Mục đích của hệ thống dns sinkhole là?

      21
Phòng thí nghiệm trọng điểm bình an thông tin đã khuyến cáo xây dựng một khối hệ thống giám sát, kháng thất thoát dữ liệu và diệt các PMGĐ, bao hàm phần cứng với phần mềm. Hartware là máy chủ DNS Sinkhole với trách nhiệm kiểm soát, tinh chỉnh và điều khiển các kết nối độc hại về địa chỉ IP an toàn (IP Sinkhole). Phần mềm là AV-DLP (antivirus - kháng thất bay dữ liệu) cùng với 3 chức năng: giám sát, cảnh báo máy tính xách tay trạm tất cả truy vấn mang đến tên miền độc hại; chống chặn các hành vi tấn công cắp tin tức trong laptop rồi giữ hộ đến sever C&C; phát hiện tại và hủy diệt PMGĐ dựa trên hành vi khi bọn chúng hoạt động.

Bạn đang xem: Mục đích của hệ thống dns sinkhole là?

Khi đang nhiễm vào máy tính, ứng dụng gián điệp (PMGĐ) hay liên lạc với sever ra lệnh và điều khiển và tinh chỉnh (Command và Control - C&C) bên trên Internet. Dù sử dụng bất kỳ giao thức truyền tin nào, thì những máy chủ C&C đều đề xuất có địa chỉ trực tiếp hoặc thông qua tên miền. Do áp dụng các add IP dễ dẫn đến phát hiện, nên những máy chủ C&C thường sử dụng một hoặc các tên miền không giống nhau. Sau khi nhiễm vào máy tính, PMGĐ đã truy vấn đến máy chủ DNS nhằm lấy showroom IP của máy tính điều khiển, sau đó, lấy cắp thông tin cá nhân và tài liệu trong máy tính rồi gửi đến máy chủ C&C thông qua địa chỉ cửa hàng IP. Phần lớn mềm antivirus (AV) đang rất được sử dụng trên thế giới vẫn không thể ngăn chặn được trọn vẹn PMGĐ, đặc biệt là các PMGĐ mới. Nếu như phát hiện được PMGĐ thì việc update cũng mất quá nhiều thời gian do buộc phải phân tích tại phòng thí nghiệm.

Để chống chặn máy tính xách tay trong mạng LAN, WAN truy vấn vấn đến sever DNS, viện SANS (Mỹ) đã lời khuyên kỹ thuật DNS SinkHole, trong các số ấy có một sever DNS Sinkhole đã đặt trước sever DNS của Internet, nhằm mục tiêu trả những truy vấn tên miền về một địa chỉ cửa hàng IP an toàn. Kỹ thuật này đang được thực hiện trong các hệ thống tường lửa thế hệ mới của hãng an ninh mạng Palo Alto (Mỹ) cùng các khối hệ thống máy chủ cấp quốc gia. Tuy nhiên, nghệ thuật DNS SinkHole vì viện SANS khuyến nghị chỉ hoàn toàn có thể ngăn chặn thất thoát dữ liệu, mà chưa có phương án phát hiện máy tính xách tay có tầm nã vấn mang lại tên miền ô nhiễm và độc hại hay không, đồng thời ngăn chặn hành vi và diệt những PMGĐ.

Vì vậy, Phòng phân tích trọng điểm bình yên thông tin đã khuyến nghị xây dựng một hệ thống giám sát, phòng thất thoát tài liệu và diệt những PMGĐ, bao gồm phần cứng và phần mềm. Phần cứng là máy chủ DNS Sinkhole với trách nhiệm kiểm soát, điều khiển các kết nối ô nhiễm về địa chỉ IP an ninh (IP Sinkhole). Phần mềm là AV-DLP (antivirus - chống thất bay dữ liệu) cùng với 3 chức năng: giám sát, cảnh báo máy tính trạm có truy vấn cho tên miền độc hại; phòng chặn những hành vi tấn công cắp tin tức trong laptop rồi gởi đến máy chủ C&C; phát hiện tại và phá hủy PMGĐ dựa vào hành vi khi bọn chúng hoạt động.

Phân tích hành động của PMGĐ

Các PMGĐ vận động dựa trên thương hiệu miền ô nhiễm và độc hại có thể tạo thành 2 giai đoạn: truy vấn tới máy chủ DNS và thao tác làm việc với sever C&C (Hình 1).


*
Hình 1. Hành vi của ứng dụng gián điệp

Trong tiến độ 1, máy vi tính bị lây lan PMGĐ mở cổng cùng truy vấn bởi gói tin UDP đến máy chủ DNS nhằm lấy địa chỉ cửa hàng IP theo cổng 53. Sever DNS giữ hộ trả add IP của sản phẩm chủ C&C tới trang bị bị nhiễm cũng bên trên cổng 53. Trong tiến trình này, nếu nhấn diện được thương hiệu miền ô nhiễm và bắt được gói tin truy nã vấn, thì rất có thể biết laptop bị lan truyền PMGĐ xuất xắc không. Mặc dù nhiên, vì PMGĐ vẫn đóng cổng lúc gửi hoàn thành gói tin truy vấn vấn DNS, đề xuất rất khó khăn phát hiện tiến trình nào của máy tính đang diễn ra hành vi độc hại, vì chưng thế, việc điều tra mẫu PMGĐ trong máy tính sẽ gặp gỡ khó khăn.

Trong quy trình 2, PMGĐ mở một cổng hay trú cùng gửi gói tin TCP “Hello” tới sever C&C. Nếu hiểu rằng IP đích và cổng đang mở, có thể bắt được quy trình liên quan đến PMGĐ. Thông thường các PMGĐ thao tác với sever C&C qua cổng 443 (SSL) với 80 (HTTP).

Như vậy, trong quy trình 1, hoàn toàn có thể phát hiện nay được máy vi tính bị nhiễm PMGĐ tốt không; trong giai đoạn 2, rất có thể phát hiện được quy trình của PMGĐ; từ kia điều tra, phân tích, ngăn chặn và tiêu diệt.

Mô hình khối hệ thống giám sát, phòng thất thoát tài liệu và khử PMGĐ

Mô hình của hệ thống được biểu hiện trong Hình 2. Thành phần chủ yếu của hệ thống là một máy chủ DNS SinkHole. Các máy tính xách tay trong mạng LAN, WAN sẽ đề nghị truy vấn đến sever này trước lúc truy vấn đến sever DNS của những nhà cung ứng dịch vụ mạng internet (Internet Service Provider – ISP) và phần mềm AV-DLP. Máy chủ SinkHole bao gồm 2 chức năng:

Lưu lại toàn bộ các tróc nã vấn của các máy tính xách tay trong mạng, từ kia phân nhiều loại thành Blacklist cùng Whitelist. Rất có thể phân loại bằng phương pháp xây dựng công cụ tự động hỏi đáp trên dân mạng như virustotal.com, những trang website tin cậy, hoặc hoàn toàn có thể nhận được sau khi phân tích những mẫu mã độc vào mạng. Ví như tên miền không tồn tại trong danh sách Blacklist, máy chủ DNS SinkHole vẫn chuyển tiếp đến máy nhà DNS trên Internet.

Xem thêm: Các Chính Sách Nhân Sự Là Gì ? Những Chính Sách Hay Giúp Thu Hút Nhân Tài

Đối với các tên miền được trao diện chắc chắn là là độc hại, máy chủ SinkHole sẽ trả các tên miền này về địa chỉ IP SinkHole. Như vậy, các laptop bị lây lan PMGĐ bị xay buộc phải kết nối với IP SinkHole đề nghị không thể kết nối ra mạng ngoài, cho phép ngăn chặn thất thoát dữ liệu.

Phần mềm AV-DLP được thiết đặt tại các máy vi tính trong mạng, có công dụng giám sát các truy vấn tới máy chủ DNS. Ví như tên miền trùng với thương hiệu miền phía bên trong Blacklist hoặc được trả về từ DNS SinkHole, thì sẽ sở hữu cảnh báo cho người dùng. Ngoại trừ ra, khi phát hiện thấy gồm gói tin TCP gửi tới IP SinkHole, thì đã tiến hành khảo sát mã độc để ngăn chặn và tiêu diệt.

Phần mềm AV-DLP tất cả 4 môđun, gồm những: Xử lý gói tin; Phát hiện nay truy vấn độc hại; Điều tra tiến trình ô nhiễm và độc hại và khử PMGĐ. Nguyên tắc vận động có thể biểu hiện như Hình 2.


*
Hình 2. Mô hình khối hệ thống giám sát, phòng thất thoát tài liệu và diệt PMGĐ

Phần mềm thường xuyên giám sát các gói tin với phân loại. Nếu gói tin là UDP (Port 53) và tất cả IP nguồn là DNS Sinkhole hoặc thương hiệu miền tất cả trong Blacklist thì chú ý còn nếu như không nằm trong danh sách tên miền ô nhiễm thì vẫn bắt gói tin tiếp theo. Giả dụ gói tin bắt được là TCP cùng gửi tới IP SinkHole thì sản phẩm tính đã biết thành nhiễm PMGĐ. Phần mềm sẽ phát hiện nay cổng vẫn mở trong gói tin này và tìm kiếm được tiến trình bị lây nhiễm mã độc.

Tiếp theo, phần mềm tiếp tục khảo sát phát hiện PMGĐ đang nằm trong máy vi tính theo các bước bị nhiễm. Vượt trình khảo sát được tiến hành theo cả nhì hướng. Phía H1 là các PMGĐ truyền nhiễm vào các tiến trình hợp lệ (được tuyệt đối bởi Windows) hoặc chính bản thân các tiến trình này là PMGĐ. Hướng H2 là phát hiện tại các ứng dụng gián điệp hay kích hoạt lúc khởi rượu cồn máy và sau khoản thời gian tiêm truyền nhiễm vào những tiến trình đúng theo lệ đang dừng hoạt động. Vượt trình khảo sát theo H1 cùng H2 chính là kỹ thuật diệt mã độc bằng tay thủ công thường được sử dụng khi khảo sát theo các tiến trình đang vận động hoặc khảo sát các tiến trình khởi hễ cùng Windows.


*
Hình 3. Lưu vật thuật toán của AV-DLP

Trong quá trình điều tra, cửa hàng chúng tôi sử dụng tính tuyệt đối Windows nhằm quyết định. Những PMGĐ thường không có chữ ký kết số (Not verified) mà bao gồm hành vi nhờ cất hộ gói tin TCP cho tới IP Sinkhole sẽ thấy và diệt. Để giảm thời gian giám sát và đo lường kiểm tra xác thực, shop chúng tôi sử dụng kỹ thuật Whitelist trong những số ấy các tiến trình, dll đang được giám sát và đo lường chữ cam kết số MD5 và đối chiếu với danh sách những mã MD5 bình yên mà các hệ điều hành và quản lý Windows thường sử dụng. Việc điều tra theo phía H1 thì không cần phải biết trước mẫu PMGĐ và đấy là việc phát hiện và hủy hoại theo hành vi, theo phía H2 thì cần phải biết trước mẫu PMGĐ (MD5). Không tính ra, khi điều tra trong phía H2, chúng tôi sử dụng list Blacklist gồm các MD5 của mã độc đã biết trước (gần 40 triệu mẫu) do cộng đồng mạng phát hiện nay (VirusTotal cảnh báo). Danh sách Whitelist tiếp tục được cập nhật cho máy vi tính để bớt số lần đo lường và thống kê khi vạc hiện những PMGĐ khác.

Kết luận

Nếu triển khai khối hệ thống máy công ty DNS SinkHole hoàn toàn có thể giảm được nguy cơ thất bay dữ liệu. Phần mềm AV-DLP có thể diệt được nhiều phần các PMGĐ dựa vào hành vi truy tìm vấn tên miền nhưng không buộc phải phân tích mẫu.

Hệ thống này cũng đều có một số tiêu giảm cần khắc phục là buộc phải phải đo lường và tính toán để biết trước tên miền độc hại (Blacklist). Vấn đề diệt PMGĐ chỉ được tiến hành khi bộc lộ hành vi, không diệt được khi lây nhiễm. đông đảo nhược đặc điểm này sẽ được khắc phục và hạn chế trong phiên bản tiếp theo.

hotlive |

https://hi88n.com/