因为依靠浸染指标值（IOCs）的安全 *** 愈来愈不靠谱，“突破点假定”变成业内公共性的提示 *** 。 这类情况常常产生，直至外界服务器发觉一个空缺并通告组织以前，侵入也没有设备检验到。做为根据落款的解决 *** 和从第三方获得难题信息内容的更换，互联网防御者必须来自于早已进到企业内部的不明敌人的“突破点假定”。 给出愈来愈多 *** 攻击的目地和私人信息，互联网防御者务必在已经知道IOC的基本上扩张检索局限性，并且在她们的互联网中找寻不明的突破点。这一系统软件跟踪不明 *** 攻击的 *** 被称为黑客攻击跟踪。

对 *** 攻击的跟踪并不是沒有难度系数，一些公司（防御者）认为跟踪超过了她们的工作能力和資源。 防御者必须发展壮大的专用工具挑选很多的数据信息来迅速防御力和应急处置威协。一个作用齐备的跟踪服务平台巨大的提高了追踪者的工作能力，但是安全成本预算比较有限并且企业不容易一直项目投资有发展前途的技艺。幸运的是，有多种便宜的跟踪 *** 。

在这个月的SANS威协跟踪和应急处置聚会，Endgame解决了一些误会并且外貌了一些 *** ，安全权威专家能够在沒有很多的成本预算的前提条件下最开始跟踪。它是这一系列产品的之一篇，告知每个人怎祥在你的互联网上便宜的跟踪侵略者。

IOC检索的局限

IOC是啥？

安全事项观查员工在安全事项应急处置全过程中遭遇的在其中一个挑戰是，找一个有效的 *** 把全部观查全过程中的信息组织起來，这种信息内容囊括 *** 攻击的流动性、常用的专用工具、恶意程序、或是别的的进攻指示仪（indicators of compromise），通称IOC。

传输层的安全有传统式的IOC搜索推荐 *** ，如同网站域名信用黑名单，IP信用黑名单和一些CIDR，或是用Snort或是Bro来找寻故意事项的有关落款。伴随着故意技艺的迅速生长发育 *** 攻击的基础设置愈来愈动态性难以从正当性 *** 服务器中区别起来，用互联网IOC来检验威协越来越愈来愈难实际效果也愈来愈差。 换句话说，互联网IOC迅速会被镌汰掉。 *** 攻击常常监控她们的互联网财产，一旦发觉过虑明细，她们会转移到别的的终端设备。一些 *** 攻击将进攻程序流程支释放到每一个进攻目地上，来减少有关的IOC信息内容。

网盘算加重了IOC检索有关的挑戰， *** 攻击非常容易就能从服务器服务提供商处获得IP地址。类似的，新的 ccTLD 和ICANN tld 只必须非常少的信息内容校检，促使这一越来越更非常容易和便宜乃至是完全免费的，并且因为WHOIS的隐私保护服务项目申请注册者的信息内容不容易被当众。

因为这种原因缘由，大家必须更智能化的 *** ，为了更好地替代跟踪已往和检索已经知道的不正确，互联网防御者找寻模板和有关未知错误的数据信号。一旦鉴别到以前不明的故意个人行为标志，机构能够激话她们的回应程序流程。

履行处于被动DNS跟踪

处于被动DNS有朴素的结构型 *** 来捕获这种数据信号和方式。处于被动DNS根据处于被动捕获內部DNS传送来资产重组DNS传送，进而数据 *** 。Florian Weimer在年第17届FIRST聚会上明确提出此项技艺来减轻拒绝服务攻击的广为流传。从那时起，很多安全机构最开始根据在互联网中安裝DNS感应器来互联网处于被动DNS信息内容随后分析实际效果数据信息来与生俱来威胁情报。在今天的威协自然环境，处于被动DNS在跟踪威协上出现异常有效。

处于被动DNS感应器，实质上捕获DNS传送—53端口的UDP数据文件（DNS）–随后将信息内容资产重组到单一的记录，囊括要求和回应。大家早已在2个开源系统的感应器上干了试验

l passiveDNS

l sie-dns-sensor

大家有选择项来互联网反复的DNS要求（翠绿色单位）或是互联网全部的DNS传送。

感应器能够被安裝到互联网上能够应用嗅探器（如同tcpdump）来捕获DNS总流量的一切终端设备上。安裝感应器更好是的地区是内陆地区DNS递归 *** 服务器，但是跨端口号也会事儿。

一旦传感器 *** 到处于被动DNS数据信息，他们务必合拼并传送到一台机械设备上去分析和监管。感应器能够应用一个新闻报道队伍（如同Kafka）来发布处于被动DNS记录。这促使他可拓展，松耦合—并且开源系统！这一构架能让随意数量的客户得到 这一队伍随后分析数据信息来跟踪威协。