网络安全指南–DNS
发布时间:2023-10-19 13:13:19 所属栏目:安全 来源:
导读:这篇教程介绍了与普通域名解析有关的基本信息,说明了不同类型的入侵检测系统(IDS)会对网络造成哪些风险以及需要采取的相应行动和建议等相关内容。
技术摘要
域名系统(DNS)是TCP/IP应用程序使用的分布式数据库
技术摘要
域名系统(DNS)是TCP/IP应用程序使用的分布式数据库
|
这篇教程介绍了与普通域名解析有关的基本信息,说明了不同类型的入侵检测系统(IDS)会对网络造成哪些风险以及需要采取的相应行动和建议等相关内容。 技术摘要 域名系统(DNS)是TCP/IP应用程序使用的分布式数据库,用于解析主机名及其相应的IP地址。 常见的DNS事件类型包括: 查询事件–当DNS查找中观察到的域与签名匹配时,将触发查询事件。这些签名会在发起的流量上触发,其中源IP正在使用目标端口53对目标IP执行查找,并且观察到的域与恶意软件活动或违反策略相关联。 响应事件–当观察到的域查找结果包含与签名匹配的NXDOMAIN或Sinkhole响应时,将触发响应事件。这些签名会在返回流量上触发,其中源IP返回对源端口为53的目标IP执行的查询的响应,并且观察到的域已与恶意软件活动相关联。 NXDOMAIN响应–NXDOMAIN响应指示查询的域名无法通过DNS服务器的查找过程进行解析。域查找中的主机名和NXDOMAIN响应的组合将触发这些签名。 Sinkhole响应–Sinkhole响应表示DNS查找中的域已被服务提供商观察到存在恶意活动,并随后将这些域的流量转移到非恶意Sinkhole,从而基本上阻止了恶意站点的流量。这会破坏僵尸网络和c2基础设施。 更新事件–当观察到的DNS流量包含来自不属于受监控基础设施(外部主机)的主机的资源记录更新时,将触发更新事件。 要求 日志记录:为了响应DNS安全事件,在托管设备上配置适当级别的日志记录至关重要。所需的最基本的日志记录是网络客户端使用的主名称服务器的DNS日志记录和向这些客户端租赁IP的服务器的DHCP日志记录。在Microsoft Windows环境中,活动目录域的主名称服务器将是域控制器。请咨询管理您的网络和系统基础设施的IT支持供应商,以验证您是否在域控制器上相应配置了DNS和DHCP客户端日志记录。 需要考虑的一些日志记录注意事项。 由于高密度日志记录存储数据的量和这些日志的持续时间的保留而导致产生的很大的潜在存储装置的需求 对日志记录设备(例如CPU、内存和磁盘)的性能影响 要考虑的其他设备日志记录配置:服务器事件日志、身份验证日志、端点AV日志、Web代理日志和网络安全设备/防火墙日志(这是一个非详尽列表)。这为组织提供了收集遥测数据,理想情况下集中收集,同时独立于源系统,用于跟踪和定位恶意行为、历史查找和警报。 建议 建议调查DNS请求的来源是否存在潜在的恶意活动。这可以通过查看DNS日志来关联域查询和时间戳来识别DNS查询源自的内部主机来完成。 一旦识别出发起DNS查询的内部主机,您将需要调查该主机是否存在针对特定威胁识别出的任何危害迹象。这可能涉及检查AV和防火墙日志以确定对受影响主机的影响。如果您正在尝试访问某个网站,请使用此命令。 (编辑:马鞍山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
