ドメイン名システム (DNS) トンネリングは、ハッカーが組織の機密データを流出させたり、マルウェアを侵入させたりする目的でDNSサービスを悪用する一般的な方法です。 この記事は、Cato Cloud における IPS エンジンが DNS トンネリングによるマルウェア攻撃からネットワークをどのように保護するかについて説明します。
IPS ポリシーを設定してトラフィックをブロックする場合、これはまた、アカウントに対する Cato Cloud の DNS トンネリング攻撃防御を有効にします。
Cato CloudはDNSリクエストを分析し、次の特性に基づいて潜在的なDNSトンネリング攻撃を特定します:
-
パケットサイズ – リクエストの長さは、DNS 上での異常通信を示す可能性があります。 大きい DNS パケットは異常であり、潜在的な攻撃を示します。
-
レコード種類 – ドメインをIPアドレスにマッピングするリソースレコード(AレコードやAAAAレコードなど)は、DNSプロトコルの使用において最も一般的ですが、応答の長さが短く制限されています。 DNS 上でデータを交換する際、より多くのデータを運ぶために RR の使用法が変わり、攻撃を示す可能性があります。
-
一意比率 - エンコードされた情報を運ぶ DNS クエリと応答は、一意である可能性があります。 クエリに多くの一意のサブドメインが存在する場合、これは攻撃を示す可能性があります。
Catoは、悪意のあるハッカーに関連するDNSトンネリングから顧客を守るために、すべての発信DNSクエリの異常を検出するために機械学習アルゴリズムを使用します。 Cato Cloud に接続されている各 サイト と各一意のドメイン間の DNS トラフィックは、24 時間の期間でオフラインで分析されます。 低い 評判 のドメインで頻繁に異常な DNS クエリを受け取るものは、翌日に自動的にサインインされます。 その後、すべての アカウント の IPS ポリシー は、これらのドメインに対する関連する DNS トラフィックをブロックすることができます。
さらに、Cato はトラフィックをブロックするように IPS をトリガーするヒューリスティクスのセットを使用し、DNS トンネリングによるデータ漏洩を防止します。 これらのヒューリスティクスは、複数の DNS トンネリングツールおよび手法でテストされています。 このリアルタイムの防止は、脅威アクターまたはドメイン名を知らなくても達成され、Cato の機械学習アルゴリズムを補完します。
0件のコメント
サインインしてコメントを残してください。