利用科来网络分析技术检测僵尸网络
2018-06-11 来源:
案例背景
僵尸网络是指互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等。因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
僵尸网络活动前,会有大量的对主控端“动态域名”的解析请求,通过DNS检测,分析出对某个动态域名有大量的请求,这种情况可以帮助找到主控端。
通过大量的分析研究,发现僵尸网络通常采用较为生僻的域名,如*.ws,*.biz等;而且通过定期整理最新的可疑DNS域名,我们已经建立了一个DNS黑域名库,这些域名基本来自以下几个安全网站:
http://www.anva.org.cn/sites/main/list/newlist.htm?columnid=92
http://www.malwaredomains.com/wordpress/?page_id=23
http://www.cert.org.cn/
案例分析
1、检测可疑DNS域名
下载一部分DNS数据包,通过科来网络分析系统专家版进行分析,并利用DNS域名库,发现大量的可以DNS域名解析。如下图:
2、僵尸域名及服务器确认
检测到这些可疑行为后,就需要对其进行验证,通过Google、百度等搜索引擎来搜索这些域名,都极为生僻,而且偶尔有找到信息的域名也已经被记录为僵尸网络域名。
确认域名为僵尸网络域名后,再对解析到的IP地址进行分析,发现解析到的这些来自美国的IP,已经被确认为僵尸网络C&C服务器。
3、通讯数据分析
确定客户端所解析的域名和服务器地址为僵尸网络后,可以进一步通过网络分析系统查找这些IP的通讯数据包,并下载进行分析,查看客户端和服务器之间进行了哪些数据传输。
4、僵尸网络提前预警
利用科来回溯分析系统,通过对DNS数据进行分析,找出网络中的僵尸行为,这属于是一种事后的分析行为,这样往往在被检测出之前僵尸网络已经造成了损失。而针对这种情况,科来网络回溯系统提供可疑域名警报功能,允许用户配置已被确认为僵尸服务器或者僵尸网络常用的域名,系统自动进行检测,并实时报警,从而在第一时间发现网络中的僵尸行为,避免损失。如图:
标签: ddos dns dns域名 Google 安全 动态域名 服务器 服务器地址 互联网 美国 数据分析 搜索 搜索引擎 网络 网络安全 网站 问题 用户 域名
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。