网络安全入门–DNS

概述

成都创新互联公司专注于企业全网整合营销推广、网站重做改版、余庆网站定制设计、自适应品牌网站建设、H5页面制作、购物商城网站建设、集团公司官网建设、成都外贸网站建设公司、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为余庆等各大城市提供网站开发制作服务。

本安全入门提供了有关常规DNS操作、IDS事件类型、调查要求、建议和参考的信息。

技术摘要

域名系统(DNS)是TCP/IP应用程序使用的分布式数据库，用于解析主机名及其相应的IP地址。解决程序通常如下：

1.应用程序向DNS客户端发送名称查询。

2.DNS客户端检查其本地缓存是否有匹配项。如果未找到匹配项，则会向DNS服务器发送查询。

3.DNS服务器寻找匹配项。如果未找到匹配项，则继续DNS查询过程，直到找到权威记录。

4.DNS客户端返回结果。

查询事件–当DNS查找中观察到的域与签名匹配时，将触发查询事件。这些签名会在发起的流量上触发，其中源IP正在使用目标端口53对目标IP执行查找，并且观察到的域与恶意软件活动或违反策略相关联。
响应事件–当观察到的域查找结果包含与签名匹配的NXDOMAIN或Sinkhole响应时，将触发响应事件。这些签名会在返回流量上触发，其中源IP返回对源端口为53的目标IP执行的查询的响应，并且观察到的域已与恶意软件活动相关联。

NXDOMAIN响应–NXDOMAIN响应指示查询的域名无法通过DNS服务器的查找过程进行解析。域查找中的主机名和NXDOMAIN响应的组合将触发这些签名。

Sinkhole响应–Sinkhole响应表示DNS查找中的域已被服务提供商观察到存在恶意活动，并随后将这些域的流量转移到非恶意Sinkhole，从而基本上阻止了恶意站点的流量。这会破坏僵尸网络和c2基础设施。

日志记录：为了响应DNS安全事件，在托管设备上配置适当级别的日志记录至关重要。所需的最基本的日志记录是网络客户端使用的主名称服务器的DNS日志记录和向这些客户端租赁IP的服务器的DHCP日志记录。在Microsoft Windows环境中，活动目录域的主名称服务器将是域控制器。请咨询管理您的网络和系统基础设施的IT支持供应商，以验证您是否在域控制器上相应配置了DNS和DHCP客户端日志记录。

需要考虑的一些日志记录注意事项。

要考虑的其他设备日志记录配置：服务器事件日志、身份验证日志、端点AV日志、Web代理日志和网络安全设备/防火墙日志（这是一个非详尽列表）。这为组织提供了收集遥测数据，理想情况下集中收集，同时独立于源系统，用于跟踪和定位恶意行为、历史查找和警报。