如何利用被动DNS(Passive DNS)加强网络安全

被动DNS(Passive DNS)简介

被动DNS是由Florian Weimer于2004年发明的,用于对抗恶意软件。基本上,递归名称服务器将它们从其他名称服务器接收到的响应记录下来,并将记录的数据复制到一个中央数据库。

那么记录的数据会是什么样子呢?好吧,回想一下递归名称服务器的运作方式。在被查询时,它们会检查它们的缓存和权威数据以获取答案,如果答案不存在,它们会从一个根名称服务器查询并遵循引荐,直到找到知道答案的权威名称服务器,然后查询其中一个权威名称服务器以检索答案。它看起来像这样:

递归名称服务器

大多数被动DNS数据是在递归名称服务器的"上方"立即捕获的,如下所示:

被动dns收集

这意味着被动DNS数据主要由互联网上的权威名称服务器的引荐和答案(当然还有错误)组成。这些数据被时间戳、去重和压缩,然后复制到一个中央数据库进行归档和分析。

请注意,捕获的是服务器之间的通信,而不是来自您的存根解析器到递归名称服务器的查询。(存根解析器位于图表中递归名称服务器的"下方")这有两个重要原因。首先,服务器之间的对话要少得多,只有缓存未命中。其次,服务器之间的通信不容易与特定的存根解析器关联起来,因此并不构成隐私问题。

被动DNS数据的收集方式各不相同。一些递归名称服务器,包括Knot和Unbound,包含了使捕获被动DNS数据变得容易的软件挂钩。管理员可以使用一个名为dnstap的免费程序来从名称服务器中读取被动DNS数据。

运行其他名称服务器的人可能会在运行递归名称服务器的主机上使用不同的工具来监视向名称服务器的流量,或者他们可能会将名称服务器的端口镜像到另一个记录数据的主机上。

被动DNS的价值

各种组织都运行着被动DNS"传感器"上传数据的数据库。其中最受欢迎和最知名的之一是Farsight Security的被动DNS数据库DNSDB。DNSDB包含了全球各地传感器在几年内收集的数据。其他运行被动DNS数据库的组织包括现在由Google拥有的网站VirusTotal;德国咨询公司BFK;卢森堡计算机事件响应中心CIRCL;以及爱沙尼亚计算机应急响应团队CERT-EE。

对被动DNS数据库的查询可以产生丰富的有用信息。例如,您可以查询被动DNS数据库,以确定在2012年4月,对www.infoblox.com的A记录的DNS查询返回了什么,或者自那时起infoblox.com使用了哪些名称服务器,或者哪些其他区域使用了相同的名称服务器。也许更重要的是,您可以取得一个您知道是恶意的IP地址,并找到最近由被动DNS传感器映射到该IP地址的所有域名。

以下是被动DNS的许多用途之一:

被动DNS数据库允许几乎实时地检测缓存中毒和对委托的欺诈性更改。组织可以定期查询被动DNS数据库,以找出其关键域名当前映射到的地址,根据被动DNS传感器。从授权区域数据中的映射中的任何变化都可能表明受到了侵害。

Farsight Security定期从DNSDB中获取最新的域名。这些是在最后15分钟、一小时或其他时间间隔内首次被传感器看到的域名。事实证明,全新的域名与恶意活动之间存在很高的相关性。新域名通常会在钓鱼活动或类似活动中短暂使用,然后被简单地丢弃。而暂时阻止少数在最近15分钟内出现的合法域名的成本是很小的。Farsight可以向组织提供这些最新域名的信息,使管理员能够阻止它们的解析。

如果被动DNS数据库支持模糊或Soundex匹配,组织可以定期查询该数据库,以查找使用或听起来像其商标名称的域名,并识别潜在的侵权。

一旦IP地址或名称服务器被标记为恶意,使用被动DNS数据库轻松识别映射到该IP地址的其他域名,或由该名称服务器托管的其他区域,并可能也是恶意的。

通过随时间监控A记录和AAAA记录以及区域NS记录的变化,很容易识别使用快速转换等技术的域名,帮助钓鱼和恶意软件站点逃避检测。合法的域名(除了用于负载平衡和分发的域名)不会经常更改其地址,大多数合法区域很少更改其名称服务器。

通过响应策略区域(RPZ)封闭循环

响应策略区域(RPZ)提供了一种宝贵的机制,用于在被动DNS数据中识别到恶意域名时封闭循环。RPZ是DNS区域,其内容被解释为规则。这些规则通常会说:"如果有人尝试查找此域名的A记录,则返回一个错误,说明该域名不存在。"由于RPZ只是区域,它们可以在互联网上快速高效地传输,并且其中包含的策略可以迅速得到执行。分析被动DNS数据以识别恶意域名的组织可以构建阻止解析这些名称的规则,并将其分发给互联网上的订阅者。

如果您有兴趣从您的递归名称服务器贡献被动DNS数据,可以私信了解有关如何参与的信息,包括建立被动DNS传感器的逐步指南。您还可以根据对被动DNS数据分析的结果添加基于RPZ的订阅源,以帮助阻止您组织内恶意域名的解析。

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图 。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

因篇幅有限,仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限,仅展示部分资料

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包 》,扫码获取~

相关推荐
Ai 编码助手1 小时前
MySQL中distinct与group by之间的性能进行比较
数据库·mysql
陈燚_重生之又为程序员1 小时前
基于梧桐数据库的实时数据分析解决方案
数据库·数据挖掘·数据分析
caridle1 小时前
教程:使用 InterBase Express 访问数据库(五):TIBTransaction
java·数据库·express
白云如幻1 小时前
MySQL排序查询
数据库·mysql
萧鼎1 小时前
Python并发编程库:Asyncio的异步编程实战
开发语言·数据库·python·异步
^velpro^1 小时前
数据库连接池的创建
java·开发语言·数据库
荒川之神1 小时前
ORACLE _11G_R2_ASM 常用命令
数据库·oracle
IT培训中心-竺老师2 小时前
Oracle 23AI创建示例库
数据库·oracle
小松学前端2 小时前
第六章 7.0 LinkList
java·开发语言·网络
城南vision2 小时前
计算机网络——TCP篇
网络·tcp/ip·计算机网络