如何利用被动DNS(Passive DNS)加强网络安全

news2024/11/25 0:54:55

通过收集和分析被动DNS数据,可以帮助识别恶意站点,打击钓鱼和恶意软件,本文将介绍如何利用被动DNS(Passive DNS)加强网络安全。

在过去的一些年里,我们目睹了对DNS基础设施的攻击日益增多:对权威名称服务器的DDoS攻击,名称服务器在DDoS攻击中被用作放大器,被入侵的注册账户被用来修改委托信息,缓存中毒攻击,以及恶意软件滥用名称服务器。幸运的是,我们也看到了用于对抗这些威胁的强大新机制的同时发展,包括DNS安全扩展、响应策略区域和响应速率限制。也许增强DNS安全以及互联网安全最有前景的方法之一,还没有被充分利用。那就是被动DNS数据。

 

被动DNS(Passive DNS)简介

被动DNS是由Florian Weimer于2004年发明的,用于对抗恶意软件。基本上,递归名称服务器将它们从其他名称服务器接收到的响应记录下来,并将记录的数据复制到一个中央数据库。

那么记录的数据会是什么样子呢?好吧,回想一下递归名称服务器的运作方式。在被查询时,它们会检查它们的缓存和权威数据以获取答案,如果答案不存在,它们会从一个根名称服务器查询并遵循引荐,直到找到知道答案的权威名称服务器,然后查询其中一个权威名称服务器以检索答案。它看起来像这样:

递归名称服务器

大多数被动DNS数据是在递归名称服务器的“上方”立即捕获的,如下所示:

被动dns收集

这意味着被动DNS数据主要由互联网上的权威名称服务器的引荐和答案(当然还有错误)组成。这些数据被时间戳、去重和压缩,然后复制到一个中央数据库进行归档和分析。

请注意,捕获的是服务器之间的通信,而不是来自您的存根解析器到递归名称服务器的查询。(存根解析器位于图表中递归名称服务器的“下方”)这有两个重要原因。首先,服务器之间的对话要少得多,只有缓存未命中。其次,服务器之间的通信不容易与特定的存根解析器关联起来,因此并不构成隐私问题。

被动DNS数据的收集方式各不相同。一些递归名称服务器,包括Knot和Unbound,包含了使捕获被动DNS数据变得容易的软件挂钩。管理员可以使用一个名为dnstap的免费程序来从名称服务器中读取被动DNS数据。

运行其他名称服务器的人可能会在运行递归名称服务器的主机上使用不同的工具来监视向名称服务器的流量,或者他们可能会将名称服务器的端口镜像到另一个记录数据的主机上。

被动DNS的价值

各种组织都运行着被动DNS“传感器”上传数据的数据库。其中最受欢迎和最知名的之一是Farsight Security的被动DNS数据库DNSDB。DNSDB包含了全球各地传感器在几年内收集的数据。其他运行被动DNS数据库的组织包括现在由Google拥有的网站VirusTotal;德国咨询公司BFK;卢森堡计算机事件响应中心CIRCL;以及爱沙尼亚计算机应急响应团队CERT-EE。

对被动DNS数据库的查询可以产生丰富的有用信息。例如,您可以查询被动DNS数据库,以确定在2012年4月,对www.infoblox.com的A记录的DNS查询返回了什么,或者自那时起infoblox.com使用了哪些名称服务器,或者哪些其他区域使用了相同的名称服务器。也许更重要的是,您可以取得一个您知道是恶意的IP地址,并找到最近由被动DNS传感器映射到该IP地址的所有域名。

以下是被动DNS的许多用途之一:

被动DNS数据库允许几乎实时地检测缓存中毒和对委托的欺诈性更改。组织可以定期查询被动DNS数据库,以找出其关键域名当前映射到的地址,根据被动DNS传感器。从授权区域数据中的映射中的任何变化都可能表明受到了侵害。

Farsight Security定期从DNSDB中获取最新的域名。这些是在最后15分钟、一小时或其他时间间隔内首次被传感器看到的域名。事实证明,全新的域名与恶意活动之间存在很高的相关性。新域名通常会在钓鱼活动或类似活动中短暂使用,然后被简单地丢弃。而暂时阻止少数在最近15分钟内出现的合法域名的成本是很小的。Farsight可以向组织提供这些最新域名的信息,使管理员能够阻止它们的解析。

如果被动DNS数据库支持模糊或Soundex匹配,组织可以定期查询该数据库,以查找使用或听起来像其商标名称的域名,并识别潜在的侵权。

一旦IP地址或名称服务器被标记为恶意,使用被动DNS数据库轻松识别映射到该IP地址的其他域名,或由该名称服务器托管的其他区域,并可能也是恶意的。

通过随时间监控A记录和AAAA记录以及区域NS记录的变化,很容易识别使用快速转换等技术的域名,帮助钓鱼和恶意软件站点逃避检测。合法的域名(除了用于负载平衡和分发的域名)不会经常更改其地址,大多数合法区域很少更改其名称服务器。

通过响应策略区域(RPZ)封闭循环

响应策略区域(RPZ)提供了一种宝贵的机制,用于在被动DNS数据中识别到恶意域名时封闭循环。RPZ是DNS区域,其内容被解释为规则。这些规则通常会说:“如果有人尝试查找此域名的A记录,则返回一个错误,说明该域名不存在。”由于RPZ只是区域,它们可以在互联网上快速高效地传输,并且其中包含的策略可以迅速得到执行。分析被动DNS数据以识别恶意域名的组织可以构建阻止解析这些名称的规则,并将其分发给互联网上的订阅者。

如果您有兴趣从您的递归名称服务器贡献被动DNS数据,可以私信了解有关如何参与的信息,包括建立被动DNS传感器的逐步指南。您还可以根据对被动DNS数据分析的结果添加基于RPZ的订阅源,以帮助阻止您组织内恶意域名的解析。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

 (都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1833126.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【S32K 进阶之旅】 将 EB 配置生成的 MCAL 代码集成到 S32DS 中

本文介绍如何使用 S32DS 进行 AUTOSAR MCAL 工程的编译和调试,重点在于将 EB 配置生成的 MCAL 代码集成到 S32DS 中。 虽然配置过程较为繁琐,实操过一遍就会熟悉整个工程的框架。以后每次在 EB 中更新配置,生成代码的文件夹已经集成在 S32DS…

Selenium+Pytest自动化测试框架能碰撞出什么样的火花

前言 selenium自动化 pytest测试框架 本章你需要 一定的python基础——至少明白类与对象,封装继承 一定的selenium基础——本篇不讲selenium,不会的可以自己去看selenium中文翻译网 一、测试框架简介 测试框架有什么优点呢: 代码复用率高…

从多线程设计模式到对 CompletableFuture 的应用

大家好,我是 方圆。最近在开发 延保服务 频道页时,为了提高查询效率,使用到了多线程技术。为了对多线程方案设计有更加充分的了解,在业余时间读完了《图解 Java 多线程设计模式》这本书,觉得收获良多。本篇文章将介绍其…

《C++ Primer》导学系列:第 4 章 - 表达式

4.1 基础 4.1.1 基本概念 组合运算符和运算对象 组合运算符是指将两个或多个操作数结合在一起进行运算的符号。在C中&#xff0c;常见的组合运算符包括算术运算符&#xff08;如, -, *, /, %&#xff09;、关系运算符&#xff08;如<, >, <, >, , !&#xff09;…

docker-compose jira、bugzilla、zentao

参见文章&#xff0c;这里是对之前的内容进行了改动&#xff0c;主要讲怎么将zentao容器融入到已有的docker-compose.yml中 一、zentao镜像 从官网上拉取&#xff1a;https://hub.docker.com/r/easysoft/zentao/tags 可以选择自己想要的版本&#xff0c;这里我选择的是开源版…

工厂物料管理系统(数据库课设)

1.课设要求描述 ●实现物料的分类管理; ●实现部门和员工信息管理; ●实现物料的入库和领用管理; ●实现物料的转仓管理; ●创建触发器&#xff0c;实现物料入库和领用时相应物料库存的自动更新; ●创建触发器&#xff0c;实现转仓时转入仓库物料增加、转出仓库物料减少…

线性卷积(相关)和圆周卷积(相关)以及FFT之间的关系(AEC举例)

时域自适应滤波算法中的线性卷积和线性相关运算量较大&#xff0c;导致计算复杂度升高&#xff0c;我们更愿意把这两个信号变换到频域&#xff0c;通过频域相乘的方式来取代时域复杂度相当高的卷积或相关运算。 预备知识&#xff1a;线性卷积&#xff08;相关&#xff09;和圆…

单一管理平台 - Enterprise Global Console

大约三年前&#xff0c;当我们向客户和社区推出控制台时&#xff0c;MinIO 的世界发生了变化。这是可访问性的巨大飞跃。可靠的 CLI 和 MC 命令很快让位于我们新的基于浏览器的 GUI 的速度和直观可用性。对于开发人员和企业 IT 管理员来说&#xff0c;这是一个游戏规则的改变者…

单片机建立自己的库文件(4)

文章目录 前言一、新建自己的外设文件夹1.新建外设文件夹&#xff0c;做项目好项目文件管理2.将之前写的.c .h 文件添加到文件夹中 二、在软件中添加项目 .c文件2.1 编译工程保证没问题2. 修改项目列表下的名称 三、在软件项目中添加 .h文件路径四、实际使用测试总结 前言 提示…

使用 C# 进行面向对象编程:第 10 部分

封装和抽象之间的区别 对于 OOP 初学者来说&#xff0c;封装和抽象之间存在非常基本的区别。他们可能会对此感到困惑。但如果你详细了解这两个主题&#xff0c;就会发现它们之间存在巨大差异。 抽象意味着向用户隐藏不必要的数据。用户只需要所需的功能或根据其需求的输出。例…

遵循法规,科学检测:可燃气体报警器多久检测一次?

在工业生产和日常生活中&#xff0c;可燃气体报警器作为一种重要的安全设备&#xff0c;能够实时监测并预警潜在的可燃气体泄漏风险&#xff0c;对于防范火灾和爆炸事故至关重要。 在这篇文章中&#xff0c;佰德将围绕可燃气体报警器的检测频率展开探讨&#xff0c;包括其功能…

基于WPF技术的换热站智能监控系统15--实时读取PLC数据

1、创建PLC实时数据 1、添加数据块 2、创建6个变量 用来表示水泵1和水泵2的参数&#xff0c;可以根据现场实际情况添加更多的变量参数 3、设置块属性并编译 4、下载该程序到PLC中 5、添加监控表 2、读取设备数据 S7协议下的tcp直接通讯&#xff0c;配置简单&#xff0c;一般P…

大模型泡沫退去,谁能活到下半场?

前言 从今年3月开始&#xff0c;国内企业纷纷下场大模型&#xff0c;铆足劲秀肌肉&#xff0c;如今转向垂直行业淘金&#xff0c;试图争霸行业大模型。我们的心态也逐渐从看乐子&#xff0c;到严肃讨论。 在人工智能的世界&#xff0c;我们经历了众多的概念游戏&#xff0c;在…

泛微开发修炼之旅--18泛微OA节点后操作代码自动退回流程的代码示例

文章链接&#xff1a;17泛微OA节点后操作代码自动退回流程的代码示例

短视频压缩与编码技术在短剧APP小程序开发中的应用

在短剧APP小程序开发中&#xff0c;短视频压缩与编码技术是实现高效视频处理的关键。本文将对这两项技术在短剧APP中的应用进行深入分析。 一、短视频压缩技术的重要性 节省存储空间&#xff1a;通过压缩技术&#xff0c;可以减小视频文件的大小&#xff0c;从而节省服务器和用…

【普中】基于51单片机的电子秒表数码管显示( proteus仿真+程序+设计报告+讲解视频)

这里写目录标题 设计资料内容清单&&下载链接资料下载链接&#xff1a;讲解视频&#xff1a;1.主要功能&#xff1a;2.仿真3. 程序代码4. 设计报告 【普中】基于51单片机的电子秒表数码管显示 ( proteus仿真程序设计报告讲解视频&#xff09; 仿真图proteus8.16(有低版…

8.12 矢量图层面要素单一符号使用一(简单填充)

文章目录 前言简单填充&#xff08;Simple fill&#xff09;QGis设置面符号为简单填充&#xff08;Simple fill&#xff09;二次开发代码实现简单填充&#xff08;Simple fill&#xff09; 总结 前言 本章介绍矢量图层线要素单一符号中简单填充&#xff08;Simple fill&#x…

玩转nRF52840-DK开发套件(1)

Nordic Semiconductor nRF52840开发套件 (nRF52840-DK) 是一款采用nRF52840多协议SoC&#xff08;片上系统&#xff09;的多功能单板开发工具&#xff0c;适用于蓝牙5.2/蓝牙低功耗、802.15.4 / Thread、ANT/ANT以及2.4GHz专有应用。nRF52840-DK与 Arduino Uno Revision 3 标准…

【html】用html5+css3+JavaScript制作一个计数器

目录 简介&#xff1a; 效果图&#xff1a; 源码&#xff1a; html: CSS: JS: 源码解析&#xff1a; 简介&#xff1a; 在日常生活当中很多事情都需要用到计数器特别是在体育运动当中&#xff0c;可以我们那么我们可不可以通过网页来制作一个计数器呢答案是肯定的我们需要利…

猫头虎推荐20个值得体验的通用大模型

猫头虎推荐20个值得体验的通用大模型 &#x1f680; 大家好&#xff0c;我是猫头虎&#xff0c;一名专注于科技领域的自媒体博主。今天是周一&#xff0c;新的开始&#xff0c;我们来深入探讨一下当前最值得体验的通用大模型。这些AI模型不仅功能强大&#xff0c;而且在各自领…