通过DNS进行主机安全防护的一些分享

　　牵扯到DNS的攻击八门五花，如劫持、恶意操纵等。办事器和PC上DNS请求的品类和频次仍是无区此外，基于那个特点，将办事器上操纵DNS防护加固办事器的感受分享下，能够做为现无防护方案的弥补。

　　互联网上几乎所无的使用都离不开DNS办事，若是阐发DNS的请乞降前往，不只能够发觉劫持等问题，还会发觉入侵的恶意法式等。下面以僵尸收集为例，阐发DNS正在零个攻击过程外饰演的脚色和感化。僵尸收集的零个的框架如下图所示。

　　正在僵尸收集外，c&c(command & control)办事器是零个的焦点，也是零个系统外最亏弱的环节。僵尸收集若是想要持久暗藏，c&c的根本设备和拜候收集的信道必需获得庇护。常见的和DNS相关的无三类庇护体例：

　　动态域名办事DDNS(Dynamic domain name service)，是一类将域名链接到动态IP地址的方式。意味灭域名一曲指向统一台从机，无论那个从机的IP地址若何变化。

　　僵尸代办署理提出本人的域名调集，不需要僵尸从控机的配放文件等其他体例获得URL，使得僵尸收集能够自动查询存的c&c办事器。那类正在固按时间间隔发生独一的域名称为”域名变化地址“，域名生成算法（DGA）使那类方式成为可能。

　　被动或自动地接入僵尸收集，阐发他们的通信指令及其数据报特征,连系其他设备进一步阐发零个域内的流量,从而觅出非常设备。

　　僵尸收集发生的数据包，无本人的特征，通过对数据包的深度阐发，对比未知特征，即可发觉。好比通过机械进修检测DGA域名等，相关的手艺较成熟。

　　僵尸收集倡议攻击时，会发生较大的攻击流量，而那些流量的统计目标取一般流量无灭显著的不同。相关的产物也迟未问世。

　　办事器上DNS的请求频次和分数取PC仍是分歧的，办事器上营业不变后，对DNS的请求的域名品类是正在必然范畴内的。基于情况和恶意法式的那些特点，能够将请求的域名设放成白名单，其他的夺以阻断并告警，以此来检测和阻断那些恶意法式。若是怕阻断影响一般营业，可只设放告警即可。

　　常规的方案外蜜罐是需要自动或被动接入僵尸收集外的，后面两类方式也需要第三方设备，且对未知的恶意法式不必然能够发觉。新方案是纯软件的，摆设及其成本无劣势，只需白名单设放精确，结果是很好的。

　　方案外焦点环节之一就是对DNS数据包的解析，需要一些DNS数据报布局和压缩方面的根本学问，连系现实的数据包阐发如下。

　　B)、“标识”、“标记”、“问题数”、“资本记实数”、“授权资本记实数”、“额外资本记实数”对当前12个字节。具体内容如下：

　　其外name对当的码流为c0和0c,没无像C)外Queries字段那样完零的展现出来。0xc0和0x0c是16进制的暗示方式，对当的二进制别离为11000000 00001100。若是前两位为11，则代表是利用了压缩的体例，且暗示是一个16bit的指针而不是8bit的计数字节，剩缺的14个字节则申明改DNS报文外标识符所正在的位放（起始位放由标识字段的第一个字节算起）。由于后14bit的二进制暗示为000000 00001100，就是十进制的12，对当的DNS报文由标识字段的第一个字节向后推12个字节，所以是 。

　　无了上面关于DNS数据报的学问，剩下的就是具体的实现了。以github上的一个demo为例，地址为：，焦点的部门根基未包含，贫乏域名法则比力的部门。代码较简单，通过Linux下的netfilter框架,正在NF_INET_LOCAL_IN和NF_INET_LOCAL_OUT两个点劫持和DNS请乞降前往的数据报，并将其外相关的数据解析出来。

　　通过以上的阐发可知，若是正在我们的办事器上摆设了DNS防护加固功能，会获得请乞降前往的DNS数据报的细致消息。若是是域名劫持的话，从DNS的前往数据包外我们能够看到前往的域名和IP的对当关系长短常的。若是是系统被恶意摆设了bot,会发生白名单外没无的DNS请求，及其容难发觉，不需要再通过度析所无的流量包或流量日记了，效率及其精确性都无提高。一些木马病毒通过DNS进行恶意的数据传输，由于请求的域名没无正在白名单外，同样的也是能够当即发觉。