DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

ddos防御_天鹰抗DDOS防火墙_新用户优惠

07-14 DDOS防御

ddos防御_天鹰抗DDOS防火墙_新用户优惠

四年多前,我为《安全周刊》写了一篇深入的文章,描述了域名系统(DNS)的隧道和信令,以及它们对恶意软件和其他恶意活动的使用,并就如何处理它们提出了一些合理的建议。当然,ddos攻击防御多少钱,这是在有一个很好的解决方案来解决这个问题之前,比如Infoblox威胁洞察服务,它可以自动发现此类滥用行为。不过,我在那篇文章中遗漏了一个重要的问题,Infoblox网络智能团队和致力于威胁洞察的工程团队所做的研究将这个问题推到了最前面。在检查客户网络上明显的DNS隧道/信令流量时,我们反复遇到异常流量这看起来是一种有害的行为,但事实上,这些客户网络上的服务和用户故意发送这种行为,大体上不是恶意的。让我在这里暂停一下,谈谈背景知识。域名系统于1983年推出,用于翻译人类容易理解的名称,如网站,转换成易于计算机理解的IP地址,ddos防御系统,如161.47.10.70。DNS查询通常是非常小的数据包,不打算传输任何超出执行名称解析服务所需的数据。请注意,网吧电信ddos防御,随着DNSSEC和DKIM等身份验证机制的引入,这一点在过去几年中发生了一些变化;但是,这些目的仍然是提供有关域名本身的信息,而不是传输其他数据。然而,DNS协议足够灵活,不相关的数据可以插入DNS查询,并从目标网络发送或发送。最简单的形式是,这称为DNS信令,其中信息被编码到查询字符串或响应记录中,通常使用加密哈希函数。由于DNS包太小,这可能意味着只需要少量的真实数据就需要大量的数据包,因此性能相当缓慢。DNS隧道通过使用DNS查询在DNS会话上对其他协议(如http、ftp、smtp,甚至自定义协议)进行编码,从而使这一点更进一步。这是通过你用来编码其他传输的相同的基本技术来完成的:例如,就像你建立一个VPN网络一样。Infoblox Threat Insight检测这两种方法,为了简单起见,我们把这些技术放在一起,称之为DNS隧道,这是市场上最熟悉的。恶意DNS隧道是网络安全中的一个大问题,正如我们今天发布的Infoblox 2016年第二季度安全评估报告所述。与恶意DNS隧道进行斗争的安全和网络团队通常不知道DNS在非恶意通信中的"创造性"使用,这可能会触发许多假警报。为什么会这样?好吧,因为这些DNS隧道的"合法"用户并不是真的在滥用他们正在运行的网络,而仅仅是采取创造性的捷径来推动他们的解决方案。大多数使用这些技术的公司不会宣传他们未经批准和不明智地使用DNS。这给网络防御者带来了一个真正的挑战,即寻找利用DNS进行恶意软件命令和控制或数据过滤的坏人,因为这些活动看起来与滥用DNS的非恶意服务几乎相同。我们说的是什么样的活动?好吧,事情早在20世纪90年代就开始了,当时一些有进取心但又很吝啬的人决定帮助自己在酒店、机场等地免费上网。这些人注意到,虽然付费墙阻止他们通过HTTP等标准协议直接访问互联网,但DNS并没有被阻止,表面上是为了让名字解决,这样你就可以付钱了!在破解了一些代码之后,NSTX、DNScat和Idio这样的工具在随后的几年里被发布出来,允许您通过DNS连接对web会话和最终的其他协议(如电子邮件)进行隧道化。有点慢,但它是有效的,而且是"免费的"。这些已经发展到可以通过DNS提供完整的VPN服务,并且有几十个这样的工具存在,并且今天可以在Github和其他地方免费使用。因此,除了明显的服务被盗问题外,为什么DNS隧道传输是一个非常糟糕的主意,尤其是对于公司网络?除了已经描述的错误警报之外,根据定义,使用DNS进行数据传输是故意滥用协议,故意规避网络运营商采取的措施。这可能是一种相对良性的行为,比如将过去可能会阻止Facebook或个人电子邮件服务的工作场所生产力过滤器代理到更险恶的可能使公司面临风险的东西。员工访问非法内容、恶意软件与命令和控制服务通信,其他许多活动只是冰山一角。这不仅仅是隧道问题,尽管很多坏人使用DNS来"发信号",在这种情况下,没有为另一个协议建立正式的"隧道"。在高级持续威胁(APT)场景中,数据的过滤速度很低,速度也很慢,而且僵尸网络的命令和控制也是如此。事实上,由于其速度和容量的限制,DNS是一种可怕的传输机制,对于这些场景中的坏人来说并不是一个问题。然而,事实证明,许多商业产品也使用DNS信令来提供准合法的数据传输服务。在DNS隧道开始使用的时候,ddos最好防御,一些客户存在设备(CPE)设备的制造商在获取客户级电缆和DSL调制解调器或Wi-Fi路由器以及消费者和SMB网络上的其他设备时遇到了问题。原来ISP在允许各种类型的流量通过方面不一致,让人们通过基于NAT的路由器建立适当的连接确实很困难。啊,但是DNS提供了一种巧妙的机制,不久,你让一些公司通过DNS对他们的客户群执行软件更新和其他维护任务。虽然大多数企业级网络设备使用适当的通信和身份验证通道来处理这些任务,但内部部门和分支机构通常有更便宜的CPE设备,因此即使在一个成熟的企业网络中,这些信号也在DNS中传递。一些反病毒(A/V)供应商也因为类似的原因加入了DNS的行列,并且需要进行几乎连续的通信,这个问题非常明显。一些A/V供应商已经通过DNS设置了文件哈希标识例程如果您通过A/V公司运行的域下的主机名查找可疑文件的哈希值,您将得到一个答案,告诉您它是否被感染。相当巧妙,但同样,你正在使用错误的协议创建一个通信通道,并有可能使你的网络向恶意通信开放。别忘了,不止一个A/V产品被恶意软件感染。有许多其他的产品和服务类别已经有一个或多个公司出于类似的原因转向DNS隧道。见鬼,我们的团队甚至发现了通过信令而不是通过NTP通过DNS进行网络时间更新的系统,尽管NTP实际上是为此而设计的,并且像DNS一样通过UDP运行!理想情况下,需要对数百万台设备进行更新和其他经批准的数据传输的公司将使用像HTTPS这样的成熟渠道。如果需求太具体或不适合HTTPS,他们应该与Internet工程任务组(IETF)合作,为这些类型的服务指定一个合适的协议和/或方法,尽管这需要时间和费用,当然DNS是免费的。归根结底,这些技术的一个大问题是,它们绕过了网络运营团队实施的控制。这类控制有很多原因,绕过它们会带来安全性、合规性和操作方面的问题,同时会使DNS协议和异常检测系统过载,高防cdn的目标客户,从而检查DNS流量。更糟糕的是,这些公司通常在没有披露或配置选项的情况下这样做,以禁止其滥用DNS。虽然怀疑每个人都会停止这种做法,但我们希望看到it供应商不要继续这种做法,因为这会使保护DNS的工作变得更加困难。如今,越来越多的组织试图保护DNS,并开始意识到有多少这种"垃圾"DNS流量实际上在他们的网络上运行。也许采取协调一致的行动来阻止这类通信可能会阻止制造商依赖它,但如果你有一个依赖于这种行为不端的设备的客户群,这可能会是一个沉重的任务。0

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/65495.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8714912访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X