使用Dnsflow的DNS入侵检测
Office 365的DNS入侵检测中,我们介绍了在Office 365中使用一些策略来检测异常的DNS活动。Dnsflow是这些策略之一,并集中由Office 365的DNS服务器处理的DNS数据。在本文中,我们将讨论Dnsflow的详细优点,挑战和实际性。我们还讨论了Dnsflow如何帮助我们轻松建立检测,告知我们网络中DNS的可能被滥用。
好处
- 访问完整的DNS数据Dnsflow在DNS服务器上运行,这是我们网络中DNS流量的通道。因此,Dnsflow可以访问所有DNS查询和响应。
- 访问名称服务器IP地址名称服务器IP地址是事件响应的关键取证信息。DNS服务器向域名服务器发出DNS查询,Dnsflow收集此信息。
- 高性能和低影响的监控Dnsflow 通过Microsoft-Windows-DNSServer ETW跟踪使用Windows Sever 2012 R2的增强DNS记录功能,这将监控的影响控制到了最低。
- 能够近实时检测异常由于Dnsflow是用于检测异常的 DNS数据,因此需要非常少的处理时间.
挑战,风险和局限性
- DNS服务器处理大量的DNS数据。而对数据的影响较小,Dnsflow的处理和聚合也需要高效。
- 在远程客户端上启动DNS查询的流程不可见。
- Name服务器IP地址的准确性取决于DNS服务器的网络拓扑和配置。
- 由于DNS服务器是监控网络中DNS数据的中心点,因此它们也成为故障中心点,停机时间可能导致监控数据的大量丢失。
implementation
访问原始DNS数据
我们使用Microsoft-Windows-DNSServer ETW跟踪的分析事件作为Dnsflow数据的原始数据源。它包括完整的DNS查询和响应数据。我们跟踪了以下事件 –
- 256:接收到查询
- 257:回应成功
- 261:重复回复
我们在监控中使用krabsetw库来使用ETW事件。在为上述事件配置库时,我们的代理接收每个DNS查找的事件。
应对挑战,风险和局限性
- 通过快速过滤实现高效数据处理在监控的早期过滤出属于可信互联网服务的非常大量的域。大多数已知的DNS入侵攻击需要攻击者在较长时间内拥有域名服务器的控制权。攻击和使用这些域名不是攻击者的可行方法。因此,快速过滤引入了最小的风险,并显着改善了数据处理。
- 进程归属来自使用Dnsflow数据的检测结果与来自我们的服务器的Process和Netflow监控数据相结合,以将DNS查找归属到进程。请参阅Office 365中的DNS入侵检测
- 识别域Name服务器Dnsflow将最后一个递归查询的IP地址与要解析的域的Name服务器相关联。
- 预防和减少监测数据的差距Office 365中的DNS入侵检测中讨论的其他两种检测方法 与Dnsflow有一些重叠。它们有助于弥补Dnsflow数据丢失的差距。
Dnsflow数据集
将原始DNS查询和响应转换为聚合数据是此监控策略的核心。Dnsflow数据集使我们能够在网络中创建正常活动的基线,并构建包含详细取证信息的高保真度检测。数据由三个不同但相关的数据集组成。这些数据集在我们的初始版本中被记录。以下是数据集的详细信息。
- Dnsflow摘要这是其他两个数据集的一些属性的基本数据集。
- Dnsflow客户端这是发起DNS查询的客户端端点(源节点)的数据集。
- Dnsflow子域这是DNS查询中子域的数据集。
+如果不同值的数量超过阈值,Dnsflow将截断客户端和子域数据集。我们通过这些属性在记录的数据集中记录截断事件并对其进行监视。重要的是要注意,Dnsflow摘要数据集永远不会被截断,并且这个数据集足以满足大多数检测。
例
示例DNS查询和响应
下表显示DNS服务器处理的DNS查询和响应示例。
样本Dnsflow数据集
接下来的三个表显示了从上述样本数据的处理构建的Dnsflow数据集。
Dnsflow摘要数据集 –
Dnsflow客户端数据集-
Dnsflow子域数据集-
++外部名称服务器对于DNS服务器上缓存的DNS数据的响应,IP地址为空。
检测
下表包含了使用Dnsflow数据实现的一些检测。
我们已经成功地使用Dnsflow在我们的网络中构建DNS活动的基线,并且已经实施了多个检测策略来检测DNS相关异常。Dnsflow数据还使我们能够在异常检测结果中包含高度可操作的信息。结果告诉我们DNS的潜在滥用情况,并帮助我们保护我们的网络免受攻击。
参考文献
项目地址
https://github.com/deepfield/dnsflow
*参考来源:office365,