Dns sinkhole là gì

Phòng xem sét trọng điểm An toàn báo cáo sẽ đề xuất phát hành một khối hệ thống giám sát và đo lường, chống thất bay dữ liệu với diệt những PMGiám đốc, bao hàm Hartware và phần mềm. Phần cứng là sever DNS Sinkhole với trọng trách kiểm soát điều hành, điều khiển các kết nối ô nhiễm và độc hại về thúc đẩy IPhường an ninh (IP Sinkhole). Phần mượt là AV-DLPhường (antivirus - phòng thất bay dữ liệu) với 3 chức năng: đo lường, lưu ý máy tính trạm có truy vấn mang đến tên miền độc hại; ngăn chặn những hành động đánh cắp đọc tin vào laptop rồi gửi mang lại sever C&C; phạt hiện nay với phá hủy PMGĐ dựa trên hành động khi chúng vận động.

Bạn đang xem: Dns sinkhole là gì

Lúc đang truyền nhiễm vào laptop, phần mềm con gián điệp (PMGĐ) hay liên hệ với sever sai khiến và điều khiển (Commvà & Control - C&C) bên trên Internet. Dù thực hiện bất kỳ giao thức truyền tin làm sao, thì những sever C&C đều sở hữu liên hệ thẳng hoặc thông qua tên miền. Do áp dụng những tương tác IP dễ bị phát hiện, buộc phải các máy chủ C&C thường xuyên áp dụng một hoặc các tên miền khác nhau. Sau lúc truyền nhiễm vào máy vi tính, PMGĐ đã truy vấn vấn đến máy chủ DNS để mang liên tưởng IP của máy tính điều khiển, tiếp đến, mang cắp công bố cá thể với dữ liệu vào laptop rồi gửi mang lại sever C&C thông qua liên hệ IP.. phần lớn ứng dụng antivirus (AV) đang được áp dụng trên quả đât vẫn quan yếu ngăn chặn được trọn vẹn PMGiám đốc, nhất là các PMGĐ bắt đầu. Nếu phân phát hiện được PMGiám đốc thì bài toán update cũng mất không ít thời hạn vì phải phân tích tại chống thử nghiệm.

Để ngăn chặn máy tính vào mạng LAN, WAN truy vấn vấn mang đến sever DNS, viện SANS (Mỹ) đang lời khuyên kỹ thuật DNS SinkHole, trong những số ấy tất cả một máy chủ DNS Sinkhole đang đặt trước máy chủ DNS của Internet, nhằm mục đích trả những truy tìm vấn thương hiệu miền về một can dự IPhường bình yên. Kỹ thuật này đã có được áp dụng trong những hệ thống tường lửa thế kỷ mới của hãng an toàn mạng Palo Alkhổng lồ (Mỹ) với các hệ thống sever cấp nước nhà. Tuy nhiên, chuyên môn DNS SinkHole do viện SANS đề xuất chỉ có thể ngăn chặn thất bay tài liệu, nhưng mà chưa xuất hiện phương án vạc hiện laptop tất cả truy nã vấn cho tên miền ô nhiễm hay không, bên cạnh đó ngăn ngừa hành vi cùng diệt những PMGĐ.

Vì vậy, Phòng phân tách trọng yếu An toàn báo cáo sẽ khuyến cáo desgin một khối hệ thống đo lường và thống kê, chống thất thoát dữ liệu cùng diệt các PMGĐ, bao hàm Hartware với ứng dụng. Phần cứng là sever DNS Sinkhole cùng với trọng trách điều hành và kiểm soát, điều khiển các kết nối ô nhiễm và độc hại về thúc đẩy IP.. bình an (IP Sinkhole). Phần mượt là AV-DLP (antivirus - chống thất thoát dữ liệu) cùng với 3 chức năng: đo lường, lưu ý máy tính xách tay trạm bao gồm truy vấn vấn mang đến thương hiệu miền độc hại; ngăn ngừa những hành vi ăn cắp báo cáo trong máy vi tính rồi gửi mang lại máy chủ C&C; vạc hiện nay và phá hủy PMGiám đốc dựa trên hành động Lúc chúng hoạt động.

Phân tích hành vi của PMGĐ

Các PMGĐ vận động dựa vào tên miền ô nhiễm và độc hại rất có thể phân thành 2 giai đoạn: Truy vấn cho tới máy chủ DNS cùng làm việc với máy chủ C&C (Hình 1).


*
Hình 1. Hành vi của ứng dụng gián điệp

Trong quá trình 1, máy tính xách tay bị lan truyền PMGĐ mngơi nghỉ cổng cùng tầm nã vấn bởi gói tin UDP cho sever DNS để lấy liên quan IPhường theo cổng 53. Máy công ty DNS gửi trả tác động IP.. của máy chủ C&C cho tới thứ bị lan truyền cũng trên cổng 53. Trong quá trình này, ví như dấn diện được tên miền ô nhiễm cùng bắt được gói tin truy vấn vấn, thì có thể biết máy tính bị lây nhiễm PMGiám đốc hay là không. Tuy nhiên, bởi vì PMGiám đốc sẽ đóng cổng Khi gửi hoàn thành gói tin truy vấn vấn DNS, yêu cầu hết sức cực nhọc phát hiện các bước nào của máy tính đã diễn ra hành vi ô nhiễm và độc hại, chính vì vậy, câu hỏi khảo sát chủng loại PMGiám đốc vào máy tính vẫn gặp gỡ khó khăn.

Trong quy trình 2, PMGĐ mở 1 cổng thường xuyên trú với gửi gói tin TCP. “Hello” tới máy chủ C&C. Nếu biết được IP đích và cổng đã msinh sống, hoàn toàn có thể bắt được quy trình liên quan đến PMGĐ. Đôi khi những PMGiám đốc làm việc cùng với máy chủ C&C qua cổng 443 (SSL) với 80 (HTTP).

do vậy, trong quá trình 1, hoàn toàn có thể phân phát hiện tại được laptop bị truyền nhiễm PMGiám đốc tuyệt không; vào quá trình 2, hoàn toàn có thể vạc hiện được các bước của PMGĐ; từ kia điều tra, phân tích, ngăn chặn với tàn phá.

Mô hình khối hệ thống tính toán, phòng thất bay tài liệu và khử PMGĐ

Mô hình của khối hệ thống được diễn tả vào Hình 2. Thành phần chính của hệ thống là 1 trong sever DNS SinkHole. Các máy tính vào mạng LAN, WAN đang đề nghị truy tìm vấn đến sever này trước lúc truy vấn mang đến máy chủ DNS của những bên cung ứng hình thức dịch vụ Internet (Internet Service Provider – ISP) với phần mềm AV-DLP.. Máy chủ SinkHole gồm 2 chức năng:

Lưu lại tất cả các truy nã vấn của các laptop trong mạng, tự đó phân các loại thành Blackdanh mục và Whitedanh sách. Có thể phân các loại bằng cách thiết kế luật pháp auto hỏi đáp trên cư dân mạng nlỗi virustotal.com, những website tin tưởng, hoặc có thể cảm nhận sau khoản thời gian so sánh những mẫu thiết kế độc vào mạng. Nếu thương hiệu miền không có vào danh sách Blackmenu, sever DNS SinkHole vẫn đưa tiếp nối máy chủ DNS trên Internet.

Xem thêm: Đào Dài Âm Dương Sư Onmyoji Mạnh Nhất, Đào Mới Fix Kỹ

Đối cùng với những thương hiệu miền được trao diện chắc chắn là là ô nhiễm và độc hại, máy chủ SinkHole sẽ trả các thương hiệu miền này về xúc tiến IPhường. SinkHole. do vậy, những máy tính bị nhiễm PMGiám đốc bị nghiền đề xuất liên kết cùng với IP SinkHole nên thiết yếu liên kết ra mạng ngoại trừ, có thể chấp nhận được ngăn chặn thất bay tài liệu.

Phần mềm AV-DLP. được thiết đặt trên những máy tính vào mạng, có tác dụng thống kê giám sát những tầm nã vấn tới sever DNS. Nếu thương hiệu miền trùng với thương hiệu miền phía trong Blackdanh mục hoặc được trả về từ bỏ DNS SinkHole, thì sẽ có được cảnh báo cho người dùng. Dường như, Lúc vạc hiện tại thấy tất cả gói tin TCP. thân tặng IP SinkHole, thì vẫn thực hiện điều tra mã độc để ngăn chặn với hủy diệt.

Phần mềm AV-DLPhường có 4 môđun, gồm những: Xử lý gói tin; Phát hiện tại truy nã vấn độc hại; Điều tra tiến trình độc hại với diệt PMGiám đốc. Nguim tắc hoạt động hoàn toàn có thể diễn tả như Hình 2.


*
Hình 2. Mô hình khối hệ thống đo lường và tính toán, phòng thất thoát tài liệu với diệt PMGĐ

Phần mượt tiếp tục thống kê giám sát các gói tin cùng phân một số loại. Nếu gói tin là UDP. (Port 53) cùng bao gồm IPhường mối cung cấp là DNS Sinkhole hoặc tên miền có trong Blackdanh sách thì cảnh báo còn còn nếu không phía bên trong list thương hiệu miền độc hại thì sẽ bắt gói tin tiếp theo. Nếu gói tin bắt được là TCPhường và gửi tới IPhường SinkHole thì máy vi tính đã trở nên lây nhiễm PMGiám đốc. Phần mượt sẽ thấy cổng đang mngơi nghỉ vào gói tin này và kiếm được quá trình bị lây nhiễm mã độc.

Tiếp theo, phần mềm liên tục khảo sát phạt hiện PMGiám đốc đang bên trong máy vi tính theo quá trình bị lây lan. Quá trình khảo sát được thực hiện theo cả hai hướng. Hướng H1 là những PMGĐ nhiễm vào các các bước đúng theo lệ (được xác xắn vị Windows) hoặc bao gồm bạn dạng thân các các bước này là PMGiám đốc. Hướng H2 là vạc hiện tại những phần mềm loại gián điệp thường xuyên kích hoạt Khi khởi hễ sản phẩm công nghệ cùng sau khi tiêm lây lan vào các quá trình thích hợp lệ đang dừng chuyển động. Quá trình điều tra theo H1 và H2 chính là kỹ thuật khử mã độc thủ công hay được áp dụng Lúc điều tra theo những tiến trình đang hoạt động hoặc điều tra các quá trình khởi cồn cùng Windows.


*
Hình 3. Lưu thứ thuật toán thù của AV-DLP

Trong quá trình điều tra, chúng tôi áp dụng tính chính xác Windows để ra quyết định. Các PMGĐ hay không tồn tại chữ cam kết số (Not verified) mà có hành vi gửi gói tin TCP cho tới IP Sinkhole sẽ phát hiện cùng diệt. Để bớt thời hạn tính tân oán kiểm soát đúng đắn, Shop chúng tôi thực hiện nghệ thuật Whitelist trong số ấy các quy trình, dll sẽ tiến hành tính toán thù chữ ký số MD5 cùng đối chiếu với list các mã MD5 an toàn nhưng mà những hệ điều hành Windows hay thực hiện. Việc khảo sát theo hướng H1 thì không cần phải biết trước chủng loại PMGiám đốc và đây là vấn đề phát hiện nay với phá hủy theo hành vi, theo hướng H2 thì nên biết trước mẫu PMGĐ (MD5). Ngoài ra, Lúc khảo sát trong hướng H2, Cửa Hàng chúng tôi thực hiện list Blacklist gồm những MD5 của mã độc đã biết trước (gần 40 triệu mẫu) bởi cư dân mạng phân phát hiện (VirusTotal chình ảnh báo). Danh sách Whitelist liên tiếp được cập nhật mang lại máy tính để bớt số lần tính tân oán khi phân phát hiện tại những PMGĐ khác.

tóm lại

Nếu triển khai hệ thống sever DNS SinkHole hoàn toàn có thể bớt được nguy cơ tiềm ẩn thất thoát tài liệu. Phần mềm AV-DLP có thể khử được đa phần những PMGiám đốc dựa trên hành vi truy nã vấn thương hiệu miền mà lại ko đề xuất so với mẫu mã.

Xem thêm: Lỗi System Cannot Find File Specified !, Lỗi The System Cannot Find The File Specified!

Hệ thống này cũng có thể có một số tiêu giảm phải khắc phục là cần phải đo lường và thống kê để hiểu trước thương hiệu miền độc hại (Blacklist). Việc khử PMGĐ chỉ được triển khai lúc thể hiện hành vi, không diệt được Khi lây lan. Những nhược điểm đó sẽ được hạn chế và khắc phục trong phiên bạn dạng tiếp theo.


Chuyên mục: Blockchain