本文講的是 為什么DNS監(jiān)測(cè)能夠讓你的網(wǎng)絡(luò)更加安全，眾所周知，當(dāng)今的惡意攻擊大多受利益驅(qū)動(dòng)，劫持合法網(wǎng)絡(luò)資源發(fā)動(dòng)攻擊。其中一個(gè)重要途徑，就是利用域名服務(wù)（DNS）將網(wǎng)絡(luò)用戶導(dǎo)引到惡意網(wǎng)站并將他們納入攻擊行動(dòng)的節(jié)點(diǎn)。

DNS對(duì)黑客的意義有三：

傳輸命令與控制指令

偷渡數(shù)據(jù)

重定向流量
但由于極少有公司會(huì)出于安全目的監(jiān)測(cè)DNS狀態(tài)，DNS如今已成為攻擊者理想的攻擊手段。

在DNS層實(shí)施安全防御，可以有效檢測(cè)和控制此類惡意軟件感染。在惡意連接建立之前將威脅扼殺在搖籃里是做好安全的第一要?jiǎng)?wù)。要做到這一點(diǎn)，就必須監(jiān)控網(wǎng)絡(luò)，跟蹤員工及其使用設(shè)備的網(wǎng)絡(luò)位置和接入方式。

惡意IP跟蹤，以及惡意基礎(chǔ)設(shè)施連接阻斷技術(shù)，可以挫敗攻擊者利用這一常見安全盲點(diǎn)的企圖。危險(xiǎn)連接阻斷得越多，我們需要應(yīng)對(duì)的內(nèi)部網(wǎng)絡(luò)威脅就越少。而且，即使網(wǎng)絡(luò)被成功突破，DNS監(jiān)測(cè)也可以幫助連接各個(gè)節(jié)點(diǎn)，確定攻擊所用基礎(chǔ)設(shè)施的類型和源頭，深化調(diào)查取證。

以Angler漏洞利用工具包為例，DNS監(jiān)測(cè)技術(shù)就在調(diào)查中提供了對(duì)所用IP基礎(chǔ)設(shè)施更好的可見性。Angler操作者以線性跳轉(zhuǎn)方式不停轉(zhuǎn)換IP地址，隱藏他們的威脅行為，防止外界對(duì)他們的不法撈錢行為進(jìn)行干預(yù)。但通過(guò)對(duì)與其關(guān)聯(lián)的域名行為進(jìn)行監(jiān)測(cè)分析，我們對(duì)他們所用的技術(shù)有了更深入的了解，也就知曉了如何阻止他們。

隨著攻擊者不斷創(chuàng)新攻擊技戰(zhàn)術(shù)，比如結(jié)合直連命令與控制來(lái)繞過(guò)域名解析等，防御者也在發(fā)展自己的新技術(shù)來(lái)更快地識(shí)別和響應(yīng)這些攻擊。

基于IP的預(yù)測(cè)性威脅情報(bào)便是防御新技術(shù)的一種。這種技術(shù)應(yīng)用算法分析流量模式，關(guān)注并檢測(cè)惡意活動(dòng)，而不是對(duì)內(nèi)容進(jìn)行掃描。這種基于數(shù)據(jù)科學(xué)的新技術(shù)與Pandora的音樂服務(wù)所用的技術(shù)如出一轍。但與使用當(dāng)前在聽的聲波模式來(lái)推斷你可能喜歡的其他音樂不同，這種新技術(shù)采用網(wǎng)絡(luò)流量模式來(lái)識(shí)別惡意攻擊。

有些域名一直保持很大的入站流量，其他域名可能在某幾個(gè)特定時(shí)段會(huì)出現(xiàn)流量高峰，又或者，還有其他完全不同的模式。但被用來(lái)實(shí)施攻擊的域名，一般情況下流量模式都是瞬發(fā)性的，流量出現(xiàn)時(shí)間更短，也更快。畢竟，作為見不得光的行為，還得保持低調(diào)隱蔽。若能發(fā)現(xiàn)并將這些狀態(tài)模式與其他數(shù)據(jù)進(jìn)行交叉對(duì)比，則有助于快速檢測(cè)出正在進(jìn)行中的攻擊行為并采取行動(dòng)予以遏制。

而預(yù)測(cè)攻擊的能力則又將此數(shù)據(jù)分析拉升到了更高的層級(jí)。從分析流量模式得出的線索開始，網(wǎng)絡(luò)罪犯在劫持基礎(chǔ)設(shè)施過(guò)程中所用到的每一步，都在攻擊預(yù)測(cè)中有用到。比如：托管主機(jī)提供商的選擇、服務(wù)器鏡像的部署等等。對(duì)托管基礎(chǔ)設(shè)施更深更全面的分析將使你擁有預(yù)測(cè)并防止突發(fā)威脅的能力。

因?yàn)榫W(wǎng)絡(luò)罪犯利用互聯(lián)網(wǎng)發(fā)動(dòng)攻擊，我們便需要對(duì)DNS基礎(chǔ)設(shè)施和IP網(wǎng)絡(luò)上正在發(fā)生的事?lián)碛懈逦囊曇啊＿@就要求安全團(tuán)隊(duì)和DNS專家采用合適的技術(shù)通力合作。無(wú)論如何，連接更多的節(jié)點(diǎn)并不斷修正威脅情報(bào)是能夠更快識(shí)別并阻止網(wǎng)絡(luò)攻擊的。

攻擊者總在持續(xù)地改進(jìn)攻擊方法，因此我們也需要不斷提高數(shù)據(jù)分析技術(shù)，以在攻擊發(fā)生之前將其鎖定。

原文發(fā)布時(shí)間為：二月 16, 2016
本文作者：nana
本文來(lái)自云棲社區(qū)合作伙伴安全牛，了解相關(guān)信息可以關(guān)注安全牛。
原文鏈接：http://www.aqniu.com/learn/13717.html

總結(jié)

以上是生活随笔為你收集整理的为什么DNS监测能够让你的网络更加安全的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。