衆所周知,當今的惡意攻擊大多受利益驅動,劫持合法網絡資源發動攻擊。其中一個重要途徑,就是利用域名服務(dns)将網絡使用者導引到惡意網站并将他們納入攻擊行動的節點。
dns對黑客的意義有三:
1. 傳輸指令與控制指令
2. 偷渡資料
3. 重定向流量
但由于極少有公司會出于安全目的監測dns狀态,dns如今已成為攻擊者理想的攻擊手段。
在dns層實施安全防禦,可以有效檢測和控制此類惡意軟體感染。在惡意連接配接建立之前将威脅扼殺在搖籃裡是做好安全的第一要務。要做到這一點,就必須監控網絡,跟蹤員工及其使用裝置的網絡位置和接入方式。
惡意ip跟蹤,以及惡意基礎設施連接配接阻斷技術,可以挫敗攻擊者利用這一常見安全盲點的企圖。危險連接配接阻斷得越多,我們需要應對的内部網絡威脅就越少。而且,即使網絡被成功突破,dns監測也可以幫助連接配接各個節點,确定攻擊所用基礎設施的類型和源頭,深化調查驗證。
以angler漏洞利用工具包為例,dns監測技術就在調查中提供了對所用ip基礎設施更好的可見性。angler操作者以線性跳轉方式不停轉換ip位址,隐藏他們的威脅行為,防止外界對他們的不法撈錢行為進行幹預。但通過對與其關聯的域名行為進行監測分析,我們對他們所用的技術有了更深入的了解,也就知曉了如何阻止他們。
随着攻擊者不斷創新攻擊技戰術,比如結合直連指令與控制來繞過域名解析等,防禦者也在發展自己的新技術來更快地識别和響應這些攻擊。
基于ip的預測性威脅情報便是防禦新技術的一種。這種技術應用算法分析流量模式,關注并檢測惡意活動,而不是對内容進行掃描。這種基于資料科學的新技術與pandora的音樂服務所用的技術如出一轍。但與使用目前在聽的聲波模式來推斷你可能喜歡的其他音樂不同,這種新技術采用網絡流量模式來識别惡意攻擊。
有些域名一直保持很大的入站流量,其他域名可能在某幾個特定時段會出現流量高峰,又或者,還有其他完全不同的模式。但被用來實施攻擊的域名,一般情況下流量模式都是瞬發性的,流量出現時間更短,也更快。畢竟,作為見不得光的行為,還得保持低調隐蔽。若能發現并将這些狀态模式與其他資料進行交叉對比,則有助于快速檢測出正在進行中的攻擊行為并采取行動予以遏制。
而預測攻擊的能力則又将此資料分析拉升到了更高的層級。從分析流量模式得出的線索開始,網絡罪犯在劫持基礎設施過程中所用到的每一步,都在攻擊預測中有用到。比如:托管主機提供商的選擇、伺服器鏡像的部署等等。對托管基礎設施更深更全面的分析将使你擁有預測并防止突發威脅的能力。
因為網絡罪犯利用網際網路發動攻擊,我們便需要對dns基礎設施和ip網絡上正在發生的事擁有更清晰的視野。這就要求安全團隊和dns專家采用合适的技術通力合作。無論如何,連接配接更多的節點并不斷修正威脅情報是能夠更快識别并阻止網絡攻擊的。
攻擊者總在持續地改進攻擊方法,是以我們也需要不斷提高資料分析技術,以在攻擊發生之前将其鎖定。
本文轉自d1net(轉載)
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)