早期保护未知域
作为域名系统(DNS)的一部分,每天创建和发布新的域名,但并非所有这些都是出于合法目的而创建的。坏演员在创建它们的第一分钟内使用新领域进行犯罪活动,例如垃圾邮件,恶意软件分发或僵尸网络。远处点头向组织提供了基于域名的实时可行见解。
通过利用DNS服务器上的点头响应策略区域来阻止与新铸造和使用的域的连接;因此,破坏现代恶意软件常用的技术。
当发现新名称时,如果怀疑品牌网络钓鱼,混乱或稀释,请立即采取行动。新域通常用于通过创建lookaillie网站来欺骗用户。这些域是危险的,直到它们被分类和阻塞为止。可以通过利用DNS服务器上的点头响应策略区域来阻止它们的时间。
通过添加容易消耗此DNSBL的Spamassassin规则,通过添加spamassassin规则来填充非常年轻的域(例如,五分钟或更新的五分钟或更新的年龄,30分钟或更新)的过滤电子邮件。来自新的,外观域的大多数电子邮件可能是恶意的。保护用户免受这些消息的侵害是很好的做法。
是什么使远处点头上等?
我们每天都观察到数百万个域,并检测到其中有100,000多个是从历史DNSDB数据库的角度出发的。NOD利用超过2 TB的每日实时被动DNS数据,发现新近配置的域首次使用时。这与使用其他发现方法(例如TLD区域文件访问或WHOIS)在注册后17小时的典型形成鲜明对比。
NOD可作为实时流以安全信息交换(SIE)频道212的方式使用。在点头,可以查询或下载DNS区域文件格式中新观察到的域。
用户指南
常问问题
RPZ技术概述
威胁Connect,Inc。案例研究
Red Canary,Inc。案例研究
