DHCP也受挑战:监控DNS链接确保安全网络安全
为了防范某些类型的钓鱼攻击以及一种可以伪装成为DHCP服务器的新型特洛伊木马工具,更好地保护网络的安全,你应该考虑对DNS链接的输出流量进行监控或者过滤。
约翰尼斯·乌尔里希,SNAS的首席技术官,最近就在关注一种新型恶意工具,它可以直接威胁到网络服务的安全。一旦主机被感染,这个恶意工具将在上面建立一台伪装的DHCP服务器。由于DHCP采用的是广播模式,第一个服务器回复的信息将被查询的客户端使用,这样就有可能出现工作站在延长DHCP租约时,受到来自恶意域名服务器的网络地址欺骗的情况。
这种类型的木马病毒已经不是第一次出现了。实际上,它好象是Trojan.Flush.M这个影响网络流量并降低安全设定的木马病毒的新变种,经过更新后,由于没有指定任何DNS提供的域名,并设置了相对较短的为时一个小时的DHCP租约,它变得更难被监测出来。
在这种情况下,问题的关键在于一台被感染的机器会破坏DHCP,从而进一步导致网络上所有工作站的DNS设置都被破坏,如果它们没有将系统配置设定为使用静态网络IP地址的话,这种情况将变得非常麻烦。
因此,怎样才能防范该木马以及类似的攻击呢?
静态网络IP地址
解决这个问题最简单的办法就是对网络中每一台工作站的DNS设置进行强制管理。但对于超过24个节点的大型网络来说,在大多数情况下,这样一种解决办法是不切实际的,工作量会大到无法处理的地步。实际上,随着无线网络以及笔记本计算机在企业网络中的使用日益普及,静态设置只能带来工作量的极大增加,是一件不可能完成的工作。
DNS的输出流量
因此,对于大型公司网络来说,防范这种类型的木马造成潜在漏洞更简单有效的方法是对DNS的输出流量进行监控。这可能意味着需要对所有类型的DNS查询信息进行记录,并且,这样的措施也会及时发现由于钓鱼式攻击带来的可疑流量,从而为处理攻击提供帮助。当然,这样的强力措施会让大量用户背上包袱,并可能因为侵犯了隐私而受到抵制。
所以,更可靠的办法是设立一台内部DNS服务器,负责整个公司网络的DNS查询信息。所有来自其它机器的DNS查询信息将被禁止。如果公司没有能力建立一台内部DNS服务器的话,在防火墙中进行复杂一些的设置,对DNS查询信息进行过滤,禁止使用没有经过确认的DNS服务器也是一种可行的选择。
在此之前,你应该对网络中的所有IP地址进行一次快速检查,确保恶意DNS服务器(通常情况下,网络IP地址位于64.86.133.51和63.243.173.162上)没有在网络中出现。