Rozšíření reputační databáze o informace z Passive DNS

Abstract

Systém DNS (Domain Name System) je systém doménových jmen pro překlad mezi doménovými jmény a IP adresami. Data ze systému DNS je možné také využít v oblasti síťové bezpečnosti. Mohou pomoci blokovat šíření malwaru, odhalit nakažené stroje nebo rozšířit blacklisty o škodlivé domény. Výstupem této práce je systém pro ukládání historie mapování doménových jmen a IP adres. Navržený systém PassiveDNS importuje data ze systému DNS, která jsou zachycená z reálné síťové komunikace. Importovaná data jsou uchovávána v agregované formě, aby nedocházelo k plýtvání s hardwarovými zdroji. Rozhraní systému umožňuje přístup k historii překladu jednotlivých doménových jmen na konkrétní IP adresy. Systém může pomoci detekčním systémům rozšířit jejích vlastní databáze. Vzniklý systém je integrován do souvisejících projektů sdružení CESNET z.s.p.o.

DNS (Domain Name System) is a domain name system for translation between domain names and IP addresses. Collection of data from DNS system can be useful for network security. It can help block malware spreading, detect infected hosts, or expand blacklists with malicious domains. The result of this thesis is a system for saving the history of mapping of domain names and IP addresses. The proposed PassiveDNS system imports data from DNS system that are captured from real network communications. Imported data is stored in an aggregate form to avoid the depletion of hardware resources. The system interface allows to access the translation history between individual domain names and specific IP addresses. The system can help detection systems to extend their own databases. The resulting system is integrated into the related projects developed by CESNET a.l.e.