文章插图
3. 使用服务器效率方面:
a.NTP pool在轮询服务器方面理论上来说是均衡的
b.在实际操作中,收到地理位置以及不同服务器服务能力,服务策略的不同导致不同的IP提供服务的机会并不均等 。
c.TOP4000的RRset(约占总数的1%)即可占总记录数的41.21%,不同RRset的CDF图如下:
文章插图
完整的文章请参阅:https://blog.netlab.360.com/look-at-ntp-pool-using-dns-data/
小贴士:被动DNS系统
所谓被动DNS也即PassiveDNS(PDNS) 数据库是将历史DNS记录解析/融合/存储的系统 。与主动扫描(探测)不同,可以利用大量的被动DNS数据进行大规模的基于DNS数据的度量 。通过被动的收集DNS流量,构建域名和Rdata(域名的解析结果)之间的全量历史映射关系,实现域名和Rdata的互查,以及历史DNS记录的查询 。
360的PDNS系统(https://passivedns.cn)是国内第一家公开的PDNS系统 。系统建设于2014年,是国内目前规模最大和历史数据最久的PDNS系统 。
其他的度量
利用PDNS可以完成很多其他的度量工作,比如:
1. 不同CDN厂商规模的评估
2. 黑灰色产业规模的评估
3. 新通用顶级域名(new gTLD)使用情况/(在现实使用中的)冲突情况的评估
4. 域名在注册,备案以及解析尤其是涉及到批量的域名处理时的相关情况的评估
5. 国家(涉及域名方面)政策的执行情况的评估
6. ……
总之在网络测量方面,只要涉及到域名,DNS数据几乎就是天然的基准数据,只要设计合理的测量方案,就能够得到准确的结果 。
3
安全分析
面向DNS的安全分析,大体可分为两类:
· 针对DNS协议和系统本身的安全问题的分析
- DNS投毒
- DNS劫持
- 伪随机前缀DoS攻击
- NXNSAttack攻击
- …
- DNS隧道
- DNS反射放大
- DGA
- Fastflux
- …
DNSMon——基于DNS数据的威胁检测和分析系统
在日常工作中,针对DNS协议和系统的攻击在DNS数据中有一定的体现,但并不是利用DNS数据威胁发现的主要目标 。如前所述,只要互联网使用域名的业务就会在DNS数据中留下自身的痕迹,恶意程序也不例外 。因此从威胁发现的角度来说,使用DNS数据检测,分析和阻断安全威胁是海量DNS数据发挥作用的主要场景 。
为了能够更加及时高效的发现安全事件,360公司开发了DNSMon系统 。该系统以DNS数据在统计维度上的异常为出发点筛选初始域名,综合web页面数据,证书数据,whois数据,沙箱以及蜜罐等多维度的数据,并结合高质量的IOC和word2vec,LSTM等深度学习算法,对发生异常的域名进行综合判断,标定其异常状态,给出较为确定性的标签 。
对于标黑和高危域名可以录入威胁情报库供第三方使用 。对于白和其他灰域名则录入标签库供第三方查询使用 。
基本流程如下图:
文章插图
系统的优势主要体现为如下三点:
· 准实时的处理和关联海量的数据 。目前在于能够在百万QPS的DNS请求的情况下,融合多维度的其他数据源进行处理,达到小时级别的输出 。
· 自动化程度高 。每天能够自动产生千级别的黑域名和高危域名 。
· 无先验知识的情况下可以大规模的阻断黑,高危域名 。例如:
- 永恒之蓝挖矿蠕虫及其系列变种
- MSRAminer恶意挖矿程序及其系列变种
- NuggetPhantom恶意程序及其系列变种
- DGA.popad广告网络挖矿程序
- Mylobot僵尸网络
- Godlua后门
- Burimi挖矿蠕虫
- LSDMiner挖矿恶意程序
- 盗贼恶意SDK应用
- 恶意利用某大型互联网厂商的评论系统漏洞刷广告流量
- Skidmap恶意程序
- 更多案例请参考:https://blog.netlab.360.com/tag/dnsmon/
安全分析的其他方面
在对PDNS数据进行深入分析之后,我们就会发现其实针对很多类型的攻击如果从DNS数据入口就会非常简单,能够达到事半功倍的效果 。
1. 比如传统的采用DGA技术和fastflux技术的僵尸网络从DNS数据入手是非常容易的 。
- 用葡萄干酿的酒,口感竟然这么惊艳!
- 酒火疗法用的什么酒 酒症有什么症状怎么治疗
- 就用红鹰工作手机个人微信管理系统 红鹰手机个人微信管理系统
- 农村老人智能手机要怎么用 农村老人智能手机使用情况
- ROG游戏手机5用户分享真实体验
- 5G手机可以用4G手机卡么 5g手机可以用4g手机卡么
- 韦姓女孩取名(图文)
- 少儿医保有什么用 深圳少儿医保有什么用
- 黄宝宝取名(图文)
- 元姓男孩起名(图文)