dns域名查询的次序_什么是dns流量？如何监控dns流量

DNS是重要的基础设施，用于域名服务，在负载均衡、移动IP等方面也有重要应用。DNS流量激增对互联网正常运行的影响已被提出，恶意DNS流量攻击、蜂窝效应等概念被提出。DNS流量是什么？监控DNS流量有哪些方式？我们一起来看看。

什么是 DNS 流量？

DNS其实就是把网址转换成网站实际IP地址的设备，它有一个网站网址和实际IP地址的数据库，网速越快，你所在地区的服务器连接速度就越快，不会因为选择较远的服务器而影响响应时间。

监控DNS流量的方法有哪些？

1. 流量分析工具

DNS 和 Bro 示例都表明被动流量分析在识别恶意软件流量方面非常有效。捕获并过滤客户端和解析器之间的 DNS 数据，将其保存为 PCAP（网络数据包）文件。创建一个脚本来搜索这些网络数据包以查找您正在调查的一些可疑行为。或者（最初）对网络数据包使用直接 SQL 查询。

（请记住：客户端除了使用自己的本地解析器之外，禁止使用任何其他解析器或非标准端口。）

2. DNS 被动复制

该方法涉及使用解析器上的传感器来创建通过给定解析器或一组解析器进行的所有 DNS 事务（查询/响应）的数据库。在分析中包含 DNS 被动数据对于识别恶意软件域起着重要作用，尤其是当恶意软件使用算法生成的域时。防火墙和安全管理系统将用作 IDS（入侵检测系统）引擎，它们是使用被动 DNS 与 IPS（入侵防御系统）结合来防御已知恶意域的安全系统的示例。

3.防火墙

所有防火墙都允许自定义规则来防止 IP 地址欺骗。添加一条规则以拒绝来自指定范围之外的 IP 地址的 DNS 查询，以防止域名解析器被用作 DDOS 攻击的开放反射器。

启用DNS流量检测功能，监控是否存在可疑的字节模式或异常的DNS流量，防止域名服务器软件漏洞攻击。

4.入侵检测系统

无论您使用 Snort 还是 OSSEC，您都可以创建规则，要求系统发送有关来自未经授权的客户端的 DNS 请求的报告。您还可以创建规则来计数或报告响应、包含具有较小 TTL 值的记录的响应、通过 TCP 发起的 DNS 查询、对非标准端口的 DNS 查询以及可疑的大规模 DNS 响应。基本上，DNS 查询或响应信息中的任何字段和任何值都可以被“检测到”。唯一限制您的是您的想象力和您对 DNS 的熟悉程度。防火墙的 IDS（入侵检测系统）为最常见的检测项目提供了两种配置规则：允许和拒绝。