DNS安全白皮书.pdf

DNS 安全 白皮书 1 摘 要 DNS 是 域名解析系统 的英文缩写 ， 是 Internet 的一项核心基础服务 ，它 对我们 和所有的联网设备 使用 网络 服务 都 非常关键， 是网络的基础设施。其 重要性 主要 体现在两方面：一 是 为 整个互联网应用 提供 基石。 从目前来说 不管是传统的 PC和 手机 端 ，还是 新基建中 着力发展的 5G、物联网、工业互联网 和 卫星互联网 ，都 需要 通过 DNS 协议访问服务器 ； 二是随着新经济的发展，网络空间内的经济活动 逐渐增加且愈发 重要，域名和 IP 作为整个互联网的基础要素，逐渐成为一国 在网络空间内的战略资源。 正是由于 DNS 在整个网络中发挥的 关键作用， 近年来 针对和利用 DNS 的攻击形势 也 愈加严峻 。 据 来自 360 网络安全研究院（ 360Netlab） 的 研究数据 表明，在城域网级别的 DNS 流量中，大约有万分之一到万分之五的 DNS 请求 是恶意的。而现代企业中每个员工平均每天发出的 DNS 请求大约是两千次。这意味着如果一个企业拥有一千名员工，那么企业的网络出口处每天可以录得两百到一千次 DNS 恶意请求。 发现并 阻断这些恶意请求， 甚至通过 DNS 恶意请求回溯被黑客攻陷的设备并清除恶意代码， 应 该成为政府企业网络纵深防御的 重要组成 部分。因此如何通过有效手段对 DNS 数据进行分析，实现 准确识别 以达到减少网络恶意行为的发生 已 变得非常重要。 作为 360 安全大脑的一环， 360 安全 DNS 从 2013 年提供服务 开始 ， 到今年已 迈进了第八个年头 ；每日提供 DNS 服务超过千亿次，历史累计提供 DNS 访问次数超过千万亿次，总可靠性超过 4 个 9。同时，自 2018 年开始提供增强的安全 DNS 服务 后 ， 每日拦截恶意域名 更是 超过 四百余万次，累计拦截超过 36 亿次 ，总可靠性超过 4 个 9。 0 目 录 1 背景介绍 . 1 1.1 DNS 定义 . 1 1.2 DNS 工作原理 . 2 1.3 DNS 相关安全问题 . 4 1.4 DNS 攻击（给客户）带来的危害 . 8 2 DNS 攻击案例介绍 . 10 2.1 DNS 大规模攻击事件 . 10 2.2 2016 DYN CYBER ATTACK . 11 2.3 WANNACRY（永恒之蓝）蠕虫病毒 . 12 3 DNS 攻击应对方法 . 13 4 DNS 攻击研究趋势 . 17 5 360DNS 威胁检测防御系统 . 19 1 1 背景介绍 今天，互联网已成为我们生活中不可或缺的一部分。从社交到金融、购物再到旅游，我们生活的方方面面都 离不开 互联网 的支持 。 但是 随着 互联网 的 广泛使用， 相关的问题也开始一一浮现，在这其中 网络安全 更是成为 大多数网络用户首要关注的问题 。同时伴随着网络 的飞速发展 ， 网络攻击 的常态化 也让越来越多的政府机构、企业和个人用户感到头疼， 众多国内外一线企业以及 知名人士 都曾 成为网络攻击的受害者。 而在形式众多的网络攻击中， DNS 攻击可以说是最为常见的一种，但是它的存在感却一直较低，那么 接下来 就 让我们来了解下 什么是 DNS 攻击， 以及看看它 是如何展开工作的 。 1.1 DNS 定义 DNS，全称 Domain Name System，即域名解析系统 ， 是 Internet 的一项核心基础服务。 它 通过 使用分层的分布式数据库来处理 Internet 上的域名和 IP 地址之间的映射 ，主要 用于 Internet 等 TCP/IP 网络中 。 当用户在应用程序中输入域 名时， DNS 服务可以将此 域名 解析为 对应 的 IP， 也就是说 当我们访问一个网站时，其实 访问 的是 网站的 web 服务器， 而 每台服务器在互联网上都 有 唯一的数字格式的 IP 地址标识。 DNS 对我们和所有的联网设备使用网络服务 非常关键， 是网络的基础设施 。其 重要性 主要 体现在两方面： 一 是 为 整个互联网应用 提供 基石。 从目前来说 不管是传统的 PC 和 手机 端 ，还是 新基建中 着力发展的 5G、物联网、工业互联网 和 卫2 星互联网 ， 都 需要 通过 DNS 协议访问服务器 ； 二是随着新经济的发展，网络空间内的经济活动 逐渐增加且愈发 重要，域名和 IP 作为整个互联网的基础要素，逐渐成为一国在网络空间内的战略资源。 1.2 DNS 工作 原理 DNS 的出现让用户在进行域名访问时更加简单便捷。 以 360 官网为例，其唯一的数字格式 IP 地址为： 36.110.213.10， 如果 每次 打开网站都需要记忆和输入这样的点分十进制数字串是很不方便的 。 但如果我们输入域名，类似360 这样的形式， 相对来说 就更便于记忆。 DNS 的作用就是将域名翻译成 IP 地址供 客户端 使用 ， 简单来说 就相当于手机里的电话簿， 通过相关手段 将电话号码与姓名互相映射。 图 1 DNS 工作流程 3 DNS 的工作流程主要 分为 客户端 和 服务器两个部分 ， 客户端 作为提问者向服务器询问某个域名 ， 服务器 则根据域名回答对应的 IP 地址。 在实际的使用中，当 用户在浏览器中键入域名 360 时， 主要的流程为： （ 1） 浏览器客户端 向所配置的 递归域名服务器 发出解析 360 域名的 DNS 请求报文（ 图 中的 Q1）。相当于对 递归域名服务器 说 “请给我360 所对应的 IP 地址 ”。 （ 2） 递归域名服务器 收到请求后，先查询本地缓存。假设没有查到该域名对应记录，则 递归域名服务器 向所配置的根 域名服务器 发出 请求 解析 域名的DNS 请求报文（ 图 中的 Q2）。 （ 3）根 域名服务器 收到查询请求后，通过查询得到 顶级域名所对应的顶级 域名服务器 ，然后向 递归域名服务器 返回一条应答报文（ 图 中的 A1）。相当说 “我现在告诉 域名所对应的顶级 域名服务器 地址”。 （ 4） 递归域名服务器 在收到根 域名服务器 的 DNS 应答报文，得到 顶级域名所对应的顶级 域名服务器 地址后，再次向对应的顶级 域名服务器 发送一条请求解析 360 域名的 DNS 请求报文（ 图 中的 Q3）。 （ 5） 顶级 域名服务器 在收到 DNS 请求报文后，先查询自己的缓存，假设也没有该域名的记录项，则查询 360 所对应的 权威 域名服务器 ，然后也向本地名称服务返回一条 DNS 应答报文（ 图 中的 A2）。相当于说 “我现在告诉你360 域名所对应的 权威 域名服务器 地址”。 4 （ 6） 递归域名服务器 在收到 顶级 域名服务器 的 DNS 应答报文，得到360 二级域名所对应的 权威 域名服务器 地址后，再次向对应的 权威 域名服务器 发送一条请求解析 360 域名的 DNS 请求报文（ 图 中的 Q4）。 （ 7） 360 权威 域名服务器 在收到 DNS 请求报文后， 在它的 DNS 区域数据库中查找，最终得出了 360 域名所对应的 IP 地址。然后向 递归域名服务器 返回到条 DNS 应答报文（ 图 中的 A3）。相当于说 “360 域名的IP 地址为 36.110.213.10”。 （ 8） 递归域名服务器 在收到权威 域名服务器 后，向 DNS 客户端返回一条DNS 应答报文（ 图 中的 A4），告诉 浏览器 所得到的 360 域名的 IP 地址 ， 这样 浏览器 就可以正常访问这个网站了。 1.3 DNS 相关安全问题 总体来说， DNS 相关 的 安全 问题 可以 分为两类： 针对 DNS 的攻击和利用DNS 进行 的攻击。 其中 ： 针对 DNS 的攻击 。 又 分为针对 DNS 协议 的攻击和针对 DNS 服务器的攻击 。其 主要 思路 是利用 DNS 协议或服务器的弱点，通过攻击 DNS 服务或服务器的方式来达到攻击 使 用 DNS 服务的其他网络业务 的目的 ； 利用 DNS 进行 的攻击 。 其 主要 思路 是 恶意代码 利用 DNS 通道 ，实现与远程控制中心 的 通信 ， 从而 执行 报活 、 传输窃取到的数据 、获取攻击指令 和执行攻击指令 等恶意操作 。 5 图 2 DNS 相关安全问题 下面我们分别看一下这两种 不同 类别 的 典型 攻击 方式： 1.3.1 针对 DNS 的 典型 攻击 DDOS 攻击 DDoS 攻击 （ Distributed Denial of Service)也叫做 分布式拒绝服务攻击 ，攻击者 所 针对 的 目标是服务可用性 。他们 通过 操纵大量傀儡机， 利 用目标系统网络 的服务功能缺陷或者消耗其系统资源，使得该目标系统无法提供正常的服务。 虽然 随着 互联网 技术的发展，计算机的处理能力 逐年 增长， 让该攻击方式的困难程度加大了，但是 相比基本的 DoS 攻击， DDoS 可以 通过 利用更多的傀儡机（肉鸡）来发起进攻， 只要 攻击者控制了足够多的肉鸡 持续进行攻击 ， 就能够 使被攻击者的网络 服务 被拖垮至发生中断。而且由于 DDoS 的 攻击方式 可以在攻击时 对源 IP 地址进行伪造，隐蔽性 极强 ， 因此对于该种攻击的 检测也 相对 困难 ，难以防范。 针对 DNS 服务的 DDoS 攻击会导致 DNS 服务不可用，从而使得一切需要使用 到 该 DNS 的网络服务都无法正常运行，导致大面积网络故障， 带来经济损失，甚至其他更严重的后果。 6 DNS 缓存 投 毒 DNS 缓存 投 毒 ， 是一种十分普遍的攻击 。 它是利用虚假 Internet 地址替换掉域名系统表中的地址，进而制造破坏。 攻击者通过查找并利用 DNS 或域名系统中存在的漏洞 ， 以便将有机流量从合法服务器吸引到虚假服务器上。 当网络用户在带有该虚假地址的页面中进行搜寻 并 访问某链接时，网页浏览器由于受到该虚假条目的影响而打开了不同的网页链接 ， 在这种情况下蠕虫、木马、浏览器劫持等恶意软件就可能会被下载到本地用户的电脑上 ， 导致很多严重 的安全 问题 出现 。 之前 在对 DNS 工作原理进行介绍时本文曾提到，实际使用中当 用户在浏览器中键入域名时， 会首先在 本地缓存服务器中 寻找 结果， 并且所有的应答信息都将被缓存在本地缓存服务器中，因此攻击者利用这一特性， 先 是将 假的地址 植入到 DNS，然后 让 服务器 对 假地址 进行缓存记录，最终在用户键入网址时把 流量牵引到攻击者服务器 ，完成 缓存投毒 的整个攻击流程 。 DNS 缓存投毒 的主要风险是窃取 用户 数据 ，因此该攻击的主要目标 为 医院 、金融机构和在线零售商。 一旦目标被攻击成功，就 意味着任何密码 ， 信用卡或其他个人信息都可能受到损害。另 外 如果互联网安全提供商的网站被欺骗 ， 那么用户的计算机 还可能会受到 如病毒或特洛伊木马 等的 影 响 。 DNS 流量 劫持 所谓的 DNS 流量劫持 是指用户在进行网页浏览时， 被强制访问某些网页，或者在 App 使用中 出现弹窗 等现象。 目前 在 移动 互联网环境下，流量劫持主要分为两类： 7 域名劫持。表现为在用户正常联网状态下 (如 3G、 4G 和 WiFi 等状态 )，目标域名会被恶意地错误解析到其他 IP 地址上，造成用户无法正常使用服务。 数据劫持。对于返回的内容，会在其中强行插入弹窗或嵌入式广告等其他内容，干扰用户的正常使用，对用户体验构成极大伤害。 流量劫持不仅 会给用户造成损害 ，也 会 让相关互联网公司的商誉和利益被严重伤害。同时 由于 劫持流量者提供的信息服务完全脱离监管， 也 可能 存在着 传播诈骗、色情等低俗甚至严重违法信息 的现象 。 1.3.2 利用 DNS 的 典型 攻击 不管是钓鱼网站、垃圾邮件，还是僵尸网络、勒索软件，甚至 APT，绝大多数网络恶意行为都避不开对 DNS 的使用 。 其中 典型 的攻击方式有： DNS 隐蔽 隧道 DNS 隐蔽 隧道 (DNS Tunneling)是将其他协议的内容封装在 DNS 协议中，然后 通过 DNS 通信 完成传输数据的技术。 由于 DNS 是网络的基础设施 ，所以网络出入口处的防火墙等安全设备几乎不会 过滤掉 DNS 流量， 于是这就给了 攻击者 机会来 利用 DNS 实现 下发 远程控制 指令、进行 文件传输等操作。 DNS 隐蔽隧道又分为 直连隧道 和中继隧道。其中，直连隧道是指 ： 客户 端直接和指定的 DNS 服务器建立连接，然后将需要传输的数据 通过 DNS 协议进行通信。这种方式的优点是具有较高速度，但蔽性弱、易被探测追踪的缺点也很明显。 而 中继隧道 是指 ： 客户端 通过 DNS 迭代查询而实现的 DNS 隧道，这种方式 非常 隐秘， 而 且可在绝大部分场景下部署成功。但由于数据包到达目标