• 010-62419020
  • |
  • support@easynetworks.com.cn
当前位置:

DNS过滤器

DNS过滤器拦截计算机发送给DNS服务器的请求数据包和服务器回应的DNS数据包。DNS请求包通常是UDP 53端口和TCP 53端口。它对DNS请求和回应进行解析、更改、阻断、替换。通过对DNS请求处理,实现禁止和允许访问某些域名,发现木马攻击,设置蜜罐。它通常是串接到网络,或者通过网络设备将DNS协议的数据包转发到该设备上进行处理。

域名的黑白名单

域名黑名单是禁止访问某些域名。比如说禁止访问www.sohu.com和www.baidu.com,而允许其他的域名。白名单是指允许访问某些域名,而禁止访问其他域名。比如说允许访问www.sohu.com,而禁止访问其他域名。无论是黑名单还是白名单,域名的匹配都支持精确匹配和模糊匹配。模糊匹配可以是通配符匹配,或者正则表达式,也可以是其他的匹配方式。DNS过滤器针对黑白名单的处理方法有两种,直接丢弃该请求或者用一个特殊的IP地址替换返回的IP。

域名解析的审计

DNS过滤器对查询域名的数据包进行分析,记录请求发起的时间,源IP地址,查询的域名。DNS过滤器对域名访问的日志进行长期记录,统计分析,发现其中异常行为。异常行为的判断是基于以下几个要素,每个域名解析的频率;内网网段参与解析同一域名的范围;常见域名和非常见域名的对比。

蜜罐引导

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。DNS过滤器可以将可疑的域名引导到蜜罐的IP,方便情报收集和攻击发现。