姓名：鄧復(fù)元

學(xué)號17020120041

轉(zhuǎn)載自https://blog.csdn.net/qihoo_tech/article/details/111503106?spm=1000.2115.3001.4128

【嵌牛導(dǎo)讀】：本文介紹了DNS在網(wǎng)絡(luò)安全方面的應(yīng)用

【嵌牛鼻子】：DSN的應(yīng)用

【嵌牛模塊】：網(wǎng)絡(luò)安全背景底桂、DNS概述臭脓、網(wǎng)絡(luò)度量

【嵌牛正文】：

背景

今天為大家推薦由360網(wǎng)絡(luò)安全研究院-安全分析資深專家分享的議題《用DNS進行網(wǎng)絡(luò)度量和安全分析》，本課題簡要闡述了DNS協(xié)議的歷史和發(fā)展現(xiàn)狀似嗤，在此基礎(chǔ)上，結(jié)合360網(wǎng)絡(luò)安全研究院的多年分析DNS數(shù)據(jù)的經(jīng)驗泉褐，介紹了我們利用DNS數(shù)據(jù)做過的一些關(guān)于大網(wǎng)方面的度量赐写，并結(jié)合公司多維度的海量數(shù)據(jù)做的安全分析方面的一些工作。

1

DNS概述

DNS協(xié)議對互聯(lián)網(wǎng)的從業(yè)者來說并不陌生膜赃，它是互聯(lián)網(wǎng)的最古老也是最基礎(chǔ)和最核心的協(xié)議之一挺邀。簡單來說的話，它最主要的功能是完成域名和IP地址的映射跳座，即互聯(lián)網(wǎng)的電話簿端铛。

但DNS協(xié)議能夠完成的功能遠遠不止于完成域名和IP地址的映射，很多現(xiàn)代互聯(lián)網(wǎng)的基礎(chǔ)業(yè)務(wù)都要基于DNS協(xié)議才能夠完成疲眷，可以認為跟域名相關(guān)的業(yè)務(wù)幾乎都和DNS協(xié)議有關(guān)禾蚕。根據(jù)dns-camel項目[1]統(tǒng)計，截止到2019年6月狂丝，共有150篇標準换淆，建議，最佳實踐方面的RFC几颜，共有2637頁倍试，非常龐雜的內(nèi)容。所以DNS協(xié)議實際的復(fù)雜度超出了大多數(shù)人對其的理解蛋哭。

下圖顯示了DNS協(xié)議相關(guān)的RFC頁數(shù)從1984年到2019年的變化量县习，可以看到從1996年開始，幾乎以每四年500頁的速度在穩(wěn)定增加谆趾。

也正因為如此基礎(chǔ)和復(fù)雜躁愿，幾乎所有的互聯(lián)網(wǎng)業(yè)務(wù)都會在DNS數(shù)據(jù)中留下痕跡。使用了DNS服務(wù)的惡意行為也不例外沪蓬，對DNS數(shù)據(jù)進行安全分析攘已，可以涵蓋絕大多數(shù)的惡意行為。

本文從使用DNS數(shù)據(jù)角度來介紹一下可以做的事情怜跑。主要是兩大類，分別為網(wǎng)絡(luò)（業(yè)務(wù)的）度量和安全分析吠勘。

2

網(wǎng)絡(luò)度量

DNS劫持情況

同大多數(shù)早期的互聯(lián)網(wǎng)協(xié)議類似性芬，DNS協(xié)議在設(shè)計之初是以明文形式傳輸，支持TCP和UDP兩種傳輸協(xié)議剧防，并且在實際使用過程中主要以傳輸協(xié)議主要以UDP為主植锉。

所以到現(xiàn)在，大多數(shù)的DNS請求和應(yīng)答仍然是基于UDP協(xié)議的明文形式進行傳輸峭拘，因此DNS劫持是DNS在實際環(huán)境中非常普遍的問題俊庇，為了對這個問題有個精確的度量狮暑。清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院和360公司合作，對全球范圍內(nèi)的DNS劫持情況做了一個定量的度量辉饱。測量方案通過請求隨機化子域名（避免緩存服務(wù)器對請求域名的緩存）在不同的公共DNS服務(wù)器搬男，從不同的請求類型，頂級域以及協(xié)議等維度的方式來探測DNS劫持的情況彭沼。

測量結(jié)果表明：

1.?????基于UDP的DNS數(shù)據(jù)包更容易遭到劫持缔逛。

2.?????A類型（IPv4地址）的DNS請求比其他類型稍高。

3.?????全球的8.5%的自治域存在DNS劫持姓惑，其中包括像中國移動這種較大的ISP褐奴。

4.?????推測DNS劫持的主要目的是為了減少財務(wù)結(jié)算和提高DNS相應(yīng)的性能。

具體的測量詳細過程和完整結(jié)果參見這里[2]于毙。

小貼士：DNS加密傳輸?shù)倪M展

針對DNS明文傳輸?shù)膯栴}敦冬，最近幾年，業(yè)界已經(jīng)積極的推動起來了唯沮，客戶端方面大的瀏覽器廠商（Firefox脖旱，Chrome，360瀏覽器等）和操作系統(tǒng)廠商（包括windows和macOS）逐步開始支持DoT/DoH烂翰；在服務(wù)器方面包括360安全DNS[3]在內(nèi)的公共DNS服務(wù)提供商都開始DoT/DoH服務(wù)夯缺，有條件的用戶可以嘗試一下，應(yīng)該可以極大的緩解由于DNS劫持所引起的安全風(fēng)險甘耿。

用DNS數(shù)據(jù)來度量NTP pool的使用情況

NTP pool成立于2003年踊兜，是一個由志愿者組織起來的，由聯(lián)網(wǎng)計算機的動態(tài)虛擬群集組成佳恬，可向全球數(shù)百萬個系統(tǒng)提供高度準確的時間同步服務(wù)捏境。它是大多數(shù)主要Linux發(fā)行版和許多聯(lián)網(wǎng)設(shè)備的默認時間服務(wù)器。

由于它的特殊工作方式毁葱，在PDNS(參見下面的小貼士)中垫言，它的域名和IP的映射關(guān)系在一定程度上是隨機的，特別像之前非常流行的僵尸網(wǎng)絡(luò)躲避攻擊檢測和防封堵使用的Fastflux[4]倾剿。

為了摸清楚NTP pool的實際工作情況筷频，我們通過DNS數(shù)據(jù)對NTP pool做了一次度量。

主要有如下發(fā)現(xiàn)：

1.?????服務(wù)器方面

NTP pool服務(wù)器大概在4000左右前痘，其中IPv6的占比在25%凛捏，IPv4占75%。

NTP pool服務(wù)器遍布全球97個國家芹缔，不過主要主要集中在美坯癣、德、法最欠、英示罗、荷惩猫、加等發(fā)達國家。

國內(nèi)的服務(wù)器只占總服務(wù)器個數(shù)2%蚜点，并且主要集中在香港轧房，臺灣，廣東和北京禽额，也是經(jīng)濟較為發(fā)達的地區(qū)锯厢。

2.?????子域名方面：

TP pool的子域名主要有三種劃分方式：按照大洲，按照國家/地區(qū)脯倒，按照供應(yīng)商实辑。

NTP pool的域名DNS請求中，大約3%的域名請求是無效的藻丢，主要是因為拼寫錯誤或者系統(tǒng)的bug導(dǎo)致的剪撬。

按照供應(yīng)商訪問的NTP pool服務(wù)會在一定程度上暴露用戶發(fā)起請求的客戶端的類型。下圖是我們對不同供應(yīng)商的DNS請求次數(shù)的統(tǒng)計：

3.?????使用服務(wù)器效率方面：

a.??NTP pool的在輪詢服務(wù)器方面理論上來說是均衡的

b.???在實際操作中悠反，收到地理位置以及不同服務(wù)器服務(wù)能力残黑，服務(wù)策略的不同導(dǎo)致不同的IP提供服務(wù)的機會并不均等。

c.?????TOP4000的RRset(約占總數(shù)的1%)即可占總記錄數(shù)的41.21%斋否，不同RRset的CDF圖如下：

完整的文章請參閱：https://blog.netlab.360.com/look-at-ntp-pool-using-dns-data/

小貼士：被動DNS系統(tǒng)

與主動掃描（探測）不同梨水，可以利用大量的被動DNS數(shù)據(jù)進行大規(guī)模的基于DNS數(shù)據(jù)的度量。所謂被動DNS也即PassiveDNS(PDNS) 數(shù)據(jù)庫是將歷史DNS記錄解析/融合/存儲的系統(tǒng)茵臭。通過被動的收集DNS流量疫诽，構(gòu)建域名和Rdata(域名的解析結(jié)果)之間的全量歷史映射關(guān)系，實現(xiàn)域名和Rdata的互查旦委，以及歷史DNS記錄的查詢奇徒。

360的PDNS系統(tǒng)(https://passivedns.cn)是國內(nèi)第一家公開的P

其他的度量

利用PDNS可以完成很多其他的度量工作，比如：

1.?????不同CDN廠商規(guī)模的評估

2.?????黑灰色產(chǎn)業(yè)規(guī)模的評估

3.?????新通用頂級域名（new gTLD）使用情況/（在現(xiàn)實使用中的）沖突情況的評估

4.?????域名在注冊缨硝，備案以及解析尤其是涉及到批量的域名處理時的相關(guān)情況的評估

5.?????國家（涉及域名方面）政策的執(zhí)行情況的評估

6.?????……

總之在網(wǎng)絡(luò)測量方面摩钙，只要涉及到域名，DNS數(shù)據(jù)幾乎就是天然的基準數(shù)據(jù)查辩，只要設(shè)計合理的測量方案胖笛，就能夠得到準確的結(jié)果。

3

安全分析

面向DNS的安全分析宜岛，大體可分為兩類：

·??????針對DNS協(xié)議和系統(tǒng)本身的安全問題的分析

DNS投毒

?DNS劫持

??偽隨機前綴DoS攻擊

NXNSAttack攻擊

?…

·??????使用DNS數(shù)據(jù)來分析相關(guān)的安全事件

?DNS隧道

DNS反射放大

?DGA

Fastflux

??…

DNSMon——基于DNS數(shù)據(jù)的威脅檢測和分析系統(tǒng)

在日常工作中匀钧，針對DNS協(xié)議和系統(tǒng)的攻擊在DNS數(shù)據(jù)中有一定的體現(xiàn)，但并不是利用DNS數(shù)據(jù)威脅發(fā)現(xiàn)的主要目標谬返。如前所述，只要互聯(lián)網(wǎng)使用域名的業(yè)務(wù)就會在DNS數(shù)據(jù)中留下自身的痕跡日杈，惡意程序也不例外遣铝。因此從威脅發(fā)現(xiàn)的角度來說佑刷，使用DNS數(shù)據(jù)檢測，分析和阻斷安全威脅是海量DNS數(shù)據(jù)發(fā)揮作用的主要場景酿炸。

為了能夠更加及時高效的發(fā)現(xiàn)安全事件瘫絮，360公司開發(fā)了DNSMon系統(tǒng)。該系統(tǒng)以DNS數(shù)據(jù)在統(tǒng)計維度上的異常為出發(fā)點篩選初始域名填硕，綜合web頁面數(shù)據(jù)麦萤，證書數(shù)據(jù)，whois數(shù)據(jù)扁眯，沙箱以及蜜罐等多維度的數(shù)據(jù)壮莹，并結(jié)合高質(zhì)量的IOC和word2vec，LSTM等深度學(xué)習(xí)算法姻檀，對發(fā)生異常的域名進行綜合判斷命满，標定其異常狀態(tài)，給出較為確定性的標簽绣版。

對于標黑和高危域名可以錄入威脅情報庫供第三方使用胶台。對于白和其他灰域名則錄入標簽庫供第三方查詢使用。

基本流程如下圖：

系統(tǒng)的優(yōu)勢主要體現(xiàn)為如下三點：

·??????準實時的處理和關(guān)聯(lián)海量的數(shù)據(jù)杂抽。目前在于能夠在百萬QPS的DNS請求的情況下诈唬，融合多維度的其他數(shù)據(jù)源進行處理，達到小時級別的輸出缩麸。

·??????自動化程度高铸磅。每天能夠自動產(chǎn)生千級別的黑域名和高危域名。

·??????無先驗知識的情況下可以大規(guī)模的阻斷黑匙睹，高危域名

永恒之藍挖礦蠕蟲及其系列變種

?MSRAminer惡意挖礦程序及其系列變種

NuggetPhantom惡意程序及其系列變種

DGA.popad廣告網(wǎng)絡(luò)挖礦程序

Mylobot僵尸網(wǎng)絡(luò)

Godlua后門

Burimi挖礦蠕蟲

?LSDMiner挖礦惡意程序

盜賊惡意SDK應(yīng)用

惡意利用某大型互聯(lián)網(wǎng)廠商的評論系統(tǒng)漏洞刷廣告流量

Skidmap惡意程序

更多案例請參考：https://blog.netlab.360.com/tag/dnsmon/

安全分析的其他方面

在對PDNS數(shù)據(jù)進行深入分析之后愚屁，我們就會發(fā)現(xiàn)其實針對很多類型的攻擊如果從DNS數(shù)據(jù)入口就會非常簡單，能夠達到事半功倍的效果痕檬。

1.?????比如傳統(tǒng)的采用DGA技術(shù)和fastflux技術(shù)的僵尸網(wǎng)絡(luò)從DNS數(shù)據(jù)入手是非常容易的霎槐。

2.?????再比如某些黑灰行業(yè)他們在不斷的改進自己的攻擊手法時，其所使用的基礎(chǔ)設(shè)施卻是不變的梦谜，以某一個或者幾個IP/域名為入口通過DNS數(shù)據(jù)能夠很快的將其他之前未發(fā)現(xiàn)的IOC關(guān)聯(lián)出來丘跌。

3.?????再比如一些惡意程序在運行時，在時序上有著非常穩(wěn)定的順序唁桩，這種非常強的關(guān)聯(lián)關(guān)系也會在DNS中留下非常顯著的特征闭树。只要在時序上構(gòu)建較好的模型，我們就能夠?qū)τ蛎M行聚類和擴展分析荒澡，從而有效的提高分析效率报辱。

4.?????…

4

總結(jié)

近年來DNS協(xié)議正向著更注重隱私性，安全性方面快速發(fā)展单山。而針對DNS數(shù)據(jù)的分析則在對度量DNS協(xié)議發(fā)展情況碍现，對依托于DNS數(shù)據(jù)所做的安全分析方面幅疼，尤其是在威脅情報的生產(chǎn)方面發(fā)揮著越來越重要的作用。

毫無疑問昼接，DNS協(xié)議對未來互聯(lián)網(wǎng)的發(fā)展起著重要的作用爽篷，盡管我們還不知道它將走向何處，會給未來的網(wǎng)絡(luò)帶來哪些影響慢睡，現(xiàn)在是體驗這個變化過程的最好時機逐工。無論是對DNS數(shù)據(jù)做安全分析還是利用DNS做各種度量，DNS這個寶庫都值得深入探索和挖掘漂辐。