DNS是重要的基础设施,用于域名服务,在负载均衡,移动IP等方面也有着重要的应用.DNS流量激增对互联网的正常运作的影响,并提出了恶意DNS流量攻击,蜂窝效应概念,什么是DNS流量？监控它的方法有哪些？一起来看看吧。

什么是DNS流量？

dns其实就是网址转换成网站实际IP地址的设备，它建有网站网址和实际IP数据库。按照就近的网速越快，你在哪个地区连接的就是哪个地区的服务器，不会舍近求远，影响响应时间。

监控dns流量的方法有哪些？

1、流量分析工具

Wireshark和Bro的实际案例都表明，被动流量分析对识别恶意软件流量很有效果。捕获并过滤客户端与解析器之间的DNS数据，保存为PCAP（网络封包）文件。创建脚本程序搜索这些网络封包，以寻找你正在调查的某种可疑行为。或使用PacketQ（最初是DNS2DB）对网络封包直接进行SQL查询。

（记住：除了自己的本地解析器之外，禁止客户使用任何其他解析器或非标准端口。）

2、DNS被动复制

该方法涉及对解析器使用传感器以创建数据库，使之包含通过给定解析器或解析器组进行的所有DNS交易（查询/响应）。在分析中包含DNS被动数据对识别恶意软件域名有着重要作用，尤其适用于恶意软件使用由算法生成的域名的情况。将Suricata用做IDS（入侵检测系统）引擎的PaloAlto防火墙和安全管理系统，正是结合使用被动DNS与IPS（入侵防御系统）以防御已知恶意域名的安全系统范例。

3、防火墙

所有的防火墙都允许自定义规则以防止IP地址欺骗。添加一条规则，拒绝接收来自指定范围段以外的IP地址的DNS查询，从而避免域名解析器被DDOS攻击用作开放的反射器。

启动DNS流量检测功能，监测是否存在可疑的字节模式或异常DNS流量，以阻止域名服务器软件漏洞攻击。

4、入侵检测系统

无论你使用Snort、Suricata还是OSSEC，都可以制定规则，要求系统对未授权客户的DNS请求发送报告。你也可以制定规则来计数或报告NXDomain响应、包含较小TTL数值记录的响应、通过TCP发起的DNS查询、对非标准端口的DNS查询和可疑的大规模DNS响应等。DNS查询或响应信息中的任何字段、任何数值基本上都“能检测”。唯一能限制你的，就是你的想象力和对DNS的熟悉程度。防火墙的IDS（入侵检测系统）对大多数常见检测项目都提供了允许和拒绝两种配置规则。