DNS欺騙攻擊的檢測與防御

1、DNS欺騙攻擊的檢測與防御摘 要：DNS在為Internet的正常運(yùn)行提供可靠保障的 同時(shí)也遭受來自網(wǎng)絡(luò)的欺騙攻擊威脅，DNS攻擊具有隱秘性 強(qiáng)、打擊面大、攻擊效果明顯的特點(diǎn)。文章分析了 DNS系統(tǒng) 解析流程、DNS欺騙攻擊原理和分類，并列出常見的欺騙攻 擊方式，提出不同檢測方法，討論了針對DNS欺騙攻擊的防 范策略，對提高DNS抗欺騙攻擊能力具有明顯效果。關(guān)鍵詞：DNS欺騙攻擊；攻擊模式；檢測方法；防范策 略DNS （Domain Name System）為全球分布范圍最廣的分 布式、多層次數(shù)據(jù)庫系統(tǒng)，提供從IP到域名間的映射服務(wù)， 是Internet正常運(yùn)行的關(guān)鍵技術(shù)設(shè)施。DNS系統(tǒng)將便于

2、識記 的主機(jī)名映射為晦澀難記的IP，并保障其他網(wǎng)絡(luò)應(yīng)用（Email 投遞、網(wǎng)站訪問等）順利進(jìn)行。DNS系統(tǒng)一經(jīng)提出即發(fā)展迅 速，全球注冊主機(jī)數(shù)量從1987的2萬余條發(fā)展到2005的3 億余條；獨(dú)立域數(shù)量也由1987年幾個(gè)發(fā)展到05年8290萬 余個(gè)。截至2014年6月，中國境內(nèi)域名數(shù)達(dá)到1915萬個(gè)。DNS系統(tǒng)因其本身存在的脆弱性導(dǎo)致系統(tǒng)安全性、保密 性均受到威脅，隨著網(wǎng)絡(luò)快速發(fā)展，DNS面臨越來越多的攻 擊威脅。2014年11月，ICANN （國際域名與IP地址分配管 理組織）稱其受到黑客攻擊，一批員工的賬號、密碼被盜， ICANN內(nèi)部的“中央?yún)^(qū)域數(shù)據(jù)系統(tǒng)”中有關(guān)用戶的姓名和地 址信息以及與

3、ICANN有業(yè)務(wù)往來的人士的個(gè)人信息也被盜。 2014年1月21日，全球頂級根域名服務(wù)器出現(xiàn)故障，導(dǎo) 致.com的網(wǎng)站無法訪問。在Internet快速發(fā)展的今天，DNS 重要性、安全性研究需求顯得尤為突出。1域名系統(tǒng)解析原理DNS系統(tǒng)分為根、頂級域名服務(wù)器、權(quán)威域名服務(wù)器、 主機(jī)4個(gè)部分，使用分布式數(shù)據(jù)庫將IP地址和域名一一映射。分析DNS欺騙攻擊之前先界定其域名解析流程，DNS分 為2個(gè)部分：Server （服務(wù)器端）和Client （客戶端），遞歸 服務(wù)器內(nèi)部已預(yù)先設(shè)置了根服務(wù)器的IP地址。DNS Server接 受Client域名查詢請求，從DNS root逐層向下迭代查詢。域 名解析流

4、程如圖1所示（以訪問為例）?？蛻舳耸紫认虮镜谼NS服務(wù)器發(fā)出查詢 的IP地址的請求，如果本地DNS服務(wù)器在 本機(jī)DNS緩存表中沒有查到相關(guān)記錄，則立即向根服務(wù)器發(fā) 起遞歸查詢；根服務(wù)器收到查詢請求后，將.cn域服務(wù)器地址 反饋給本地DNS服務(wù)器；本地DNS服務(wù)器繼續(xù)向.cn域發(fā)出 查詢請求，域服務(wù)器將.反饋給本地DNS服務(wù)器；本 地DNS服務(wù)器則繼續(xù)向.域發(fā)出查詢請求，域服務(wù)器 將授權(quán)域名服務(wù)器的地址反饋給本地DNS服務(wù) 器；本地DNS服務(wù)器繼續(xù)向發(fā)起查詢，得到 的IP地址，以DNS應(yīng)答包的方式傳遞給用 戶，并將查詢所得內(nèi)容復(fù)制在本地DNS緩存表中，以備客戶 端查詢。2 DNS系統(tǒng)欺騙攻擊原理

5、DNS域名系統(tǒng)安全性與Internet能否正常運(yùn)行緊密相關(guān)， DNS系統(tǒng)遭受網(wǎng)絡(luò)攻擊時(shí)會造成重要信息被泄密、拒絕提供 服務(wù)、網(wǎng)絡(luò)服務(wù)癱瘓等事件發(fā)生，DNS安全性隱患包括以下 幾方面：（1）在設(shè)計(jì)協(xié)議時(shí)安全性考慮不足，不能保證查詢 數(shù)據(jù)的真實(shí)性和完整性。（2）Internet在全球快速推廣導(dǎo)致 DNS系統(tǒng)信息管理難度增大，系統(tǒng)冗余性降低。（3）針對DNS 安全性問題提出的各種改進(jìn)技術(shù)如DNSSEC、分布式哈希表等 難以大范圍使用。DNS欺騙攻擊是攻擊者事先偽造為用戶信賴的DNS Server，將查詢IP改為攻擊者事先指定的尸，進(jìn)而將查詢網(wǎng) 站引向攻擊者網(wǎng)站，實(shí)施DNS Server域名欺騙攻擊。

6、此攻擊 方式主要包括2種：緩存中毒、ID欺騙。（1）緩存投毒。為盡最大可能地快速給用戶提供服務(wù)， DNS Server將收到的Domain Name和IP地址映射數(shù)據(jù)保存至 本地Cache,保存期限TTL （TTLN0）,在TTL不為0時(shí)，如 有訪問該信息的請求信息，無需重新查找可直接從本地答復(fù)， 此方式可高效利用緩存信息，增強(qiáng)DNS設(shè)施服務(wù)效率。緩存 機(jī)制的缺陷在于不檢查附加數(shù)據(jù)，緩存投毒攻擊者利用此漏 洞將TTL值設(shè)為較長時(shí)間即可實(shí)現(xiàn)長時(shí)間欺騙用戶，在TTL 未失效內(nèi)，緩存內(nèi)事先植入的虛假信息會快速擴(kuò)散至其他 DNS Server，造成大面積緩存中毒事件發(fā)生。（2）ID欺騙。當(dāng)DNS緩存已

7、記錄的信息在緩存失效之 前如有Client查詢則直接返回緩存記錄，此過程使用 Transaction ID與端口間的通信來標(biāo)示一次通信過程。當(dāng)進(jìn)行 域名解析時(shí)，Client用特定的ID標(biāo)示向DNS Server發(fā)送解析 數(shù)據(jù)包，DNS Server使用此ID向Client發(fā)送應(yīng)答數(shù)據(jù)包，Client 對比發(fā)送的請求數(shù)據(jù)包和應(yīng)答數(shù)據(jù)包ID標(biāo)示，如一致則說明 該應(yīng)答信息可靠，否則將該應(yīng)答信息丟棄。上述通信過程簡潔明了，效率高，但易遭受攻擊，如生 日攻擊。此攻擊來自生日悖論，假設(shè)存在一個(gè)23人團(tuán)隊(duì)， 則2人同一天生日的概率為50%。生日攻擊利用此特點(diǎn)，向 某一 DNS Server請求同一域名查詢時(shí)

8、，也同時(shí)發(fā)送大量針對 該域名不同ID的答復(fù)報(bào)文，增大了使該DNS Server的被騙幾 率。最常見的域名欺騙攻擊是針對DNS數(shù)據(jù)報(bào)頭部的事務(wù)ID 進(jìn)行欺騙。3常見DNS欺騙攻擊方法DNS常見欺騙攻擊需要獲取對方ID，主要有網(wǎng)絡(luò)監(jiān)聽獲取ID和序列號攻擊（預(yù)測下一個(gè)ID）法。（1）網(wǎng)絡(luò)監(jiān)聽獲取ID。為通過監(jiān)聽用戶流量獲得ID，攻擊者可選擇與DNS Server或眾多客戶端主機(jī)中某一主機(jī)位 于同一局域網(wǎng)內(nèi)系統(tǒng)允許在請求信息中添加額外信息， 如IP地址、Domain Server等，Client接收到攻擊的Domain Server查詢請求時(shí)均被引向攻擊者之前設(shè)定的Domain Server。 因DN

9、S系統(tǒng)僅用ID標(biāo)示判定信息真實(shí)性，且ID從Client發(fā) 出、由DNS Server返回，且客戶端僅通過核實(shí)發(fā)出、返回端 ID是否一致來確定信息的可靠性，使得通過網(wǎng)絡(luò)監(jiān)聽的方式 獲取ID的攻擊成為可能。（2）序列號攻擊原理。DNS查詢報(bào)文格式中ID號所占位數(shù)為16位，即其取值范圍 為065535,其預(yù)測難度不大，該攻擊過程中攻擊者對正確 報(bào)文DNS Server發(fā)起DDOS攻擊，拖延DNS Server正確回復(fù) 報(bào)文，保證攻擊者的DNS Server搶在正確的DNS Server之前 回復(fù)請求端報(bào)文，該報(bào)文內(nèi)嵌ID與請求報(bào)文內(nèi)嵌ID相同， Client接收先到的虛假報(bào)文，丟棄后到的真實(shí)報(bào)文。虛

10、假報(bào) 文中內(nèi)嵌的IP將Client引向攻擊者誘導(dǎo)的非法網(wǎng)站。舊版BIND可通過較近幾個(gè)DNS包ID來猜測虛假ID,新 版BIND9利用上述猜測法成功概率有所下降，但其算法依然 存在漏洞。據(jù)分析，通過新近收集到的5000個(gè)DNS包內(nèi)的 ID同樣可成功測算出即將出現(xiàn)的下一個(gè)ID,成功率高達(dá)20%, 因此，使用此方法偽造虛假ID并進(jìn)行DNS欺騙攻擊的成功 率較高。4 DNS欺騙攻擊檢測有關(guān)學(xué)者提出多種檢測DNS欺騙攻擊方法，相關(guān)文獻(xiàn)研 究了 Domain-Flux檢測技術(shù)。惡意攻擊軟件使用的算法為DGA （域名生成算法），以time等參數(shù)為算子自動(dòng)產(chǎn)生大量虛假 域名并嘗試連接與控制服務(wù)器。當(dāng)發(fā)生DN

11、S欺騙攻擊時(shí)， Client將收至U 2個(gè)以上相同ID的應(yīng)答報(bào)文，但只能有1個(gè)真 實(shí)的應(yīng)答報(bào)文，其余報(bào)文均為欺騙信息。但此類檢測方法試 用范圍不同，鑒于此，本文提出檢測方法。被動(dòng)監(jiān)聽檢測法被動(dòng)監(jiān)聽檢測法，檢測接收的DNS應(yīng)答報(bào)文，正常情況 下應(yīng)答報(bào)文只有1個(gè)，當(dāng)域名與IP存在一對多的映射關(guān)系時(shí)， 1個(gè)應(yīng)答報(bào)文中將包含多個(gè)映射關(guān)系的回復(fù)，不會出現(xiàn)有多 個(gè)應(yīng)答報(bào)文情況。因此，如一個(gè)請求報(bào)文在額定時(shí)間內(nèi)收到 多個(gè)應(yīng)答報(bào)文則有遭受DNS欺騙攻擊的可能。該檢測法不會添加額外的網(wǎng)絡(luò)流量負(fù)擔(dān)，但因其檢測方 法的消極性無法檢測出網(wǎng)絡(luò)潛在攻擊威脅。主動(dòng)試探檢測法主動(dòng)試探檢測法，由DNS系統(tǒng)主動(dòng)發(fā)送檢測數(shù)據(jù)包檢測

12、 是否存在DNS欺騙攻擊，通常主動(dòng)發(fā)送的檢測數(shù)據(jù)包不可能 接收到回復(fù)，但攻擊者為搶在合法數(shù)據(jù)包抵達(dá)之前能將欺騙 包發(fā)給客戶端，在不驗(yàn)證DNS Server的IP合法性情況下?lián)屜?發(fā)送應(yīng)答報(bào)文，此情況發(fā)生說明系統(tǒng)受到DNS欺騙攻擊。主動(dòng)試探檢測法需要DNS系統(tǒng)主動(dòng)發(fā)送大量探測包，容 易增加網(wǎng)絡(luò)流量負(fù)擔(dān)、導(dǎo)致網(wǎng)絡(luò)擁塞，且通常DNS欺騙攻擊 只針對特定域名，在選擇探測包包含的待解析域名時(shí)存在定 位性不強(qiáng)的問題，使得該方法的探測難度加大。交叉檢查查詢法交叉檢查查詢法，Client接收DNS應(yīng)答包后反向?qū)NS Server查詢應(yīng)答包中返回的IP對應(yīng)的DNS，如兩者完全一致 則說明DNS系統(tǒng)未受到欺騙攻

13、擊，反之亦然。該查詢方法介于前2種檢測方法之間，即對收到的數(shù)據(jù) 包在被動(dòng)檢測基礎(chǔ)上再主動(dòng)驗(yàn)證，依賴于DNS反向查詢功能， 但較多數(shù)量的DNS Server不支持此功能。使用TTL (生存時(shí)間)DNS攻擊檢測TTL(Time to 1%)位于IPV4包的第9字節(jié)占8bit，其作 用是限制IP數(shù)據(jù)包在網(wǎng)絡(luò)中的留存時(shí)間，在TTL不為0時(shí)， 如有訪問該信息的請求信息，無需重新查找可直接從本地答 復(fù)。在進(jìn)行DNS欺騙攻擊時(shí)如需長時(shí)間欺騙則將TTL值設(shè)為 較長時(shí)間即可。也是IP數(shù)據(jù)包在網(wǎng)絡(luò)中可轉(zhuǎn)發(fā)的最大跳數(shù)， 即可避免IP數(shù)據(jù)包在網(wǎng)絡(luò)中無限循環(huán)、收發(fā)，節(jié)約網(wǎng)絡(luò)資源。 通常同一 Client發(fā)送的DNS查詢

14、請求會經(jīng)過相對固定的路由、 相對固定時(shí)間內(nèi)到達(dá)DNS Server。即一定時(shí)間內(nèi)，從同一 Client發(fā)往固定DNS Server的請求數(shù)據(jù)分組TTL值大小是相 對固定的。但網(wǎng)絡(luò)攻擊者發(fā)動(dòng)的DNS反射式攻擊需要不同地 區(qū)的多臺僵尸網(wǎng)絡(luò)控制的受控計(jì)算機(jī)協(xié)同工作，同時(shí)發(fā)送虛 假源地址的DNS請求信息，雖然攻擊者可使用虛假的源IP 地址、TTL等信息，但由于受僵尸網(wǎng)絡(luò)控制的計(jì)算機(jī)分別位 于不同地域，因此，真實(shí)IP地址對應(yīng)的主機(jī)發(fā)送的數(shù)據(jù)分組 抵達(dá)DNS Server的數(shù)量很難造假。IP地址造假是成功實(shí)施DDOS攻擊的必備條件，因此， 使用TTL的DNS攻擊檢測方法可對來自相同源IP地址的DNS 請求

15、數(shù)據(jù)分組TTL值做實(shí)時(shí)對比，如相同源IP地址的TTL值 變化頻繁則可對DNS請求分組做無遞歸的本地解析或丟棄。 使用此方法可發(fā)現(xiàn)假IP地址并有效遏制域名反射放大攻擊。5防御技術(shù)（1）遭受序列號攻擊時(shí)可使用專業(yè)監(jiān)聽軟件，正常情 況下由DNS Server回復(fù)報(bào)文，如收到多個(gè)回復(fù)報(bào)文即懷疑有 欺騙攻擊；可從以下方面進(jìn)行防御：僅僅授權(quán)自身管轄的域 名解析提供遞歸查詢，且只接受域外DNS Server的DNS查詢 請求，可減少遭到攻擊的可能性；DNS重定向，所有到達(dá)DNS Server的查詢均重定向至另DNS Server，對真實(shí)的用戶提供 正常域名查詢功能，從而屏蔽、減少虛假IP造成的故障。（2）緩

16、存投毒特點(diǎn)是將TTL值變大，如發(fā)現(xiàn)TTL值過大 需重點(diǎn)關(guān)注。投毒攻擊往往攻擊銀行、搜索網(wǎng)站、熱門網(wǎng)站 等，可將此類網(wǎng)站IP記錄為相應(yīng)表格，統(tǒng)計(jì)經(jīng)常被請求解析 的域名頻率，記錄域名查詢失敗次數(shù)，引入域名信譽(yù)機(jī)制， 如請求IP與表中記錄IP不一致則說明DNS回復(fù)信息可疑。6結(jié)語網(wǎng)絡(luò)攻擊的檢測和防范是推動(dòng)網(wǎng)絡(luò)進(jìn)步的動(dòng)力，本文分 析了基于DNS構(gòu)架的解析過程，闡述了 DNS欺騙攻擊原理， 提出針對DNS欺騙攻擊的檢測方法和防范方案，對提高DNS 系統(tǒng)抗欺騙攻擊能力和安全性有積極作用。隨著網(wǎng)絡(luò)的快速 發(fā)展后續(xù)還需進(jìn)一步探索更有效的檢測方法，以提高DNS系 統(tǒng)抵御各種新型欺騙攻擊的能力，保證系統(tǒng)安全、穩(wěn)定

17、地運(yùn) 行。參考文獻(xiàn)1天極軟件頻道.互聯(lián)網(wǎng)管理機(jī)構(gòu)ICANN遭攻擊部分資 料被泄露EB/OL.2014-12-22. http： / security/348/42849348.shtml.2前瞻網(wǎng).1 月 21 日網(wǎng)絡(luò)故障：根域名服務(wù)器dns遭黑客攻擊致網(wǎng)絡(luò)癱瘓 EB/OL.2014-01-22.http： / news/2014/328895.shtml.3YADAV S，REDDY A K K，REDDY A L N，et al.Detecting Algorithmically Generated Malicious Domain NamesC/In 10th ACM SIGCOMM C

18、onference on Internet Measurement， Melbourne， Australia， November1-3， 2010.4ANTONAKAKIS M，PERDISCI R，NADJI Y，et al.From Throw-Away Traffic to Bots Detecting the Rise of DGA-Based MalwareC/In 21st USENIX Security Symposium， Bellevue，WA, USA, August 8-10, 2012.5YADAV S, REDDY A L N.Winning with DNS Fa

19、ilures： Strategies for Faster Botnet DetectionC/In 7th International ICST Conference on Security and Privacy in Communication Networks, London, UK, September 7-9, 2011.6YADAV S, REDDY A K K, REDDY A L N, et al.Detecting AlgorithmicallyGenerated Domain-Flux Attacks with DNS TrafficAnalysisJ.IEEE/ACMTransactions on Networking, 2012(5)： 1663-1677.Detection and Prevention of DNS Spoofing AttacksLi Jian(Communication University of Shanxi, Jinzhong 030619, China)Abstract： When providing rel