有報(bào)道稱監(jiān)控域名系統(tǒng)(DNS)數(shù)據(jù)可以確定網(wǎng)絡(luò)是否被攻擊。這是真的嗎?那么您建議企業(yè)使用哪些工具進(jìn)行DNS監(jiān)控呢?

Brad Casey：其實(shí)，監(jiān)控DNS數(shù)據(jù)就是判定你的網(wǎng)絡(luò)是否被攻擊的最好的方法。由于DNS是機(jī)器與C2節(jié)點(diǎn)相互通信的主要方式，所以DNS數(shù)據(jù)變得越來(lái)越重要。因此，一個(gè)可疑的DNS流量就有可能是你的網(wǎng)絡(luò)設(shè)備成為僵尸網(wǎng)絡(luò)目標(biāo)的警示。雖然目前有很多DNS監(jiān)控方法，但我認(rèn)為最好的有三個(gè)：域名年齡、可疑域名和DNS故障。下面我們回顧一下這三種方法：

域名年齡。它是編寫Whois查詢和監(jiān)控所有第一次穿過網(wǎng)關(guān)的域名，還特別關(guān)注所創(chuàng)建的字段的日期。比如有一個(gè)域名是兩天前創(chuàng)建的，那么它會(huì)阻止流向該域名的任何流量，直到進(jìn)一步檢查后再執(zhí)行。

可疑域名。其實(shí)“可疑”的界限很難界定，但是你能一眼看出來(lái)。舉個(gè)例子來(lái)說(shuō)，我們上網(wǎng)時(shí)常使用google.com這個(gè)域名，但是goole.co1.123.abc卻不常見。如果你注意到流向某域名的流量不正常，那么你就需要小心謹(jǐn)慎。

DNS故障。如果有很多DNS查找故障信息進(jìn)入你的網(wǎng)絡(luò)，那么你就有可能是某人利用域名生成算法(DGA)的受害者。因?yàn)楹苌儆腥藭?huì)利用DGA創(chuàng)建數(shù)千個(gè)域名來(lái)進(jìn)行通信。與真實(shí)域名通信就是機(jī)器如何通過相應(yīng)的C2節(jié)點(diǎn)來(lái)控制機(jī)器的過程。

上面提到的功能對(duì)于經(jīng)驗(yàn)豐富的管理來(lái)說(shuō)很容易實(shí)施。唯一一個(gè)相對(duì)困難一點(diǎn)的就是可疑域名這個(gè)功能，因?yàn)槠髽I(yè)通常認(rèn)為不同事情的可疑程度取決于他們使用的度量方法。但是，域名年齡和DNS故障很容易編寫腳本，而且也不需要購(gòu)買額外硬件設(shè)施。