DNS流量分析-使网络更安全

人们很容易忽视域名系统(DNS)及其在整个互联网和本地内部网中发挥的关键作用。这主要是因为,尽管我们每天都依赖DNS,但它对用户基本上是透明的,而且我们都理所当然地认为它会正常工作。当普通人打开网络浏览器,输入www.baidu.com、www.taobao.com或任何其他网站名称,却看不到该网站时,经常会听到类似“互联网坏了!”的声音。“嗯……不,互联网很少“坏掉”,但很有可能是DNS出了问题。安全专业人士越来越多地认识到DNS也是攻击网络的潜在威胁载体。DNS设计的时候甚至还没有考虑到互联网的安全性……这是一个不存在的想法;当时使用互联网的组织只有隐性信任。DNS很容易被利用其不安全但又无处不在的特性而出现任何数量的显著利用,包括DNS查询的重定向和缓存中毒(通常是到恶意网站)、网络足迹(通过泄漏区域信息和反向查询)、拒绝服务,甚至是数据外漏。

DNS信息既不经过身份验证也不经过验证(使用DNSSEC的情况除外),因此确保DNS在您的组织中按预期运行的唯一方法,首先是仔细配置和强化您的组织的DNS服务器。其次,是通过仔细监控网络上的DNS流量。反过来,仔细的监控需要全面了解您的网络流量,而这正是Cubro网络可见性可以提供帮助的地方。使用我们全面的高质量网络分路器(测试接入点)系列,组织将可以畅通无阻地访问其网络上的所有流量。Cubro的Network Packet Broker(NPB,网络数据包代理)可以收集这些数据,以便将流量聚合、复制和过滤到监控系统和安全工具;这包括隔离和检查DNS流量的能力。

 

让我们看一下DNS流量分析如何使组织受益。

DNS是一个复杂的分布式数据库,大多数互联网服务都依赖于它。它的监控至关重要,有必要持续监测DNS流量,以识别异常情况,衡量性能,并生成使用统计。

这种对DNS流量的分析在信息安全和计算机取证中有着重要的应用,主要是在识别计算机网络内的内部威胁、恶意软件、网络武器和高级持续威胁(APT)活动时。

虽然DNS分析的一个主要驱因素是安全,但另一个动机是了解网络的流量,以便评估其改进或优化。利用DNS数据来检测新的互联网威胁在过去几年中越来越受欢迎。

DNS对整个网络性能有巨大的影响。它是网络的致命弱点。它经常被遗忘,它对性能的影响被忽略,直到它崩溃。与此相关的典型问题有

1. 低性能的DNS服务器

  • 请求太多
  • 延迟应答

2. DNS缓存中的生存时间较短

DNS流量在UDP(或TCP)53端口上运行,可以通过53端口上的过滤来提取

所有Cubro Packetmaster都允许过滤到OSI第4层;所有Cubro Sessionmaster都允许过滤到第4层以上!设备仅将所需的流量转发到分析工具,并且不会使分析工具过载。

典型应用场景

Cubro Packetmaster和Sessionmaster产品是访问DNS流量的理想选择–不管流量是直接的,例如IPv4,IPv6,还是封装的,例如VXLAN,GRE或GTP。