DNS是重要的基础设施,用于域名服务,在负载均衡,移动IP等方面也有着重要的应用.DNS流量激增对互联网的正常运作的影响,并提出了恶意DNS流量攻击,蜂窝效应概念,什么是DNS流量?监控它的方法有哪些?一起来看看吧。
什么是DNS流量?
dns其实就是网址转换成网站实际IP地址的设备,它建有网站网址和实际IP数据库。按照就近的网速越快,你在哪个地区连接的就是哪个地区的服务器,不会舍近求远,影响响应时间。
监控dns流量的方法有哪些?
1、流量分析工具
Wireshark和Bro的实际案例都表明,被动流量分析对识别恶意软件流量很有效果。捕获并过滤客户端与解析器之间的DNS数据,保存为PCAP(网络封包)文件。创建脚本程序搜索这些网络封包,以寻找你正在调查的某种可疑行为。或使用PacketQ(最初是DNS2DB)对网络封包直接进行SQL查询。
(记住:除了自己的本地解析器之外,禁止客户使用任何其他解析器或非标准端口。)
2、DNS被动复制
该方法涉及对解析器使用传感器以创建数据库,使之包含通过给定解析器或解析器组进行的所有DNS交易(查询/响应)。在分析中包含DNS被动数据对识别恶意软件域名有着重要作用,尤其适用于恶意软件使用由算法生成的域名的情况。将Suricata用做IDS(入侵检测系统)引擎的PaloAlto防火墙和安全管理系统,正是结合使用被动DNS与IPS(入侵防御系统)以防御已知恶意域名的安全系统范例。
3、防火墙
所有的防火墙都允许自定义规则以防止IP地址欺骗。添加一条规则,拒绝接收来自指定范围段以外的IP地址的DNS查询,从而避免域名解析器被DDOS攻击用作开放的反射器。
启动DNS流量检测功能,监测是否存在可疑的字节模式或异常DNS流量,以阻止域名服务器软件漏洞攻击。
4、入侵检测系统
无论你使用Snort、Suricata还是OSSEC,都可以制定规则,要求系统对未授权客户的DNS请求发送报告。你也可以制定规则来计数或报告NXDomain响应、包含较小TTL数值记录的响应、通过TCP发起的DNS查询、对非标准端口的DNS查询和可疑的大规模DNS响应等。DNS查询或响应信息中的任何字段、任何数值基本上都“能检测”。唯一能限制你的,就是你的想象力和对DNS的熟悉程度。防火墙的IDS(入侵检测系统)对大多数常见检测项目都提供了允许和拒绝两种配置规则。
