Seminář UPSY - Kováčik M.: Zkušenosti z monitorování reverzního DNS provozu na úrovni sítě CESNET

Prezentace projednává možnosti využití DNS PTR záznamů pro detekci škodlivé aktivity na síti. Ty se využívají i jako základní ověřovací techniky pro mailové servery, čím se docílí jednoduché potvrzení legitimního využívání služby.

Tuto techniku však převzalo i několik jiných aplikačních protokolů, které ji využívají obdobně. Motivací pro práci byl vysoký výskyt reverzních rezolucí ukončených chybou, co může být průvodním jevem při přebíhajícím útoku na některou službu. Analýzou PTR provozu a korelací monitorovaných dat s provozem aplikačních protokolů je možné odhalit řadu anomálií.