域名系统 (DNS) 隧道是一种常见方法,黑客利用 DNS 服务进行恶意活动,如泄露敏感组织数据或植入恶意软件。 本文解释了 Cato Cloud 中的 IPS 引擎如何保护您的网络免受 DNS 隧道恶意软件攻击。
当您配置IPS策略以阻止流量时,这也会为您的账户启用 Cato Cloud 针对 DNS 隧道攻击的保护。
Cato Cloud 分析 DNS 请求并根据以下特性识别潜在的 DNS 隧道攻击:
-
数据包大小——请求的长度可能表明 DNS 上的异常通信。 大型 DNS 数据包是异常的,表明潜在攻击。
-
记录类型——将域名映射到IP地址的资源记录(如A和AAAA记录)是DNS协议中最常用的,但其响应长度受限制。 在通过DNS交换数据时,RR的使用可能会变化以允许更多数据的传输,这可以指示攻击。
-
唯一比率——携带编码信息的 DNS 查询和响应可能是唯一的。 当查询中存在大量唯一子域时,这可能表明攻击。
为了保护客户免受与恶意黑客相关的DNS隧道攻击,Cato使用机器学习算法检测所有出站DNS查询中的异常。 连接到 Cato Cloud 的每个站点与每个唯一域名之间的 DNS 流量会在 24 小时内离线分析。 声誉低的域名在收到频繁的异常 DNS 查询后会在第二天自动登录。 然后,所有账户的 IPS 策略可以阻止这些域名的相关 DNS 流量。
此外,Cato 使用一组触发器阻止流量的启发式方法阻止通过 DNS 隧道的数据泄露。 这些启发式方法已在多个 DNS 隧道工具和技术上进行了测试。 即使在不知道威胁行为者或域名的情况下,也可以实现这种实时预防,并补充 Cato 的机器学习算法。
0 条评论
请登录写评论。