企业如何抵御利用DNS隧道的恶意软件?

恶意软件编写者开始使用DNS请求进行数据渗透,那么,这些攻击的工作原理是什么,以及抵御它们的最佳做法有哪些?

Nick Lewis:多年来,高级攻击者一直在利用DNS隧道、ICMP隧道等进行数据渗透。基于他们取得的成功,很多其他攻击者也开始采用这种技术,让这种技术逐渐普遍。DNS通常也被允许出站连接到互联网,而不需要进行过滤,这让攻击者可以利用它来从受感染网络渗出数据。

DNS隧道通常用于已经受感染的计算机,它会编码恶意DNS域名中少量数据。受感染的计算机可以在恶意域名和/或使用攻击者控制的DNS服务器来执行DNS查询。当受感染计算机的DNS请求到达预期接收者的DNS服务器或设备,攻击者可以记录数据供以后使用和/或在DNS响应中发送少量数据回受感染计算机,DNS响应可能是由受感染计算机执行的命令。这种交换可以从网络渗出少量数据,并在网络上两台计算机之间建立间接通信。

抵御利用DNS隧道的攻击首先需要检测异常DNS流量,这可以通过监控DNS日志或直接使用工具监控网络来执行。初始DNS服务器还可以配置为记录DNS查询请求,并且,企业可以监控这些日志信息查询来自一个端点的大量DNS请求,或者需要被转发的大量DNS请求。这种相同的分析也可以通过监控网络流量来执行。

企业可以在内部部署DNS安全工具或者将这个工作外包给DNS提供商以对企业DNS流量执行分析,并可能阻止或拦截发送到恶意DNS服务器的DNS查询,这些供应商包括Neustar、OpenDNS和Percipient Networks等。


域名解析
域名解析,智能解析分析
151 声望
19 粉丝
0 条评论
推荐阅读
专家称DDoS攻击也许是全世界战争的新生态
早在1996年的9月份,美国纽约互联网提供商遭到了洪水般的流量攻击从而堵塞瘫痪。这是由于黑客控制发起了链接请求,每秒发送150次请求。这样大流量的访问远远超过当时计算机的处理能力,这也是互联网遭受到的第一...

a84945345阅读 1.7k

前端监控之性能与异常
现有的大部分监控方案都是针对服务端的,而针对前端的监控很少,诸如线上页面的白屏时间是多少、静态资源的加载情况如何、接口请求耗时好久、什么时候挂掉了、为什么挂掉,这些都不清楚。

京东云开发者阅读 367

封面图
Java Netty框架自建DNS代理服务器教程
DNS协议作为着互联网客户端-服务器通信模式得第一关,在当下每天都有成千上亿上网记录产生得当今社会,其重要性自然不可言喻。在国内比较有名得DNS服务器有电信得114.114.114.114、阿里云得223.5.5.5,DNSPod得11...

Java架构师阅读 347

应用响应时延背后 深藏的网络时延
应用异常时,基本可以分为服务访问不通和服务响应慢两个大类。其中服务响应慢的问题定位非常棘手,很多无头案。应用团队有日志和追踪,对于自认为的不可能不合理的事情都会甩给基础设施团队,又由于基础设施团队...

云杉网络阅读 304

封面图
DNS和CDN的区别与联系
现在互联网用户很多不能理解CDN和DNS之间的关系,他们之间到底有什么区别。对于这两者永远处于模糊的概念。其实二者是相辅相成的,二者搭配起来能使网站更加安全,快速。

WilliamCZH827阅读 259

封面图
如何将使用中的域名平滑迁移到京东云?(以原域名注册、域名解析都在万网为例)
首先要了解的是,1、域名注册 2、域名解析,是两个独立的产品。一般情况下,域名服务商(万网、新网等)会提供一站式服务,既提供“域名购买注册”,又提供“域名解析服务”。

京东云开发者阅读 251

封面图
vivo 短视频用户访问体验优化实践
我们平时在看抖音快手视频的时候,如果滑动到某个视频画面一直几s不动的时候,大概率就会划走了,所以在短视频项目中,画面卡顿是非常影响用户体验的,启播速度越快,就越能留住用户。

vivo互联网技术阅读 185

151 声望
19 粉丝
宣传栏