【网络安全】Suspicious DNS Query(可疑的DNS查询)

news2024/11/18 10:53:34

文章目录

    • 名词解释
    • 可能原因分析
    • Action sinkhole
    • 在防火墙里面查询Suspicious DNS Query
    • 预防Suspicious DNS查询带来的风险
    • 推荐阅读

名词解释

“Suspicious DNS Query(可疑的DNS查询)”通常指的是在网络中检测到的可能具有风险或异常行为的DNS(Domain Name System,域名系统)查询。

DNS查询是计算机在访问互联网上的网站或服务时进行的操作,它将域名转换为相应的IP地址。当网络安全系统或工具检测到某些DNS查询模式或行为异常时,会标记为“Suspicious DNS Query”。
筛选指令:name-of-threatid eq 'Suspicious DNS Query (generic:zxapp.ztems.com)'
在这里插入图片描述

可能原因分析

当 DNS 查询被认为是可疑时,这可能是由于以下原因之一:

  • 异常流量
    如果某个客户端源发起大量超出正常范围的不寻常的 DNS 查询,特别是短时间内对一个或者多个不同域名进行查询,这可能表明正在进行某种形式的扫描、攻击或恶意软件活动。
  • 恶意域名
    如果查询的目标域名与已知的恶意网站、僵尸网络命令和控制服务器或其他恶意在线资源有关联,则这些查询也会被标记为Suspicious DNS。
  • 未知的 TLD 或 SLD
    对于非常罕见的顶级域(TLD)或二级域(SLD),尤其是刚刚才创建或尚未广泛使用的,其查询行为可能会被识别为suspicious DNS。
  • 非标准端口使用
    正常情况下,DNS 查询通常在 UDP 端口 53 或 TCP 端口 53 上进行。如果查询通过其他端口发送,比如WEB常用的80或者443端口,这可能是攻击者尝试规避安全策略的一种方法。
  • DNS tunneling
    通过这种技术伪装成DNS 查询来传输其他类型的数据,例如为了绕过防火墙或代理服务器。
  • 数据泄露或信息收集
    有些查询可能是试图找出组织内部网络的结构,或者搜集关于用户浏览习惯的信息。例如通过不断的查询,可能找出企业内部在用的DNS域名和对应的WEB,从而了解内部结果或者根据域名了解WEB系统用途。

Action sinkhole

“Sinkhole”(汇集点)在网络安全领域是指一个特定的安全措施,用于拦截和隔离恶意网络流量或攻击。它可以是一个虚拟的网络设备、服务器或网络节点,旨在吸引、捕获或限制恶意流量。
在这里插入图片描述

在网络安全领域中,Sinkhole代表两种意义

  1. 恶意流量重定向
    当检测到恶意活动时,网络管理员可以将这些流量重定向到 Sinkhole,从而阻止其进一步影响网络中的其他设备。Sinkhole 会“吸引”恶意流量,使其无法达到其真实的目标,并对其进行分析或隔离。

  2. 数据收集和分析
    Sinkhole 可以用于收集有关恶意攻击、恶意软件或网络攻击的数据。这些数据可以帮助安全团队分析攻击方式、识别新的威胁模式,并制定相应的对策。

在防火墙里面查询Suspicious DNS Query

以paloalto 防火墙举例,查询suspicious DNS query,可以在自定义报告中通过以下条件查询:

(threatid geq 619000000) and (threatid leq 619999999)

在paloalto的防火墙中,suspicious DNS query的threatid为619xxxxxx。我们配置的筛选条件是大于619000000,但是小于619999999。
在这里插入图片描述
我们查询了最近七天的threat log,发现有9笔suspicious dns query记录。其中最多的一个suspicious DNS 统计请求有79次。网络安全工程师可以根据查询结果做相应的处理。
在这里插入图片描述

预防Suspicious DNS查询带来的风险

预防可疑 DNS 查询的建议做法可以参考以下几点:

  1. 限制对内外部 DNS 服务器的访问
    尽可能使用内部 DNS 服务器,并限制对互联网上未知或不信任的 DNS 服务器的访问。而对内部DNS服务器,则只允许经过授权的设备访问。

  2. 启用 DNSSEC
    DNS 安全扩展(DNSSEC)是一种可以验证 DNS 响应真实性的技术。启用 DNSSEC 可以防止伪造的 DNS 响应。通过使用数字签名验证 DNS 数据的完整性,DNSSEC 可以提高 DNS 查询的安全性。

  3. 使用专用 DNS 解析服务
    考虑使用专门的安全 DNS 解析服务,如 Quad9、OpenDNS 或 Google Public DNS 等,例如提供恶意网站拦截功能的服务,可信的DNS解析服务通常会提供额外的安全层,比如阻止访问已知的恶意网站。

  4. 使用防火墙和安全软件
    安装并配置防火墙和安全软件来检测和阻止恶意流量,包括可疑的 DNS 查询。

  5. 实施域名过滤和黑名单
    建立域名黑名单,阻止访问已知恶意或可疑的域名。可以在安全设备或者软件中实现,也可以在内网DNS服务器配置黑名单地址不转发解析请求。

  6. 配置DNS缓存
    配置 DNS 缓存以限制非必要的 DNS 查询。通过设置较长的 TTL(生存时间),减少对外部 DNS 服务器的频繁查询,从而降低风险。

  7. 监控DNS流量
    监控 DNS 查询和流量模式,特别是关注异常或不寻常的查询。DNS查询请求通过日志记录,通过专用工具分析。

  8. 提高员工安全意识
    提高员工的安全意识,让他们了解如何识别潜在的钓鱼邮件和其他社会工程攻击,这些攻击可能导致可疑的 DNS 查询。

通过实施这些预防建议,可以帮助降低遭受可疑 DNS 查询的风险,并提高整体网络安全水平。然而,没有一种方法可以完全消除风险,所有的做法都只是降低风险到可以接受的程度或者达到管理者预期。

推荐阅读

  • 【网络安全】网络设备可能面临哪些攻击?
  • 【网络安全】零日漏洞(0day)是什么?如何防范零日攻击?
  • 安全知识普及:了解端点检测与响应 (EDR)对企业的重要性
  • DNS如何在Windows NIC配置多个DNS服务器时完成DNS解析查询

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1309140.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

在国内,现在月薪1万是什么水平?

看到网友发帖问:现在月薪1W是什么水平? 在现如今的情况下,似乎月薪过万这个标准已经成为衡量个人能力的一个标准了,尤其是现在互联网横行的时代,好像年入百万,年入千万就应该是属于大众的平均水平。 我不是…

电子秤ADC芯片CS1237技术资料问题合集

问题11:实际应用中,多个称重传感器应该怎么与ADC连接? 解答:如果传感器是测量同一物体(例如:厨房垃圾处理器),一般建议使用并联的方式。则相同类型的信号线连接在一起。对于传感器的…

stateflow 之图函数、simulink函数和matlab函数使用及案例分析

目录 前言 1. 图函数graph function 2.simulink function 3.matlab function 4.调用stateflow中的几种函数方式 前言 对于stateflow实际上可以做simulink和matlab的所有任务,可以有matlab的m语言,也可以有simulink的模块,关于几种函数在…

python自动化测试实战 —— CSDN的Web页面自动化测试

软件测试专栏 感兴趣可看:软件测试专栏 自动化测试学习部分源码 python自动化测试相关知识: 【如何学习Python自动化测试】—— 自动化测试环境搭建 【如何学习python自动化测试】—— 浏览器驱动的安装 以及 如何更…

《算法竞赛入门到进阶》——图论

10.1 图的基本概念(P214) 10.2 图的存储(P215) 10.3 图的遍历和连通性(P217) bfs 和 dfs 。 10.4 拓扑排序(P219) 一个图能进行拓扑排序的充要条件是它是一个有向无环图。 算法…

大数据----31.hbase安装启动

二.Hbase安装 先前安装: Zookeeper 正常部署 首先保证 Zookeeper 集群的正常部署,并启动之。 三台机器都执行:zkServer.sh startHadoop 正常部署 Hadoop 集群的正常部署并启动。 主节点上进行 :start-all.sh 1.HBase 的获取 一定…

AUTOSAR_SWS_LogAndTrace文档中文翻译

1 Introduction and functional overview 本规范规定了AUTOSAR自适应平台日志和跟踪的功能。 日志和跟踪为AA提供接口,以便将日志信息转发到通信总线、控制台或文件系统。 提供的每个日志记录信息都有自己的严重性级别。对于每个严重级别,都提供了一个单…

风速预测(三)EMD-LSTM-Attention模型

目录 1 风速数据EMD分解与可视化 1.1 导入数据 1.2 EMD分解 2 数据集制作与预处理 2.1 先划分数据集,按照8:2划分训练集和测试集 2.2 设置滑动窗口大小为7,制作数据集 3 基于Pytorch的EMD-LSTM-Attention模型预测 3.1 数据加载&#…

【数据结构】什么是堆?

🦄个人主页:修修修也 🎏所属专栏:数据结构 ⚙️操作环境:Visual Studio 2022 堆的概念及结构 堆的定义如下: n个元素的序列{k1,k2,...,kn}当且仅当满足以下关系时,称之为堆. 或 把这个序列对应的一维数组(即以一维数组作此序列的存储结构)看成是一个…

贪心算法:K次取反后最大化的数组和 加油站 分发糖果

1005.K次取反后最大化的数组和 思路: 如果数组中有负数的话,优先把较小那些的负数取反变成整数;如果没有负数了,而k的次数还有剩,只对最小的正数反复做取反,即使这个数最后变成了负数,也是能取…

HarmonyOS使用Web组件

Web组件的使用 1 概述 相信大家都遇到过这样的场景,有时候我们点击应用的页面,会跳转到一个类似浏览器加载的页面,加载完成后,才显示这个页面的具体内容,这个加载和显示网页的过程通常都是浏览器的任务。 ArkUI为我…

ARCGIS 中使用 ChatGPT 的 5 种方式

ChatGPT 一度成为最热门的话题。什么是 ChatGPT?谁能比 ChatGPT 本身更好地回答这个问题呢?我们要求它写一个关于 ChatGPT 是什么的简短描述,这是它的回应: ChatGPT 是一个聊天机器人,使用 OpenAI 开发的 GPT-3 语言模…

完全平方数 C语言xdoj49

问题描述 若一个整数n能表示成某个整数m的平方的形式&#xff0c;则称这个数为完全平方数。写一个程序判断输入的整数是不是完全平方数。 输入说明 输入数据为一个整数n&#xff0c;0<n<10000000。 输出说明 如果n是完全平方数&#xff0c;则输出构成这个完全…

扩展操作码指令格式

指令 操作码地址码 \quad \quad 判断几地址指令 开头4位不是全1, 则表示是三地址指令 开头4位全1, 后面4位不是全1, 则为二地址指令 前面12全1, 则为零地址指令 当然啦这只是一种扩展方法, 如果想扩展更多, 可以将1110留作扩展操作码 较短的操作码, 我们对它的译码和分析的时间…

@ApiImplicitParam注解使用说明

ApiImplicitParam注解使用说明 ApiImplicitParam是Swagger注解之一&#xff0c;用于描述接口中的参数信息。它可以用于方法上的单个参数或者方法上的参数列表。具体来说&#xff0c;它可以描述参数的名称、数据类型、是否必填、参数的具体意义等信息。 下面是一个使用ApiImpl…

让艺术触手可及!实时云渲染赋能真浪数字艺术馆首展

2023年5月18日&#xff0c;由真浪数字艺术和EZVR联合打造的真浪数字艺术馆首展–「破界交织」让艺术更自由&#xff0c;正式与大家相见。此次展览分为五个主题展馆&#xff0c;汇聚了来自全球各领域的19位青年数字艺术家一同探讨虚实共生、人机共生和万物共生的艺术创作。 真浪…

发布 Whatsonchain 上的 BSV20 插件

我们发布了 whatsonchain 上的 BSV20 插件来验证 BSV20 代币。 对于任何交易&#xff0c;whatsonchain 都可以通过以下网址打开&#xff1a; https://whatsonchain.com/tx/{hash}我们使用此 bsv20 v21 交易 打开 Whatsonchain 。 打开whatsonchain后你会看到BSV20插件&#x…

VLAN协议与单臂路由

文章目录 VLAN协议与单臂路由一、VLAN的概念及优势1、分割广播域2、VLAN的优势3、VLAN数据帧 二、VLAN的种类1、静态VLAN2、动态VLAN3、VLAN划分方式 三、静态VLAN的配置1、VLAN的范围2、静态VLAN的配置2.1 配置静态VLAN的步骤2.2 vlan三种端口类型举例&#xff1a;配置静态VLA…

Vue学习计划-Vue2--VueCLi(一)准备工作,安装node、vuecli

1. 安装node 网址&#xff1a;https://nodejs.org/en下载LTS版本表示长期支持版本说明&#xff1a; node是一个基于Chrome V8引擎的javascript运行环境,让JavaScript 运行在服务端的开发平台vuecli创建的项目必须运行在node环境中&#xff0c;npm为node自带包管理工具&#xf…

java 执行linux 命令

文章目录 前言一、linux命令执行二、使用步骤三、踩坑 前言 java 执行linux 命令&#xff1b; 本文模拟复制linux文件到指定文件夹后打zip包后返回zip名称&#xff0c;提供给下载接口下载zip&#xff1b; 一、linux命令执行 linux命令执行Process process Runtime.getRunti…