科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道DHCP也受挑战:监控DNS链接确保安全

DHCP也受挑战:监控DNS链接确保安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

为了防范某些类型的钓鱼攻击以及一种可以伪装成为动态主机分配协议服务器的新型特洛伊木马工具,更好地保护网络的安全,你应该考虑对域名系统链接的输出流量进行监控或者过滤。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2009年5月14日

关键字: 木马 DNS漏洞 DNS

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

为了防范某些类型的钓鱼攻击以及一种可以伪装成为DHCP服务器的新型特洛伊木马工具,更好地保护网络的安全,你应该考虑对DNS链接的输出流量进行监控或者过滤。
--------------------------------------------------------------------------------------------

  约翰尼斯·乌尔里希,SNAS的首席技术官,最近就在关注一种新型恶意工具,它可以直接威胁到网络服务的安全。一旦主机被感染,这个恶意工具将在上面建立一台伪装的DHCP服务器。由于DHCP采用的是广播模式,第一个服务器回复的信息将被查询的客户端使用,这样就有可能出现工作站在延长DHCP租约时,受到来自恶意域名服务器的网络地址欺骗的情况。

  这种类型的木马病毒已经不是第一次出现了。实际上,它好象是Trojan.Flush.M这个影响网络流量并降低安全设定的木马病毒的新变种,经过更新后,由于没有指定任何DNS提供的域名,并设置了相对较短的为时一个小时的DHCP租约,它变得更难被监测出来。

  在这种情况下,问题的关键在于一台被感染的机器会破坏DHCP,从而进一步导致网络上所有工作站的DNS设置都被破坏,如果它们没有将系统配置设定为使用静态网络IP地址的话,这种情况将变得非常麻烦。

  因此,怎样才能防范该木马以及类似的攻击呢?

  静态网络IP地址

  解决这个问题最简单的办法就是对网络中每一台工作站的DNS设置进行强制管理。但对于超过24个节点的大型网络来说,在大多数情况下,这样一种解决办法是不切实际的,工作量会大到无法处理的地步。实际上,随着无线网络以及笔记本计算机在企业网络中的使用日益普及,静态设置只能带来工作量的极大增加,是一件不可能完成的工作。

  DNS的输出流量

  因此,对于大型公司网络来说,防范这种类型的木马造成潜在漏洞更简单有效的方法是对DNS的输出流量进行监控。这可能意味着需要对所有类型的DNS查询信息进行记录,并且,这样的措施也会及时发现由于钓鱼式攻击带来的可疑流量,从而为处理攻击提供帮助。当然,这样的强力措施会让大量用户背上包袱,并可能因为侵犯了隐私而受到抵制。

  所以,更可靠的办法是设立一台内部DNS服务器,负责整个公司网络的DNS查询信息。所有来自其它机器的DNS查询信息将被禁止。如果公司没有能力建立一台内部DNS服务器的话,在防火墙中进行复杂一些的设置,对DNS查询信息进行过滤,禁止使用没有经过确认的DNS服务器也是一种可行的选择。

  在此之前,你应该对网络中的所有IP地址进行一次快速检查,确保恶意DNS服务器(通常情况下,网络IP地址位于64.86.133.51和63.243.173.162上)没有在网络中出现。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章