很多人都知道DNS相当于一个翻译官,负责将域名翻译成ip地址。那么你知道DNS流量是什么吗?监控DNS流量的方法有哪些呢?本文将主要给大家介绍监控DNS流量的方法。
1、什么是DNS流量?
dns其实就是网址转换成网站实际IP地址的设备,它建有网站网址和实际IP数据库。按照就近的网速越快,不会舍近求远,影响响应时间。
2、监控dns流量的方法有哪些?
①防火墙
所有的防火墙都允许自定义规则以防止 IP 地址欺骗。启动 DNS 流量检测功能,监测是否存在可疑的字节模式或异常 DNS 流量,以阻止域名服务器软件漏洞攻击。
②DNS 被动复制
该方法涉及对解析器使用传感器以创建数据库,使之包含通过给定解析器或解析器组进行的所有 DNS 交易(查询/响应)。在分析中包含 DNS 被动数据对识别恶意软件域名有着重要作用,尤其适用于恶意软件使用由算法生成的域名的情况。
③流量分析工具
Wireshark 和 Bro 的实际案例都表明,被动流量分析对识别恶意软件流量很有效果。捕获并过滤客户端与解析器之间的 DNS 数据,保存为 PCAP (网络封包)文件。创建脚本程序搜索这些网络封包,以寻找你正在调查的某种可疑行为。
④入侵检测系统
无论你使用 Snort、Suricata 还是 OSSEC,都可以制定规则,要求系统对未授权客户的 DNS 请求发送报告。你也可以制定规则来计数或报告 NXDomain 响应、包含较小 TTL 数值记录的响应、通过 TCP 发起的 DNS 查询、对非标准端口的 DNS 查询和可疑的大规模 DNS 响应等。
以上就是有关DNS流量是什么?监控DNS流量的方法有哪些的知识介绍。
