Доменные имена стали существенным элементом ботнетов (зомби-сетей). Без свежей крови современные ботнеты жить не могут. Это наводит "белых шляп" на, казалось бы, логичную мысль: надо блокировать DNS-запросы или ответы, касающиеся подозрительных доменов и неблагонадёжныхдоменных зон.
Политика регистрации в разных зонах существенно отличается. Кое-где она достаточно строга, чтобы сделать невыгодным регистрацию там ботнетовских или фишинговых имён. А где-то – достаточно либеральная, чтоб туда слетелись ботоводы и прочий киберкриминал. Вот эти-то слишком либеральные доменные зоны и предлагают блокировать прямо на резолверах, шлюзах и DLP, не дожидаясь в каждом случае реакции регистратора.
Ныне такие зоны имеются. Например в CO.CCи T35.COMобитает очень много чёрных и серых хостов. Их блокирование принесёт больше пользы, чем вреда.
Однако, стоит такой практике распространиться в заметных масштабах – и метод перестанет работать. Фишеры и ботоводы рассыпятся по менее удобным, но более светлымдоменным зонам. Причём, сделают они это быстрее, чем их противники обменяются чёрными списками.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Анализ трафика 2025: какие угрозы уже на пороге?
На вебинаре расскажем, как современные технологии помогают экономить ресурсы и усиливают защиту компании.
