此文力求比较详细的解释DNS可视化所能带来的场景意义,无论是运维、还是DNS安全。建议仔细看完下图之后的大篇文字段落,希望能引发您的一些思考。
在“F5利用Elastic stack(ELK)进行应用数据挖掘系列(2)-DNS”一文中阐述了通过DNS logging profile进行DNS可视化的一种方法。DNS logging profile本身对解析和响应是发出的两条日志,因此在上篇文章中我们其实用了一些特殊的方法来处理一些我们想要的场景。所以这样的处理方式可能不够灵活,也不够优雅。通过logstash根据Query ID进行日志聚合后再处理也是一种思路,但是日志聚合本身这个动作需要仔细处理以防止聚合出错。同时即便使用了聚合,由于DNS logging profile输出的内容是固定的,因此在灵活性上依旧差那么一些。这篇文章则给大家提供了另一外一种形式的可视化。从通用性角度来说,更建议使用本篇文章中的方法,不受BIGIP DNS(GTM)版本及模块license类型的影响。
iRule通过HSL输出必要的解析日志数据至elk
在整个dashboard中,划分了这样几个功能区域:
请访问https://github.com/myf5/f5-elk-demo/tree/master/DNS%E5%8F%AF%E8%A7%86%E5%8C%96
如果上述的可视化能给你带来一些思考,将是本篇文章的最大价值。除此之外,你或许还可以把思维转向到内网DNS,内网DNS(特别是针对办公上网场景)的可视化在DNS安全管控,病毒、APT攻击,垃圾邮件等方面的洞察还是很有意义的。别忘记实际上F5 DNS也具备作为Cache DNS的功能,同时提供RPZ以及与LTM HTTP/Socks代理、Urlfiltering以及出向SSL可视化的整体结合的公网访问安全管控的方案。
下面这些文章和信息可以提供一些更多的DNS安全方面思路:
》以及从网上节选的参考信息来说明内网DNS安全可视化的重要性(原文):
远控木马
识别访问“远控”木马的网络流量,及时发现网络内可能存在的感染木马的主机,阻断其与“远控”中心服务器、下载服务器的连接
勒索软件
识别勒索软件产生的网络流量,及时报警并阻断勒索软件的连接尝试,避免可能产生的损失
APT攻击
识别对APT攻击相关网站的访问,保证网络内部数据安全
DNS攻击
识别网络外发起的DNS攻击流量,及时阻断,保证网络DNS服务器和网络内主机的正常运行
敏感数据泄漏
发现可能存在的内部敏感数据泄漏,并追查数据流向
DGA
识别基于DGA技术生成的恶意域名,阻止未知病毒活动。
FFSN
识别Fast-Flux网络访问
DNS流量携带恶意软件
发现伪装成DNS流量的网络交互行为
非DNS协议流量
发现在53端口的非DNS流量
挖矿机
识别BitCoin挖矿行为产生的网络流量,进而发现网络内可能存在的病毒感染
暗网流量
发现Tor网络流量,预警可能存在的不规范网络行为
无效域名访问
识别对无效域名的访问,以及背后可能存在的病毒感染或攻击行为
僵木蠕
发现僵木蠕活动痕迹
勒索软件
发现勒索软件活动痕迹
网页挂马攻击
用户访问被挂马的网站,会导致在不知情的情况下自动下载并执行恶意代码。
=======
dns 流量包分析
僵木蠕捕获
1. 在数据包bjzh-dns-1022.pcap中发现了疑似恶意软件行为活动痕迹。沦陷主机访问c2网址ipv6microsoft.dlmix.ourdvs.com
2. 在数据包bjzh-dns-0.pcap和bjzh-dns-2021.pcap中发现疑似远控木马活动痕迹,文件哈希为:B378307724c60db1b6ffea66a30fbc7c71a150e6f0b739de0c6c95e1d97ea5cc
恶意代码下载
1. 在数据包bjzh-dns-2077.pcap中发现下载恶意代码的痕迹,沦陷主机访问的域名为:d.img001.com
2. 在数据包bjzh-dns-2076.pcap中发现下载恶意代码的痕迹,沦陷主机访问的域名为:d1.kuai8.com
勒索软件捕获
1. 在数据包bjzh-dns-1008.pcap中发现勒索软件活动痕迹,沦陷主机访问域名:nsjicml.com,iwrmorzswyk.com
恶意网址访问
1. 在数据包bjzh-dns-3018.pcap,bjzh-dns-3032.pcap中发现恶意网址访问痕迹,沦陷主机访问域名为:t.t70123.com
2. 在数据包bjzh-dns-2025.pcap中发现恶意网址访问痕迹,沦陷主机访问域名为:z1.zedo.com