【网络安全】Suspicious DNS Query(可疑的DNS查询)

文章目录

    • 名词解释
    • 可能原因分析
    • Action sinkhole
    • 在防火墙里面查询Suspicious DNS Query
    • 预防Suspicious DNS查询带来的风险
    • 推荐阅读

名词解释

“Suspicious DNS Query(可疑的DNS查询)”通常指的是在网络中检测到的可能具有风险或异常行为的DNS(Domain Name System,域名系统)查询。

DNS查询是计算机在访问互联网上的网站或服务时进行的操作,它将域名转换为相应的IP地址。当网络安全系统或工具检测到某些DNS查询模式或行为异常时,会标记为“Suspicious DNS Query”。
筛选指令:name-of-threatid eq 'Suspicious DNS Query (generic:zxapp.ztems.com)'
在这里插入图片描述

可能原因分析

当 DNS 查询被认为是可疑时,这可能是由于以下原因之一:

  • 异常流量
    如果某个客户端源发起大量超出正常范围的不寻常的 DNS 查询,特别是短时间内对一个或者多个不同域名进行查询,这可能表明正在进行某种形式的扫描、攻击或恶意软件活动。
  • 恶意域名
    如果查询的目标域名与已知的恶意网站、僵尸网络命令和控制服务器或其他恶意在线资源有关联,则这些查询也会被标记为Suspicious DNS。
  • 未知的 TLD 或 SLD
    对于非常罕见的顶级域(TLD)或二级域(SLD),尤其是刚刚才创建或尚未广泛使用的,其查询行为可能会被识别为suspicious DNS。
  • 非标准端口使用
    正常情况下,DNS 查询通常在 UDP 端口 53 或 TCP 端口 53 上进行。如果查询通过其他端口发送,比如WEB常用的80或者443端口,这可能是攻击者尝试规避安全策略的一种方法。
  • DNS tunneling
    通过这种技术伪装成DNS 查询来传输其他类型的数据,例如为了绕过防火墙或代理服务器。
  • 数据泄露或信息收集
    有些查询可能是试图找出组织内部网络的结构,或者搜集关于用户浏览习惯的信息。例如通过不断的查询,可能找出企业内部在用的DNS域名和对应的WEB,从而了解内部结果或者根据域名了解WEB系统用途。

Action sinkhole

“Sinkhole”(汇集点)在网络安全领域是指一个特定的安全措施,用于拦截和隔离恶意网络流量或攻击。它可以是一个虚拟的网络设备、服务器或网络节点,旨在吸引、捕获或限制恶意流量。
在这里插入图片描述

在网络安全领域中,Sinkhole代表两种意义

  1. 恶意流量重定向
    当检测到恶意活动时,网络管理员可以将这些流量重定向到 Sinkhole,从而阻止其进一步影响网络中的其他设备。Sinkhole 会“吸引”恶意流量,使其无法达到其真实的目标,并对其进行分析或隔离。

  2. 数据收集和分析
    Sinkhole 可以用于收集有关恶意攻击、恶意软件或网络攻击的数据。这些数据可以帮助安全团队分析攻击方式、识别新的威胁模式,并制定相应的对策。

在防火墙里面查询Suspicious DNS Query

以paloalto 防火墙举例,查询suspicious DNS query,可以在自定义报告中通过以下条件查询:

(threatid geq 619000000) and (threatid leq 619999999)

在paloalto的防火墙中,suspicious DNS query的threatid为619xxxxxx。我们配置的筛选条件是大于619000000,但是小于619999999。
在这里插入图片描述
我们查询了最近七天的threat log,发现有9笔suspicious dns query记录。其中最多的一个suspicious DNS 统计请求有79次。网络安全工程师可以根据查询结果做相应的处理。
在这里插入图片描述

预防Suspicious DNS查询带来的风险

预防可疑 DNS 查询的建议做法可以参考以下几点:

  1. 限制对内外部 DNS 服务器的访问
    尽可能使用内部 DNS 服务器,并限制对互联网上未知或不信任的 DNS 服务器的访问。而对内部DNS服务器,则只允许经过授权的设备访问。

  2. 启用 DNSSEC
    DNS 安全扩展(DNSSEC)是一种可以验证 DNS 响应真实性的技术。启用 DNSSEC 可以防止伪造的 DNS 响应。通过使用数字签名验证 DNS 数据的完整性,DNSSEC 可以提高 DNS 查询的安全性。

  3. 使用专用 DNS 解析服务
    考虑使用专门的安全 DNS 解析服务,如 Quad9、OpenDNS 或 Google Public DNS 等,例如提供恶意网站拦截功能的服务,可信的DNS解析服务通常会提供额外的安全层,比如阻止访问已知的恶意网站。

  4. 使用防火墙和安全软件
    安装并配置防火墙和安全软件来检测和阻止恶意流量,包括可疑的 DNS 查询。

  5. 实施域名过滤和黑名单
    建立域名黑名单,阻止访问已知恶意或可疑的域名。可以在安全设备或者软件中实现,也可以在内网DNS服务器配置黑名单地址不转发解析请求。

  6. 配置DNS缓存
    配置 DNS 缓存以限制非必要的 DNS 查询。通过设置较长的 TTL(生存时间),减少对外部 DNS 服务器的频繁查询,从而降低风险。

  7. 监控DNS流量
    监控 DNS 查询和流量模式,特别是关注异常或不寻常的查询。DNS查询请求通过日志记录,通过专用工具分析。

  8. 提高员工安全意识
    提高员工的安全意识,让他们了解如何识别潜在的钓鱼邮件和其他社会工程攻击,这些攻击可能导致可疑的 DNS 查询。

通过实施这些预防建议,可以帮助降低遭受可疑 DNS 查询的风险,并提高整体网络安全水平。然而,没有一种方法可以完全消除风险,所有的做法都只是降低风险到可以接受的程度或者达到管理者预期。

推荐阅读

  • 【网络安全】网络设备可能面临哪些攻击?
  • 【网络安全】零日漏洞(0day)是什么?如何防范零日攻击?
  • 安全知识普及:了解端点检测与响应 (EDR)对企业的重要性
  • DNS如何在Windows NIC配置多个DNS服务器时完成DNS解析查询

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mfbz.cn/a/244476.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【数据结构】栈和队列超详解!(Stack Queue)

【数据结构】栈和队列超详解!(Stack Queue)

文章目录 前言一、栈1、栈的基本概念2、栈的实现(数组实现)3、栈的基本操作3.1 栈的结构设计3.2 栈常见的基本函数接口 4、栈的实现4.1 初始化栈4.2 栈的销毁4.3 入栈4.4 出栈4.5 判空4.6 长度4.7 获取栈顶元素 完整代码Stack.hStack.cTest.c 二、队列1、…
阅读更多...
点对点协议PPP

点对点协议PPP

目录 一. PPP协议的特点1.1 PPP 协议应满足的需求1.2 PPP 协议的组成 二. PPP协议的帧格式2.1 PPP协议的透明传输2.1.1 同步传输2.1.2 异步传输 三. PPP协议的工作状态 \quad 一. PPP协议的特点 \quad \quad 用户到ISP的链路使用PPP协议 \quad \quad 1.1 PPP 协议应满足的需求 …
阅读更多...
面试题:HashMap 为什么不能一边遍历一遍删除

面试题:HashMap 为什么不能一边遍历一遍删除

文章目录 前言foreach 循环?HashMap 遍历集合并对集合元素进行 remove、put、add1、现象为什么会抛出这个异常呢?2、细究底层原理 前言 上面出现这样的原因是在使用 foreach 对 HashMap 进行遍历时,同时进行 put 赋值操作会有问题&#xff0c…
阅读更多...
6-6 堆排序 分数 10

6-6 堆排序 分数 10

typedef int Datatype; typedef struct {Datatype* elem; int Length; }SqList; typedef SqList HeapType; void swap(int* a, int* b) {int tmp *a;*a *b;*b tmp; } //建大堆 //m: 结点个数 s: 待下调父结点下标 void HeapAdjust(HeapType H, int s, int m) {int child …
阅读更多...
骨传导耳机和开放式耳机哪个对听力的损伤小一些?

骨传导耳机和开放式耳机哪个对听力的损伤小一些?

先说结论,骨传导耳机对听力的损伤更小,并且更值得入手。 其实骨传导耳机也算开放式耳机的一种,开放式耳机中又包括了骨传导耳机和气传导耳机,与其说骨传导耳机和入耳式耳机,不如说是骨传导耳机和气传导耳机&#xff0…
阅读更多...
代码随想Day36 | 435. 无重叠区间、763.划分字母区间、56. 合并区间

代码随想Day36 | 435. 无重叠区间、763.划分字母区间、56. 合并区间

435. 无重叠区间 这道题和前一天的射箭题目思想类似,用总区间个数-不重叠的区间个数等于需要去除的区间个数。首先对左边界排序,如果当前的左边界大于等于上一区间的右边界,则说明是一个不重叠的区间,否则,更新上一重…
阅读更多...
基于Web的智慧城市实验室主页系统设计与实现论文

基于Web的智慧城市实验室主页系统设计与实现论文

摘 要 互联网发展至今,无论是其理论还是技术都已经成熟,而且它广泛参与在社会中的方方面面。它让信息都可以通过网络传播,搭配信息管理工具可以很好地为人们提供服务。针对实验室信息管理混乱,出错率高,信息安全性差&…
阅读更多...
Layui实现自定义的table列悬停事件并气泡提示信息

Layui实现自定义的table列悬停事件并气泡提示信息

1、概要 使用layui组件实现table的指定列悬停时提示信息&#xff0c;因为layui组件中没有鼠标悬停事件支持&#xff0c;所以需要结合js原生事件来实现这个功能&#xff0c;并结合layui的tips和列的templte属性气泡提示实现效果。 2、效果图 3、代码案例 <!DOCTYPE html&g…
阅读更多...
Hdfs java API

Hdfs java API

1.在主机上启动hadoop sbin/start-all.sh 这里有一个小窍门&#xff0c;可以在本机上打开8088端口查看三台机器的连接状态&#xff0c;以及可以打开50070端口&#xff0c;查看hdfs文件状况。以我的主虚拟机为例&#xff0c;ip地址为192.168.198.200&#xff0c;所以可以采用下…
阅读更多...
如何处理好面试中的“压力测试”?

如何处理好面试中的“压力测试”?

作为一名求职者&#xff0c;在面试时有时遇到的是压力测试&#xff0c;有时则遇到的是一些无良企业单位&#xff0c;究竟如何把握忍耐的限度&#xff0c;才合格当一个能经受压力的员工&#xff0c;才能避免对无良单位的一味隐忍! 压力面试是指有意制造紧张&#xff0c;以了解求…
阅读更多...
Java_内部类枚举

Java_内部类枚举

内部类 内部类: 是类中的五大成分之一&#xff08;成员变量、方法、构造器、内部类、代码块)&#xff0c;如果一个类定义在另一个类的内部&#xff0c;这个类就是内部类。场景:当一个类的内部&#xff0c;包含了一个完整的事物&#xff0c;且这个事物没有必要单独设计时&#x…
阅读更多...
L1-042:日期格式化

L1-042:日期格式化

题目描述 世界上不同国家有不同的写日期的习惯。比如美国人习惯写成“月-日-年”&#xff0c;而中国人习惯写成“年-月-日”。下面请你写个程序&#xff0c;自动把读入的美国格式的日期改写成中国习惯的日期。 输入格式&#xff1a; 输入在一行中按照“mm-dd-yyyy”的格式给出月…
阅读更多...
SSL通配符详解

SSL通配符详解

通配符证书是一种特殊的SSL/TLS证书&#xff0c;它允许一个域名及其所有子域名使用相同的证书。这意味着&#xff0c;如果您有一个通配符证书&#xff0c;您可以为该证书中的任何子域名提供SSL/TLS加密&#xff0c;而无需为每个子域名单独购买和配置证书。 通配符证书使用通配…
阅读更多...
vue前端访问Django channels WebSocket失败

vue前端访问Django channels WebSocket失败

现象 前端报错&#xff1a;SSH.vue:51 WebSocket connection to ‘ws://127.0.0.1:8000/server/terminal/120.59.88.26/22/1/’ failed: 后端报错&#xff1a;Not Found: /server/terminal/120.79.83.26/22/1/ 原因 django的版本与channels的版本不匹配&#xff08;django…
阅读更多...
统计学基础知识

统计学基础知识

记录一些基础概念 1.总体&#xff1a;是指根据研究目的所确定的观察单位某项特征的集合。 2.样本&#xff1a;就是从总体中抽出的部分观察单位某项特征的集合。 3.参数&#xff1a;是用于描述总体特征的指标&#xff0c;如总体均数&#xff08;μ&#xff09;&#xff0c;总体标…
阅读更多...
XCP详解「4.1·问题-polling有效,DAQ无效」

XCP详解「4.1·问题-polling有效,DAQ无效」

改用DAQ模式后&#xff0c;没有周期报文发出&#xff0c;log如下 正常的LOG 排查发现 &#xff0c;Task里没有mapping CanXcp_MainFunction&#xff0c;只是mapping了Xcp_MainFunction这就导致了XCP polling模式功能正常&#xff0c;daq无数据 修改1 修改2, 如果还没奏效&…
阅读更多...
Oracle数据库本地部署结合内网穿透实现公网环境PLSQL远程访问

Oracle数据库本地部署结合内网穿透实现公网环境PLSQL远程访问

文章目录 前言1. 数据库搭建2. 内网穿透2.1 安装cpolar内网穿透2.2 创建隧道映射 3. 公网远程访问4. 配置固定TCP端口地址4.1 保留一个固定的公网TCP端口地址4.2 配置固定公网TCP端口地址4.3 测试使用固定TCP端口地址远程Oracle 前言 Oracle&#xff0c;是甲骨文公司的一款关系…
阅读更多...
详解接口测试

详解接口测试

目录 什么是接口&#xff1f; 接口协议的类型 接口测试是什么 HTTP接口的测试用例设计 HTTP接口的测试方法 什么是接口&#xff1f; 在面向对象编程中&#xff0c;接口是一个抽象的概念&#xff0c;用于定义类应该具有的方法和属性。一个类可以实现一个或多个接口&#xf…
阅读更多...
Golang导入导出Excel表格

Golang导入导出Excel表格

最近项目开发中有涉及到Excel的导入与导出功能&#xff0c;特别是导出表格时需要特定的格式&#xff08;单元格合并等&#xff09;&#xff0c;废话不多说&#xff0c;直接上代码了。 首先用到一个第三方库&#xff0c;实测还是很强大很好用的&#xff0c;就是这个https://git…
阅读更多...
官宣 | HelpLook已入驻企业微信应用市场

官宣 | HelpLook已入驻企业微信应用市场

HelpLook正式入驻企业微信第三方应用市场。 HelpLook支持自定义域名与AI站内搜索&#xff0c;能够帮助企业微信用户搭建所见即所得的企业知识库、产品帮助中心、用户手册、企业博客。 | 怎么找到HelpLook并开始使用 在企业微信的第三方应用就可直接搜索HelpLook&#xff0c;添…
阅读更多...
最新文章

Copyright @ 2022~2023

友情链接: 我的编程经验分享 一条长河网 尧图网站开发 尧图建网站