使用DNS來保護你的網絡

如今，網絡中的惡意行為者或惡意軟體無時無刻地都在試圖利用組織的dns基礎設施。無論是用于洩漏資料還是指令和控制伺服器通信，dns在啟用網絡上的惡意活動方面都發揮着至關重要的作用。

為什麼這麼重要?

作為一個關鍵的網絡服務，網絡罪犯可以合理地期望任何網絡具有dns可用。此外，它幾乎總是提供一個走出網絡的路徑：找到主機的ip位址，惡意軟體必須與網際網路上的域名伺服器通信，并聽取答案。而且對于大多數網絡允許某種類型的網際網路通路，對于這些dns查詢往往會有一個路由。

最後，由于dns沒有内在安全性，它本身容易受到入侵。因為在最初設計的30多年前，網際網路是一個非常不同的領域。更糟糕的是，傳統的安全解決方案往往沒有考慮dns或解決其漏洞。

簡單來說：這個網絡雖然無處不在，但其本質上是不安全的，dns往往被組織的安全投資所忽視。但它并沒有逃過網絡罪犯的注意…

最終，經濟學的問題意味着黑客現在使用dns作為控制平台将惡意軟體植入到組織中。

作為一個行業，人們已經成功地保護http，它被廣泛應用于多層次的現代網絡安全電子商務協定。人們投資了端點安全，入侵防禦系統，下一代防火牆，以及現在的網絡應用防火牆。

是以，網絡犯罪分子越來越難以逾越組織設定越來越多的障礙。與此同時，黑客行業也在以更快的速度創新，通過利用dns作為新的隐蔽管道，增加入侵成功的機會。 dns被所有網絡和安全裝置所信任，是以可以靜默地周遊任何網絡裝置，安全系統，資料丢失防護功能(dlp)，甚至應用伺服器。

通過在dns查詢或在從dns協定的角度看起來“正确”的相關聯響應中可以編碼任意資料，使得資料過濾的檢測變得困難。

例如，如果為名為jane-doe-2000-11-25.domainownedby badguys.com的域發出查詢，可能是主機被稱為jane-doe-2000-11-25，或者它是某人的姓名和出生日期的組織。無論響應是什麼，其資料已經被過濾。如果它是二進制資料，它可以在ascii編碼，将其分離成200位元組塊的流，然後通過多個查詢發送出去。

基本上，當不是智能部署時，dns風險單獨消耗了組織在安全技術方面的數百萬美元的投資，并造成嚴重後果。

使用dns進行網絡防禦

雖然具有固有的脆弱性，dns可以安全管理，也是組織保護其網絡的一個最佳武器。

使dns成為有用工具的第一步是通過檢視其資料，如果不是這樣做的話。但是檢視日志隻會讓從業人員知道發生了什麼。相反，重要的是智能地使用資料，是以組織首先可以防止惡意活動發生。

将威脅情報放入dns伺服器是dns武器化的關鍵步驟。有三種技術可以應用于dns基礎設施，以确定其流量是否為“差”。

第一個是聲譽，聲譽可用清單将已知的惡意域名在網際網路上列出：是以如果dns伺服器正在查詢這些域，就會有一個強有力的訓示。通過配置伺服器，以中斷與這些域的通信，它可以消除惡意軟體，或者使網絡管理者能夠記錄它，以備将來調查。

第二是簽名。有線上可用的套件設定dns隧道，通常在設定查詢時具有可檢測的簽名。雖然簽名可能沒有被人們看過，是以也不會出現在信譽清單上，簽名檢測軟體可能仍然能夠識别惡意活動并阻止它。

第三是分析。網際網路的位址簿，dns将人們知道并識别的主機名轉換為機器可以引導到的位置。是以，“合法”dns流量具有某些屬性，例如使用元音，字母頻率和長度，這些屬性不會出現在以文本格式編碼的任意資料中。分析還可以檢視請求和響應的詞法分析，資料響應的大小和頻率，以确定什麼是合法的dns查詢，以及什麼是黑客攻擊。

保護dns需要對這種脆弱的基礎設施應如何工作的複雜了解。沒有能夠真正保護它的傳統解決方案，防禦從問題的核心開始是重要的。

通過使用dns作為一種戰略安全武器，組織可以中斷惡意軟體的鍊條，防止未經授權洩露敏感資料和保護基礎設施，而無需在端點，網絡裝置或伺服器上安裝任何特殊軟體。這就是為什麼利用dns将其從易受攻擊的基礎設施轉變為網絡防禦的主要原因。

本文轉自d1net（轉載）