保护性 DNS (PDNS) 是利用现有 DNS 协议和架构来分析 DNS 查询并采取措施减轻威胁的安全服务。保护性DNS 从源头上阻止对恶意软件、勒索软件、网络钓鱼攻击、病毒、恶意站点和间谍软件的访问,从而使网络本质上更加安全。
PDNS使用响应策略区域(RPZ)功能,这是一个基于策略的DNS解析器,根据策略返回答案。该解析器根据威胁情报检查域名查询和返回的IP地址,利用来自各种公共和私人来源的实时的网络威胁情报,形成一个具有已知恶意内容的网站列表。然后,DNS解析器防止连接到已知或可疑的恶意网站。
当PDNS服务遇到恶意或可疑的查询时,它可以以几种方式进行响应。一,PDNS可以通过返回 NXDOMAIN 响应来限制对请求的域的访问,这意味着不提供被查询域的IP 地址。二,PDNS也可以将请求重定向到一个替代的默认页面,并告知所查询的原始域名已被封锁;最后,PDNS也可以 “sinkhole “域名,提供自定义响应,并防止或延迟进一步的网络威胁,如勒索软件的加密封锁或使用命令和控制协议。最后一种方法使网络安全响应团队能够在威胁仍然活跃时进行调查或启动感染猎杀。
保护性DNS(PDNS)服务提升网络防御能力
保护性DNS(PDNS)服务在全球的政府中都被广泛采用。以英国政府为例,英国国家网络安全中心(NCSC)创建并管理着一个保护性DNS服务解决方案,以保护整个英国的中央政府部门和其他公共部门组织。PDNS服务目前可免费提供给英国的公共组织,包括中央政府、地方当局、分权行政部门、紧急服务、NHS组织和国防部。该服务是NCSC广泛部署的主动网络防御能力之一。
为远程工作者提供的保护性DNS(PDNS)服务
保护性DNS服务可以为远程工作人员提供高度的网络安全,因为它们可以从源头上阻止上游的恶意互联网活动。远程用户可以使用加密的DNS over HTTPS(DoH)客户端网络协议连接到PDNS服务,使终端用户无论在哪里连接到互联网,都能从端到端的保护中受益。
保护性DNS(PDNS)为教育领域提供安全的浏览体验
儿童和年轻人继续成为基于互联网的游戏、应用程序和广告扩散的目标,这些游戏、应用程序和广告直接针对他们,然后可能利用或滥用他们的个人数据。
我们需要确保帮助学校和他们的学生能够有一个安全、可靠的互联网浏览体验。利用基于类别的过滤功能,PDNS可以过滤掉不良和不适当的内容(比如色情,暴力和赌博等),从而防止学生接触不到这些不良内容。
保护性DNS(PDNS)域名分类
PDNS的一个核心能力是根据威胁情报对域名进行分类的能力。PDNS服务通常利用已知恶意域名的开放源码、商业和政府信息源。这些信息源能够覆盖在网络开发生命周期的许多点上发现的域名。一些解决方案还可以根据模式识别来检测新的恶意域名。PDNS系统通常处理的域名类型如下:
- 钓鱼网站:恶意收集个人或组织信息的应用程序的网站,包括骗取受害者的用户名和密码等凭证。这类恶意域名可能包括合法域名的近似域名。PDNS可以保护用户不会意外地连接到一个有潜在危害的恶意链接。
- 恶意软件分发和指挥与控制:提供恶意内容或被威胁者用来指挥和控制恶意软件的网站。例如,这些可能包括托管恶意JavaScript文件的网站或托管收集私人信息用于分析的域名。PDNS可以阻止已知的恶意连接尝试并发出警报。
- 域名生成算法:具有程序化生成的域名的网站,恶意软件用它来规避静态封锁。僵尸网络等高级恶意软件必须依靠与指挥和控制(C2)服务器的通信。网络威胁行为者可以使用恶意软件的域名生成算法(DGAs),通过编程生成域名来规避静态阻断。PDNS通过分析每个域名的文本属性和标记那些与已知的DGA属性(如高熵)相关的域名,提供对恶意软件DGA的保护。
- 内容过滤:特定内容类别的网站违反了组织的访问政策,比如色情,暴力和赌博等网站。PDNS可以使用各种域的分类来过滤这些不良内容并警告或阻止访问。
保护性DNS(PDNS)的核心能力
- 从注册或创建的那一秒起,实时阻止新域名。
- 可以启用具有特定特征(比如色情,赌博等)的域名的延迟解析。
- 控制允许攻击一个组织的潜在域名的数量。
- 在发生恶意软件或勒索软件事件时,关闭并加强所有出站的DNS解析。
- 为事件响应和分析提供对所有出站DNS流量的实时和历史可见性。
原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2757.html