DNS是重要的基礎(chǔ)設(shè)施,用于域名服務(wù),在負(fù)載均衡,移動IP等方面也有著重要的應(yīng)用.DNS流量激增對互聯(lián)網(wǎng)的正常運(yùn)作的影響,并提出了惡意DNS流量攻擊,蜂窩效應(yīng)概念,什么是DNS流量？監(jiān)控它的方法有哪些？一起來看看吧。

什么是DNS流量？

dns其實就是網(wǎng)址轉(zhuǎn)換成網(wǎng)站實際IP地址的設(shè)備，它建有網(wǎng)站網(wǎng)址和實際IP數(shù)據(jù)庫。按照就近的網(wǎng)速越快，你在哪個地區(qū)連接的就是哪個地區(qū)的服務(wù)器，不會舍近求遠(yuǎn)，影響響應(yīng)時間。

監(jiān)控dns流量的方法有哪些？

1、流量分析工具

Wireshark和Bro的實際案例都表明，被動流量分析對識別惡意軟件流量很有效果。捕獲并過濾客戶端與解析器之間的DNS數(shù)據(jù)，保存為PCAP（網(wǎng)絡(luò)封包）文件。創(chuàng)建腳本程序搜索這些網(wǎng)絡(luò)封包，以尋找你正在調(diào)查的某種可疑行為?；蚴褂肞acketQ（最初是DNS2DB）對網(wǎng)絡(luò)封包直接進(jìn)行SQL查詢。

（記住：除了自己的本地解析器之外，禁止客戶使用任何其他解析器或非標(biāo)準(zhǔn)端口。）

2、DNS被動復(fù)制

該方法涉及對解析器使用傳感器以創(chuàng)建數(shù)據(jù)庫，使之包含通過給定解析器或解析器組進(jìn)行的所有DNS交易（查詢/響應(yīng)）。在分析中包含DNS被動數(shù)據(jù)對識別惡意軟件域名有著重要作用，尤其適用于惡意軟件使用由算法生成的域名的情況。將Suricata用做IDS（入侵檢測系統(tǒng)）引擎的PaloAlto防火墻和安全管理系統(tǒng)，正是結(jié)合使用被動DNS與IPS（入侵防御系統(tǒng)）以防御已知惡意域名的安全系統(tǒng)范例。

3、防火墻

所有的防火墻都允許自定義規(guī)則以防止IP地址欺騙。添加一條規(guī)則，拒絕接收來自指定范圍段以外的IP地址的DNS查詢，從而避免域名解析器被DDOS攻擊用作開放的反射器。

啟動DNS流量檢測功能，監(jiān)測是否存在可疑的字節(jié)模式或異常DNS流量，以阻止域名服務(wù)器軟件漏洞攻擊。

4、入侵檢測系統(tǒng)

無論你使用Snort、Suricata還是OSSEC，都可以制定規(guī)則，要求系統(tǒng)對未授權(quán)客戶的DNS請求發(fā)送報告。你也可以制定規(guī)則來計數(shù)或報告NXDomain響應(yīng)、包含較小TTL數(shù)值記錄的響應(yīng)、通過TCP發(fā)起的DNS查詢、對非標(biāo)準(zhǔn)端口的DNS查詢和可疑的大規(guī)模DNS響應(yīng)等。DNS查詢或響應(yīng)信息中的任何字段、任何數(shù)值基本上都“能檢測”。唯一能限制你的，就是你的想象力和對DNS的熟悉程度。防火墻的IDS（入侵檢測系統(tǒng)）對大多數(shù)常見檢測項目都提供了允許和拒絕兩種配置規(guī)則。