什么是 DNS 历史记录,为什么跟踪它对您的业务很重要?
时间 : 2021-06-11 编辑 : DNS智能解析专家
域名系统 (DNS) 包含提供有关任何给定域名的信息的记录。这些记录包括其相应的 Internet 协议 (IP) 地址、邮件交换 (MX) 服务器和名称服务器 (NS) 等。
当用户在浏览器上键入特定域名时,所有这些详细信息都有助于定位该域名。例如,域 example[.]com 目前从其 DNS 记录中获得以下详细信息:
- IP 地址:93[.]184[.]216[.]34
- 管理员: noc[.]dns[.]icann[.]org
- NS: ns[.]icann[.]org
DNS 记录可能会随着时间的推移而改变。例如,网站管理员可能需要将域指向不同的 NS 或 IP 地址。那么,域过去的 DNS 记录会发生什么变化?这就是 DNS 历史的来源。
什么是 DNS 历史?
在 2005 年之前,上面讨论的历史 DNS 记录在一定时间后永远丢失了。没有办法存储这些记录。然而,Florian Weimer 发明了被动 DNS (pDNS),这是一种记录域过去所有 DNS 记录的技术。
有多种方法可以查找 DNS 历史记录,例如使用反向 DNS 查找工具或下载 pDNS 数据库。
跟踪 DNS 历史记录至关重要的 3 个原因
DNS 历史记录有多种用途,但它们的主要目的是抵御网络攻击,尤其是那些使用恶意软件的攻击。如今,企业完全有理由将网络犯罪保护纳入其优先事项,因为不这样做可能会非常昂贵。
因此,监控 DNS 历史记录对公司至关重要,以下是三个具体原因。
检测潜在的恶意域
DNS 历史记录提供的最重要的见解之一是解析为相同 IP 地址的域名列表。例如,恶意 IP 地址 157[.]230[.]221[.]198 连接到 delta9k[.]com 及其五个子域,包括 mumble[.]delta9k[.]com 和 registry[.] delta9k[.]com。
这些域和子域不会被报告为恶意的,因此它们可能不会被未实施基于 IP 的阻止和监控的安全系统标记。但是,由于它们是唯一解析恶意 IP 地址的地址(至少在撰写本文时),因此可能暗示参与了可疑活动。如果安全团队检查进出这些域和子域的流量,网络就会得到更好的保护。
通过发现连接到恶意 IP 地址的域,可以阻止多种类型的网络攻击。网络钓鱼和恶意软件活动就在其中,因为它们使用域名作为武器。
帮助预防和恢复 DNS 劫持
定期跟踪您的 DNS 历史记录有助于您检测 DNS 劫持的迹象,这是一种常见的 DNS 攻击类型。
在 DNS 劫持中,攻击者在未经授权访问您的系统后修改您的 DNS 配置。然后,他们可以更改 IP 分辨率,将您的网站访问者重定向到他们控制的网站。该网站是威胁行为者从您的网络中窃取敏感用户信息的网关。
但是,如果您立即通过 DNS 历史监控发现 IP 解析突然发生变化,您可以在攻击造成更大破坏之前进行调查和缓解。访问您的历史 DNS 记录还有助于恢复它们并纠正威胁行为者所做的修改。
保护品牌声誉
及早预防和检测任何网络攻击是品牌保护的一种形式,因为这些流程可帮助您避免网络犯罪带来的声誉损害。除了可疑的 IP 地址之外,DNS 历史记录还可以让您远离可疑的网络资源,例如威胁行为者可以通过在它们被允许访问您的网络之前对其进行检测来使用的 NS 和邮件服务器。
DNS 历史记录还有助于检测恶意软件命令和控制 (C&C) 服务器。这使企业能够对抗拒绝服务 (DoS) 攻击,这种攻击使用称为“僵尸网络”的计算机网络向网站发送虚假请求,直到该网站瘫痪并让合法访问者无法访问为止。僵尸网络通常与 C&C 服务器通信,因此关闭这些服务器将有助于阻止攻击。
—
监控当前和历史的 DNS 记录对企业至关重要。当前 DNS 记录可帮助潜在客户找到您的网站,而 DNS 历史记录可帮助您避免网络攻击,从而帮助留住和吸引更多客户。
