Si tratta di un attacco DNS?

Naviga le tue risposte
5

Il seguente grafico mostra le query DNS UDP / sec (blu) e le risposte DNS / sec (rosso) del traffico che passa un router nell'arco di 4 giorni. La query DNS è un pacchetto DNS con query/response flag impostato su 0 nell'intestazione e la risposta DNS quella con il flag impostato su 1 .

  1. I salti nelle risposte con una larghezza di circa 30 minuti assomigliano a qualche tipo di attacco?
  2. E i salti nelle query?
  3. Perché esiste una differenza ampia e costante tra le query e le risposte per un lungo periodo di tempo?

MODIFICA:ilgraficosopramostraDNSsuUDP.EccoilgraficoSYN/sec:

EDIT: questa è una parte del traffico che passa un paese e internet.

    
posta Yasser 21.02.2013 - 11:21
fonte

2 risposte

1

Sono riluttante a pubblicare una risposta semplicemente a causa della mancanza di dati forniti tuttavia basandomi semplicemente sui grafici, suppongo che ciò sia dovuto a qualcuno che utilizza questo server per il tunneling DNS. David Bianco ha scritto un articolo sul rilevamento del tunneling DNS analizzando le statistiche di rete. Dice che è possibile rilevare il tunneling DNS osservando una richiesta / risposta molto sbilanciata delle query DNS che sembra avere.

Un approccio di analisi del traffico per il rilevamento di tunnel DNS

    
risposta data 22.02.2013 - 02:36
fonte
1

Se sei interessato a ottenere qualche tipo di risposta utile qui, le acquisizioni di pacchetti, i registri delle query o i record di flusso di rete sono un must. Al livello più elementare, abbiamo bisogno di stabilire le relazioni a cinque tuple per capire esattamente quali comunicazioni stanno accadendo. Da lì, si potrebbe cercare di scavare più a fondo in base ai log delle query per capire che cosa potrebbe fare le richieste.

    
risposta data 22.02.2013 - 21:08
fonte

Leggi altre domande sui tag

Perché la vulnerabilità XSS dal sito che lancia l'attacco CSRF rende il Pattern token di sincronizzazione non sicuro? Se un servizio che ho registrato con FB / Twitter / G + viene violato, quale danno può essere fatto con il token oauth?