案例背景
僵尸网络是指互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
僵尸网络活动前,会有大量的对主控端“动态域名”的解析请求,通过DNS检测,分析出对某个动态域名有大量的请求,这种情况可以帮助找到主控端。
通过大量的分析研究,发现僵尸网络通常采用较为生僻的域名,如*.ws,*.biz等;而且通过定期整理最新的可疑DNS域名,我们已经建立了一个DNS黑域名库,这些域名基本来自以下几个安全网站:
- http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92
- http://www.malwaredomains.com/wordpress/?page_id=23
- http://www.cert.org.cn/
案例分析
1、检测可疑DNS域名
下载一部分DNS数据包,通过科来网络分析系统专家版进行分析,并利用DNS域名库,发现大量的可以DNS域名解析。如下图:
2、僵尸域名及服务器确认
检测到这些可疑行为后,就需要对其进行验证,通过Google、百度等搜索引擎来搜索这些域名,都极为生僻,而且偶尔有找到信息的域名也已经被记录为僵尸网络域名。
确认域名为僵尸网络域名后,再对解析到的IP地址进行分析,发现解析到的这些来自美国的IP,已经被确认为僵尸网络C&C服务器。
3、通讯数据分析
确定客户端所解析的域名和服务器地址为僵尸网络后,可以进一步通过网络分析系统查找这些IP的通讯数据包,并下载进行分析,查看客户端和服务器之间进行了哪些数据传输。
4、僵尸网络提前预警
利用科来回溯分析系统,通过对DNS数据进行分析,找出网络中的僵尸行为,这属于是一种事后的分析行为,这样往往在被检测出之前僵尸网络已经造成了损失。而针对这种情况,科来网络回溯系统提供可疑域名警报功能,允许用户配置已被确认为僵尸服务器或者僵尸网络常用的域名,系统自动进行检测,并实时报警,从而在第一时间发现网络中的僵尸行为,避免损失。如图:
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
A10 Networks Thunder TPS斩获两项Best of TechEd大奖
上周于德克萨斯州休士顿举办的微软北美TechEd大会上,全球应用网络领导者A10 Networks (NYSE: ATEN) 凭借DDoS威胁防护系统Thunder TPS产品线斩获了两项Best of TechEd 2014大奖。
-
A10 Thunder系列ADCs及DDoS防护解决方案荣获SAP应用集成认证
A10 Networks Thunder系列应用交付控制器(ADCs)以及分布式拒绝服务(DDoS)攻击防护解决方案荣获了SAP应用集成认证。
-
A10 Networks推出基于ADC平台的DDoS保护设备
A10 Networks发布了一个专门用于防御拒绝服务攻击的新产品Thunder TPS,这个产品比公司ADC产品上现有DDoS功能更广泛的DDoS防护特性。
-
防御百万级DDoS:如何应对更大规模DDoS攻击
DDoS攻击的规模越来越大,今年三月,垃圾邮件过滤公司Spamhaus遭遇百万级DDoS攻击,本文介绍了如何应对这样的DDoS攻击。