【51CTO.com快譯】收集與分析被動(dòng)DNS(Passive DNS)數(shù)據(jù)能夠幫助我們識別惡意站點(diǎn)并對抗釣魚及惡意軟件;在今天的文章中，我們將一同了解如何完成起步工作。

在過去幾年當(dāng)中，我們已經(jīng)親身經(jīng)歷了愈發(fā)高企的DNS基礎(chǔ)設(shè)施攻擊威脅：針對驗(yàn)證域名服務(wù)器的DDoS攻擊、利用域名服務(wù)器作為DDoS攻擊的放大機(jī)制、頂替注冊賬戶以修改授權(quán)信息、緩存投毒攻擊以及由惡意軟件實(shí)現(xiàn)的域名服務(wù)器濫用等等。值得慶幸的是，如今我們也擁有了更多能夠抵御這些威脅的強(qiáng)大新型安全機(jī)制，包括DNS安全擴(kuò)展、響應(yīng)策略區(qū)以及響應(yīng)速率限制等手段。

而就目前而言，DNS安全乃至互聯(lián)網(wǎng)整體安全強(qiáng)化領(lǐng)域最具前景的實(shí)施方案還沒有得到充分發(fā)揮——也就是被動(dòng)DNS數(shù)據(jù)。

被動(dòng)DNS(Passive DNS)概念介紹

被動(dòng)DNS最初于2004年由Florian Weimer發(fā)明，旨在對抗惡意軟件?；旧现v，遞歸域名服務(wù)器會響應(yīng)其接收到的來自其它域名服務(wù)器的請求，對響應(yīng)進(jìn)行記錄并將日志數(shù)據(jù)復(fù)制到中央數(shù)據(jù)庫當(dāng)中。

那么這部分日志數(shù)據(jù)包含有哪些內(nèi)容呢?宏觀地講，也就是遵照域名服務(wù)器的整個(gè)運(yùn)作流程。當(dāng)收到查詢請求時(shí)，域名服務(wù)器會首先檢查自身緩存及權(quán)威數(shù)據(jù)以獲取答案。如果答案尚不存在，則進(jìn)一步查詢r(jià)oot域名服務(wù)器之一作為參考直到找出了解相關(guān)答案的驗(yàn)證域名服務(wù)器，最后查詢其中的驗(yàn)證域名服務(wù)器之一進(jìn)行答案檢索。整個(gè)流程如下圖所示：

大部分被動(dòng)DNS數(shù)據(jù)會在“高于”檢索域名服務(wù)器的位置被立即捕獲，如下圖所示：

這意味著被動(dòng)DNS數(shù)據(jù)大多由來自互聯(lián)網(wǎng)上驗(yàn)證域名服務(wù)器的參考與答案構(gòu)成(當(dāng)然，其中也包含部分錯(cuò)誤信息)。這部分?jǐn)?shù)據(jù)擁有時(shí)間戳、經(jīng)過重復(fù)數(shù)據(jù)刪除與壓縮，而后被復(fù)制到中央數(shù)據(jù)庫內(nèi)以備歸檔與分析。

需要注意的是，整個(gè)流程捕捉到的是服務(wù)器到服務(wù)器之間的通信內(nèi)容，而非來自存根解析器并指向遞歸域名服務(wù)器的查詢內(nèi)容。(存根解析器在以上示意圖中處于遞歸域名服務(wù)器的‘下方’位置。)這種方式擁有兩大重要作用：其一，相較于在存根解析器與遞歸域名服務(wù)器間進(jìn)行通信，服務(wù)器到服務(wù)器的通信內(nèi)容量明顯更少，即只包含緩存內(nèi)不存在的內(nèi)容。其二，服務(wù)器到服務(wù)器通信不會被輕易關(guān)聯(lián)到某個(gè)特定存根解析器處，因此涉及的隱私內(nèi)容也就相對較少。

被動(dòng)DNS數(shù)據(jù)的具體收集方式多種多樣。一部分遞歸域名服務(wù)器，例如Knot以及Unbound，當(dāng)中包含有軟件鉤子，旨在更為輕松地捕捉被動(dòng)DNS數(shù)據(jù)。管理員可以利用dnstap這款免費(fèi)程序從此類域名服務(wù)器當(dāng)中直接讀取被動(dòng)DNS數(shù)據(jù)。

而使用其它域名服務(wù)器的管理員則可以在域名服務(wù)器上運(yùn)行其它不同工具，從而達(dá)到同樣的域名服務(wù)器流量監(jiān)控效果——或者在其它主機(jī)上制作該域名服務(wù)器的端口鏡像以實(shí)現(xiàn)數(shù)據(jù)記錄。

被動(dòng)DNS的價(jià)值所在

各類企業(yè)都會采用不同的數(shù)據(jù)庫來容納被動(dòng)DNS“傳感器”發(fā)來的上傳數(shù)據(jù)。目前人氣最高且最為知名的當(dāng)數(shù)Farsight Security打造的被動(dòng)DNS數(shù)據(jù)庫——DNSDB。DNSDB中包含有多年以來由世界范圍內(nèi)所有傳感器收集而來的數(shù)據(jù)。當(dāng)然也有一些機(jī)構(gòu)會采用其它被動(dòng)DNS數(shù)據(jù)庫方案，例如由谷歌公司提供的VirusTotal網(wǎng)站、德國咨詢廠商BFK發(fā)布的方案、盧森堡計(jì)算機(jī)事件響應(yīng)中心(簡稱CIRCL)的方案以及愛沙尼亞計(jì)算機(jī)應(yīng)急響應(yīng)小組(簡稱CERT-EE)的技術(shù)成果等等。

對被動(dòng)DNS數(shù)據(jù)庫進(jìn)行查詢能夠提供大量極具實(shí)用價(jià)值的信息。舉例來說，大家可以通過查詢被動(dòng)DNS數(shù)據(jù)庫來2012年4月與www.infoblox.com網(wǎng)站相關(guān)聯(lián)的DNS查詢記錄，或者自那時(shí)開始該網(wǎng)站曾經(jīng)使用過哪些域名服務(wù)器，又或者另有哪些其它區(qū)域在使用同一套域名服務(wù)器。更進(jìn)一步來講，大家也可以選擇某個(gè)已知的惡意惡意IP地址，并查詢各被動(dòng)DNS傳感器最近映射至該IP地址的全部相關(guān)域名服務(wù)器。

接下來我們一同了解被動(dòng)DNS的各類實(shí)際用途：

·被動(dòng)DNS數(shù)據(jù)庫允許企業(yè)以近實(shí)時(shí)方式檢測緩存投毒以及欺詐變更行為。企業(yè)能夠定期查詢被動(dòng)DNS數(shù)據(jù)庫，從而根據(jù)被動(dòng)DNS傳感器了解其關(guān)鍵域名當(dāng)前被映射至哪個(gè)具體地址。權(quán)威區(qū)域數(shù)據(jù)映射關(guān)系中的任何變化都可能意味著企業(yè)已經(jīng)開始遭受惡意攻擊。

·Farsight Security方面會定期從DNSDB中整理出最新域名，這些域名是由傳感器過去15分鐘、1小時(shí)或者其它預(yù)設(shè)時(shí)間周期內(nèi)所獲取。該公司隨后會在全新域名同惡意活動(dòng)之間進(jìn)行關(guān)聯(lián)比對。網(wǎng)絡(luò)釣魚或者其它類似惡意活動(dòng)往往會選擇新域名，并在使用后的短時(shí)間內(nèi)直接丟棄。而對過去15分鐘內(nèi)才剛剛出現(xiàn)的新域名進(jìn)行屏蔽只需要很低的實(shí)現(xiàn)成本。Farsight公司能夠幫助企業(yè)用戶定期獲取這些最新域名，進(jìn)而由管理員阻止其進(jìn)一步解析。

·如果當(dāng)前被動(dòng)DNS數(shù)據(jù)庫支持模糊或者模糊匹配功能，那么企業(yè)用戶就能夠定期查詢該數(shù)據(jù)庫所使用或者看起來與其處理名稱相似的域名，并從其中揪出潛在的惡意行為。

·一旦某個(gè)IP地址或者域名服務(wù)器被標(biāo)記為惡意，企業(yè)用戶能夠利用被動(dòng)DNS數(shù)據(jù)庫輕松找到其它與該IP地址相映射的域名，或者其它被托管至同一域名服務(wù)器的區(qū)域，這些都屬于潛在的惡意活動(dòng)載體。

·通過監(jiān)控由A到AAAA記錄變更以及隨時(shí)間推移的區(qū)域域名服務(wù)器記錄，我們能夠輕松找到那些利用特定技術(shù)實(shí)施惡意行為的域名，例如通過快速流量幫助釣魚及惡意站點(diǎn)躲避檢測。合法的域名(除了那些用于負(fù)載平衡與分發(fā)的域名)不會非常頻繁地改變自身地址，而且大多數(shù)合法的區(qū)域域名也很少變更自身域名服務(wù)器。

利用響應(yīng)策略區(qū)關(guān)閉回路

響應(yīng)策略區(qū)(簡稱RPZ)提供了一套寶貴的機(jī)制，能夠在惡意域名被從被動(dòng)DNS數(shù)據(jù)中識別出來后關(guān)閉其傳輸回路。RPZ屬于DNS區(qū)域，其內(nèi)容會以規(guī)則的形式進(jìn)行解釋。這些規(guī)則通常包括，“如果任何人嘗試查看該域名中的A記錄，則返回錯(cuò)誤提示并注明該域名并不存在。”由于RPZ屬于簡單區(qū)域，因此它們能夠在互聯(lián)網(wǎng)之上實(shí)現(xiàn)快速與高效傳輸，而其中所包含的策略則會得到立即執(zhí)行。通過分析被動(dòng)DNS數(shù)據(jù)進(jìn)行惡意域名檢測的企業(yè)能夠利用這些規(guī)則來阻斷已確定惡意域名的解析行為，并禁止其被分發(fā)到互聯(lián)網(wǎng)上的訂閱用戶處。

如果大家希望了解如何在自己的遞歸域名服務(wù)器上實(shí)現(xiàn)被動(dòng)DNS數(shù)據(jù)分發(fā)，不妨點(diǎn)擊此處查看由Farsight公司提供的相關(guān)信息(英文原文)，其中包括如何分步驟設(shè)置一套被動(dòng)DNS傳感器。大家也可以立足于被動(dòng)DNS數(shù)據(jù)分析進(jìn)行RPZ供應(yīng)，從而在企業(yè)內(nèi)部環(huán)境下有效阻斷對惡意域名的解析。

原文鏈接：http://www.infoworld.com/article/2994016/network-security/strengthen-your-network-security-with-passive-dns.html

原文標(biāo)題：Strengthen your network security with Passive DNS

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】