二五分商业网络中DNS隧道的证据
来自网络控制公司Infoblox的最新安全报告显示DNS隧道的二分之二出现了DNS隧道的证据。
DNS隧道是用于在域名系统(DNS)上发送和接收数据包(DNS)的技术,该技术被旨在将域名(如ComputerWeekLy.com)转换为206.19.49.154等IP地址,因此没有固有的安全性或监控能力。
根据该公司第二季度2016年第二季度的安全评估报告,DNS隧道活动是一项重要的安全威胁,可以在网络中指示网络内的恶意软件或数据消除。
该报告称,559个捕获DNS流量的文件上传到InfoBlox,以评估来自各种行业和地理位置的248名客户。可疑DNS活动的证据,例如尝试达到已知的恶意互联网位置,以66%的文件存在。
该报告称,DNS隧道的普遍率是本季度突出的趋势之一,并指出网络犯罪分子知道DNS是一个完善和可信赖的协议,而且许多组织不会检查他们的恶意活动的DNS流量。
该报告称,DNS隧道使网络犯罪分子能够将恶意软件插入恶意软件或将被盗信息传递到DNS查询中,创建封面通信通道,该通信通道绕过大多数防火墙。
虽然DNS隧道的准合法用途,但许多情况都是恶意的。互联网上有几种现成的隧道工具包,可在互联网上提供网络犯罪分子,具有相对较少的技术专长来安装DNS隧道攻击。
根据Infoblox,DNS隧道通常是非常复杂的攻击中的元素,包括由国家州赞助或直接管理的元素。例如,最近未发现的项目Sauron - 可能由政府赞助的一个特别高级的威胁 - 使用DNS隧道进行数据exfiltration。
“在物质世界中,当你加强并锁定前门时,窃贼会去后门。当你然后保护后门,他们将通过一个窗口爬上,“Infoblox在网络安全副总裁Rod Rasmussen说。
“网络安全是一样的。DNS隧道的广泛证据显示各级网络罪犯完全了解机会。除非他们有用于发现和防止DNS隧道的工具,否则组织无法完全安全。“
Infoblox在第二季度逐渐发现的特定安全威胁,排名百分比,包括:
协议异常 - 48%DNS隧道 - 40%Botnets - 35%放大和反射交通 - 17%分布式拒绝服务(DDOS)交通 - 14%赎金瓶 - 13%“虽然这些威胁是严重的,但DNS也可以是网络内的强大的安全执法点,”Rasmussen指出。
“当检测到可疑DNS活动时,网络管理员和安全团队可以使用此信息快速识别和修复受感染的设备,并可以使用DNS防火墙,以防止网络内的恶意软件与命令和控制服务器进行通信,”他说。
