有报道称监控域名系统(DNS)数据可以确定网络是否被攻击。这是真的吗?那么您建议企业使用哪些工具进行DNS监控呢?
Brad Casey:其实,监控DNS数据就是判定你的网络是否被攻击的最好的方法。由于DNS是机器与C2节点相互通信的主要方式,所以DNS数据变得越来越重要。因此,一个可疑的DNS流量就有可能是你的网络设备成为僵尸网络目标的警示。虽然目前有很多DNS监控方法,但我认为最好的有三个:域名年龄、可疑域名和DNS故障。下面我们回顾一下这三种方法:
域名年龄。它是编写Whois查询和监控所有第一次穿过网关的域名,还特别关注所创建的字段的日期。比如有一个域名是两天前创建的,那么它会阻止流向该域名的任何流量,直到进一步检查后再执行。
可疑域名。其实“可疑”的界限很难界定,但是你能一眼看出来。举个例子来说,我们上网时常使用google.com这个域名,但是goole.co1.123.abc却不常见。如果你注意到流向某域名的流量不正常,那么你就需要小心谨慎。
DNS故障。如果有很多DNS查找故障信息进入你的网络,那么你就有可能是某人利用域名生成算法(DGA)的受害者。因为很少有人会利用DGA创建数千个域名来进行通信。与真实域名通信就是机器如何通过相应的C2节点来控制机器的过程。
上面提到的功能对于经验丰富的管理来说很容易实施。唯一一个相对困难一点的就是可疑域名这个功能,因为企业通常认为不同事情的可疑程度取决于他们使用的度量方法。但是,域名年龄和DNS故障很容易编写脚本,而且也不需要购买额外硬件设施。