用DNS进行网络度量和安全分析

最新推荐文章于 2025-04-04 10:50:40 发布
原创 最新推荐文章于 2025-04-04 10:50:40 发布 · 1.1w 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #大数据 #编程语言 #人工智能 #java

背景

今天为大家推荐由360网络安全研究院-安全分析资深专家分享的议题《用DNS进行网络度量和安全分析》,本课题简要阐述了DNS协议的历史和发展现状,在此基础上,结合360网络安全研究院的多年分析DNS数据的经验,介绍了我们利用DNS数据做过的一些关于大网方面的度量,并结合公司多维度的海量数据做的安全分析方面的一些工作。

1

DNS概述

DNS协议对互联网的从业者来说并不陌生,它是互联网的最古老也是最基础和最核心的协议之一。简单来说的话,它最主要的功能是完成域名和IP地址的映射,即互联网的电话簿。

但DNS协议能够完成的功能远远不止于完成域名和IP地址的映射,很多现代互联网的基础业务都要基于DNS协议才能够完成,可以认为跟域名相关的业务几乎都和DNS协议有关。根据dns-camel项目[1]统计,截止到2019年6月,共有150篇标准,建议,最佳实践方面的RFC,共有2637页,非常庞杂的内容。所以DNS协议实际的复杂度超出了大多数人对其的理解。

下图显示了DNS协议相关的RFC页数从1984年到2019年的变化量,可以看到从1996年开始,几乎以每四年500页的速度在稳定增加。

也正因为如此基础和复杂,几乎所有的互联网业务都会在DNS数据中留下痕迹。使用了DNS服务的恶意行为也不例外,对DNS数据进行安全分析,可以涵盖绝大多数的恶意行为。

本文从使用DNS数据角度来介绍一下可以做的事情。主要是两大类,分别为网络(业务的)度量和安全分析。

2

网络度量

DNS劫持情况

同大多数早期的互联网协议类似,DNS协议在设计之初是以明文形式传输,支持TCP和UDP两种传输协议,并且在实际使用过程中主要以传输协议主要以UDP为主。

所以到现在,大多数的DNS请求和应答仍然是基于UDP协议的明文形式进行传输,因此DNS劫持是DNS在实际环境中非常普遍的问题,为了对这个问题有个精确的度量。清华大学网络科学与网络空间研究院和360公司合作,对全球范围内的DNS劫持情况做了一个定量的度量。测量方案通过请求随机化子域名(避免缓存服务器对请求域名的缓存)在不同的公共DNS服务器,从不同的请求类型,顶级域以及协议等维度的方式来探测DNS劫持的情况。

测量结果表明:

1.     基于UDP的DNS数据包更容易遭到劫持。

2.     A类型(IPv4地址)的DNS请求比其他类型稍高。

3.     全球的8.5%的自治域存在DNS劫持,其中包括像中国移动这种较大的ISP。

4.     推测DNS劫持的主要目的是为了减少财务结算和提高DNS相应的性能。

具体的测量详细过程和完整结果参见这里[2]。

最低0.47元/天 解锁文章
360技术
关注
DNS 基于大数据的深度对比分析
glb111的博客
04-23 381
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
域名系统安全作业-DNS Cache Poisoning Attack Reloaded: Revolutions with Side Channels
一个努力生活的人的博客
10-30 2741
DNS Cache Poisoning Attack Reloaded: Revolutions with Side Channels
网络安全——DNS介绍
weixin_54055099的博客
08-29 1047
DNS的信息获取
基于大数据分析的异常检测方法及其思路实例
BlueSky
03-07 2816
转自:http://www.2cto.com/Article/201601/485562.html 1 概述 随着人类社会信息化程度的不断深入,信息系统产生的数据也在呈几何级数增长。对这些数据的深入分析可以得到很多有价值的信息。由于数据量太大以及数据属性的多样性,导致经典的统计分析方法已经无法适用,必须采用以机器学习理论为基础的大数据分析方法。目前,大数据分析的方法已经被广泛用于商
网络安全学习--DNS部署与安全
丢爸
11-30 3481
DNS DNS(Domain Name Service):为客户机提供域名解析服务器 域名组成 域名组成概述 主机名.域名称为完全限定域名(FQDN),一个域名下可以有多个主机,域名全球唯一,主机名.域名肯定是全球唯一的。 以"sina.com.cn"域名为例,一般管理员在命名其主机的时候会根据其主机的功能命名,比如网站是www,博客是blog,论坛是bbs,那么对应的FQDN为www.sina.com.cn,blog.sina.com.cn,mail.sina.com.cn,这么多个FQDN只需要申请一个
DNS安全概述
2401_84466361的博客
08-04 1609
举个例子:现在很多服务都是托管在云上面,如果一个子域名曾经使用过,并且对外提供了服务,在下线服务的时候没有移除相应的DNS记录,同一个云上的其他用户就有可能使用原服务相同的公网IP。也有一些运营商,出于某种目的,会支持DNS流量,但是其提供的硬件资源不够,引起DNS解析异常缓慢甚至超时,严重影响用户体验。是一种由DNS客户端(通常是用户的应用程序,如一个浏览器)向本地DNS解析器发出解析请求,然后本地DNS解析器负责查询最终结果并将结果返回给客户端,而中间的所有查询请求都由本地DNS解析器代替客户端完成。
网络安全主动防御技术与应用
Hacker_xingchen的博客
01-10 1065
然后对一定的攻击模式,给出相应的3R策略:抵抗(Resistance)、识别(Recognition)恢复(Recovery),并将系统分为正常服务模式被黑客利用的入侵模式,给出系统需要重点保护的基本功能服务关键信息,针对两种模式分析系统的3R策略,找出弱点并改进;最后根据使用入侵模式的变化重复以上的过程。可信计算的技术原理是首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。
Graph Mining for Cybersecurity: A Survey——网络安全图挖掘:一项调查——全文翻译
qq_46063079的博客
06-03 1728
Graph Mining for Cybersecurity: A Survey网络安全图形挖掘:一项调查
第8章 通信网络安全
诚邀网络通信领域商务合作
01-18 1428
通信网络安全
DNS安全为何是网络安全的核心?
TOMHAN的博客
11-06 1562
DNS服务的简单分类 对于大多数公司用户来说,DNS可以分为三个基本类别:内部权威DNS,外部权威DNS递归DNS。总的来说,DNS(域名系统)是一个分布式系统,为IP地址映射提供域名,以便用户应用程序可以利用结构化命名约定来记忆连接到分布式的服务,而不是用难记的IP地址访问这些服务。这很像在电话联系人列表中记住朋友或同事的姓名,而不是记住他们的实际电话号码。 内部权威DNS负责回答来...
【2015年第4期】基于统计学习的网络异常行为检测技术
weixin_45585364的博客
01-04 1169
基于统计学习的网络异常行为检测技术 周 涛(北京启明星辰信息安全技术有限公司 北京 100193) 摘要:高级持续性威胁(APT)已经成为企业级安全用户...
如何利用被动DNS(Passive DNS)加强网络安全
2401_84466223的博客
06-17 1599
被动DNS是由Florian Weimer于2004年发明的,用于对抗恶意软件。基本上,递归名称服务器将它们从其他名称服务器接收到的响应记录下来,并将记录的数据复制到一个中央数据库。那么记录的数据会是什么样子呢?好吧,回想一下递归名称服务器的运作方式。在被查询时,它们会检查它们的缓存权威数据以获取答案,如果答案不存在,它们会从一个根名称服务器查询并遵循引荐,直到找到知道答案的权威名称服务器,然后查询其中一个权威名称服务器以检索答案。它看起来像这样:递归名称服务器。
被动DNS与主动DNS结合的安全利器IPBUF
SONBYN
06-19 2482
被动DNS与主动DNS结合的安全利器IPBUF
Passive DNS 被动DNS
FY_2018的博客
12-14 1221
https://archive.farsightsecurity.com/Passive_DNS_Sensor/ https://archive.farsightsecurity.com/Passive_DNS/passive_dns_hardening_handout.pdf https://api.dnsdb.info/ http://www.iseclab.org/papers/bilge-ndss11.pdf https://kb.isc.org/article/AA-00535/119/O
【被动DNS】一个被忽视的安全利器
最新发布
ALLEN'Blog
04-04 1163
被动DNS概念由Florian Weimer在2005年提出,简而言之,被动DNS(PassiveDNS)就是一个存储有公共DNS通信中涉及到的所有域名、服务器IP地址相关的所有历史记录的安全数据库,将实时DNS结果转化为被动DNS数据,以供分析使用。若没有被动DNS的引入,一旦DNS记录发生变更,经过一段很短时间的传播,原有DNS记录将在网络上消失的无影无踪。
探索网络安全的新工具:PassiveDNS
gitblog_00064的博客
05-09 490
探索网络安全的新工具:PassiveDNS 项目简介 PassiveDNS 是一个强大的工具,它能够被动地收集网络上的DNS记录,用于安全事件响应、网络安全监控以及一般的数字取证工作。通过监听接口或读取pcap文件,PassiveDNSDNS服务器的回答记录到日志文件中,帮助分析师快速洞察网络活动的细节。 项目技术分析 PassiveDNS 支持IPv4IPv6环境,解析TCPUDP协议上的...
什么是被动DNS (Passive DNS)
WhoisXMLAPI的博客
11-06 1088
介绍什么是被动DNS,以及有什么用处
预警级别的威胁情报(一)
makaisghr的专栏
07-04 2300
概述 很多人认为威胁情报只能做事后检测,这其实是不全面、不正确的。通过对黑灰产以及APT组织攻击历史数据的分析,我们可以发现其使用的IT资产存在一定的关联特征。利用这种关联特征,不仅可以提高事后检测能力,也可以提供预警能力,即对攻击者可能的发动攻击进行预警,提供可能使用的相关IT数据。 在域名方面,Passive DNS数据可以让预警情报成为可能。 Passive DNS ...
Cisco ISP网络工程配置与安全实战手册
这部分内容涉及设备命名规范、日志集中管理、SNMP监控集成、NetFlow流量分析、NTP时间同步、AAA安全认证框架(包括RADIUSTACACS+协议的应用),以及基于CLI的脚本自动化配置方法。这些特性对于构建统一运维体系、...
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值