Monitorando O Tráfego DNS Contra Ameaças

Aqui estão vários métodos para monitorar o tráfego DNS para ameaças de segurança.

Firewalls

Vamos começar pelo sistema de segurança mais prevalente: o seu firewall. Todos os firewalls devem permitem que você defina regras para evitar spoofing IP. Incluir uma regra para negar consultas DNS de endereços IP fora do seu espaço de números atribuídos para evitar que seu nome resolvedor de ser explorado como um refletor aberto em ataques DDoS.

Em seguida, permitir a inspeção do tráfego DNS para padrões de bytes suspeitos ou tráfego DNS anômalo para bloquear software servidor de nomes explorar ataques.

Documentação descrevendo como firewalls populares fornecer esse recurso está prontamente disponível por exemplo, Palo Alto Networks, Cisco Systems, WatchGuard. Sonicwall e Palo Alto pode detectar e bloquear certos DNS tráfego de túnel, também.

Sistemas de detecção de intrusão

Se você usa Snort, Suricata, ou OSSEC, você pode compor regras para relatar pedidos DNS de clientes não autorizados. Você também pode compor regras para contar ou relatório NXDOMAIN respostas, respostas contendo registros de recursos com TTLs curtos, consultas DNS feitas usando TCP, as consultas ao DNS para os portos não padronizados, suspeitosamente grandes respostas DNS, etc. Qualquer valor em qualquer campo da consulta DNS ou resposta mensagem é basicamente “em jogo”. Você está essencialmente limitado apenas pela sua imaginação e domínio de DNS. Serviços de prevenção de intrusão em firewalls fornecem permitir ou negar regras para muitos dos mais comuns destes controlos.

Analisadores de tráfego

Os casos de uso para ambos Wireshark e Bro mostram que a análise de tráfego passivo pode ser útil na identificação de tráfego de malware. Capturar e filtrar o tráfego DNS entre seus clientes e seu resolver, e salvar em um arquivo PCAP.

Criar scripts para procurar a PCAP para as atividades suspeitas específicas que estão a investigar ou use PacketQ originalmente DNS2DB a consulta SQL do arquivo PCAP diretamente.

Lembre-se de bloquear seus clientes de utilizar qualquer resolvedor ou porta fora do padrão diferente de seus resolvedores locais.

Replicação DNS passiva

Isso envolve o uso de sensores em resolvedores para criar um banco de dados que contém todas as transações DNS consulta ou resposta através de uma dada resolvedor ou conjunto de resolvedores. Incluindo dados de DNS passivos em sua análise pode ser fundamental na identificação de domínios de malware, especialmente nos casos em que o malwares usa nomes de domínio gerados por algoritmos DGAS. Palo Alto Networks, firewalls e sistemas de gestão de segurança que usam Suricata como motor IDS como AlienVault USM ou OSSIM são exemplos de sistemas de segurança que par DNS passiva com IPS para bloquear domínios maliciosos conhecidos.

Registrando o seu resolvedor

Os logs de seus resolvedores locais são uma fonte de dados última e talvez mais óbvia para investigar o tráfego DNS. Com o log habilitado, você pode usar ferramentas como Splunk mais getwatchlist ou OSSEC para coletar logs do servidor DNS e explorar para domínios maliciosos conhecidos.

Replicação DNS passiva

Isso envolve o uso de sensores em resolvedores para criar um banco de dados que contém todas as transações DNS (consulta / resposta) através de uma dada resolvedor ou conjunto de resolvedores. Incluindo dados de DNS passivos em sua análise pode ser fundamental na identificação de domínios de malware, especialmente nos casos em que o malwares usa nomes de domínio gerados por algoritmos (DGAS). Palo Alto Networks, firewalls e sistemas de gestão de segurança que usam Suricata como motor IDS (como AlienVault USM ou OSSIM) são exemplos de sistemas de segurança que par DNS passiva com IPS para bloquear domínios maliciosos conhecidos.

Registrando o seu resolvedor

Os logs de seus resolvedores locais são uma fonte de dados última e talvez mais óbvia para investigar o tráfego DNS. Com o log habilitado, você pode usar ferramentas como Splunk mais getwatchlist ou OSSEC para coletar logs do servidor DNS e explorar para domínios maliciosos conhecidos.

0 Comments

There are no comments yet

Leave a comment