DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

国内高防cdn_cc防御平台_方法

06-08 WEB安全

国内高防cdn_cc防御平台_方法

几周前,ddos攻击防御事件,有消息说一种叫做莫扎特的"新型"恶意软件。虽然莫扎特命令感染的设备的确切方式是创新的,但恶意软件仍然是DNS被用作攻击向量的教科书示例。因此,莫扎特的新闻应该提醒我们一些最佳实践,它们必须是所有企业安全姿态的一部分。莫扎特的作品Mozart的工作原理是在恶意软件的服务器和受感染的计算机之间建立后门连接,然后使用DNS TXT记录向安装的恶意软件返回命令。DNS有被恶意参与者滥用的历史,很大程度上是因为许多组织没有对其进行适当的监控。对于莫扎特,作者们把赌注押在这个事实上。在我们首席战略官Andrew Wertkin和Farsight Security首席执行官Paul Vixie之间的视频对话中,他们揭开了莫扎特所选方法的含义。"他说:"这允许从任何地方发布,也可以从任何地方订阅,而不是真的有一条线索指向罪犯的基础设施。"。如何不对付莫扎特作为一种创可贴解决方案,您可以通过将Mozart的硬编码命令服务器IP地址添加到设备防火墙阻止列表中来关闭此恶意软件。我们不建议只这样做。这种方法的问题是,你正在为你的组织签署一个"打鼹鼠"的反应性游戏。下一个版本的Mozart(或任何其他恶意软件)可以简单地解析为一个新的IP地址。莫扎特及以后的最佳实践针对未经授权的后门构建您的网络对于担心恶意软件对公司网络的威胁的IT团队来说,必须记住,Mozart(以及所有其他后门类型的攻击)可以通过以下最佳做法来阻止:阻止从端口53直接访问,但指定的公司DNS服务器除外。这将迫使所有公司名称解析通过解析程序(并删除其他内容),高防cdn哪里做得好,并帮助您保持可见性,从而在潜在恶意流量上保持策略控制和分析。它还确保只能查询已注册的域。注意你的DNS数据DNS数据会说话,而监听会带来好处。观察从查询名称到查询类型,甚至是一天中的某个时间查询的异常情况,可以告诉您很多有关网络安全性的信息。例如,TXT记录查询在几个特定的用例中很常见,比如防病毒检查、性能监视、嵌入问题等。与已建立的基线相比,监视这些查询如何使用的异常情况是一项值得尝试的工作。在Andrew和Paul的谈话中,Andrew特别提到了一个例子,即监视Mac或Microsoft客户端通常查询的TXT记录的百分比,防御DDOS的产品,并监视变化。当涉及到TXT查询(需要考虑防病毒代理和其他一些因素)或邮件交换记录时,公司设备显示出一种非常规则的模式,因此异常情况可以作为一个可靠的泄露指标。监视查询名称是另一个良好实践的例子,因为它们也会暴露出妥协的迹象。坏角色在查询名称中嵌入敏感信息位,最大防御ddos,作为挖掘数据的一种方式。另外,域生成算法(DGA)也被其他坏角色用作绕过阻止列表的手段,从而与恶意服务器建立联系。查询的上下文及其设备也很重要。如果一个特制的设备,比如鱼缸,正在查询谷歌,这暗示出了什么问题。专门构建的设备通常有一组可预测的域,它们所查询的域的任何偏差都应视为可疑。同样,客户的正常营业时间环境也是有用的,尤其是在零售和制造业。想想看:为什么一个销售点(POS)机器有任何理由在半夜、商店营业时间之外查询任何东西?(当然,这里的例外情况是,如果它在ping软件更新。)DNS是一个站出来的工作,尽其所能回答问题,没有歧视。换句话说,这是个笨蛋。这就是为什么罪犯在许多不同的场景中使用它作为攻击向量的原因。因此,企业安全防护,作为任何组织安全态势的一部分,DNS必须以允许组织反击的方式进行架构和监视。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/69419.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9189765访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X