监控DNS链接确保安全 DHCP也受挑战

　　为了防范某些类型的钓鱼攻击以及一种可以伪装成为DHCP服务器的新型特洛伊木马工具，更好地保护网络的安全，你应该考虑对DNS链接的输出流量进行监控或者过滤。

　　约翰尼斯·乌尔里希，SNAS的首席技术官，最近就在关注一种新型恶意工具，它可以直接威胁到网络服务的安全。一旦主机被感染，这个恶意工具将在上面建立一台伪装的DHCP服务器。由于DHCP采用的是广播模式，第一个服务器回复的信息将被查询的客户端使用，这样就有可能出现工作站在延长DHCP租约时，受到来自恶意域名服务器的网络地址欺骗的情况。

　　这种类型的木马病毒已经不是第一次出现了。实际上，它好象是Trojan.Flush.M这个影响网络流量并降低安全设定的木马病毒的新变种，经过更新后，由于没有指定任何DNS提供的域名，并设置了相对较短的为时一个小时的DHCP租约，它变得更难被监测出来。

　　在这种情况下，问题的关键在于一台被感染的机器会破坏DHCP，从而进一步导致网络上所有工作站的DNS设置都被破坏，如果它们没有将系统配置设定为使用静态网络IP地址的话，这种情况将变得非常麻烦。

　　因此，怎样才能防范该木马以及类似的攻击呢?

　　静态网络IP地址

　　解决这个问题最简单的办法就是对网络中每一台工作站的DNS设置进行强制管理。但对于超过24个节点的大型网络来说，在大多数情况下，这样一种解决办法是不切实际的，工作量会大到无法处理的地步。实际上，随着无线网络以及笔记本计算机在企业网络中的使用日益普及，静态设置只能带来工作量的极大增加，是一件不可能完成的工作。

　　DNS的输出流量

　　因此，对于大型公司网络来说，防范这种类型的木马造成潜在漏洞更简单有效的方法是对DNS的输出流量进行监控。这可能意味着需要对所有类型的DNS查询信息进行记录，并且，这样的措施也会及时发现由于钓鱼式攻击带来的可疑流量，从而为处理攻击提供帮助。当然，这样的强力措施会让大量用户背上包袱，并可能因为侵犯了隐私而受到抵制。

　　所以，更可靠的办法是设立一台内部DNS服务器，负责整个公司网络的DNS查询信息。所有来自其它机器的DNS查询信息将被禁止。如果公司没有能力建立一台内部DNS服务器的话，在防火墙中进行复杂一些的设置，对DNS查询信息进行过滤，禁止使用没有经过确认的DNS服务器也是一种可行的选择。

　　在此之前，你应该对网络中的所有IP地址进行一次快速检查，确保恶意DNS服务器(通常情况下，网络IP地址位于64.86.133.51和63.243.173.162上)没有在网络中出现。