DNS和安全

=Start=

缘由:

前面在博客中整理了两篇和DNS原理及作用相关的文章,详细介绍了DNS的原理和作用,这里想整理记录一下DNS和安全的关系及其能起到的作用,方便以后参考。

正文:

参考解答:
DNS的重要性:

1、技术角度看
DNS解析是互联网绝大多数应用的实际寻址方式;域名技术的再发展、以及基于域名技术的多种应用,丰富了互联网应用和协议。

2、资源角度看
域名是互联网上的身份标识,是不可重复的唯一标识资源;互联网的全球化使得域名成为标识一国主权的国家战略资源。

DNS对黑客的几个意义:
  1. 传输命令与控制指令(c&c)
  2. 偷渡数据(steal data)
  3. 重定向流量(hijacking)
  4. 信息收集(zone transfer/domain leak)
DNS对于企业(安全)的重要性:
  • 如果您的内部DNS表现不佳或者不可用,那么您的所有应用程序的性能将会很差或者会明显下降。如果您的内部DNS受到攻击,那么攻击者将对您的网络上的所有服务一目了然并且可以十分容易到达目标服务器。黑客也可能会控制和更新DNS记录,将您的内部流量重定向到他们自己的恶意目的地。
  • 如果您的外部DNS表现不佳或不可用,则客户可能无法联系您的网站或向您的企业发送电子邮件。如果网络体验不佳,客户可能会流逝或转向竞争对手。外部DNS表示您的品牌和互联网的可用性,根据您的业务性质,可能会对您的品牌和收入产生重大影响。不安全的外部DNS可能会悄悄地将您的客户引向恶意网站,欺骗您的网站以窃取客户信息或拦截电子邮件。
  • 如果您的递归DNS表现不佳或者不可用,您的互联网访问就会变得无效或严重退化。这是因为您无法快速解析任何外部网站或资源的IP地址。不安全的递归DNS可能会导致您在不知情的情况下进入恶意或受损目的地。不安全的递归DNS会导致进行恶意软件通过DNS 与命令与控制(C2)通信,另外数据泄露也会经常利用不安全的DNS服务。
DNS在企业安全中可以起到的作用:
  • 在DNS层实施安全防御,可以有效检测和控制类似于WannaCry恶意软件的感染。

 

一些概念补充:

DNS区域传送(DNS zone transfer)指的是一台备用服务器使用来自主服务器的数据刷新自己的域(zone)数据库。这为运行中的DNS服务提供了一定的冗余度,其目的是为了防止主的域名服务器因意外故障变得不可用时影响到整个域名的解析。一般来说,DNS区域传送操作只在网络里真的有备用域名DNS服务器时才有必要用到,但许多DNS服务器却被错误地配置成只要有client发出请求,就会向对方提供一个zone数据库的详细信息,所以说允许不受信任的因特网用户执行DNS区域传送(zone transfer)操作是后果最为严重的错误配置之一。

DNS区域传送漏洞的危害:黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,黑客可以绕过基于网络的访问控制。


DNS劫持,就是指用户访问一个被标记的地址时,DNS服务器故意将此地址指向一个错误的IP地址的行为。范例,网通、电信、铁通的某些用户有时候会发现自己打算访问一个地址,却被转向了各种推送广告等网站,这就是DNS劫持。

DNS污染,指的是用户访问一个地址,国内的服务器(非DNS)监控到用户访问的已经被标记地址时,服务器伪装成DNS服务器向用户发回错误的地址的行为。范例,访问Youtube、Facebook之类网站等出现的状况。

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3861.html

《DNS和安全》上有14条评论


  1. 现在威胁情报里面最有用的两个基础数据:PDNS和网络流量。

    检测的话可以利用pdns数据来分析恶意dns。可以是从企业内部去dns数据中分析恶意dns,也可以是从外部pdns威胁分析服务中获取恶意的dns,如思科的opendns服务;防御方法一般可以采用DNS RPZ来sinkhole/blackhole dns请求(前者是返回无害的dns答复给请求,后者是不返回dns答复给请求,从而阻断恶意dns的请求), 或者采用外部的具备安全能力的DNS服务器,如IBM的 9.9.9.9 DNS服务。

    在内部进行安全分析、检测的话:
    进程树,dns, netflow, http, https 握手,这些能记录的都记录上。

  2. 从救火到先知-DNS安全分析场景实践谈
    https://zhuanlan.zhihu.com/p/34992317
    https://www.sec-un.org/%e4%bb%8e%e6%95%91%e7%81%ab%e5%88%b0%e5%85%88%e7%9f%a5%ef%bc%8cdns%e5%ae%89%e5%85%a8%e5%88%86%e6%9e%90%e5%9c%ba%e6%99%af%e5%ae%9e%e8%b7%b5%e8%b0%88/

    DNS是互联网和物联网(IOT)的“神经系统”,是连接网络的第一步动作,DNS系统是一个基于C/S结构的巨型分布式数据库系统,实现域名到IP地址的转换,对用户访问各种互联网应用至关重要。DNS协议设计之初的目标是提供一种一致的命名空间和灵活高效的解析服务,DNS系统有着良好的系统性能,同时作为一个开放的系统,也存在着诸多的安全问题和隐患。

    DNS协议的数据报文不受限制地传输,使得DNS通讯作为隐蔽通道在整个攻击链多个环节被黑客们广泛应用,通过研究DNS流量或数据,可以发现网络的安全攻击以及异常行为。虽然很多企业正在全力以赴地应对网络安全威胁,以期能检测和规避网络攻击,但遗憾的是,大多数企业并没有对DNS安全起到足够的重视,至使企业的数据、资产和信誉都处在风险之中。思科2016年度安全报告指出,近91.3%的“已知不良”恶意软件被发现使用DNS作为主要手段,但68%的企业却忽略了这个问题,并没有对DNS解析进行监测,思科非常形象地把这称作“DNS盲点”——DNS是互联网上最常见的协议,但它却成为了最容易被忽视的。

    恶意软件一般通过DNS实现命令与控制(Command and Control)信道、窃取数据和重定向流量等三个目的。除了恶意软件,还有很多网络攻击也离不开DNS,比如APT攻击、垃圾邮件、僵尸网络和挂马网站等,它们都在利用DNS伺机攻击企业的网络。

    域名在一定程度上反映了用户的网络访问行为,对一些用户而言,每天能监测到海量的域名信息,如何从这些海量信息中,抽取需要人工能确认或分析过来的信息至关重要。海量的域名信息,经过白域名库、黑域名的筛选,形成的灰域名数量可以大大减少,可以到达工具或人工的分析程度,同时分析的结果又可以反馈到名单库中。

    (一).基于多元属性特征的检测方法(也称静态安全检测)
    (二).针对域名的行为特征方面(动态安全检测)

    3.安全分析场景
    3.1 隐蔽隧道的监测场景
    3.2 恶意域名的访问分析
    3.3 Visibility场景:解析的趋势分布
    3.4 用户行为分析场景
    3.5 高风险主机检测分析
    3.6 新增域名的监测场景
    3.7 DNS Server监测场景
    3.8 Rdata数据的深入分析

发表评论

电子邮件地址不会被公开。 必填项已用*标注