تجزیه وتحلیل داده های Passive DNS در شناسایی سایت های مخرب و مبارزه با فیشینگ
در طول چند سال گذشته، دنیای IT شاهد حملات متعددی به زیر ساخت های DNS بوده است مانند حملات DdoS که با نام های معتبر سرورهای حقیقی حملات خود را پیاده سازی می کرد. خوشبختانه، متخصصین نیز با توسعه همزمان از مکانیسم های قدرتمند جدید برای مبارزه با این تهدیدات، از جمله برنامه های DNS Security Extensions, response policy zones و بسیاری موارد دیگر گامی بلند در بهبود امنیت بستر کاری DNS برداشته اند.
1- یک مبادله اولیه در Passive DNS
Passive DNS در سال 2014 یک ابزار برای جلوگیری در برابر نرم افزار های مخرب طراحی شد. در واقع، نام سرور بازگشتی(recursive name servers) تمایل دارند به پاسخ گرفتن از دیگر سرویس دهنده های نام و تکرار آن داده ها به یک پایگاه داده مرکزی(logged Data).
حال این داده های پبت شده چگونه عمل می کنند؟
خوب، فرا خوانی که مرتبط با بازگشت در خواست نام سرور می باشد. وقتی در خواستی فرستاده می شود، اول Cashe خود را بررسی می کنند و داده های معتبر را برای پاسخ بررسی می کنند و اگر جوابی موجود نبود این بار درخواست را به یک Root Name Server ارسال می کنند تا نام سرور در خواستی شناسایی شود. مانند تصویر زیر:
این بدان معناست که داده های Passive DNS حاوی حجم زیادی معارفه و پاسخ از نام سرورهای معتبر در اینترنت می باشند. نکته ی که در مورد یک ارتباط Server to Server حائز اهمیت می باشد این است که هیچ در خواستی از طرف ریشه پاسخ دهنده به دادهس نام سرور داده نمی شود و از این به دو نتیجه می رسیم:
اول اینکه به طور قابل توجهی گفتگو در Server To Server بین یک Stub Resolver و recursive name server کاهش میابد. دوم اینکه ارتباطات Server To Server نمی تواند وابسطه یک particular stub resolver شود و در نتیجه امنیت حریم خصوصی به شدت افزایش می یابد.
2- ارزش Passive DNS
یکی از بهترین و شناخته شده ترین روش های امنیتی Passive DNS روش DNSDB می باشد. DNSDB شامل مجموع داده هایی می باشد که توسط Sensores طی چندین سال از سرتاسر دنیا جمع اوری شده است. این سرویس علاوه بر نام می تواند از طریق IP هم شروع به نقشه برداری نماید. اجازه می دهد تا بتوان تشخیصی به موقع و زود هنگام از نام های جعلی و مسمومیت Cashe داشته باشیم.
3- بسته شدن Loop ها توسط پاسخ های امنیتی تعریف شده در Zone
Response policy zones RPZs
برای بسته شدن حلقه زمانی که نام دامنه های مخرب در داده های Passive DNS شناسایی می شود یک مکانیسم بسیار ارزشمند است.