DNS流量(dns流量是什么意思)

[db:作者]

DNS是一个重要的基础设施，用于域名服务，在负载均衡、移动IP等方面也有重要的应用。DNS流量激增对互联网正常运行的影响，并提出恶意DNS流量攻击和蜂窝效应的概念。什么是DNS流量？有哪些方法可以监控？让我们看一看。
什么是DNS流量？
其实dns就是一个把网站地址转换成网站实际IP地址的设备。它有网站地址和实际的IP数据库。根据最近的网速，你越快，你连接的哪个区域的服务器就是哪个区域的服务器，不会影响响应时间。
有哪些监控dns流量的方法？
1.流量分析工具
Wireshark和Bro的实际案例表明，被动流量分析在识别恶意软件流量方面非常有效。捕获和过滤客户端和解析器之间的DNS数据，并将其保存为PCAP(网络数据包)文件。创建一个脚本程序，在这些网络数据包中搜索您正在调查的一些可疑行为。或者使用PacketQ(原DNS2DB)直接用SQL查询网络数据包。
(记住:除了自己的本地解析器，客户禁止使用任何其他解析器或非标准端口。)
2.DNS被动复制
该方法包括使用解析器上的传感器来创建包含通过给定解析器或解析器组进行的所有DNS事务(查询/响应)的数据库。在分析中包括DNS被动数据对于识别恶意软件域名具有重要作用，尤其是当恶意软件使用由算法生成的域名时。PaloAlto防火墙和安全管理系统，它使用Suricata作为IDS(入侵检测系统)的引擎，是一个将被动DNS与IPS(入侵防御系统)结合起来防止已知恶意域名的安全系统的例子。
3.防火墙
所有防火墙都允许自定义规则来防止IP地址欺骗。增加一条规则，拒绝接收来自指定范围段外IP地址的DNS查询，防止域名解析器被DDOS攻击用作开放反射器。
启动DNS流量检测功能，监控是否存在可疑字节模式或异常DNS流量，防止域名服务器软件漏洞攻击。
4.入侵检测系统
无论您使用Snort、Suricata还是OSSEC，您都可以制定规则，要求系统发送关于未授权客户的DNS请求的报告。您还可以制定规则来统计或报告NXDomain响应、具有较小TTL值的响应、通过TCP发起的DNS查询、对非标准端口的DNS查询以及可疑的大规模DNS响应。DNS查询或响应信息中的任何字段、任何数值，基本都是“可检测”的。唯一能限制你的是你的想象力和对DNS的熟悉程度。防火墙的IDS(入侵检测系统)提供了两种配置规则:允许和拒绝最常见的检测项目。