Az internetre irányuló BYOD-forgalom biztonsági fenyegetések szempontjából történő megfigyelése érdekli? Akkor érdemes nagy figyelmet fordítania a DNS-forgalomra, különösen az NXDOMAIN-re. Az NXDOMAIN egy olyan DNS-üzenettípus, amelyet a DNS-feloldó (azaz az ügyfél) akkor kap, amikor egy tartomány feloldására irányuló kérést küldenek a DNS-hez, és az nem oldható fel egy IP-címre. Az NXDOMAIN hibaüzenet azt jelenti, hogy a tartomány nem létezik.

Miért váltanak ki az ügyfelek NXDOMAIN-t

Ha nem ismeri túl jól a DNS-folyamatot, javaslom, hogy olvassa el a DNS áttekintése című bejegyzést. Bár egy NXDOMAIN-válasz rossz dolog lehet, segíthet leleplezni a rossz szereplőket, akik megpróbálják ellopni a vállalat szellemi tulajdonát.

A belső NXDOMAIN-válaszok akkor jönnek létre, amikor a DNS nem rendelkezik a kért tartományra vonatkozó listával. Egy hálózati eszköz több okból is NXDOMAIN-visszajelzést vált ki a DNS-ből:

• A felhasználó elírást ír be, amikor megpróbál meglátogatni egy webhelyet
• A kliensen lévő alkalmazás hibásan van konfigurálva
• A Chrome webböngésző véletlenszerű helyi tartományokat ér el indításkor, hogy megpróbálja felismerni a gépeltérítést
• A készüléket egy tartománygeneráló algoritmust (DGA) használó bot fertőzte meg, hogy részt vegyen egy botnetben.

Néhány gyártó, például a McAfee és a SonicWall feloldhatatlan 3., 4., 5., 6. stb. szintű, fel nem oldható domaineket használ egyfajta telefonos adatgyűjtési módszertanként. Lásd az alábbi képernyőfelvételt:

Fentebb egy olyan ügyfél látható, amely továbbra is NXDOMAIN válaszokat kap egy olyan 3. vagy 4. szintű tartományra, amelyet megpróbál feloldani, és amely a webcfs03 2. szintű tartományra végződik.com (Dell – SonicWALL).

Ha nagyszámú NXDOMAIN-választ látunk olyan 2. szintű tartományokra, mint a mcafee.com vagy a webcfs03.com, és tudjuk, hogy e gyártók alkalmazásai vannak a hálózatunkon, akkor figyelmen kívül kell hagynunk vagy fehér listára kell tennünk őket a DNS NXDOMAIN-gyakorlatok megfigyeléséből, különben hamis pozitív eredmények születnek. Olvassa el a Security Vendors Helping Bad Actors Get Past Firewalls, hogy megértse, miért váltanak ki a gyártók szándékosan NXDOMAIN-válaszokat azáltal, hogy nem létező tartományokat érnek el. Ez nagyon okos, de eléggé zavaró.

Miért kell figyelnie a DNS NXDOMAIN-t

A DNS NXDOMAIN-válaszokat azért kell figyelnie, mert a rosszindulatú programok egyes formái (főként a botok) a domaingeneráló algoritmusokat (DGA) használják fel arra, hogy megpróbálják elérni a parancsnokságot és vezérlést (C&C). Előfordulhat, hogy a rosszindulatú szoftver által használt DGA naponta több száz, néha több ezer kérést generál. A legtöbb véletlenszerűen generált tartomány, amelyet egy fertőzött állomás kér, NXDOMAIN választ vált ki a DNS-ből. Ha figyelemmel kíséri a DNS NXDOMAIN-kérelmeket, és ügyfélenként pontozást vezet, felhívhatja a figyelmet a gyanús viselkedésre, de további vizsgálat nélkül még mindig nem szabad riasztást kiváltania. Végül is nem akarsz hamis pozitív jelzést, és ne feledd, hogy az olyan tartományokat, mint az mcafee.com és a webcfs03.com fehér listára kell tenned, ha tudod, hogy ezeknek a tartományoknak az NXDOMAIN-válaszai szükségesek és szükségesek bizonyos belső szoftvercsomagok számára. A nyilvánvaló dolgok kizárása után logikát kell hozzáadni a gyanús kliensektől származó tevékenységek kereséséhez, mint például:

• Elérés egy olyan tartományhoz, amely rossz hírnév miatt szerepel a fekete listán
• Elérés olyan oldalakhoz, mint http://whatismyipaddress.com/, hogy meghatározza az internetre néző IP-címet, amelyet a rosszindulatú szoftver a C&C-re küld. Ez lehetővé teszi a C&C mögött álló rossz szereplők számára annak megállapítását, hogy az IP-címre feloldó fertőzött vállalat érdemes-e mélyebbre hatolni egy célzottabb támadással.

A FlowPro Defender™ egy virtuális vagy hardver alapú készülék, amely passzívan figyeli az IPv4 és IPv6 forgalmat, áramlásokat hoz létre, majd vezetéksebességgel elküldi azokat a NetFlow és IPFIX gyűjtőnek.

The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.

.