有報道稱監(jiān)控域名系統(tǒng)(DNS)數(shù)據(jù)可以確定網絡是否被攻擊。這是真的嗎?那么您建議企業(yè)使用哪些工具進行DNS監(jiān)控呢?

Brad Casey：其實，監(jiān)控DNS數(shù)據(jù)就是判定你的網絡是否被攻擊的最好的方法。由于DNS是機器與C2節(jié)點相互通信的主要方式，所以DNS數(shù)據(jù)變得越來越重要。因此，一個可疑的DNS流量就有可能是你的網絡設備成為僵尸網絡目標的警示。雖然目前有很多DNS監(jiān)控方法，但我認為最好的有三個：域名年齡、可疑域名和DNS故障。下面我們回顧一下這三種方法：

域名年齡。它是編寫Whois查詢和監(jiān)控所有第一次穿過網關的域名，還特別關注所創(chuàng)建的字段的日期。比如有一個域名是兩天前創(chuàng)建的，那么它會阻止流向該域名的任何流量，直到進一步檢查后再執(zhí)行。

可疑域名。其實“可疑”的界限很難界定，但是你能一眼看出來。舉個例子來說，我們上網時常使用google.com這個域名，但是goole.co1.123.abc卻不常見。如果你注意到流向某域名的流量不正常，那么你就需要小心謹慎。

DNS故障。如果有很多DNS查找故障信息進入你的網絡，那么你就有可能是某人利用域名生成算法(DGA)的受害者。因為很少有人會利用DGA創(chuàng)建數(shù)千個域名來進行通信。與真實域名通信就是機器如何通過相應的C2節(jié)點來控制機器的過程。

上面提到的功能對于經驗豐富的管理來說很容易實施。唯一一個相對困難一點的就是可疑域名這個功能，因為企業(yè)通常認為不同事情的可疑程度取決于他們使用的度量方法。但是，域名年齡和DNS故障很容易編寫腳本，而且也不需要購買額外硬件設施。