来自 防护 2021-07-14 03:03 的文章

香港高防ip_宝可梦剑盾游戏下载_解决方案

香港高防ip_宝可梦剑盾游戏下载_解决方案

各种不同的服务,如web浏览、电子邮件、active directory等,都使用域名系统(DNS)协议将IP地址转换为人类可读的名称,高防cdn_504错误什么意思,反之亦然。DNS从未打算用于数据传输,但多年来一直被恶意/邪恶意图的个人用于此目的。DNS隧道通常用于在不受限制的公共热点上获得免费Wi-Fi,而正常的数据传输则受到限制。DNS作为一个隧道可以被建立,同时隐藏在DNS请求中的数据,然后这些数据可以在目的地DNS服务器上变成真实的数据。当恶意软件使用DNS从公司网络获取数据,甚至从命令和控制服务器接收命令/更新时,这可能会变成真正的威胁。DNS概述DNS是当今互联网的重要组成部分。最常见的目的是将域名映射到IP地址。用户可以输入域名(如logrhythrome.com网站)在他们的浏览器和DNS将这个名称解析为一个IP地址。利用这种机制,计算机知道他必须与哪个IP地址通信才能得到正确的数据。DNS在端口53上同时使用UDP和TCP进行通信。TCP将用于512字节以上的有效负载和区域传输。DNS使用分层系统来确定域的正确IP地址。有13个根DNS服务器,由超过13个物理服务器表示。为了解释层次结构,我们将使用一个示例:blog.logrhythrome.com博客. 第一个请求将联系负责.com域的DNS根服务器。此服务器将提供有关负责logrhythrome.com网站域。然后可以联系该服务器以解决问题blog.logrhythrome.com博客到它的IP地址就可以建立通信。DNS隧道概述在前面的示例中,的DNS服务器logrhythrome.com网站已联系以解决blog.logrhythrome.com博客请求。而不是解决blog.logrhythrome.com博客我们可以发送不同的请求:ZG9TYWLUPWxVZ3JOEXROBT1C2VYPXRLC3Q7CGFZC3DVCMQ9MTIZNDU=。logrhythrome.com网站此请求将发送到logrhythrome.com网站域。不同的是logrhythrome.com网站是base64编码的,将解码为"域=LogRhy;用户=测试;密码=12345"如果logrhythrome.com网站我们已经知道这是一个恶意的域名服务器的用户名和密码。这个logrhythrome.com网站然后DNS服务器可以在应答中隐藏数据并发送给DNS请求的发起者。如您所见,使用DNS进行数据传输非常简单。检测DNS隧道有多种方法可以检测DNS隧道。我们将集中讨论本文中最重要的方法,并展示如何利用logrythym SIEM来检测这些方法。DNS请求的频率正如我们之前了解到的,使用UDP的DNS请求的有效负载最大为512字节。典型的DNS请求小于512字节。攻击者希望在所有其他DNS请求的噪音中隐藏数据传输,这就是为什么他们不会使用TCP创建超过512字节的大型DNS请求,因为这样更容易检测到这些请求。传输数以百万计的信用卡数据(或攻击者感兴趣的任何其他数据)将需要大量的DNS请求,因为它们必须拆分为小于512字节的包。这就是为什么来自希望通过DNS传输数据的主机的DNS请求量会比平时高的原因。因此,如果主机A通常每天要执行200个DNS请求,ddos防御服务,而突然之间这个数字增加到了600个,高防和cdn的区别,我们一定要看看。logrhethy有一个内置的特性,可以使检测变得容易。我们可以建立一个规则,自动创建DNS请求数量的基线。如果这个数字至少是基线计数的两倍,我们将创建一个警报。第一个规则块将生成基线。它查找任何DNS查询并按"原始主机"分组请求。我们需要的唯一数据字段是请求的计数。第二个块现在查找最后两天,并将DNS请求计数与最后一天进行比较。如果增加量是基线计数的两倍,我们将收到警报。所有这些数字都可以微调,以最适合您的环境。我建议从低开始(实时计数>2*基本计数),如果你得到太多的假阳性,增加它。DNS请求的长度让我们考虑一个常见的DNS请求。一般不会太长,比如谷歌, mail.google.com, logrhythrome.com网站, blog.logrhythrome.com博客, yourcompanyname.com网站在前面的例子中,nginx防御cc策略,ddos防御整体方案,base64编码的字符串长度为56个字符。用户名/密码越长,字符串就越长,比如70多个字符。这对于域名来说是很不典型的。我们可以使用这个特性来创建一个规则。此规则查找所有DNS查询,并根据URL字段匹配正则表达式(".{60,}")。只要URL字段超过60个字符,这个正则表达式就会匹配。然后我们按"原始主机"和"URL"对请求进行分组同样,可以微调URL的最小长度以适应您的环境。我建议从低开始(最小长度约为40到60),并增加它,如果你得到许多误报。DNS请求的模式我们可以根据URL字段匹配多种模式来检测DNS隧道。我们将使用一个常见的示例来说明这一点:URL中包含的数字量。典型的URL不是由很多数字组成的。但是当数据使用base64编码时,URL可能包含很多数字,就像我们前面的例子(8个数字)。我们可以用它来检测潜在的DNS隧道。此规则查找所有DNS查询并使用正则表达式(\d.*?){5,}以确定URL是否由4个以上的数字组成。这一次我们还使用排除过滤器来排除由IP地址组成的任何DNS查询,这些地址通常有4个以上的数字。像往常一样,数字可以微调以适应您的环境。我建议从低开始(在这个例子中多于5个数字),如果得到太多的误报,就增加它。DNS请求的目标几乎所有的公司都有自己的DNS服务器基础设施,客户使用它来解析DNS。一些恶意软件使用外部DNS服务器,很容易被检测到。LogRhythm为此有一个内置规则:Int:Susp:出站DNS活动。此规则可以很容易地启用,并将警告您任何出站DNS活动。此规则查找任何出站DNS连接,并按"主机名(源)"、"受影响的应用程序"和"主机名(受影响)"对其进行分组。资料来源:异常/dns_异常.pdf://resources.infosecinstitute.com/dns-tunnelling/http://www.sans.org/reading-room/whitepapers/dns/detecting-dns-tunneling-34152LinkedIn Twitter Facebook Reddit电子邮件