【网络安全】Suspicious DNS Query（可疑的DNS查询）

名词解释

“Suspicious DNS Query（可疑的DNS查询）”通常指的是在网络中检测到的可能具有风险或异常行为的DNS（Domain Name System，域名系统）查询。

DNS查询是计算机在访问互联网上的网站或服务时进行的操作，它将域名转换为相应的IP地址。当网络安全系统或工具检测到某些DNS查询模式或行为异常时，会标记为“Suspicious DNS Query”。

筛选指令：name-of-threatid eq 'Suspicious DNS Query (generic:zxapp.ztems.com)'

可能原因分析

当 DNS 查询被认为是可疑时，这可能是由于以下原因之一：

• 异常流量
  如果某个客户端源发起大量超出正常范围的不寻常的 DNS 查询，特别是短时间内对一个或者多个不同域名进行查询，这可能表明正在进行某种形式的扫描、攻击或恶意软件活动。
• 恶意域名
  如果查询的目标域名与已知的恶意网站、僵尸网络命令和控制服务器或其他恶意在线资源有关联，则这些查询也会被标记为Suspicious DNS。
• 未知的 TLD 或 SLD
  对于非常罕见的顶级域（TLD）或二级域（SLD），尤其是刚刚才创建或尚未广泛使用的，其查询行为可能会被识别为suspicious DNS。
• 非标准端口使用
  正常情况下，DNS 查询通常在 UDP 端口 53 或 TCP 端口 53 上进行。如果查询通过其他端口发送，比如WEB常用的80或者443端口，这可能是攻击者尝试规避安全策略的一种方法。
• DNS tunneling
  通过这种技术伪装成DNS 查询来传输其他类型的数据，例如为了绕过防火墙或代理服务器。
• 数据泄露或信息收集
  有些查询可能是试图找出组织内部网络的结构，或者搜集关于用户浏览习惯的信息。例如通过不断的查询，可能找出企业内部在用的DNS域名和对应的WEB，从而了解内部结果或者根据域名了解WEB系统用途。

Action sinkhole

“Sinkhole”（汇集点）在网络安全领域是指一个特定的安全措施，用于拦截和隔离恶意网络流量或攻击。它可以是一个虚拟的网络设备、服务器或网络节点，旨在吸引、捕获或限制恶意流量。

在网络安全领域中，Sinkhole代表两种意义：

1. 恶意流量重定向
   当检测到恶意活动时，网络管理员可以将这些流量重定向到 Sinkhole，从而阻止其进一步影响网络中的其他设备。Sinkhole 会“吸引”恶意流量，使其无法达到其真实的目标，并对其进行分析或隔离。
2. 数据收集和分析
   Sinkhole 可以用于收集有关恶意攻击、恶意软件或网络攻击的数据。这些数据可以帮助安全团队分析攻击方式、识别新的威胁模式，并制定相应的对策。

在防火墙里面查询Suspicious DNS Query

以paloalto 防火墙举例，查询suspicious DNS query，可以在自定义报告中通过以下条件查询：

(threatid geq 619000000) and (threatid leq 619999999)

在paloalto的防火墙中，suspicious DNS query的threatid为619xxxxxx。我们配置的筛选条件是大于619000000，但是小于619999999。

我们查询了最近七天的threat log，发现有9笔suspicious dns query记录。其中最多的一个suspicious DNS 统计请求有79次。网络安全工程师可以根据查询结果做相应的处理。

预防Suspicious DNS查询带来的风险

预防可疑 DNS 查询的建议做法可以参考以下几点：

1. 限制对内外部 DNS 服务器的访问
   尽可能使用内部 DNS 服务器，并限制对互联网上未知或不信任的 DNS 服务器的访问。而对内部DNS服务器，则只允许经过授权的设备访问。
2. 启用 DNSSEC
   DNS 安全扩展（DNSSEC）是一种可以验证 DNS 响应真实性的技术。启用 DNSSEC 可以防止伪造的 DNS 响应。通过使用数字签名验证 DNS 数据的完整性，DNSSEC 可以提高 DNS 查询的安全性。
3. 使用专用 DNS 解析服务
   考虑使用专门的安全 DNS 解析服务，如 Quad9、OpenDNS 或 Google Public DNS 等，例如提供恶意网站拦截功能的服务，可信的DNS解析服务通常会提供额外的安全层，比如阻止访问已知的恶意网站。
4. 使用防火墙和安全软件
   安装并配置防火墙和安全软件来检测和阻止恶意流量，包括可疑的 DNS 查询。
5. 实施域名过滤和黑名单
   建立域名黑名单，阻止访问已知恶意或可疑的域名。可以在安全设备或者软件中实现，也可以在内网DNS服务器配置黑名单地址不转发解析请求。
6. 配置DNS缓存
   配置 DNS 缓存以限制非必要的 DNS 查询。通过设置较长的 TTL（生存时间），减少对外部 DNS 服务器的频繁查询，从而降低风险。
7. 监控DNS流量
   监控 DNS 查询和流量模式，特别是关注异常或不寻常的查询。DNS查询请求通过日志记录，通过专用工具分析。
8. 提高员工安全意识
   提高员工的安全意识，让他们了解如何识别潜在的钓鱼邮件和其他社会工程攻击，这些攻击可能导致可疑的 DNS 查询。

通过实施这些预防建议，可以帮助降低遭受可疑 DNS 查询的风险，并提高整体网络安全水平。然而，没有一种方法可以完全消除风险，所有的做法都只是降低风险到可以接受的程度或者达到管理者预期。