インターネットに向かう BYOD トラフィックのセキュリティ脅威の監視に関心がありますか。 DNS トラフィック、特に NXDOMAIN に細心の注意を払う必要があります。 NXDOMAIN は、ドメインを解決する要求が DNS に送信され、IP アドレスに解決できない場合に DNS リゾルバ (すなわちクライアント) が受け取る DNS メッセージ タイプです。 NXDOMAIN エラー メッセージは、ドメインが存在しないことを意味します。

Why Clients Trigger NXDOMAIN

DNS プロセスにあまり精通していない場合は、「An Overview of DNS」という投稿をお読みいただくことを推奨します。 NXDOMAIN レスポンスは悪いものですが、企業の知的財産を盗もうとする悪者を発見するのに役立ちます。

内部 NXDOMAIN レスポンスは、DNS に要求されたドメインのリストがない場合に作成されます。 ネットワーク上のデバイスは、いくつかの理由でDNSからのNXDOMAINバックをトリガーします。

  • Web サイトにアクセスしようとしたユーザーがタイプミスをした場合
  • クライアント上のアプリケーションが正しく設定されていない場合
  • Chrome Web ブラウザが起動時にランダムなローカルドメインにアクセスし、ハイジャックを検出しようとした場合
  • ボットネットに参加するためにドメイン生成アルゴリズム(DGA)を使用するロボットに感染している場合など。

McAfee や SonicWall などの一部のベンダーは、解決できない 3、4、5、6 レベルなどのドメインを一種の電話ホーム データ収集方法として使用しています。

A client receives NXDOMAIN responses for a 3rd or 4th level domain is trying to resolve that ends with the 2nd level domain of webcfs03.com.

A above we see a client continues to receive NXDOMAIN responses for a 3rd or 4th level domain is trying to resolve that ends with the 2nd level domain of webcfs03.com.NXDOMAIN responses and the 3rd level domain of the fourth level domain of webcfs03.

mcafee.com や webcfs03.com などの第2レベル ドメインに対する多数の NXDOMAIN 応答があり、ネットワーク上にこれらのベンダーのアプリケーションがあることがわかっている場合、DNS NXDOMAIN 監視の実施から無視するかホワイトリストに追加する必要があります。 ベンダーが存在しないドメインにアクセスすることで意図的にNXDOMAINレスポンスを引き起こす理由については、「セキュリティベンダーが悪質業者のファイアウォール突破を支援する」という投稿をお読みください。

Why You Should Monitor DNS NXDOMAIN

DNS NXDOMAIN レスポンスを監視する理由は、マルウェアのいくつかの形態(主にボット)がドメイン生成アルゴリズム(DGA)を利用して、コマンド アンド コントロール(C&C)に到達しようとするためです。 マルウェアが利用するDGAによって、1日あたり数百、時には数千のリクエストが生成されるのを見ることができます。 感染したホストから要求されたランダムに生成されたドメインのほとんどは、DNSからのNXDOMAINレスポンスをトリガーします。 DNSのNXDOMAINリクエストを監視し、クライアントごとにスコアを記録すれば、不審な行動に対する認識を高めることができますが、それでもさらなる調査なしにアラームを作動させるべきではありません。 また、mcafee.comやwebcfs03.comなどのドメインのNXDOMAINレスポンスが、特定の内部ソフトウェアパッケージで必要であることが分かっている場合は、ホワイトリストに登録する必要があります。 明らかなものを除外した後、

  • 低い評判でブラックリストに載っているドメインにアクセスする
  • マルウェアが C&C に送信するインターネット向け IP アドレスを特定するために http://whatismyipaddress.com/ などのサイトにアクセスするなどの疑わしいクライアントからの活動を探すための論理を追加する必要があります。 これにより、C&C の背後にいる悪質業者は、その IP アドレスに解決する感染した企業が、より的を絞った攻撃でより深く侵入しようとする価値があるかどうかを判断することができます。

FlowPro Defenderは、IPv4およびIPv6トラフィックをパッシブにリスニングし、フローを作成し、それらをワイヤースピードでNetFlowおよびIPFIXコレクターに送信する仮想またはハードウェアベースのアプライアンスです。

The post Monitoring DNS NXDOMAIN appeared first on Extreme Networks.

By: adminPosted on

コメントを残す

メールアドレスが公開されることはありません。