如何利用被动DNS(Passive DNS)加强网络安全

通过收集和分析被动DNS数据,可以帮助识别恶意站点,打击钓鱼和恶意软件,本文将介绍如何利用被动DNS(Passive DNS)加强网络安全。

在过去的一些年里,我们目睹了对DNS基础设施的攻击日益增多:对权威名称服务器的DDoS攻击,名称服务器在DDoS攻击中被用作放大器,被入侵的注册账户被用来修改委托信息,缓存中毒攻击,以及恶意软件滥用名称服务器。幸运的是,我们也看到了用于对抗这些威胁的强大新机制的同时发展,包括DNS安全扩展、响应策略区域和响应速率限制。也许增强DNS安全以及互联网安全最有前景的方法之一,还没有被充分利用。那就是被动DNS数据。

 

被动DNS(Passive DNS)简介

被动DNS是由Florian Weimer于2004年发明的,用于对抗恶意软件。基本上,递归名称服务器将它们从其他名称服务器接收到的响应记录下来,并将记录的数据复制到一个中央数据库。

那么记录的数据会是什么样子呢?好吧,回想一下递归名称服务器的运作方式。在被查询时,它们会检查它们的缓存和权威数据以获取答案,如果答案不存在,它们会从一个根名称服务器查询并遵循引荐,直到找到知道答案的权威名称服务器,然后查询其中一个权威名称服务器以检索答案。它看起来像这样:

递归名称服务器

大多数被动DNS数据是在递归名称服务器的“上方”立即捕获的,如下所示:

被动dns收集

这意味着被动DNS数据主要由互联网上的权威名称服务器的引荐和答案(当然还有错误)组成。这些数据被时间戳、去重和压缩,然后复制到一个中央数据库进行归档和分析。

请注意,捕获的是服务器之间的通信,而不是来自您的存根解析器到递归名称服务器的查询。(存根解析器位于图表中递归名称服务器的“下方”)这有两个重要原因。首先,服务器之间的对话要少得多,只有缓存未命中。其次,服务器之间的通信不容易与特定的存根解析器关联起来,因此并不构成隐私问题。

被动DNS数据的收集方式各不相同。一些递归名称服务器,包括Knot和Unbound,包含了使捕获被动DNS数据变得容易的软件挂钩。管理员可以使用一个名为dnstap的免费程序来从名称服务器中读取被动DNS数据。

运行其他名称服务器的人可能会在运行递归名称服务器的主机上使用不同的工具来监视向名称服务器的流量,或者他们可能会将名称服务器的端口镜像到另一个记录数据的主机上。

被动DNS的价值

各种组织都运行着被动DNS“传感器”上传数据的数据库。其中最受欢迎和最知名的之一是Farsight Security的被动DNS数据库DNSDB。DNSDB包含了全球各地传感器在几年内收集的数据。其他运行被动DNS数据库的组织包括现在由Google拥有的网站VirusTotal;德国咨询公司BFK;卢森堡计算机事件响应中心CIRCL;以及爱沙尼亚计算机应急响应团队CERT-EE。

对被动DNS数据库的查询可以产生丰富的有用信息。例如,您可以查询被动DNS数据库,以确定在2012年4月,对www.infoblox.com的A记录的DNS查询返回了什么,或者自那时起infoblox.com使用了哪些名称服务器,或者哪些其他区域使用了相同的名称服务器。也许更重要的是,您可以取得一个您知道是恶意的IP地址,并找到最近由被动DNS传感器映射到该IP地址的所有域名。

以下是被动DNS的许多用途之一:

被动DNS数据库允许几乎实时地检测缓存中毒和对委托的欺诈性更改。组织可以定期查询被动DNS数据库,以找出其关键域名当前映射到的地址,根据被动DNS传感器。从授权区域数据中的映射中的任何变化都可能表明受到了侵害。

Farsight Security定期从DNSDB中获取最新的域名。这些是在最后15分钟、一小时或其他时间间隔内首次被传感器看到的域名。事实证明,全新的域名与恶意活动之间存在很高的相关性。新域名通常会在钓鱼活动或类似活动中短暂使用,然后被简单地丢弃。而暂时阻止少数在最近15分钟内出现的合法域名的成本是很小的。Farsight可以向组织提供这些最新域名的信息,使管理员能够阻止它们的解析。

如果被动DNS数据库支持模糊或Soundex匹配,组织可以定期查询该数据库,以查找使用或听起来像其商标名称的域名,并识别潜在的侵权。

一旦IP地址或名称服务器被标记为恶意,使用被动DNS数据库轻松识别映射到该IP地址的其他域名,或由该名称服务器托管的其他区域,并可能也是恶意的。

通过随时间监控A记录和AAAA记录以及区域NS记录的变化,很容易识别使用快速转换等技术的域名,帮助钓鱼和恶意软件站点逃避检测。合法的域名(除了用于负载平衡和分发的域名)不会经常更改其地址,大多数合法区域很少更改其名称服务器。

通过响应策略区域(RPZ)封闭循环

响应策略区域(RPZ)提供了一种宝贵的机制,用于在被动DNS数据中识别到恶意域名时封闭循环。RPZ是DNS区域,其内容被解释为规则。这些规则通常会说:“如果有人尝试查找此域名的A记录,则返回一个错误,说明该域名不存在。”由于RPZ只是区域,它们可以在互联网上快速高效地传输,并且其中包含的策略可以迅速得到执行。分析被动DNS数据以识别恶意域名的组织可以构建阻止解析这些名称的规则,并将其分发给互联网上的订阅者。

如果您有兴趣从您的递归名称服务器贡献被动DNS数据,可以私信了解有关如何参与的信息,包括建立被动DNS传感器的逐步指南。您还可以根据对被动DNS数据分析的结果添加基于RPZ的订阅源,以帮助阻止您组织内恶意域名的解析。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 (都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/716655.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【嵌入式】CAN总线详解

【嵌入式】CAN总线详解 一、CAN总线简介 CAN总线是一种控制器局域网总线,每一个挂载在CAN局域网的设备,都可以利用CAN去发送信息,也可以接收局域网的各种信息,每个设备都是平等的,共享CAN的资源。广泛应用于汽车、嵌…

101.qt qml-自定义日历控件2-附带动画效果

黑色风格截图如下所示: 白色风格如下所示: GIF效果如下所示: 1.控件使用介绍 QianWindow2.5版本及以上提供,源码位于:qrc:/common/qmlQianDateTime/QianCalendarInputField.qml QianWindow2.5版本及以上提供,示例使用代码位于:qrc:/pages/QianControlPages/QianDateTimeP…

金鸣识别:图片转excel的“黑科技”神器

近期,我意外发现了一个令人惊艳的工具——金鸣表格文字识别系统。起初,我只是出于好奇尝试了一下,但使用体验远远超出了我的预期,让我深感其价值。 在日常生活和工作中,我们经常需要从各类图片中提取文字信息&#xf…

express+vue在线im实现【一】

在线体验地址 需要用邮箱注册一个账号 在线链接 目前实现的功能 1、在线聊天(群聊) 2、实时监控成员状态 3、历史聊天,下拉加载 4、有新消息,自动滚动到最新消息,如果自己在查看历史记录,不会强行滚动 后续计划新增功能 感兴…

Java健身私教服务师傅小程序APP源码(APP+小程序+公众号+H5)

私人定制的健身之旅 🏋️ 引言:探索私人健身新纪元 在现代都市的快节奏生活中,越来越多的人开始注重身体健康和健身塑形。然而,传统的健身房模式可能无法满足每个人的个性化需求。这时,一款名为“健身私教服务师傅”的…

Spring IoC【控制反转】DI【依赖注入】

文章目录 控制反转(IoC)依赖注入(DI)IoC原理及解耦IoC 容器的两种实现BeanFactoryApplicationContext IoC 是 Inversion of Control 的简写,译为“控制反转”,它不是一门技术,而是一种设计思想&…

centos7.9部署k8s的几种方式

文章目录 一、常见的k8s部署方式1、使用kubeadm工具部署2、基于二进制文件的部署方式3、云服务提供商的托管 Kubernetes 服务4、使用容器镜像部署或自动化部署工具 二、使用kubeadm工具部署1、硬件准备(虚拟主机)2、环境准备2.1、所有机器关闭防火墙2.2、…

Cisco Catalyst 9800 wireless Controller配置操作指引

一、控制器基本信息 外立面信息: 硬件规格如下: 序号 硬件规格满配能力1业务端口 4个1G/10G光口 2 冗余端口 1个GE电口或1G光口 3 最大管理AP数量 20004 最大接入客户端数量 320005 最大WLAN数量(SSID) 40966电源模块数量 2 7 最大吞吐量 40 …

云计算 | (四)基本云安全

文章目录 📚基本云安全🐇云安全背景🐇基本术语和概念⭐️风险(risk)⭐️安全需求🐇威胁作用者⭐️威胁作用者(threat agent)⭐️匿名攻击者(anonymous attacker)⭐️恶意服务作用者(malicious service agent)⭐️授信的攻击者(trusted attacker)⭐️恶意的内部人员(mal…

Neo4j Desktop界面认识以及数据库备份与还原

Neo4j Desktop界面认识以及数据库备份与还原 neo4j 版本信息:Neo4j Desktop Version 1.5.9;neo4j 5.12.0 系统信息:windows 11 Neo4j Desktop 界面 每个 Project 下可以有多个 DBMS,而每个 DBMS 中默认有 system 和 neo4j (def…

想要做好短视频?这5大关键点你知道吗?沈阳短视频剪辑培训

在新媒体运营中,短视频已成为抓住观众注意力的重要工具。制作成功的短视频需要细心规划和精确执行。今天小编就围绕做好短视频的五大关键点,为大家进行详细解析,帮助您提升视频的吸引力和效果。 做好短视频的5大关键点 01内容策划&#xff1…

新闻稿标题怎么写吸引人?建议收藏

一个好的标题,不仅能激发读者的好奇心,还能引导他们继续深入了解文章内容。本文伯乐网络传媒将为你揭秘新闻稿标题写作的十大技巧,让你轻松写出吸引人的标题。 1. 激发好奇心 a. 提出疑问:以问句的形式提出问题,让读者…

BetterZip 5软件安装包下载

BetterZip是一款功能强大的Mac解/压缩软件,可以满足用户对文件压缩、解压、加密和保护等方面的需求。以下是关于BetterZip软件的主要功能、特点和使用方法的详细介绍,以及对其用户友好度、稳定性和安全性的评价。 安 装 包 获 取 地 址: BetterZip 5-安…

PHP邮箱服务器搭建与配置教程?如何使用?

PHP邮箱服务器搭建的步骤?服务器搭建的注意事项? 在当今的数字化时代,电子邮件仍然是沟通和业务处理的重要工具之一。通过PHP搭建和配置一个邮箱服务器,您可以实现自主掌控邮件系统,确保数据的安全性和隐私性。AokSen…

英语学习笔记37——Making a bookcase

Making a bookcase 做书架 词汇 Vocabulary work v. 工作 ing形式:working 搭配:work on 工作 做……工作    work for 人 为……而工作 例句:我正在做我的家庭作业。    I am working on my homework.    我正在为Bobby工作。 …

使用 Cheerio 和 Node.js 进行网络搜刮 2024

Web scraping 是一种强大的技术,用于从网站提取数据,广泛应用于数据分析、市场研究和内容聚合。截至2024年,利用 Cheerio 和 Node.js 进行 web scraping 仍然是一种流行且高效的方法。本文将深入探讨使用 Cheerio 和 Node.js 进行 web scrapi…

机械师电脑文件丢失怎么办?6个恢复方法,希望能帮到您

机械师电脑作为高性能的计算机品牌,受到众多用户的青睐。然而,即便是品质卓越的电脑,也难免会遇到文件丢失的困扰。无论是由于误操作、系统故障还是硬盘损坏,文件丢失都可能给用户带来不小的麻烦。当您发现机械师电脑上的文件突然…

win10能用微信、QQ,不能打开网页

今天上班,打开电脑,突然遇到一个问题,发现QQ、微信可以登录,但是任何网页都打不开,尝试了重启电脑和路由器都不行,最终解决了电脑可以访问网页的问题,步骤如下: 1、打开电脑的网络设…

python之对接有道翻译API接口实现批量翻译

内容将会持续更新,有错误的地方欢迎指正,谢谢! python之对接有道翻译API接口实现批量翻译 TechX 坚持将创新的科技带给世界! 拥有更好的学习体验 —— 不断努力,不断进步,不断探索 TechX —— 心探索、心进取&…

使用 C# 进行面向对象编程:第 10 部分

封装和抽象之间的区别 对于 OOP 初学者来说,封装和抽象之间存在非常基本的区别。他们可能会对此感到困惑。但如果你详细了解这两个主题,就会发现它们之间存在巨大差异。 抽象意味着向用户隐藏不必要的数据。用户只需要所需的功能或根据其需求的输出。例…