Como Monitorar o Tráfego DNS Contra Ameaças
Aqui estão vários métodos para monitorar o tráfego DNS contra as ameaças de segurança. Ouça tudo o que os outros tem a dizer sobre segurança de servidores e aplique as melhores práticas no seu servidor web, para garantir a permanência do seu site online, sem ameaças. O monitoramento constante pode lhe deixar mais tranquilo e com a preocupação perto do zero.
[wpsm_titlebox title=”Índice” style=”1″][contents h2 h3][/wpsm_titlebox]
Ataques de negação de serviço distribuído – DDoS, assistidos por botnet são uma das formas mais comuns de abuso de rede. Em outubro de 2016, grande parte da Internet foi paralisada por um ataque cibernético que usou uma nova arma chamada botnet Mirai. De acordo com especialistas, este foi o maior de seu tipo na história. O botnet atacou os servidores da Dyn – uma empresa que controla grande parte da infraestrutura do sistema de nomes de domínio – DNS, da Internet.
A interrupção foi o resultado de um ataque DDoS, em que uma rede de computadores infectados por um botnet, causando todo o estrago. Esse tipos de ataque é usado para bombardear um servidor com tráfego até que ele desmorone sob a pressão. Para proteger seu provedor de serviços de ataques semelhantes, sua equipe de mesa de abuso precisa monitorar o tráfego de DNS.
Aqui Estão 5 maneiras de Monitorar o Tráfego DNS Contra Ameaças
Tendências recentes mostram que os criminosos cibernéticos podem criar domínios dinâmicos como centros de comando e controle. Esses domínios são ativados por um período muito curto e, em seguida, descartados, o que torna as verificações acima ainda mais importantes. Então, tente livrar-se destas ameaças usando ferramentas para monitorar o tráfego DNS, como estas 5:
1 – Definindo Regras de Firewalls
Vamos começar pelo sistema de segurança mais prevalente: o seu firewall. Todos os firewalls devem permitem que você defina regras para evitar spoofing IP. Incluir uma regra para negar consultas DNS de endereços IP fora do seu espaço de números atribuídos para evitar que seu nome resolvedor de ser explorado como um refletor aberto em ataques DDoS.
Em seguida, permitir a inspeção do tráfego DNS para padrões de bytes suspeitos ou tráfego DNS anômalo para bloquear software servidor de nomes explorar ataques.
Documentação descrevendo como firewalls populares fornecer esse recurso está prontamente disponível por exemplo, Palo Alto Networks, Cisco Systems, WatchGuard. Sonicwall e Palo Alto pode detectar e bloquear certos DNS tráfego de túnel, também.
2 – Sistemas de Detecção de Intrusão
Um sistema de detecção de intrusão eficaz permite criar regras que permitem relatar solicitações de DNS de redes não autorizadas. É benéfico compor regras para monitorar o tráfego DNS, para contar ou relatar:
- Respostas NXDomain.
- Consultas DNS via TCP.
- Respostas que contêm registros de recursos com TTLs curtos.
- Respostas DNS excepcionalmente grandes.
- Consultas DNS para portas não padrão.
Todas as consultas DNS devem ser revisadas cuidadosamente. Os sistemas de detecção de intrusão, ideais para monitorar o tráfego DNS, podem ser integrados em firewalls, o que permitirá que você negue ou permita regras para muitas das verificações listadas acima.
Se você usa Snort, Suricata, ou OSSEC, você pode compor regras para relatar pedidos DNS de clientes não autorizados. Você também pode compor regras para contar ou relatório NXDOMAIN respostas, respostas contendo registros de recursos com TTLs curtos, consultas DNS feitas usando TCP, as consultas ao DNS para os portos não padronizados, suspeitosamente grandes respostas DNS, etc.
Qualquer valor em qualquer campo da consulta DNS ou resposta mensagem é basicamente um jogo. Você está essencialmente limitado apenas pela sua imaginação e domínio de DNS. Serviços de prevenção de intrusão em firewalls fornecem permitir ou negar regras para muitos dos mais comuns destes controlos.
3 – Analisadores de Tráfego
Uma das melhores maneiras de identificar o tráfego de malware prejudicial é uma análise de tráfego passiva. Um analisador de tráfego permitirá que você capture e filtre o tráfego DNS entre um dispositivo e seu resolvedor recursivo local, que você pode salvar em um arquivo PCAP.
Os webmasters devem criar scripts para pesquisar o arquivo PCAP para identificar atividades suspeitas específicas. PCAP é um formato de arquivo usado por aplicativos para monitorar o tráfego de rede.
Os casos de uso para ambos Wireshark e Bro mostram que a análise de tráfego passivo pode ser útil na identificação de tráfego de malware. Então, ao monitorar o tráfego DNS, você pode capturar e filtrar o tráfego DNS entre seus clientes e seu resolver. E pode salvar em um arquivo PCAP.
- Crie scripts para procurar a PCAP para as atividades suspeitas específicas que estão a investigar ou use PacketQ originalmente DNS2DB a consulta SQL do arquivo PCAP diretamente.
- Lembre-se de bloquear seus clientes de utilizar qualquer resolvedor ou porta fora do padrão diferente de seus resolvedores locais.
4 – Replicação DNS Passiva
Isso envolve o uso de sensores em resolvedores para criar um banco de dados que contém todas as transações DNS consulta ou resposta através de um par resolvedor ou conjunto de resolvedores. Incluindo dados de DNS passivos em sua análise pode ser fundamental na identificação de domínios de malware, especialmente nos casos em que o malwares usa nomes de domínio gerados por algoritmos DGAS.
Palo Alto Networks, firewalls e sistemas de gestão de segurança que usam Suricata como motor IDS, AlienVault USM ou OSSIM são exemplos de sistemas de segurança que podem monitorar o tráfego DNS. Tudo isso de forma passiva com IPS para bloquear domínios maliciosos conhecidos.
5 – Registrando o Seu Resolvedor
Os logs de seus resolvedores locais são uma fonte de dados última e talvez mais óbvia para investigar o tráfego DNS. Com o log habilitado, você pode usar ferramentas como Splunk mais getwatchlist ou OSSEC para coletar logs do servidor DNS e explorar para domínios maliciosos conhecidos.
Existem milhões de resolvedores DNS, mas muitos deles estão configurados incorretamente e podem ser usados em um ataque de amplificação DDoS no DNS. A sua meta é monitorar o tráfego DNS no sentido de evitar e não de corrigir.
Para detectar se seus resolvedores de DNS estão sendo abusados, você pode monitorar os registros do servidor DNS para procurar hosts maliciosos, fazendo um grande número de consultas em um curto período de tempo ou solicitando o mesmo nome com uma grande resposta de DNS várias vezes mais do mesmo IP.
Por que o tráfego DNS é importante?
O DNS tem uma função importante na forma como os usuários finais de sua empresa se conectam à Internet. Cada conexão feita a um domínio pelos dispositivos clientes é registrada nos logs de DNS. Inspecionar o tráfego de DNS entre os dispositivos clientes e seu resolvedor recursivo local pode revelar uma riqueza de informações para análise forense.
As consultas DNS podem revelar:
- Botnets e malware conectando-se a servidores.
- Quais sites visitados por um funcionário.
- E quais domínios maliciosos e DGA foram acessados.
- E domínios dinâmicos – DynDNS acessaram.
- Detecção de ataque DDOS como NXDomain, domínio fantasma. subdomínio aleatório.
Sinais suspeitos para analisar e monitorar o tráfego DNS
É importante prestar atenção a qualquer sinal potencial de atividade maliciosa em sua rede. Então, recomendamos analisar as características de composição e comprimento das respostas DNS. Isso pode ajudar a identificar intenções maliciosas com as ferramentas para monitorar o tráfego DNS.
- Se as mensagens de resposta forem excepcionalmente grandes, isso pode ser um ataque de amplificação.
- Você também deve revisar a resposta ou seções adicionais da mensagem de resposta, o que pode ser um sinal de envenenamento do cache.
[wpsm_toggle title=”Qual é a necessidade de monitoramento de DNS?”]
O monitoramento de DNS é fundamental para manter a credibilidade de seus servidores e evitar violações de segurança. É tão importante para a segurança de seus usuários quanto para a segurança de seus sites e serviços.
[/wpsm_toggle]
[wpsm_toggle title=”O que é envenenamento de DNS?”]
O envenenamento de DNS; também conhecido como envenenamento de cache de DNS ou falsificação de DNS; usa lacunas de segurança no protocolo DNS para redirecionar o tráfego da Internet para sites maliciosos. Os ataques de envenenamento de DNS exploram vulnerabilidades incorporadas ao DNS desde o início.
[/wpsm_toggle]
Palavras Finais
Depois destas dicas, ainda sabemos que o maior risco para um site é quando seu proprietário, ou administrador o ignora, o que não será uma felicidade quando você sofrer um ataque cibernético. Existem várias formas de monitoramento de DNS que permitirão que você exponha ameaças e mantenha seu site seguro. Cabe ao administrador do site determinar a estratégia certa para detectar atividades suspeitas ou maliciosas em sua rede. Certifique-se de estar sempre atendo e nunca baixar a guarda.