近年來,DNS DDoS攻撃比以前還擴大及複雜,所以利用現存的監測技術方式很難檢測出DNS攻撃,例如Slow Drip DNS Attack等 現有的DNS監測系統很難利用統計資料檢測出DNS攻撃,但是通過momentum DNS Viewer™與momentum Probe™的聯合時可利用統計資料檢測出DNS攻撃後,可無縫的鑽取到Packet Data的監測系統

1. momentum Probe Type-R
TAPAS Terilogy Advanced Platform for Apps
Zero Loss
Data Record
Reltime -
Indexing
が
Lastline
momentum
Orca
GUI來抽取・下載
需要的Data
momentum
PSCLI
CLI來抽取・下載
需要的Data
momentum
DNS Viewer
用在無縫的連接
Packet data和各種
DNS圖表的専用Viewer
與其他產品聯合
Palo
Alto
etc
APPs
Interface
Capture
Probe
DNS Viewer
TM
DNS專業的報表工具
∼鑽取到Packet Data來檢測出DNS攻撃的徵兆!! ∼
近年來,DNS DDoS攻撃比以前還擴大及複雜,所以利用現存的監測技術方式很難檢測出DNS攻撃,例如Slow Drip DNS Attack等
現有的DNS監測系統很難利用統計資料檢測出DNS攻撃,但是通過momentum DNS Viewer™與momentum Probe™的聯合時可利
用統計資料檢測出DNS攻撃後,可無縫的鑽取到Packet Data的監測系統
Apps
有効利用momentum Probe的Data,
根據客戶的需求開發出的Apps！！
Terilogy Advanced Platform for Apps = TAPAS
利用momentum momentum Probe™的索引機能,於作成Apps以及API的架構
DNS專業的報表工具
沒有統一的DNS監測工具
● 對於不同BIND的版本時,需要再次調整監控工具
● 通常都使用很多的監控工具
無法處理沒有顯示在統計資料裡的攻撃
● 沒有出現在統計資料上的攻撃時,很難判断是非攻撃
緊急時無法提取必要的Data
● 因為沒有鏈接Graph和Packet Data,所以需要匹配信息和
Packet的必要
● 等影響到Service後,想開始採集Packet Data時,已經採集
不到有効的Data
momentum DNS Viewer來統一
● 就算不同的版本時,DNS的Protocol也是同樣的
● 就算使用不同的BIND版本,也可以提供統一的Viewer功能
關於沒有顯示在統計資料裡的攻撃也能應付
● 根據Domain所包含的Sub-Domain的Unique数,對於遞歸的
FQDN也可視化於Query的数量
● 超出閾值時,將生成NXDomain的名單,並且通知管理員
緊急時可以得到需要的Packet Data
● 鏈接統計図和Packet Data,可無縫的下載Packet Data
● 因為有收集所有的Packet,所以能下載過去的Data
momentum Apps在TAPAS community site線上免費提供
您將能夠下載並且在任何時候都能使用
DNS監測的難題（例如BIND） momentum DNS Viewer™來解決

2. ・DNS的通信都全部可視化
・檢測出DNS攻撃的徵兆
・從統計資料特定PCAP來Drilldown抽出Data
DNS Viewer
● DNS Viewer Report Summary
構造圖與每個組件的作用
範例圖
● Loader Template
name Description
・Descript the traffic of interface
・The basic report of DNS Viewer
・The history trend report
・Summarize Record type
・Analyze Cache poisoning attack
・The history trend report
・Request/ Response (Recursion) report
・Summarize RCODE(including No Error,
NXDomain, Refused)
・The summary of ServFail(RCODE=2)
・The summary of NXDomain(RCODE=3)
・Top 10 on request（QR=0) FQDN
・Top 10 on request（QR=0)clients
・Top 10 on response（QR=1) clients
・Top 10 on request（QR=0)server IP address
・Top 10 on FQDN of NXDomain(RCODE=3)
・Top 10 on Domain of NXDomain
・Analyze slow drip attack
interface traffic
Request/Response - time chart
Request - RRType time chart
Request/Response (Cache) Trend
Request/Response (Recursion) Trend
Response - RCODE time chart
Response - ServFail time chart
Response - NXDomain time chart
Request - TOP10 Name
Request - TOP10 Clients
Response - TOP10 Clients
TOP10 DNS Server Work-load
TOP10 FQDN NXDomain
TOP10 Domain NXDomain
tmplate id 0
fields/tmplate name
TEMPLATE_ID
PROTOCOL
IPV4_SRC_ADDR
IPV4_DST_ADDR
L4_SRC_PORT
L4_DST_PORT
ICMP_TYPE
HTTP_URL/DNS_Name
TOS
VLAN_L1
VLAN_L2
DNS_ID
DNS_QR
DNS_RD
DNS_RA
DNS_Rcode
DNS_Type
MIL_SEC
1
mil_sec
2
5tuple
3
icmp
4
http
7
vlan_tag
8
dnsall_off
○ ○ ○ ○ ○ ○
○ ○ ○ ○ ○
○ ○ ○ ○ ○
○ ○ ○ ○ ○
○ ○ ○ ○
○ ○ ○ ○
○ ○
○ ○
○
○
○
○
○
○
○
○
○
○
DNS Traffic
DNS Server
統計資料
PCAP
完全記録DNS的通信・完全記録DNS的通信
・通過分析標頭作出Index,另外同時作出一秒
單位的統計資料
・提供View
・警報
・Drilldown分析
momentum Probe
・根據被提供的資訊,採取措施
外部DNS管理員
提供資訊
請求合作
● ServFail Trend ● Traffic Trend
● Top 10 Domain NXDomain
・通過ServFail的可視化,能檢測出DNS權威Server的負載
・能比較過去和現在的趨勢
・能縮小時間範圍,針對収到的PCAP文件來做詳細得分析
・Top 10 FQDN能可視化於獨一的毎個FQDN的Query数量
・Top 10 NXDomain能通過統計Domain裡的Sub-Domain (Host)的
Unique数來可視化Query的Randomize数量
・就算FQDN被Randomize後,也可以簡單地檢測出來
・由momentum Probe™產生可視化的統計資料
・因為是使用統計資料產生的圖,所以能快速的顯示圖表
・利用momentum Probe™能同時保存Packet並且生成統計資料
momentum DNS Viewer
TM
momentum Probe
TM
● Top 10 Domain FQDN
・随時把握DNS的狀況,快速的檢測出異常
・檢測出異常後,快速的縮小調査的範圍
・高效地收集所需要詳細分析的通信Packet Data
・分析原因,採取措施
管理員
Terilogy 股份有限公司
日本東京都千代田區九段北 1-13-5 Hulic 九段大廈 4F 郵遞區號 : 102-0073
電話 ( 總機 )：+81-3-3237-3291 傳真：+81-3-3237-3293 URL. http://www.terilogy.com E-mail. momentum@terilogy.com
SLB
× N