【51CTO.com快譯】收集與分析被動DNS(Passive DNS)數據能夠幫助我們識別惡意站點并對抗釣魚及惡意軟件;在今天的文章中，我們將一同了解如何完成起步工作。

在過去幾年當中，我們已經親身經歷了愈發高企的DNS基礎設施攻擊威脅：針對驗證域名服務器的DDoS攻擊、利用域名服務器作為DDoS攻擊的放大機制、頂替注冊賬戶以修改授權信息、緩存投毒攻擊以及由惡意軟件實現的域名服務器濫用等等。值得慶幸的是，如今我們也擁有了更多能夠抵御這些威脅的強大新型安全機制，包括DNS安全擴展、響應策略區以及響應速率限制等手段。

而就目前而言，DNS安全乃至互聯網整體安全強化領域最具前景的實施方案還沒有得到充分發揮——也就是被動DNS數據。

被動DNS(Passive DNS)概念介紹

被動DNS最初于2004年由Florian Weimer發明，旨在對抗惡意軟件?；旧现v，遞歸域名服務器會響應其接收到的來自其它域名服務器的請求，對響應進行記錄并將日志數據復制到中央數據庫當中。

那么這部分日志數據包含有哪些內容呢?宏觀地講，也就是遵照域名服務器的整個運作流程。當收到查詢請求時，域名服務器會首先檢查自身緩存及權威數據以獲取答案。如果答案尚不存在，則進一步查詢root域名服務器之一作為參考直到找出了解相關答案的驗證域名服務器，最后查詢其中的驗證域名服務器之一進行答案檢索。整個流程如下圖所示：

大部分被動DNS數據會在“高于”檢索域名服務器的位置被立即捕獲，如下圖所示：

這意味著被動DNS數據大多由來自互聯網上驗證域名服務器的參考與答案構成(當然，其中也包含部分錯誤信息)。這部分數據擁有時間戳、經過重復數據刪除與壓縮，而后被復制到中央數據庫內以備歸檔與分析。

需要注意的是，整個流程捕捉到的是服務器到服務器之間的通信內容，而非來自存根解析器并指向遞歸域名服務器的查詢內容。(存根解析器在以上示意圖中處于遞歸域名服務器的‘下方’位置。)這種方式擁有兩大重要作用：其一，相較于在存根解析器與遞歸域名服務器間進行通信，服務器到服務器的通信內容量明顯更少，即只包含緩存內不存在的內容。其二，服務器到服務器通信不會被輕易關聯到某個特定存根解析器處，因此涉及的隱私內容也就相對較少。

被動DNS數據的具體收集方式多種多樣。一部分遞歸域名服務器，例如Knot以及Unbound，當中包含有軟件鉤子，旨在更為輕松地捕捉被動DNS數據。管理員可以利用dnstap這款免費程序從此類域名服務器當中直接讀取被動DNS數據。

而使用其它域名服務器的管理員則可以在域名服務器上運行其它不同工具，從而達到同樣的域名服務器流量監控效果——或者在其它主機上制作該域名服務器的端口鏡像以實現數據記錄。

被動DNS的價值所在

各類企業都會采用不同的數據庫來容納被動DNS“傳感器”發來的上傳數據。目前人氣最高且最為知名的當數Farsight Security打造的被動DNS數據庫——DNSDB。DNSDB中包含有多年以來由世界范圍內所有傳感器收集而來的數據。當然也有一些機構會采用其它被動DNS數據庫方案，例如由谷歌公司提供的VirusTotal網站、德國咨詢廠商BFK發布的方案、盧森堡計算機事件響應中心(簡稱CIRCL)的方案以及愛沙尼亞計算機應急響應小組(簡稱CERT-EE)的技術成果等等。

對被動DNS數據庫進行查詢能夠提供大量極具實用價值的信息。舉例來說，大家可以通過查詢被動DNS數據庫來2012年4月與www.infoblox.com網站相關聯的DNS查詢記錄，或者自那時開始該網站曾經使用過哪些域名服務器，又或者另有哪些其它區域在使用同一套域名服務器。更進一步來講，大家也可以選擇某個已知的惡意惡意IP地址，并查詢各被動DNS傳感器最近映射至該IP地址的全部相關域名服務器。

接下來我們一同了解被動DNS的各類實際用途：

·被動DNS數據庫允許企業以近實時方式檢測緩存投毒以及欺詐變更行為。企業能夠定期查詢被動DNS數據庫，從而根據被動DNS傳感器了解其關鍵域名當前被映射至哪個具體地址。權威區域數據映射關系中的任何變化都可能意味著企業已經開始遭受惡意攻擊。

·Farsight Security方面會定期從DNSDB中整理出最新域名，這些域名是由傳感器過去15分鐘、1小時或者其它預設時間周期內所獲取。該公司隨后會在全新域名同惡意活動之間進行關聯比對。網絡釣魚或者其它類似惡意活動往往會選擇新域名，并在使用后的短時間內直接丟棄。而對過去15分鐘內才剛剛出現的新域名進行屏蔽只需要很低的實現成本。Farsight公司能夠幫助企業用戶定期獲取這些最新域名，進而由管理員阻止其進一步解析。

·如果當前被動DNS數據庫支持模糊或者模糊匹配功能，那么企業用戶就能夠定期查詢該數據庫所使用或者看起來與其處理名稱相似的域名，并從其中揪出潛在的惡意行為。

·一旦某個IP地址或者域名服務器被標記為惡意，企業用戶能夠利用被動DNS數據庫輕松找到其它與該IP地址相映射的域名，或者其它被托管至同一域名服務器的區域，這些都屬于潛在的惡意活動載體。

·通過監控由A到AAAA記錄變更以及隨時間推移的區域域名服務器記錄，我們能夠輕松找到那些利用特定技術實施惡意行為的域名，例如通過快速流量幫助釣魚及惡意站點躲避檢測。合法的域名(除了那些用于負載平衡與分發的域名)不會非常頻繁地改變自身地址，而且大多數合法的區域域名也很少變更自身域名服務器。

利用響應策略區關閉回路

響應策略區(簡稱RPZ)提供了一套寶貴的機制，能夠在惡意域名被從被動DNS數據中識別出來后關閉其傳輸回路。RPZ屬于DNS區域，其內容會以規則的形式進行解釋。這些規則通常包括，“如果任何人嘗試查看該域名中的A記錄，則返回錯誤提示并注明該域名并不存在。”由于RPZ屬于簡單區域，因此它們能夠在互聯網之上實現快速與高效傳輸，而其中所包含的策略則會得到立即執行。通過分析被動DNS數據進行惡意域名檢測的企業能夠利用這些規則來阻斷已確定惡意域名的解析行為，并禁止其被分發到互聯網上的訂閱用戶處。

如果大家希望了解如何在自己的遞歸域名服務器上實現被動DNS數據分發，不妨點擊此處查看由Farsight公司提供的相關信息(英文原文)，其中包括如何分步驟設置一套被動DNS傳感器。大家也可以立足于被動DNS數據分析進行RPZ供應，從而在企業內部環境下有效阻斷對惡意域名的解析。

原文鏈接：http://www.infoworld.com/article/2994016/network-security/strengthen-your-network-security-with-passive-dns.html

原文標題：Strengthen your network security with Passive DNS

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】