MoinQ: DNS/製品/infoblox

1. DNS/infoblox

多少興味があるので、調べてみます。　-- ToshinoriMaeno 2014-09-25 07:25:26

• 意味不明の伝聞記事w

2. Infoblox DNS Firewall

こっちの説明の方が記事としてはまともそう。 http://www.atmarkit.co.jp/ait/articles/1409/22/news053.html

マルウェアやボットに感染した端末から悪意あるサーバーへの通信、いわゆる「コールバック」を検知し、ブロックする
...
「内側の端末がどこか外部のサイトと通信しようとするとき、DNSは必須となる」（同社 シニアディレクター、SE-APAC 松島栄樹氏）

キャッシュ毒盛については別製品らしい。（なぜ）

分かっていないで記事にしている様子： http://enterprisezine.jp/iti/detail/6175

「不正なDNSクエリをブロックすることで、マルウェアやAPT攻撃を防ぐことができる」

マルウェアがボットネットやC&Cサーバに対して発行したDNSクエリを検知してブロックする製品だ。
ランサムウェアが使う不正なDNSを検知することができることを紹介した。

検知に使っている情報は、IPアドレス、MACアドレス、デバイス種別(DHCPフィンガープリント)、ホスト名、DHCPリース履歴など。

3. Infoblox Advanced DNS Protection

• http://www.infoblox.jp/products/infrastructure-security/advanced-dns-protection

• http://www.infoblox.jp/sites/infobloxcom/files/ja/resources/infoblox-datasheet-advanced-dns-protection-ja.pdf

DNSサービス自体を保護することを目的とした製品だ。
　DNSに対する攻撃パターンをルール化した「Infoblox脅威ルールサーバー」の情報を参照して、
　　DNSサーバーに対する正規のトラフィックと、攻撃やキャッシュポイズニング、
　　あるいはその準備段階の偵察トラフィックなどを検出する。
DNSを装って別のプロトコルをトンネリングするようなトラフィックも検出可能だ。

近年、危険性が指摘されているDNSキャッシュポイズニング攻撃にも対応する。
具体的には、UDP（User Datagram Protocol）のDNS応答のパケットレートを監視し、
特定のソースIPアドレスからのパケット数がしきい値を超えると一定時間パケットをドロップする。
これにより、大量の偽DNS応答をブロックする形で防御するという。

別記事の記述

DrDoS攻撃のほか、DNSアンプ攻撃、DNSの脆弱性を突く攻撃、
TCP/UDP/ICMPフラッド、DNSキャッシュポイズニング、プロトコルアノマリー、
DNSトンネリング、偵察プローブ(攻撃前の調査)などを防ぐことができるという。

Infoblox の資料を見た方がよさそう。 -- ToshinoriMaeno 2014-09-25 22:35:56