概述

本安全入門提供了有關常規DNS操作、IDS事件類型、調查要求、建議和參考的信息。

技術摘要

域名系統(DNS)是TCP/IP應用程序使用的分布式數據庫，用于解析主機名及其相應的IP地址。解決程序通常如下：

1.應用程序向DNS客戶端發送名稱查詢。

2.DNS客戶端檢查其本地緩存是否有匹配項。如果未找到匹配項，則會向DNS服務器發送查詢。

3.DNS服務器尋找匹配項。如果未找到匹配項，則繼續DNS查詢過程，直到找到權威記錄。

4.DNS客戶端返回結果。

常見的DNS事件類型包括：

• 查詢事件–當DNS查找中觀察到的域與簽名匹配時，將觸發查詢事件。這些簽名會在發起的流量上觸發，其中源IP正在使用目標端口53對目標IP執行查找，并且觀察到的域與惡意軟件活動或違反策略相關聯。
• 響應事件–當觀察到的域查找結果包含與簽名匹配的NXDOMAIN或Sinkhole響應時，將觸發響應事件。這些簽名會在返回流量上觸發，其中源IP返回對源端口為53的目標IP執行的查詢的響應，并且觀察到的域已與惡意軟件活動相關聯。

NXDOMAIN響應–NXDOMAIN響應指示查詢的域名無法通過DNS服務器的查找過程進行解析。域查找中的主機名和NXDOMAIN響應的組合將觸發這些簽名。

Sinkhole響應–Sinkhole響應表示DNS查找中的域已被服務提供商觀察到存在惡意活動，并隨后將這些域的流量轉移到非惡意Sinkhole，從而基本上阻止了惡意站點的流量。這會破壞僵尸網絡和c2基礎設施。

• 更新事件–當觀察到的DNS流量包含來自不屬于受監控基礎設施（外部主機）的主機的資源記錄更新時，將觸發更新事件。

要求

• 日志記錄：為了響應DNS安全事件，在托管設備上配置適當級別的日志記錄至關重要。所需的最基本的日志記錄是網絡客戶端使用的主名稱服務器的DNS日志記錄和向這些客戶端租賃IP的服務器的DHCP日志記錄。在Microsoft Windows環境中，活動目錄域的主名稱服務器將是域控制器。請咨詢管理您的網絡和系統基礎設施的IT支持供應商，以驗證您是否在域控制器上相應配置了DNS和DHCP客戶端日志記錄。

需要考慮的一些日志記錄注意事項。

• 由于日志記錄量和這些日志的保留而產生的潛在存儲需求
• 對日志記錄設備（例如CPU、內存和磁盤）的性能影響

要考慮的其他設備日志記錄配置：服務器事件日志、身份驗證日志、端點AV日志、Web代理日志和網絡安全設備/防火墻日志（這是一個非詳盡列表）。這為組織提供了收集遙測數據，理想情況下集中收集，同時獨立于源系統，用于跟蹤和定位惡意行為、歷史查找和警報。

建議

• 建議調查DNS請求的來源是否存在潛在的惡意活動。這可以通過查看DNS日志來關聯域查詢和時間戳來識別DNS查詢源自的內部主機來完成。
• 一旦識別出發起DNS查詢的內部主機，您將需要調查該主機是否存在針對特定威脅識別出的任何危害跡象。這可能涉及檢查AV和防火墻日志以確定對受影響主機的影響。

相關CIS子控制

• 1.3使用DHCP日志記錄更新資產清單–在所有DHCP服務器或IP地址管理工具上使用動態主機配置協議(DHCP)日志記錄來更新組織的硬件資產清單。傳感器：日志管理系統/SIEM。
• 7.7使用DNS過濾服務–使用DNS過濾服務幫助阻止對已知惡意域的訪問。傳感器：DNS域過濾系統。
• 8.7啟用DNS查詢日志記錄–啟用域名系統(DNS)查詢日志記錄以檢測已知惡意域的主機名查找。傳感器：DNS域過濾系統。