도메인 이름 시스템(DNS) 터널링은 해커가 DNS 서비스를 악의적 목적으로 이용하는 일반적인 방법으로, 민감한 조직 데이터를 빼내거나 악성 소프트웨어를 침투시키는 데 사용됩니다. 이 문서에서는 Cato 클라우드의 IPS 엔진이 DNS 터널링 악성 소프트웨어 공격으로부터 네트워크를 어떻게 보호하는지 설명합니다.
IPS 정책을 구성하여 트래픽을 차단하면 이는 계정에 대해 Cato 클라우드의 DNS 터널링 공격에 대한 보호도 활성화합니다.
Cato 클라우드는 DNS 요청을 분석하고 이러한 속성을 기반으로 잠재적인 DNS 터널링 공격을 식별합니다:
-
패킷 크기 – 요청의 길이는 DNS에서 이상 통신을 나타낼 수 있습니다. 대형 DNS 패킷은 이상 현상이며 잠재적인 공격을 나타냅니다.
-
레코드 유형 – 도메인을 IP 주소에 매핑하는 리소스 레코드(RR)(예: A 및 AAAA 레코드)는 DNS 프로토콜 사용에서 가장 일반적이지만 응답 길이는 제한됩니다. DNS를 통해 데이터를 교환할 때, RR의 사용은 더 많은 데이터를 전송할 수 있도록 달라질 수 있으며 이는 공격을 나타낼 수 있습니다.
-
고유 비율 – 인코딩된 정보를 실은 DNS 쿼리와 응답은 고유할 가능성이 큽니다. 쿼리에서 고유한 서브도메인의 수준이 높으면, 이는 공격을 나타낼 수 있습니다.
악의적 해커와 관련된 DNS 터널링으로부터 고객을 보호하기 위해, Cato는 모든 아웃바운드 DNS 쿼리에 이상 활동을 감지하기 위해 머신 러닝 알고리즘을 사용합니다. Cato 클라우드에 연결된 각 사이트와 각 고유 도메인 간의 DNS 트래픽은 24시간 동안 오프라인으로 분석됩니다. 자주 이상한 DNS 쿼리를 받는 낮은 평판의 도메인은 다음 날 자동으로 등록됨입니다. 그런 다음 모든 계정에 대해 IPS 정책은 이 도메인에 대한 관련 DNS 트래픽을 차단할 수 있습니다.
또한, Cato는 트래픽을 차단하기 위해 IPS를 트리거하는 일련의 휴리스틱을 사용하여 DNS 터널링을 통한 데이터 유출을 방지합니다. 이러한 휴리스틱은 여러 DNS 터널링 도구와 기술에서 테스트되었습니다. 이 실시간 방지는 위협 행위자나 도메인 이름을 알지 못하더라도 실현되며, Cato의 머신 러닝 알고리즘을 보완합니다.
댓글 0개
댓글을 남기려면 로그인하세요.