2008年10月4日 星期六

化被動為主動之名稱解析篇 (The DNS of Changing from Passive to Active)

這不是在廣告行銷喔。有個公司「OpenDNS」網站是 www.opendns.com
它的服務模式 (Business Module) 很特別,主要提供 DNS (名稱解析Domain Name Service) 服務,但對惡意網域之 IP 解析動作將予以阻擋,這就是它的賣點。除了惡意網域,還包含其他的網域,可以做客製化的設定,目前分類如下:


看起來它的服務模式是不是有點熟悉的勒?沒錯,Web Content Filtering,目前最熟悉的產品應該是 WebSense,中文網站在這裡。但是這服務的防護範圍與效益,與 Web Content Filtering 重疊性頗高,但還是有些差異的,因為一個從名稱解析下手,一個從 HTTP Protocol 下手。至於哪個好,很難說,名稱解析容易被 User 端繞過,而惡意連線不一定都用 HTTP Protocol 的。但除了惡意連線外,其他如網站分類阻擋部分,我想功能上應該相差不多,主要就是要比資料庫大小及分類程度了。

重要的來了,它目前有免費提供 DNS 服務,如下列,如果申請測試帳戶就有報表及數據可以參考:
208.67.222.222
208.67.220.220
另外,網站也有線上分析網域是否在惡意網域的資料庫中,在這裡。我測試一個網址分析結果如下:這是在之前 Post 的一篇文中的詐騙網站

這裡的網頁可以舉發的惡意網域,也有最近新增的惡意網域,經過驗證後就會加到資料庫中。

看到這裡是不是有好像跟另外一個模式也很像?沒錯,網站信譽評等 (WRS,Web Reputation Services),最早 WebSense 也是在這裡起家的。如果要參考有哪些網站信譽評等軟體,可參考最多的這裡,還有這裡這裡。不過,目前網站信譽評等都是軟體式,安裝在用戶端主機或瀏覽器的 Plug-In 上,但加入雲端運算及 SaaS 概念後,就變成類似這種服務了。

這服務需要注意的是:
1.是否能敵擋的惡意網域的新增速度:
有的攻擊碼的網域存活可能只有一周的,甚至更短。所以,發現惡意網域的機制就很重要,如果時效超時就沒有太大意義了。
2.為何會有這麼多的惡意網域,這才是根本問題:
網域是否有被濫用了呢?申請網域是否到浮濫地步?的確,用別人的卡號,在網路上三五分鐘就完成域名申請了,不是嗎?這是需要加以管制的,就像辦手機一樣,如果王八機滿街跑,壞人也就滿街跑了。
3.DNS 管理要重視:
我常說的一句話:「DNS 都是指引肉雞(或薑絲)回家的燈塔哩」,這不是美食部落格喔。所以,DNS 的數據管理也很重要,無奈市場上還沒有相關分析工具或軟體的,這服務或許能補足,或許...。
4.數據化管理,要思考哪些數據或圖表所代表的意義:
我個人覺得 DNS 在資安防護上是很重要的一環,千萬別輕忽它,這服務個概念是對的,就看後續相關報表及分析工具是否能呈現必要的資訊,這將會更重要。例如,半夜你的重要伺服器主機對 DNS 密集的查詢網域,這可透露著蛛絲馬跡的哩。
5.服務規避的配套措施
用戶端會很容易可以繞過 DNS 服務的,例如設定 Hosts 檔案的對應清單,所以,一定還需要配套措施的,這點要特別注意。
6.這服務與「化被動為主動之防火牆篇 (The Firewall of Changing from Passive to Active)」有互補之效。且兩個都非常適合在「雲端服務」。

2 則留言:

匿名 提到...

非常謝謝您的分析!
另外,不小心發現,"那就沒有太大的一意了"是否您原意是"意義"?

Crane_Ku 提到...

已修正嚕...揪甘心ㄟ...