Sunteți interesați de monitorizarea traficului BYOD care se îndreaptă către Internet pentru amenințări de securitate? Ar trebui să acordați o atenție deosebită traficului DNS, în special NXDOMAIN. NXDOMAIN este un tip de mesaj DNS primit de către rezolvatorul DNS (adică clientul) atunci când o cerere de rezolvare a unui domeniu este trimisă la DNS și nu poate fi rezolvată la o adresă IP. Un mesaj de eroare NXDOMAIN înseamnă că domeniul nu există.

De ce clienții declanșează NXDOMAIN

Dacă nu sunteți teribil de familiarizați cu procesul DNS, vă sugerez să citiți postul intitulat An Overview of DNS. Deși un răspuns NXDOMAIN poate fi un lucru rău, acesta poate ajuta la descoperirea actorilor răi care încearcă să fure proprietatea intelectuală a companiei dumneavoastră.

Răspunsurile NXDOMAIN interne sunt create atunci când un DNS nu are nicio listă pentru domeniul solicitat. Un dispozitiv din rețea declanșează un răspuns NXDOMAIN de la DNS din mai multe motive:

  • Un utilizator introduce o greșeală de scriere atunci când încearcă să viziteze un site web
  • O aplicație de pe client este configurată greșit
  • Un browser web Chrome ajunge la domenii locale aleatorii la pornire pentru a încerca să detecteze deturnarea
  • Un dispozitiv este infectat cu un bot care utilizează un algoritm de generare de domenii (DGA) pentru a participa la un botnet.

Câțiva furnizori, cum ar fi McAfee și SonicWall, utilizează domenii de nivel 3, 4, 5, 6 etc. care nu pot fi rezolvate ca un tip de metodologie de colectare a datelor de la domiciliu prin telefon. A se vedea captura de ecran de mai jos:

Un client primește răspunsuri NXDOMAIN pentru un domeniu de nivel 3 sau 4 pe care încearcă să îl rezolve și care se termină cu domeniul de nivel 2 webcfs03.com.

După care vedem un client care continuă să primească răspunsuri NXDOMAIN pentru un domeniu de nivel 3 sau 4 pe care încearcă să îl rezolve și care se termină cu domeniul de nivel 2 webcfs03.com (Dell – SonicWALL).

Când vedem un număr mare de răspunsuri NXDOMAIN pentru domenii de nivelul 2, cum ar fi mcafee.com sau webcfs03.com și știm că avem aplicații de la acești furnizori în rețeaua noastră, trebuie să le ignorăm sau să le punem pe lista albă din practicile noastre de monitorizare a DNS NXDOMAIN, altfel vor apărea falsuri pozitive. Citiți articolul despre furnizorii de securitate care ajută actorii răi să treacă de firewall-uri pentru a înțelege de ce furnizorii declanșează în mod deliberat răspunsuri NXDOMAIN prin contactarea unor domenii care nu există. Este foarte inteligent, dar și oarecum deranjant.

De ce ar trebui să monitorizați DNS NXDOMAIN

Motivul pentru care doriți să monitorizați răspunsurile DNS NXDOMAIN este acela că unele forme de malware (în mare parte roboți) utilizează algoritmi de generare a domeniilor (DGA) pentru a încerca să ajungă la Command and Control (C&C). Este posibil să vedeți sute și, uneori, mii de cereri pe zi generate de DGA-ul utilizat de malware. Majoritatea domeniilor generate aleatoriu și solicitate de o gazdă infectată vor declanșa un răspuns NXDOMAIN din partea DNS. Dacă monitorizați solicitările DNS NXDOMAIN și păstrați un punctaj pentru fiecare client, puteți conștientiza comportamentele suspecte, dar tot nu ar trebui să declanșați alarmele fără investigații suplimentare. La urma urmei, nu doriți niciun fals pozitiv și nu uitați că trebuie să puneți pe lista albă domenii precum mcafee.com și webcfs03.com dacă știți că răspunsurile NXDOMAIN pentru aceste domenii sunt necesare și cerute de anumite pachete software interne. După excluderea lucrurilor evidente, trebuie să adăugați o logică pentru a căuta activități de la clienți suspecți, cum ar fi:

  • Apărarea unui domeniu care se află pe o listă neagră pentru că are o reputație proastă
  • Apărarea unor site-uri cum ar fi http://whatismyipaddress.com/ pentru a determina adresa IP orientată spre internet pe care malware-ul o trimite pe C&C. Acest lucru le permite actorilor răi din spatele C&C să determine dacă merită să încerce să pătrundă mai adânc în compania infectată care se rezolvă la adresa IP cu un atac mai bine direcționat.

FlowPro Defender™ este un dispozitiv virtual sau bazat pe hardware care ascultă pasiv traficul IPv4 și IPv6, creează fluxuri și apoi le trimite la colectorul NetFlow și IPFIX la viteza firului.

The post Monitorizarea DNS NXDOMAIN appeared first on Extreme Networks.

Lasă un răspuns

Adresa ta de email nu va fi publicată.