为什么DNS监测能够让你的网络更加安全

幸运草
幸运草
幸运草
1033
文章
3
评论
2020年5月16日20:25:34
评论
107

众所周知,当今的恶意攻击大多受利益驱动,劫持合法网络资源发动攻击。其中一个重要途径,就是利用域名服务(DNS)将网络用户导引到恶意网站并将他们纳入攻击行动的节点。

DNS对黑客的意义有三:

1. 传输命令与控制指令

2. 偷渡数据

3. 重定向流量

但由于极少有公司会出于安全目的监测DNS状态,DNS如今已成为攻击者理想的攻击手段。

在DNS层实施安全防御,可以有效检测和控制此类恶意软件感染。在恶意连接建立之前将威胁扼杀在摇篮里是做好安全的第一要务。要做到这一点,就必须监控网络,跟踪员工及其使用设备的网络位置和接入方式。

恶意IP跟踪,以及恶意基础设施连接阻断技术,可以挫败攻击者利用这一常见安全盲点的企图。危险连接阻断得越多,我们需要应对的内部网络威胁就越少。而且,即使网络被成功突破,DNS监测也可以帮助连接各个节点,确定攻击所用基础设施的类型和源头,深化调查取证。

以Angler漏洞利用工具包为例,DNS监测技术就在调查中提供了对所用IP基础设施更好的可见性。Angler操作者以线性跳转方式不停转换IP地址,隐藏他们的威胁行为,防止外界对他们的不法捞钱行为进行干预。但通过对与其关联的域名行为进行监测分析,我们对他们所用的技术有了更深入的了解,也就知晓了如何阻止他们。

随着攻击者不断创新攻击技战术,比如结合直连命令与控制来绕过域名解析等,防御者也在发展自己的新技术来更快地识别和响应这些攻击。

基于IP的预测性威胁情报便是防御新技术的一种。这种技术应用算法分析流量模式,关注并检测恶意活动,而不是对内容进行扫描。这种基于数据科学的新技术与Pandora的音乐服务所用的技术如出一辙。但与使用当前在听的声波模式来推断你可能喜欢的其他音乐不同,这种新技术采用网络流量模式来识别恶意攻击。

有些域名一直保持很大的入站流量,其他域名可能在某几个特定时段会出现流量高峰,又或者,还有其他完全不同的模式。但被用来实施攻击的域名,一般情况下流量模式都是瞬发性的,流量出现时间更短,也更快。毕竟,作为见不得光的行为,还得保持低调隐蔽。若能发现并将这些状态模式与其他数据进行交叉对比,则有助于快速检测出正在进行中的攻击行为并采取行动予以遏制。

而预测攻击的能力则又将此数据分析拉升到了更高的层级。从分析流量模式得出的线索开始,网络罪犯在劫持基础设施过程中所用到的每一步,都在攻击预测中有用到。比如:托管主机提供商的选择、服务器镜像的部署等等。对托管基础设施更深更全面的分析将使你拥有预测并防止突发威胁的能力。

因为网络罪犯利用互联网发动攻击,我们便需要对DNS基础设施和IP网络上正在发生的事拥有更清晰的视野。这就要求安全团队和DNS专家采用合适的技术通力合作。无论如何,连接更多的节点并不断修正威胁情报是能够更快识别并阻止网络攻击的。

攻击者总在持续地改进攻击方法,因此我们也需要不断提高数据分析技术,以在攻击发生之前将其锁定。

特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
勒索病毒攻击事件频发,企业上云应如何应对 劫持

勒索病毒攻击事件频发,企业上云应如何应对

劫持数据库“白帽子”黑客勒索比特币2017年5月13日,互联网多家网站疯传一条消息:据TechWeb报道,全球突发劫持数据、勒索比特币的病毒事件。英国16家医院遭到大范围网络攻击,电脑被锁定,黑客索要...
劫持数据库“白帽子”黑客勒索比特币 劫持

劫持数据库“白帽子”黑客勒索比特币

2017年5月13日,互联网多家网站疯传一条消息:据TechWeb报道,全球突发劫持数据、勒索比特币的病毒事件。英国16家医院遭到大范围网络攻击,电脑被锁定,黑客索要每家医院支付相当于400万人民币的...