Что такое пассивный DNS?
Потребность в веб-безопасности существовала всегда, но в последние пару лет эта потребность усилилась благодаря все более целенаправленным атакам на инфраструктуру систем доменных имен (DNS).
Сообщения о проникновении вредоносных программ на серверы имен, отравлении кешей, необходимости защиты авторитетных серверов имен от DDoS-атак и изменении сведений о делегировании через скомпрометированные учетные записи регистраторов привели к разработке новых усовершенствованных механизмов, способных пресечь эти угрозы в зародыше..
Некоторые из них, такие как зоны политики ответа, ограничение скорости ответа и расширения безопасности DNS, стали неотъемлемой частью мер веб-безопасности организаций. Однако наиболее многообещающим является пассивный DNS, который не только выводит безопасность DNS на новый уровень, но и полностью поддерживает безопасность Интернета.
Что такое пассивный DNS?
Детище Флориана Веймера, Passive DNS, появилось в 2004 году. Его цель была проста — сдерживать атаки вредоносных программ. Пассивная DNS использовала рекурсивные серверы имен для регистрации ответов, полученных от разных серверов имен; затем эти зарегистрированные данные были скопированы в центральную базу данных.
Почти мгновенный захват большинства данных пассивной DNS «над» рекурсивным сервером имен означает, что пассивная DNS состоит в основном из ответов и ссылок от авторитетных онлайн-серверов имен. Зарегистрированные данные этого типа подвергаются дедупликации, сжатию, временным отметкам, а затем копируются в центральную базу данных, где они анализируются и архивируются.
Однако нужно понимать, что захваченные данные — не что иное, как межсерверная коммуникация; нет никаких запросов между тупиковыми распознавателями и рекурсивными серверами имен.
Это заслуживает внимания по двум основным причинам. Во-первых, количество межсерверных разговоров здесь значительно меньше, чем то, что происходит между рекурсивным сервером имен и преобразователями-заглушками. Все, что вам нужно остерегаться в этом случае, это промахи кеша. Более того, связь между серверами не может быть просто подключена к определенному преобразователю-заглушке; таким образом, это не представляет большой проблемы для конфиденциальности.
Однако метод, используемый для сбора данных пассивной DNS, значительно различается. Некоторые администраторы имеют привычку использовать внешние программы для чтения пассивных данных DNS с сервера имен, в то время как другие рекурсивные серверы имен включают в себя программные ловушки, которые упрощают процесс захвата пассивных данных DNS.
Пользователи других серверов имен могут свободно использовать различные инструменты на узле, на котором работает рекурсивный сервер имен, для мониторинга трафика к серверу имен. Иногда они даже зеркалируют порт сервера имен на другой хост, который записывает эти данные.
Почему важен пассивный DNS?
Есть ряд организаций, управляющих базами данных, в которые датчики пассивного DNS загружают эти данные. Если кто-то запрашивает пассивные базы данных DNS, он может наткнуться на ценную информацию.
Например, можно сосредоточиться на пассивных базах данных DNS, чтобы найти зоны, которые используют аналогичные наборы серверов имен, или определить, какую информацию возвращает конкретный DNS-запрос. Что еще более важно, вы можете взять предположительно вредоносный IP-адрес и проверить все различные доменные имена, которые датчики пассивного DNS в последнее время сопоставили с этим конкретным IP-адресом.
Использование пассивного DNS в ваших интересах
Обнаружение компромиссов
Вы можете использовать пассивные базы данных DNS для обнаружения мошеннических изменений делегирования и отравления кеша практически в реальном времени. Компания может часто запрашивать пассивную базу данных DNS. Это позволит им узнать больше об адресах, отображаемых основными доменными именами в то время. Вся информация будет поступать напрямую с пассивных датчиков данных. Если они обнаружат какое-либо отклонение от обычного сопоставления данных, собранных из авторитетного источника, это может указывать на нарушение веб-безопасности.
Помогает администраторам блокировать разрешение подозрительных новых доменных имен.
Компания может регулярно собирать последние доменные имена, чтобы выяснить, какие из них были обнаружены датчиками в течение последнего часа или минут. Это очень важно, потому что совершенно новые доменные имена часто связаны с вредоносной активностью. Нередко новые домены ненадолго используются для фишинговых кампаний, прежде чем от них отказываются. Так что нельзя быть слишком осторожным. Кроме того, если вам случится заблокировать законное доменное имя в процессе, связанные с этим затраты будут небольшими, поскольку они появились совсем недавно.
Выявление потенциального нарушения
В сочетании с нечетким сопоставлением или сопоставлением Soundex пассивные базы данных DNS могут помочь организациям время от времени исследовать базы данных на предмет доменных имен, которые напоминают их торговые названия или используют их без какого-либо разрешения.
Предотвратить вредоносную активность
Когда сервер IP-имен или адрес уже помечен как вредоносный, пассивный DNS можно легко использовать для определения того, какие зоны размещены на этом сервере имен или какие доменные имена сопоставляются с этим IP-адресом.
Определить доменные имена
Пассивный DNS можно эффективно использовать для идентификации доменных имен с помощью таких методов, как fast flux, чтобы помочь вредоносным программам и фишинговым веб-сайтам избежать обнаружения. Не ожидается, что легитимные доменные имена будут часто менять свои адреса, в то время как большинство легитимных зон редко меняют серверы имен.
Аналитика угроз
Доказательства журнала DNS подтверждают выводы, включающие аналитику угроз. Ведение этих журналов в течение длительного периода времени может помочь следователям найти первоначальные доказательства компрометации после того, как алгоритм создания домена или домен помечен как подозрительный или вредоносный.
Из-за того, что активность DNS присутствует почти во всех коммуникациях, независимо от конечного протокола, базовые уровни, установленные с помощью наблюдений DNS, могут оказаться полезными для всех.
Последние мысли
Пассивные данные DNS могут переломить ситуацию с растущим натиском веб-безопасности. Если ваша компания еще не приступила к сбору пассивных свидетельств журнала DNS из среды, вам следует начать немедленно.
Вы найдете множество вариантов, доступных в разных ценовых категориях, а также в разных масштабах развертывания. Однако, если вы начали собирать ответы и запросы DNS, то лучше продолжать. Кроме того, вы можете поделиться обнаруженной информацией с другими организациями, которые анализируют пассивные данные DNS для выявления любых вредоносных доменных имен. Ведь это борьба добра со злом.