← Tillbaka till Försvar

Detektering och loggning

DNS-loggar

DNS-loggar har högt värde eftersom de flesta anslutningar börjar med namnupplösning. De hjälper dig att identifiera misstänkta domäner, domängenereringsbeteende och tecken på DNS tunnling eller felkonfiguration.

Lärandemål

Det här ska du kunna efter genomläsning.
  • Förstå vad en DNS fråga och svar representerar i en utredning
  • Använd baslinjer för att upptäcka sällsynta domäner, ovanliga frågetyper och onormala felfrekvenser
  • Känn igen indikatorer för tunnling och domängenerering utan att förlita sig på exakta signaturer

I korthet

En snabb mental modell innan du går på djupet.
🧠
Fält med högt värde
  • Klientidentitet (värd, IP, subnät)
  • Frågeinformation (qname, qtype)
  • Svarsdetaljer (rcode, svar)
  • Timing (tidsstämpel, svarstid)
Starka tidiga signaler
  • Nyligen sedda domäner efterfrågade av kritiska värdar
  • Många NXDOMAIN svar från en klient
  • Unika underdomäner med hög volym under en domän
  • Ovanliga frågetyper som ofta TXT
Säkert svar
  • Bekräfta med endpoint- och proxyloggar innan du blockerar brett
  • Föredrar kontroller på resolvernivå för konsekvent tillämpning
  • Använd tillåtelselistor för affärskritiska domäner
  • Dokumentändringar så att du snabbt kan rulla tillbaka

Vad du ska samla in

  • Klientidentifierare, efterfrågat namn, frågetyp, svarskod och de returnerade svaren
  • Lösningsåtgärder som tillåt, blockera, omdirigera eller slukhål, inklusive policyorsaken när den är tillgänglig
  • Latens- och felfrekvenser så att du kan upptäcka avbrott, missbruk och felkonfiguration av lösare

Vanliga misstänkta mönster

Mönster Vad du ser Varför det spelar roll Typiskt svar
Hög NXDOMAIN Många uppslagningar som returnerar obefintliga domäner från en värd DGA-aktivitet, stavfel eller blockerade skadliga program försöker ofta igen loopar Inspektera de mest efterfrågade namnen, kontrollera slutpunkten och blockera kända dåliga domäner
Långa etiketter Mycket långa eller hög entropi underdomäner med jämn volym Kan indikera att data kodas till DNS-frågor (tunneling) Granska domänen och frågestrukturen, blockera om det är skadligt och undersök värden
Sällsynta toppdomäner Nya eller ovanliga toppdomäner och domäner blir plötsligt frekventa Används ofta i infrastruktur för nätfiske och skadlig programvara Berika och validera, blockera eller sjunkhål och övervaka påverkade värdar

Signaler att bevaka

Mönster som är värda att undersöka vidare.
📡
  • En plötslig ökning av NXDOMAIN eller SERVFAIL svar
  • Domäner med hög entropietiketter som verkar maskingenererade
  • En slutpunkt genererar mycket fler DNS frågor än jämförbara system

FÖRDJUPNING

DNS grunder som har betydelse i utredningar

DNS är ofta det första observerbara steget före en anslutning. Om en värd löser en domän är det en stark antydan om att den kan försöka ansluta till den returnerade adressen strax efter.

Fånga nyckelfält konsekvent: klient, resolver, qname, qtype, rcode, svar och svarstid.

Bevara både frågan och svaret när det är möjligt, eftersom svaren kan ändras med tiden och cacher kan maskera vad som hände senare.

Baslinjer slår gissningar

En baslinje kan vara en rullande lista med vanliga domäner per subnät och per applikation. När du vet hur normalt ser ut, sticker sällsynta domäner och sällsynta frågetyper ut snabbt.

Baslinjerna bör vara kontextuella. En utvecklararbetsstation, en server och en kiosk har olika normala. Jämför gilla med gilla.

Spår först sågs för domäner i din miljö. Det är ett enkelt men kraftfullt anrikningsfält under utredningar.

Tunneldrivning och missbrukssignaler

DNS tunnling och missbruk visar ofta udda frågeformer och udda volymer. Mycket långa underdomäner, etiketter med hög entropi, frekventa TXT-frågor och många unika underdomäner under en domän är vanliga varningstecken.

Upprepade NXDOMAIN svar kan indikera domängenereringsbeteende, stavfel eller ett felkonfigurerat program. Använd sammanhang för att avgöra vilken.

Korrelera misstänkta DNS med utgående anslutningar till de lösta IPs och med processaktivitet på värden som gjorde frågorna.

Anrikning och blockering säkert

Anrikning gör DNS-loggar mycket mer användbara. Mappa domäner till kategori, rykte och ägande när du kan. Även grundläggande berikning som först sågs och vem som frågade hjälper.

Blockering bör vara försiktig och reversibel. Föredrar kontroller på upplösarnivå så att du kan logga beslutet och tillämpa policy konsekvent.

Använd tillåtelselistor för kritiska affärsdomäner och dokumentändringar så att du snabbt kan rulla tillbaka om något går sönder.

Resolversyn kontra auktoritativ syn

Var du loggar DNS spelar roll. Lösningsloggar visar vad dina kunder frågade. Auktoritativa loggar visar vad världen frågade om dina domäner. De svarar på olika frågor.

För detektering och loggning inom en organisation är resolverloggar vanligtvis de mest värdefulla eftersom de kopplar aktiviteten tillbaka till interna klienter.

Moderna DNS funktioner som påverkar sikten

Krypterade DNS-alternativ kan minska synligheten på traditionella nätverkssensorer. Om klienter använder DNS över HTTPS direkt till externa resolvers, kanske dina interna resolverloggar inte ser frågorna.

Ett praktiskt tillvägagångssätt är att upprätthålla godkända resolvers och övervaka direkt utgående trafik till kända offentliga resolvertjänster.

Startjakter

• Nyligen sedda domäner efterfrågade av kritiska värdar

• Många NXDOMAIN svar från en klient

• Ovanlig qtype användning som frekvent TXT för en domän

• Unika underdomäner med hög volym under en förälder

• Domäner med mycket långa etiketter jämfört med baslinjen