DNS是重要的基礎設施,用于域名服務,在負載均衡,移動IP等方面也有著重要的應用.DNS流量激增對互聯網的正常運作的影響,并提出了惡意DNS流量攻擊,蜂窩效應概念,什么是DNS流量？監控它的方法有哪些？一起來看看吧。

什么是DNS流量？

dns其實就是網址轉換成網站實際IP地址的設備，它建有網站網址和實際IP數據庫。按照就近的網速越快，你在哪個地區連接的就是哪個地區的服務器，不會舍近求遠，影響響應時間。

監控dns流量的方法有哪些？

1、流量分析工具

Wireshark和Bro的實際案例都表明，被動流量分析對識別惡意軟件流量很有效果。捕獲并過濾客戶端與解析器之間的DNS數據，保存為PCAP（網絡封包）文件。創建腳本程序搜索這些網絡封包，以尋找你正在調查的某種可疑行為。或使用PacketQ（最初是DNS2DB）對網絡封包直接進行SQL查詢。

（記住：除了自己的本地解析器之外，禁止客戶使用任何其他解析器或非標準端口。）

2、DNS被動復制

該方法涉及對解析器使用傳感器以創建數據庫，使之包含通過給定解析器或解析器組進行的所有DNS交易（查詢/響應）。在分析中包含DNS被動數據對識別惡意軟件域名有著重要作用，尤其適用于惡意軟件使用由算法生成的域名的情況。將Suricata用做IDS（入侵檢測系統）引擎的PaloAlto防火墻和安全管理系統，正是結合使用被動DNS與IPS（入侵防御系統）以防御已知惡意域名的安全系統范例。

3、防火墻

所有的防火墻都允許自定義規則以防止IP地址欺騙。添加一條規則，拒絕接收來自指定范圍段以外的IP地址的DNS查詢，從而避免域名解析器被DDOS攻擊用作開放的反射器。

啟動DNS流量檢測功能，監測是否存在可疑的字節模式或異常DNS流量，以阻止域名服務器軟件漏洞攻擊。

4、入侵檢測系統

無論你使用Snort、Suricata還是OSSEC，都可以制定規則，要求系統對未授權客戶的DNS請求發送報告。你也可以制定規則來計數或報告NXDomain響應、包含較小TTL數值記錄的響應、通過TCP發起的DNS查詢、對非標準端口的DNS查詢和可疑的大規模DNS響應等。DNS查詢或響應信息中的任何字段、任何數值基本上都“能檢測”。唯一能限制你的，就是你的想象力和對DNS的熟悉程度。防火墻的IDS（入侵檢測系統）對大多數常見檢測項目都提供了允許和拒絕兩種配置規則。