企業如何處理網域查詢
在多數企業網路中,端點要連到外部服務,會先向 DNS 伺服器發出查詢(DNS query),取得該網域的 IP 後才建立連線。為了集中管理,企業通常要求端點把系統內的 DNS 伺服器指向公司自建的 DNS Proxy;這個 Proxy 會再去詢問外部 DNS(例如 8.8.8.8),以快取(cache)縮短回覆時間,並可啟用進階功能:留下查詢紀錄並透過 DNS 區域(如 RPZ)比對網域黑名單。同時,防火牆也會禁止端點直接對外部 DNS 發問,確保所有查詢都經由公司的 DNS Proxy。
DNS Proxy 是企業上網的「守門者」?
當惡意軟體入侵企業內某個端點後,絕大多數都必須與 C2 伺服器(Command & Control)連線,以回報資訊或下載指令,才能展開下一步攻擊;一旦切斷 C2 與受駭端點的通訊,攻擊鏈便難以推進。傳統防禦策略會嘗試從封包內容辨識 C2 連線,但當大部分 C2 逐漸改走 HTTPS/TLS 加密通訊,成功攔截的機會明顯下滑。相對地,若善用威脅情資提供的入侵指標(IoC),包含網域與 IP 清單,則可在 DNS 查詢階段先行阻斷:當端點欲查詢的網域列於惡意清單,或解析後取得的 IP 屬於惡意清單,即可立即封鎖。這是效益最高且對業務影響最小的策略之一,而 DNS Proxy 正是最適當的執行者——它不只是查詢轉送器,更是攔截威脅的守門者。不過,基於實務需求,企業也常放行部分 IoT 裝置或訪客電腦直接連線外部 DNS 伺服器(UDP/53),此時 DNS Proxy 無法介入管控,形成可視性與防護的缺口。
DNS 加密與駭客手段的「升級」
強化上網隱私是網際網路發展的重要方向。近年來,DNS 加密機制(如 DoH,DNS over HTTPS)開始落地,DNS 查詢被封裝在 HTTPS 連線內。這雖提升了隱私保護,卻也讓企業管控更加困難:既看不到端點查了哪個網域,也難以判定某條 HTTPS 連線是否就是 DoH。於是,有心者或惡意程式可以輕易透過 HTTPS 穿越 DNS Proxy 與防火牆的聯合防線,直接與外部 DoH 服務互動。更進一步,駭客工具箱不斷進化:為了隱匿行跡,它們乾脆不使用 DNS,而改以其他管道取得「網域與 IP 的對應」,例如從雲端硬碟下載目標 IP 清單,或以 Google Calendar API 分享內含 IP 資訊的行事曆事件,從根本避開 DNS 監控。
GRISM-T 的方法:以「DNS 來歷」驗證每一條連線
DNS 查詢的檢核是資安防禦極為關鍵的環節;DNS Proxy 在此具備「地利」,但前提是所有端點都"主動向它發出查詢"。當網路存在管理例外、加密 DNS 或另類取得 IP 的機制時,單靠 DNS Proxy 或一般防火牆/IPS 都難以因應。
GRISM-T 的定位並非取代 DNS Proxy,而是在不更動任何 DNS Proxy 設定與網路拓撲的前提下,扮演更完整的守門者。它以透通模式(類 IPS)部署於資料平面,一方面執行 Passive DNS,完整解析 DNS 訊息並保存結構化資訊(主要為 A/AAAA,含 CNAME 脈絡,亦可擴充 TXT 等);另一方面,結合威脅情資檢查所有封包(包含 DNS 訊息):
1)若偵測到目的 IP 屬於惡意 IP 清單,可發出syslog告警並即時阻斷;
2)對所有 DNS 查詢(不限是否經企業 DNS Proxy),若查詢網域屬於惡意清單,則發出 Syslog 告警,並丟棄該查詢,或回覆一個指向告警頁面的特定 IP。
換言之,即便是 IoT/訪客等例外流量,GRISM-T 也能確實留痕並啟用阻擋,避免今日的「盲點」成為明日的「隱患」。
更關鍵的是,GRISM-T 會把每一條對外連線的目的 IP與近期觀測到的 DNS 回覆進行關聯分析;只要出現「連線的目的 IP 找不到相對應的 DNS 來歷」——也就是沒有可關聯的解析紀錄——系統便視為可疑,依策略告警或直接阻斷。這種「以 DNS 來歷驗證連線正當性」的方法,不仰賴是否看得到網域名稱,能同時涵蓋 DoH、硬編 IP,以及各種以另類方式取得 IP 的情境;換言之,即使攻擊者刻意隱藏目的網域,那些企圖逃避監控的可疑連線仍會被關聯檢出。
「大加密年代」中點亮一盞明燈
GRISM-T 補齊 DNS Proxy 在管理例外與加密情境下的不足,並把攔截與取證前移到資料平面;它結合威脅情資與抗「DNS 隱身」的關聯偵測,在維持現網架構與終端不變更的前提下,延伸 DNS 守門者的效力,讓企業在「看得見網域,也看得見沒有網域的連線」兩個維度上同時掌握主動,也為這個在「大加密年代」中可視性漸失的網路安全領域,點亮一盞明燈。
PacketX Technology (瑞擎數位股份有限公司) 簡介
PacketX Technology 致力於鞏固網路安全的基石,以其主動性能見度(Proactive Visibility)平台來建構零盲區監控基礎設施(Zero-Blind-Spot Monitoring Infrastructure)。它能整合串聯多種網路安全設備,進而提升整體防禦能量;同時配合巨量的IP 和網域惡意清單在高速網路流量中即時檢核, 以偵測、追蹤並阻斷可能威脅。
PacketX Technology解決方案的優勢已在許多場域獲得驗證,其服務對象涵蓋 政府機關 金融產業 電信產業等多家大型企業或機構。而PacketX持續的技術創新,也讓其在次世代網路安全領域中佔有一席之地。
若您希望進一步瞭解 PacketX Technology 的解決方案與應用,敬請透過以下方式與我們聯繫:Email:[email protected]
#威脅情資 #惡意連線阻斷 #DNS守門者 #抗DNS隱身 #主動可視性 #零洩漏防禦 #上網可視性 #DNS加密 #C2通訊 #資安防禦
