HomeĐời SốngDns sinkhole là gì

Dns sinkhole là gì

09:00, 29/03/2021
Phòng thể nghiệm trọng điểm An toàn thông tin đã đề xuất desgin một hệ thống đo lường và tính toán, phòng thất thoát dữ liệu và khử những PMGĐ, bao gồm Hartware với ứng dụng. Phần cứng là máy chủ DNS Sinkhole với nhiệm vụ kiểm soát, tinh chỉnh những liên kết ô nhiễm về xúc tiến IP bình yên (IPhường. Sinkhole). Phần mượt là AV-DLP (antivirus - chống thất bay dữ liệu) với 3 chức năng: thống kê giám sát, chú ý máy tính trạm tất cả truy tìm vấn mang đến tên miền độc hại; ngăn ngừa những hành vi đánh tráo thông tin vào laptop rồi gửi mang đến máy chủ C&C; phạt hiện tại cùng hủy hoại PMGiám đốc dựa vào hành vi lúc chúng vận động.

Bạn đang xem: Dns sinkhole là gì

Khi đã lây lan vào máy vi tính, phần mềm gián điệp (PMGĐ) thường xuyên liên lạc với máy chủ sai khiến cùng tinh chỉnh và điều khiển (Comm& và Control - C&C) trên Internet. Dù thực hiện bất kỳ giao thức truyền tin như thế nào, thì những sever C&C đều có tác động trực tiếp hoặc thông qua thương hiệu miền. Do thực hiện các ảnh hưởng IP.. dễ dẫn đến vạc hiện nay, đề xuất các máy chủ C&C hay sử dụng một hoặc nhiều tên miền khác biệt. Sau khi truyền nhiễm vào máy tính, PMGiám đốc sẽ truy hỏi vấn mang đến máy chủ DNS để mang liên can IP của sản phẩm tính tinh chỉnh và điều khiển, kế tiếp, đem cắp thông tin cá thể và tài liệu vào máy vi tính rồi gửi mang đến máy chủ C&C thông qua thúc đẩy IP.. hầu hết phần mềm antivirus (AV) đang được áp dụng bên trên quả đât vẫn quan yếu ngăn chặn được hoàn toàn PMGĐ, đặc biệt là các PMGĐ mới. Nếu vạc hiện nay được PMGiám đốc thì câu hỏi cập nhật cũng mất quá nhiều thời hạn do nên so sánh tại chống thể nghiệm.

Để ngăn ngừa laptop vào mạng LAN, WAN truy vấn vấn cho máy chủ DNS, viện SANS (Mỹ) sẽ khuyến nghị chuyên môn DNS SinkHole, trong đó bao gồm một máy chủ DNS Sinkhole đang đặt trước máy chủ DNS của Internet, nhằm mục đích trả những tầm nã vấn tên miền về một tương tác IPhường an ninh. Kỹ thuật này đã làm được áp dụng trong các hệ thống tường lửa thế hệ mới của hãng sản xuất an toàn mạng Palo Allớn (Mỹ) cùng những hệ thống máy chủ cung cấp non sông. Tuy nhiên, chuyên môn DNS SinkHole bởi viện SANS khuyến nghị chỉ có thể ngăn ngừa thất bay dữ liệu, mà chưa có phương án phát hiện tại máy vi tính bao gồm tróc nã vấn cho tên miền ô nhiễm hay không, mặt khác ngăn chặn hành vi và diệt những PMGĐ.

Vì vậy, Phòng xem sét trọng yếu An toàn thông báo đã khuyến nghị tạo một khối hệ thống tính toán, chống thất thoát tài liệu cùng diệt các PMGĐ, bao gồm phần cứng với phần mềm. Phần cứng là máy chủ DNS Sinkhole với trách nhiệm điều hành và kiểm soát, tinh chỉnh và điều khiển các kết nối ô nhiễm về liên tưởng IPhường bình an (IPhường Sinkhole). Phần mượt là AV-DLP (antivirus - chống thất thoát dữ liệu) với 3 chức năng: giám sát, cảnh báo máy tính xách tay trạm bao gồm truy vấn vấn mang lại thương hiệu miền độc hại; ngăn ngừa những hành vi đánh tráo lên tiếng trong máy tính xách tay rồi gửi mang đến máy chủ C&C; vạc hiện nay với phá hủy PMGĐ dựa vào hành động khi bọn chúng chuyển động.

Phân tích hành động của PMGĐ

Các PMGĐ vận động dựa trên tên miền ô nhiễm và độc hại hoàn toàn có thể tạo thành 2 giai đoạn: Truy vấn tới máy chủ DNS cùng thao tác làm việc cùng với máy chủ C&C (Hình 1).


*
Hình 1. Hành vi của ứng dụng con gián điệp

Trong giai đoạn 1, máy tính xách tay bị lây truyền PMGĐ msống cổng và tróc nã vấn bằng gói tin UDPhường. đến máy chủ DNS để lấy ảnh hưởng IPhường. theo cổng 53. Máy nhà DNS gửi trả xúc tiến IP.. của dòng sản phẩm công ty C&C cho tới vật dụng bị lây truyền cũng bên trên cổng 53. Trong tiến độ này, nếu nhấn diện được thương hiệu miền độc hại với bắt được gói tin tầm nã vấn, thì có thể biết laptop bị truyền nhiễm PMGĐ hay không. Tuy nhiên, vày PMGĐ đang đóng góp cổng khi gửi xong gói tin truy tìm vấn DNS, bắt buộc siêu cạnh tranh phát hiện tại tiến trình nào của máy tính đang diễn ra hành vi ô nhiễm, vì vậy, việc điều tra mẫu mã PMGiám đốc trong máy vi tính đang gặp mặt trở ngại.

Trong tiến trình 2, PMGĐ mở một cổng thường trú cùng gửi gói tin TCPhường. “Hello” cho tới sever C&C. Nếu hiểu rằng IPhường. đích với cổng sẽ mnghỉ ngơi, rất có thể bắt được tiến trình liên quan mang lại PMGiám đốc. thường thì các PMGĐ thao tác làm việc cùng với sever C&C qua cổng 443 (SSL) cùng 80 (HTTP).

vì vậy, vào quy trình 1, hoàn toàn có thể phạt hiện tại được máy tính bị lan truyền PMGiám đốc tuyệt không; vào quy trình tiến độ 2, rất có thể vạc hiện được các bước của PMGĐ; trường đoản cú đó điều tra, phân tích, ngăn ngừa với tàn phá.

Mô hình hệ thống giám sát, chống thất thoát dữ liệu và khử PMGĐ

Mô hình của khối hệ thống được biểu đạt trong Hình 2. Thành phần bao gồm của khối hệ thống là 1 trong sever DNS SinkHole. Các máy tính vào mạng LAN, WAN vẫn đề xuất tầm nã vấn đến máy chủ này trước khi tầm nã vấn mang lại máy chủ DNS của những bên cung ứng hình thức Internet (Internet Service Provider – ISP) và ứng dụng AV-DLPhường. Máy nhà SinkHole có 2 chức năng:

Lưu lại tất cả những tầm nã vấn của những máy tính xách tay trong mạng, trường đoản cú kia phân một số loại thành Blackdanh sách với Whitecác mục. cũng có thể phân loại bằng cách phát hành mức sử dụng auto hỏi đáp trên cư dân mạng như virustotal.com, các website tin yêu, hoặc có thể nhận thấy sau khoản thời gian đối chiếu các hình dáng độc vào mạng. Nếu thương hiệu miền không có vào list Blackmenu, sever DNS SinkHole sẽ chuyển sau đó sever DNS trên Internet.

Xem thêm: Stt Hay Về Nắng, Caption Về Nắng Trong Tình Yêu, Cuộc Sống Hút Triệu Like

Đối cùng với các tên miền được trao diện chắc hẳn rằng là ô nhiễm và độc hại, máy chủ SinkHole đã trả các thương hiệu miền này về can hệ IP.. SinkHole. bởi thế, những máy tính xách tay bị lây lan PMGĐ bị ép đề nghị liên kết với IP SinkHole nên tất yêu liên kết ra mạng kế bên, cho phép ngăn chặn thất thoát dữ liệu.

Phần mềm AV-DLP được cài đặt trên những máy tính vào mạng, tất cả tác dụng giám sát và đo lường những tầm nã vấn cho tới sever DNS. Nếu thương hiệu miền trùng cùng với thương hiệu miền bên trong Blackdanh mục hoặc được trả về trường đoản cú DNS SinkHole, thì sẽ sở hữu được lưu ý cho người cần sử dụng. Hình như, Khi phân phát hiện tại thấy tất cả gói tin TCP gửi đến IPhường SinkHole, thì đã thực hiện khảo sát mã độc để ngăn ngừa và phá hủy.

Phần mềm AV-DLP.. tất cả 4 môđun, gồm những: Xử lý gói tin; Phát hiện nay tầm nã vấn độc hại; Điều tra các bước ô nhiễm và khử PMGĐ. Nguim tắc chuyển động có thể biểu đạt nlỗi Hình 2.


*
Hình 2. Mô hình hệ thống thống kê giám sát, chống thất bay dữ liệu với diệt PMGĐ

Phần mềm liên tục tính toán những gói tin cùng phân các loại. Nếu gói tin là UDPhường. (Port 53) cùng có IP nguồn là DNS Sinkhole hoặc tên miền bao gồm vào Blacklist thì cảnh báo còn còn nếu không phía trong list tên miền độc hại thì sẽ bắt gói tin tiếp sau. Nếu gói tin bắt được là TCP với gửi đến IPhường SinkHole thì máy tính xách tay đã bị lây truyền PMGĐ. Phần mượt sẽ phát hiện cổng vẫn mở trong gói tin này với tìm kiếm được các bước bị nhiễm mã độc.

Tiếp theo, ứng dụng tiếp tục khảo sát phát hiện tại PMGĐ đang nằm trong máy tính theo quy trình bị truyền nhiễm. Quá trình khảo sát được triển khai theo cả nhị hướng. Hướng Hmột là những PMGiám đốc truyền nhiễm vào các tiến trình đúng theo lệ (được đúng đắn vì chưng Windows) hoặc bao gồm bản thân các quy trình này là PMGĐ. Hướng H2 là phát hiện tại các ứng dụng gián điệp hay kích hoạt Khi khởi động vật dụng với sau thời điểm tiêm lây lan vào các quá trình đúng theo lệ đang giới hạn vận động. Quá trình điều tra theo H1 với H2 chính là kỹ thuật diệt mã độc bằng tay hay được thực hiện khi khảo sát theo những các bước đang chuyển động hoặc điều tra các quy trình khởi động cùng Windows.


*
Hình 3. Lưu thứ thuật toán của AV-DLP

Trong quá trình điều tra, Cửa Hàng chúng tôi thực hiện tính xác xắn Windows để đưa ra quyết định. Các PMGĐ hay không có chữ cam kết số (Not verified) nhưng gồm hành vi gửi gói tin TCPhường cho tới IPhường Sinkhole sẽ thấy cùng diệt. Để giảm thời gian tính tân oán kiểm tra đảm bảo, chúng tôi áp dụng nghệ thuật Whitecác mục trong các số ấy các quy trình, dll sẽ được tính toán thù chữ ký số MD5 và đối chiếu với danh sách những mã MD5 an ninh nhưng những hệ quản lý điều hành Windows thường xuyên thực hiện. Việc khảo sát theo hướng H1 thì không nên biết trước mẫu PMGĐ với đây là bài toán phân phát hiện tại cùng hủy diệt theo hành vi, theo phía H2 thì nên biết trước mẫu PMGiám đốc (MD5). Dường như, lúc điều tra vào hướng H2, công ty chúng tôi sử dụng list Blackmenu bao gồm các MD5 của mã độc đang biết trước (ngay gần 40 triệu mẫu) vày cộng đồng mạng phạt hiện tại (VirusTotal cảnh báo). Danh sách Whitecác mục liên tiếp được update cho máy vi tính nhằm giảm mốc giới hạn tính toán thù Khi phân phát hiện tại những PMGiám đốc khác.

Tóm lại

Nếu xúc tiến khối hệ thống sever DNS SinkHole hoàn toàn có thể giảm được nguy cơ thất bay dữ liệu. Phần mềm AV-DLP có thể diệt được đa phần những PMGiám đốc dựa trên hành vi tầm nã vấn thương hiệu miền mà lại ko buộc phải so sánh chủng loại.

Hệ thống này cũng có thể có một số trong những tinh giảm nên hạn chế là cần được giám sát để tìm hiểu trước thương hiệu miền ô nhiễm (Blacklist). Việc khử PMGĐ chỉ được triển khai Lúc biểu hiện hành động, không diệt được khi truyền nhiễm. Những nhược điểm này sẽ được khắc chế vào phiên phiên bản tiếp theo.