Dns sinkhole là gì

Phòng thí điểm trọng yếu An toàn đọc tin vẫn đề xuất thi công một hệ thống đo lường và tính toán, chống thất bay tài liệu và khử những PMGĐ, bao gồm Hartware cùng phần mềm. Phần cứng là máy chủ DNS Sinkhole cùng với trách nhiệm điều hành và kiểm soát, điều khiển và tinh chỉnh các liên kết độc hại về cửa hàng IP. an ninh (IP Sinkhole). Phần mượt là AV-DLPhường (antivi khuẩn - kháng thất thoát dữ liệu) cùng với 3 chức năng: giám sát và đo lường, cảnh báo máy tính xách tay trạm gồm tróc nã vấn mang đến tên miền độc hại; ngăn chặn những hành động đánh cắp thông tin vào máy tính rồi gửi cho sever C&C; vạc hiện nay cùng hủy hoại PMGiám đốc dựa trên hành vi Lúc bọn chúng chuyển động.

Bạn đang xem: Dns sinkhole là gì

lúc đang truyền nhiễm vào máy vi tính, phần mềm loại gián điệp (PMGĐ) thường xuyên liên hệ với máy chủ sai bảo cùng tinh chỉnh (Commvà và Control - C&C) bên trên Internet. Dù sử dụng ngẫu nhiên giao thức truyền tin như thế nào, thì những máy chủ C&C đều có can dự trực tiếp hoặc trải qua tên miền. Do sử dụng các liên tưởng IPhường dễ dẫn đến vạc hiện, cần các máy chủ C&C thường sử dụng một hoặc các thương hiệu miền không giống nhau. Sau Khi lây nhiễm vào máy tính xách tay, PMGĐ sẽ truy tìm vấn cho sever DNS để mang tương tác IP của sản phẩm tính điều khiển, kế tiếp, lấy cắp biết tin cá thể và tài liệu trong máy tính rồi gửi đến máy chủ C&C trải qua thúc đẩy IP. phần lớn phần mềm antivirus (AV) đang được sử dụng bên trên quả đât vẫn không thể ngăn ngừa được trọn vẹn PMGiám đốc, nhất là những PMGiám đốc new. Nếu phân phát hiện được PMGĐ thì bài toán cập nhật cũng mất không ít thời hạn do phải so sánh tại chống phân tích.

Để ngăn chặn máy tính vào mạng LAN, WAN tầm nã vấn mang lại máy chủ DNS, viện SANS (Mỹ) đã lời khuyên kỹ thuật DNS SinkHole, trong số đó tất cả một sever DNS Sinkhole vẫn đặt trước sever DNS của Internet, nhằm mục tiêu trả những truy vấn thương hiệu miền về một liên can IPhường bình an. Kỹ thuật này đã có thực hiện trong các hệ thống tường lửa thế kỷ mới của hãng sản xuất an ninh mạng Palo Alto (Mỹ) và các khối hệ thống máy chủ cấp tổ quốc. Tuy nhiên, kỹ thuật DNS SinkHole vày viện SANS đề xuất chỉ hoàn toàn có thể ngăn ngừa thất bay dữ liệu, nhưng chưa có chiến thuật vạc hiện tại máy tính có tầm nã vấn mang đến tên miền ô nhiễm và độc hại hay không, bên cạnh đó ngăn ngừa hành vi cùng diệt những PMGiám đốc.

Vì vậy, Phòng phân tích trọng yếu An toàn thông tin đang đề xuất kiến tạo một hệ thống giám sát, kháng thất bay tài liệu cùng diệt các PMGĐ, bao gồm Hartware với ứng dụng. Phần cứng là máy chủ DNS Sinkhole với trách nhiệm điều hành và kiểm soát, điều khiển các kết nối ô nhiễm về liên hệ IP.. an ninh (IP Sinkhole). Phần mượt là AV-DLP (antivi khuẩn - chống thất bay dữ liệu) cùng với 3 chức năng: tính toán, chú ý máy tính trạm tất cả tầm nã vấn mang lại tên miền độc hại; ngăn ngừa những hành vi đánh tráo biết tin vào laptop rồi gửi mang lại sever C&C; vạc hiện cùng hủy hoại PMGiám đốc dựa trên hành động lúc chúng chuyển động.

Phân tích hành vi của PMGĐ

Các PMGiám đốc chuyển động dựa trên tên miền độc hại có thể tạo thành 2 giai đoạn: Truy vấn tới máy chủ DNS và thao tác làm việc cùng với máy chủ C&C (Hình 1).


*
Hình 1. Hành vi của phần mềm loại gián điệp

Trong quá trình 1, laptop bị lan truyền PMGĐ mngơi nghỉ cổng và truy tìm vấn bởi gói tin UDP mang lại máy chủ DNS để mang can dự IP theo cổng 53. Máy công ty DNS gửi trả liên can IP của sản phẩm công ty C&C tới vật dụng bị lan truyền cũng bên trên cổng 53. Trong quá trình này, ví như nhận diện được thương hiệu miền ô nhiễm và độc hại với bắt được gói tin truy nã vấn, thì hoàn toàn có thể biết máy tính xách tay bị lây lan PMGĐ hay không. Tuy nhiên, vị PMGĐ sẽ đóng cổng Khi gửi hoàn thành gói tin truy vấn DNS, nên khôn cùng khó phạt hiện tại quy trình như thế nào của máy tính vẫn diễn ra hành động ô nhiễm, chính vì như thế, việc điều tra chủng loại PMGĐ vào máy tính đã gặp khó khăn.

Trong quá trình 2, PMGiám đốc mtại 1 cổng hay trú và gửi gói tin TCPhường. “Hello” tới sever C&C. Nếu hiểu rằng IPhường đích cùng cổng vẫn mngơi nghỉ, có thể bắt được các bước liên quan mang đến PMGĐ. Đôi khi những PMGiám đốc thao tác làm việc cùng với sever C&C qua cổng 443 (SSL) cùng 80 (HTTP).

Vậy nên, vào giai đoạn 1, hoàn toàn có thể phân phát hiện được máy vi tính bị nhiễm PMGiám đốc xuất xắc không; vào quy trình tiến độ 2, rất có thể phát hiện nay được các bước của PMGĐ; từ đó khảo sát, phân tích, ngăn ngừa cùng tiêu diệt.

Mô hình hệ thống đo lường, kháng thất bay dữ liệu với khử PMGĐ

Mô hình của khối hệ thống được miêu tả trong Hình 2. Thành phần thiết yếu của hệ thống là một trong những sever DNS SinkHole. Các máy tính vào mạng LAN, WAN vẫn đề xuất truy nã vấn mang đến sever này trước khi truy hỏi vấn đến máy chủ DNS của những công ty hỗ trợ các dịch vụ Internet (Internet Service Provider – ISP) với ứng dụng AV-DLP. Máy công ty SinkHole có 2 chức năng:

Lưu lại toàn bộ những truy tìm vấn của các máy vi tính trong mạng, từ bỏ kia phân các loại thành Blacklist với Whitemenu. cũng có thể phân loại bằng cách sản xuất biện pháp auto hỏi đáp trên cộng đồng mạng nlỗi virustotal.com, những website tin tưởng, hoặc có thể nhận ra sau khoản thời gian so với các hình dáng độc trong mạng. Nếu tên miền không có trong danh sách Blacklist, máy chủ DNS SinkHole sẽ đưa kế tiếp máy chủ DNS trên Internet.

Xem thêm: Cách Tải Đấu Trường Chân Lý Mobile, Tải Tft Mobile Ios Và Android Mới Nhất 2021

Đối cùng với những tên miền được nhận diện chắc hẳn rằng là độc hại, sever SinkHole đã trả những tên miền này về thúc đẩy IPhường. SinkHole. vì vậy, các máy vi tính bị lây nhiễm PMGiám đốc bị ép đề xuất liên kết cùng với IPhường SinkHole đề nghị cần yếu liên kết ra mạng xung quanh, cho phép ngăn ngừa thất bay dữ liệu.

Phần mềm AV-DLP được thiết đặt trên những máy tính vào mạng, có công dụng đo lường và thống kê những truy vấn vấn cho tới sever DNS. Nếu thương hiệu miền trùng cùng với tên miền nằm trong Blacklist hoặc được trả về trường đoản cú DNS SinkHole, thì sẽ có được lưu ý cho những người dùng. Dường như, Lúc phát hiện thấy bao gồm gói tin TCPhường. gửi đến IP SinkHole, thì vẫn tiến hành điều tra mã độc để ngăn chặn với hủy diệt.

Phần mượt AV-DLPhường gồm 4 môđun, bao gồm: Xử lý gói tin; Phát hiện tại truy vấn độc hại; Điều tra quá trình ô nhiễm và khử PMGĐ. Ngulặng tắc chuyển động hoàn toàn có thể mô tả như Hình 2.


*
Hình 2. Mô hình khối hệ thống thống kê giám sát, chống thất thoát dữ liệu cùng khử PMGĐ

Phần mềm liên tục tính toán các gói tin với phân các loại. Nếu gói tin là UDPhường (Port 53) cùng gồm IPhường mối cung cấp là DNS Sinkhole hoặc tên miền bao gồm trong Blacklist thì cảnh báo còn nếu như không bên trong danh sách tên miền độc hại thì đang bắt gói tin tiếp theo. Nếu gói tin bắt được là TCPhường với gửi đến IPhường SinkHole thì máy vi tính đã biết thành lây lan PMGiám đốc. Phần mềm sẽ phát hiện cổng đang mngơi nghỉ trong gói tin này và tìm kiếm được quá trình bị lan truyền mã độc.

Tiếp theo, phần mềm thường xuyên khảo sát phạt hiện nay PMGĐ đang nằm trong laptop theo tiến trình bị lây truyền. Quá trình điều tra được triển khai theo cả hai phía. Hướng H1 là các PMGiám đốc lây nhiễm vào những quá trình hòa hợp lệ (được chính xác bởi vì Windows) hoặc bao gồm phiên bản thân các quá trình này là PMGiám đốc. Hướng H2 là vạc hiện nay những ứng dụng loại gián điệp thường xuyên kích hoạt lúc khởi rượu cồn vật dụng với sau thời điểm tiêm lây lan vào các quy trình đúng theo lệ sẽ dừng vận động. Quá trình điều tra theo H1 và H2 chính là kỹ thuật khử mã độc bằng tay thủ công thường được áp dụng Khi khảo sát theo các quá trình sẽ chuyển động hoặc điều tra những quá trình khởi hễ thuộc Windows.


*
Hình 3. Lưu vật dụng thuật toán của AV-DLP

Trong quy trình khảo sát, Cửa Hàng chúng tôi sử dụng tính xác xắn Windows để quyết định. Các PMGiám đốc thường không tồn tại chữ cam kết số (Not verified) cơ mà tất cả hành vi gửi gói tin TCPhường tới IP Sinkhole sẽ thấy với diệt. Để sút thời hạn tính toán thù bình chọn chuẩn xác, Cửa Hàng chúng tôi thực hiện nghệ thuật Whitecác mục trong những số ấy các tiến trình, dll sẽ tiến hành tính toán thù chữ ký số MD5 với đối chiếu cùng với danh sách các mã MD5 bình yên nhưng những hệ điều hành và quản lý Windows thường thực hiện. Việc khảo sát theo phía H1 thì không nên biết trước mẫu PMGĐ và đó là Việc vạc hiện nay cùng phá hủy theo hành vi, theo hướng H2 thì cần biết trước mẫu mã PMGĐ (MD5). Dường như, Lúc khảo sát vào hướng H2, Shop chúng tôi sử dụng danh sách Blackdanh mục bao gồm các MD5 của mã độc đang biết trước (gần 40 triệu mẫu) vì cộng đồng mạng vạc hiện (VirusTotal chình họa báo). Danh sách Whitelist liên tiếp được cập nhật mang đến laptop để bớt mốc giới hạn tính toán thù Khi phát hiện những PMGĐ không giống.

Kết luận

Nếu xúc tiến khối hệ thống máy chủ DNS SinkHole hoàn toàn có thể bớt được nguy cơ thất thoát tài liệu. Phần mượt AV-DLPhường có thể khử được nhiều phần những PMGĐ dựa trên hành động truy hỏi vấn tên miền cơ mà không đề xuất so sánh chủng loại.

Hệ thống này cũng đều có một số hạn chế đề nghị khắc phục là rất cần phải đo lường và thống kê để biết trước tên miền độc hại (Blacklist). Việc diệt PMGĐ chỉ được triển khai Lúc biểu hiện hành động, chưa khử được khi nhiễm. Những nhược điểm đó sẽ tiến hành khắc chế trong phiên bạn dạng tiếp sau.