アーカイブ
あなたの組織はDNSのクエリログを記録していますか?
2016年3月16日 | ラックピープル
2月1日にラックから出した注意喚起を覚えていますか?
遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起
DNS通信を悪用するマルウェアが出てくるのはとても面倒なことになったと思いました。
現時点ではDNSのクエリログを取ることが現実的な解かなと思って、
設定方法を@ITのコラム(https://www.atmarkit.co.jp/ait/articles/1603/16/news010.html)に書きましたのでぜひ読んでください。
簡単にまとめると以下のようなところです。
- 漢は黙ってtcpdump
- BINDはlogging機能
- Windows Serverは「デバッグのためにパケットのログを記録する」をON
ディスクI/Oがものすごく気になるところですが、やってみなければ始まらないので、
とりあえず皆さんのところでもロギングしてみましょう!!
私が見渡している範囲ではまだそんなに広い範囲で悪用されている様子はないので、
今のうちにログだけでも取っておくのが現実的な解かなと思っています。
ちょっとだけ宣伝ですが、6、7年前にDNS通信を悪用する攻撃者が出るだろうと思って、これらのクエリログなどから不審な通信を検知するためのロジックと実装を準備していました。
知財担当の方に勧められるままに特許まで取っていたのはよかったなと思っています。
