻安全团队没有进行监控的确切方位，其间一个地方便是DNS。遗憾的是直到最近，该协议乃至还被降级为IT基础架构团队，并被视为纯粹的网络管道。
现在，需求再次提醒您需求将DNS理解为要挟载体。这是政企组织、通信公司等各个互联网相关的企业需求重视的论题。
DNS相关的安全问题是必然会发作的，由于大约百分之九十的歹意软件依靠DNS进行进犯。它用于长途指令和操控歹意软件，将数据泄露到外部等一系列活动。以下是您的DNS日志中可能会呈现网络安 全要挟的几种方法。
要挟1 - 机器履行他们一般不会履行的操作
示例：像Emotet相同的Spambot歹意软件 大多数专用设备，如工厂机器、销售点(POS)机器和打印机，都会发作相当可预期的DNS查询模式。即使它看起来很温文，但任何与这些设备之一不同的东西都可能意味着麻烦。例如，假如来自您商铺 的POS机的DNS查询正在查找Google.com，则表示您遇到了问题。
乃至更广泛的设备也会发作特定的行为模式。例如，用户笔记本电脑一般不生成MX查询类型，邮件服务器便是这样做的。假如用户笔记本电脑开始像邮件服务器相同，这可能是由于感染而发送垃圾邮 件。
要挟2 - 运用DNS传输信息，而不仅仅是树立衔接
示例：DNSMessenger木马、DNSpionage、Pisloader木马以及任何其他根据地道的要挟
地道的工作是经过将信息编码到查询域名中，然后由歹意接收方服务器对其进行解码。从DNS日志的角度来看，有一些关键的痕迹标明这种行为正在发作。
由于编码信息一般会导致看起来像是一系列字符的紊乱，所以查询域名往往缺少实际的字典中有的单词，看起来更像是随机生成的字符串。地道查询一般也是TXT和其他查询类型，其一般不以在典型 计算机运用期间雇员运用所必需的频率和周期性生成。地道查询往往是以固定间隔或可疑突发作成的。能够将查询归因于其源以查看惯例和突发模式非常重要。
要挟3 - 以算法方法动态更改查询的发送方位
示例：Nymain、Locky Ransomware、Qadars Banking Trojan、Qbot Trojan以及任何其他根据DGA的歹意软件
域生成算法(DGAs)是对手黑名单的解决方法。他们创建了一系列防火墙无法识别阻止的域，并测验运用它们。
也便是说，DGAs要求对手实际注册某些域。为了节省本钱，进犯者倾向于从声望较差的注册商中挑选不常见的尖端域名(TLD)，如.biz、.work、.hello等。像地道查询相同，DGA查询也看起来像非字 典单词，并测验这些组合涵盖多个TLD。例如asdf.biz、asdf.work、asdf.hello等。
要挟4 - 躲藏的DNS查询
示例：DNS over HTTPS(DoH)经过HTTPS的DNS履行
DoH经过加密DNS查询和绕过正常的DNS服务器链，作为个人经过私密方法进行网上冲浪。在企业网络上，解决DoH是危险的，由于它削弱了安全团队的可见性。突然之间危险行为变得更难以发现。
要挟5 - 基础设施绑架
由于绑架涉及进犯者将自己刺进DNS解析链并改变经过的信息，所以查看查询的DNS日志以及其各自的呼应可能会有所协助。假如对查询的呼应发作更改，现在将客户端指向一般不应发送到的方位，则 可能是绑架的痕迹。DNS查询答案显然会随着时刻的推移而变化，但对于完全不相关的网络上的IP地址则更少。
学会倾听您的DNS日志的变化
DNS现已存在于每个网络中。问题是，安全团队是否正在倾听它们告诉他们的内容?
当组织运用其日志进行保护时，就会翻开一个洞察的世界。虽然有一些工具可以协助以更智能的方法处理一切数据，但任何安全团队都可以采取基本过程，即使在今天也是如此。
当专用设备测验履行非典型操作时要注意，并特别注意随机生成的查询，特别是当它们以突发或惯例时刻间隔进行时。
企鹅840872912