OneDNS的安全防护原理是什么,为什么DNS能拦截木马病毒和去广告?
目次
记住一个数字:91.3%。
超越91.3%的歹意软件和远控木马的通信和DNS有关。
那个数字那可不是我瞎扯的,是2019年思科(Cisco)公司
的一份平安调研陈述里说的。
那么问题来了:DNS是什么?为什么那么大比例的黑客攻击和DNS有关?既然如斯,是不是从DNS动手就能处理相当一部门的收集平安问题呢?用DNS做平安防护的大致原理是什么?为了赐顾帮衬所有专业条理的读者,我尽量答复得浅近一些,那篇答复的左侧有目次,专业读者能够选择阅读。
DNS是什么?DNS是“互联网世界的通信录”,一台机器要和另一台机器通信,得晓得对方的IP地址。就像你打德律风给伴侣,得晓得号码。
德律风号码欠好记,就有了通信录,IP地址欠好记,就有了DNS域名系统(也就是各人常说的「网址」)。
你打德律风给伴侣,能够从通信录里搜出名字,通信录会主动帮你转换(解析)成手机号码拨过去。
同样,你的电脑要拜候一个网站,好比http://hornpub.com,电脑会主动跑去问DNS系统,DNS系统会把网址解析成IP地址,于是你就能够愉快地拜候那个网站啦~ 为什么收集威胁经常和DNS有关?我们无妨想一想,黑客为什么要入侵一个目的?图什么?无外乎三个原因:
图财,目的的数据资产很值钱图色(bushi目的是一个关键的收集设备或者机构,好比电站、运营商之类的,有战略意义你的防御形同虚设,或者底子没有防御,黑客随意进来逛逛,留个木马,等着看有没有什么有价值的工具既然如斯,黑客打进去之后,第一件事是什么?留下来!
打进来之后,留下一个木马或者后门法式之类的,确保驻留(不被发现和肃清掉),再想法子连进来,跟黑客成立远控通信,便利下发指令和收受接管数据,之后才是内网扩散和数据窃取。
就像谍战片里,间谍暗藏进去之后,先要确保不被发现,尽快跟上级成立通信,承受上级的动作号令,然后才是下一步动作。
那也不是我瞎扯,是美国更大的军火商洛克希德马丁公司(Lockheed Martin)提出的“收集攻击链”( Cyber Kill Chain)模子,也被称为“收集杀伤链”模子,已经被普遍认同。
既然木马要连进来,跟它的仆人成立毗连,就大要率需要用到DNS系统,不然很可能找不到远控办事器的IP地址,连不上(连不上远控办事器的木马就像断线的风筝,根本废了一多半)。
可能有人要说了:黑客就不克不及间接把远控办事器的IP地址写到木马里,间接用IP地址回连么?有
能够是能够,但没需要,凡是黑客也不会那么做,因为有个大问题:
间接把IP地址写到木马里,万一碰着像 @微步在线如许的收集平安专家,抓住木马,一顿严刑拷打(破解),木马就会把它仆人的远控IP「招供」出来。
轻则被屏障,废掉一个IP地址,心疼半天(一个IP地址还挺贵的),重则表露IP地址,被差人叔叔顺着IP地址找过来,赠送一对银色手镯。
比拟之下,域名就廉价得多,黑客能够申请一大堆,用域名指向IP地址,废掉一个域名就再换一个,不心疼。
攻击者们还想出一个十分骚的操做:用DGA(域名生成算法)主动生成成千上万个备选域名,在需要成立长途毗连的时候,根据算法从中挑选几个域名注册,就能成立毗连。
想象一下:你抓到一个间谍,严刑拷打,让他供出幕后主使,成果它一口气招供出来几万小我的名字,搞得你那个审问员都懵了。
审问员:你的幕后主使是谁,快说!
木马:“我说我说,有张三、赵四、王五、小六、蒸羊羔、蒸熊掌、蒸鹿尾儿、烧花鸭、烧雏鸡、烧子鹅,卤猪、卤鸭、酱鸡、腊肉……”
审问员:“……”
挨个去查,发现大部门查无此人,因为那些域名没有被启用。
幕后黑客需要长途通信时,会临时注册此中某个域名,下发完指令就立即弃用,下一次换用另一个。
既然黑客爱用域名,就需要DNS来解析,那就解释了为什么许多收集威胁和DNS有关,以及,为什么能够从DNS动手做平安防护。 DNS怎么用来做收集平安防护?通俗的DNS系统,就像一个老好人,谁来求他解析,他都尽力而为。
有平安才能的DNS系统,就像一个侦探拿着一本通信录,认实分辨每一次DNS解析恳求。
一旦发现某一个恳求域名和黑客团伙有关,就不给它一般解析,而且告警。
如许一来,木马就没法长途通信,平安人员也能立即晓得内部有机器已经失陷。
我家的OneDNS就属于那种有平安才能的DNS,国外也有类似的产物,好比思科公司的Umbrella。
若何判断歹意和一般的解析恳求?
问题又来了:像OneDNS那类有平安防护才能的DNS系统凭什么判断哪些域名恳求是歹意的呢?答:次要靠「威胁谍报碰碰
」。
平安DNS对接了一个威胁谍报云,谍报云里聚集了海量的谍报数据,平安DNS会把每一条域名恳求和云端的谍报来「碰碰」比对,一旦射中某一条谍报,就立即拦截并告警。
若是我们把DNS比做小区保安老王,威胁谍报就是老王认识的各类动静路径:黑道白道,三教九流,道上有什么功德坏事他都门清,天然能分辨威胁。
当然,海量的谍报,老王不克不及每一条谍报都用,必需有选择性的用,不然很可能会误伤一般的域名恳求。
那就十分考验威胁谍报的量量。
一个好的威胁谍报云,背后都有一个复杂模子,抓取海量数据,颠末层层挑选,把最有用、最精华、最准确的那部门给DNS办事,如许才气制止误报,阐扬平安DNS的价值。
DNS平安防护的大致原理就是如许:一个好的平安DNS=十分好的解析才能+十分好的谍报才能。
最初,我也保举企业、家庭和小我都利用OneDNS那种有平安才能的DNS,原因很简单:DNS就像是你公司、家里的一道门,每天进进出出都要用,平安DNS就像是一条自带监控就警报功用的防盗门——归正你都要拆门,为什么不拆一条防盗门?
想领会更多详情的话,能够去戳那里:OneDNS官网 看看。
2022年7月19日更新:
底下有一些不太友善的知友在量疑OneDNS,我就纷歧一掰扯了,在那里同一回应一下:
我其实不指望用OneDNS处理所有平安问题,所以我司还有其他许多产物。
收集平安没有银弹(全能药)已经是行业共识,你不克不及因为一个产物不克不及处理所有问题,就说它没用。
就像,平安带不克不及处理一切交通平安问题,但你也不克不及说“平安带没有用”——它显然能够用极小的代价,极大提拔平安程度。
至于在DNS在层面来做平安防护有没有用的问题,我也不想做过多细节讨论,良多大型银行、证券公司、互联网大厂都在用OneDNS。思科公司(Cisco)也推出了一款叫Umbrella的基于DNS的平安产物,像我们熟知的福特汽车公司等都在利用。那些都能佐证,在DNS层面做平安防护长短常可行,遭到普遍承认的。