يُعتبر النفاذ عبر نظام أسماء النطاقات DNS طريقة شائعة يستخدمها القراصنة لاستغلال خدمة DNS لأغراض خبيثة، مثل استخراج بيانات حساسة من المنظمة أو إدخال برمجيات خبيثة. يشرح هذا المقال كيفية حماية محرك IPS في سحابة كاتو لشبكتك من هجمات البرمجيات الخبيثة التي تستخدم النفاذ عبر نظام أسماء النطاقات DNS.
عند تكوين سياسة IPS لحظر المرور، فإن هذا يمكن أيضًا الحماية عن طريق شبكة كاتو السحابية ضد هجمات النفاذ عبر DNS لحسابك.
تحلل شبكة كاتو السحابية طلبات DNS وتحدد الهجمات المحتملة للنظام بناءً على هذه الخصائص:
-
حجم الحزم – قد يشير طول الطلبات إلى وجود اتصالات غير عادية عبر نظام DNS. تعتبر حزم DNS الكبيرة غير عادية وتدل على هجوم محتمل.
-
نوع السجل – تعد سجلات الموارد (RR) التي تربط النطاقات بعناوين IP (مثل سجلات A وAAAA) الأكثر شيوعًا في استخدام بروتوكول DNS لكنها تقتصر على طول استجابة قصيرة. عند تبادل البيانات عبر DNS، قد يتغير استخدام RR للسماح بنقل المزيد من البيانات ويمكن أن يشير ذلك إلى هجوم.
-
نسبة الفريدة – من المحتمل أن تكون استعلامات وردود DNS التي تحمل معلومات مشفرة فريدة من نوعها. عندما يوجد مستوى عال من النطاقات الفرعية الفريدة في استعلام، يمكن أن يشير هذا إلى هجوم.
لحماية العملاء من النفاذ عبر DNS المتعلق بالقراصنة الخبيثين، تستخدم كاتو خوارزميات تعلم الآلة لكشف الشذوذ في كل استعلامات DNS الصادرة. يتم تحليل حركة مرور DNS بين كل موقع متصل بشبكة كاتو السحابية وكل نطاق فريد بشكل غير مباشر خلال فترة زمنية مدتها 24 ساعة. النطاقات ذات السمعة المنخفضة التي تتلقى استعلامات DNS شاذة متكررة يتم تسجيلها تلقائيًا في اليوم التالي. ثم تتمكن سياسة IPS لجميع الحسابات من حظر حركة مرور DNS ذات الصلة لهذه النطاقات.
علاوة على ذلك، تمنع كاتو استخراج البيانات عبر النفاذ عبر DNS باستخدام مجموعة من الاستدراكات التي تنبه IPS لحظر المرور. تم اختبار هذه الاستدراكات على عدة أدوات وتقنيات نفاذ DNS. يتم تحقيق هذا المنع في الوقت الحقيقي حتى دون معرفة جهة التهديد أو اسم النطاق، ويكمل خوارزميات تعلم الآلة الخاصة بكاتو.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.