有報道稱監(jiān)控域名系統(tǒng)(DNS)數(shù)據(jù)可以確定網(wǎng)絡(luò)是否被攻擊。這是真的嗎?那么您建議企業(yè)使用哪些工具進(jìn)行DNS監(jiān)控呢?

Brad Casey：其實，監(jiān)控DNS數(shù)據(jù)就是判定你的網(wǎng)絡(luò)是否被攻擊的最好的方法。由于DNS是機(jī)器與C2節(jié)點相互通信的主要方式，所以DNS數(shù)據(jù)變得越來越重要。因此，一個可疑的DNS流量就有可能是你的網(wǎng)絡(luò)設(shè)備成為僵尸網(wǎng)絡(luò)目標(biāo)的警示。雖然目前有很多DNS監(jiān)控方法，但我認(rèn)為最好的有三個：域名年齡、可疑域名和DNS故障。下面我們回顧一下這三種方法：

域名年齡。它是編寫Whois查詢和監(jiān)控所有第一次穿過網(wǎng)關(guān)的域名，還特別關(guān)注所創(chuàng)建的字段的日期。比如有一個域名是兩天前創(chuàng)建的，那么它會阻止流向該域名的任何流量，直到進(jìn)一步檢查后再執(zhí)行。

可疑域名。其實“可疑”的界限很難界定，但是你能一眼看出來。舉個例子來說，我們上網(wǎng)時常使用google.com這個域名，但是goole.co1.123.abc卻不常見。如果你注意到流向某域名的流量不正常，那么你就需要小心謹(jǐn)慎。

DNS故障。如果有很多DNS查找故障信息進(jìn)入你的網(wǎng)絡(luò)，那么你就有可能是某人利用域名生成算法(DGA)的受害者。因為很少有人會利用DGA創(chuàng)建數(shù)千個域名來進(jìn)行通信。與真實域名通信就是機(jī)器如何通過相應(yīng)的C2節(jié)點來控制機(jī)器的過程。

上面提到的功能對于經(jīng)驗豐富的管理來說很容易實施。唯一一個相對困難一點的就是可疑域名這個功能，因為企業(yè)通常認(rèn)為不同事情的可疑程度取決于他們使用的度量方法。但是，域名年齡和DNS故障很容易編寫腳本，而且也不需要購買額外硬件設(shè)施。