DNS欺騙攻擊的檢測與防御

1、DNS欺騙攻擊的檢測與防御摘 要：DNS在為Internet的正常運行提供可靠保障的 同時也遭受來自網(wǎng)絡的欺騙攻擊威脅，DNS攻擊具有隱秘性 強、打擊面大、攻擊效果明顯的特點。文章分析了 DNS系統(tǒng) 解析流程、DNS欺騙攻擊原理和分類，并列出常見的欺騙攻 擊方式，提出不同檢測方法，討論了針對DNS欺騙攻擊的防 范策略，對提高DNS抗欺騙攻擊能力具有明顯效果。關鍵詞：DNS欺騙攻擊；攻擊模式；檢測方法；防范策 略DNS （Domain Name System）為全球分布范圍最廣的分 布式、多層次數(shù)據(jù)庫系統(tǒng)，提供從IP到域名間的映射服務， 是Internet正常運行的關鍵技術設施。DNS系統(tǒng)將便于

2、識記 的主機名映射為晦澀難記的IP，并保障其他網(wǎng)絡應用（Email 投遞、網(wǎng)站訪問等）順利進行。DNS系統(tǒng)一經(jīng)提出即發(fā)展迅 速，全球注冊主機數(shù)量從1987的2萬余條發(fā)展到2005的3 億余條；獨立域數(shù)量也由1987年幾個發(fā)展到05年8290萬 余個。截至2014年6月，中國境內(nèi)域名數(shù)達到1915萬個。DNS系統(tǒng)因其本身存在的脆弱性導致系統(tǒng)安全性、保密 性均受到威脅，隨著網(wǎng)絡快速發(fā)展，DNS面臨越來越多的攻 擊威脅。2014年11月，ICANN （國際域名與IP地址分配管 理組織）稱其受到黑客攻擊，一批員工的賬號、密碼被盜， ICANN內(nèi)部的“中央?yún)^(qū)域數(shù)據(jù)系統(tǒng)”中有關用戶的姓名和地 址信息以及與

3、ICANN有業(yè)務往來的人士的個人信息也被盜。 2014年1月21日，全球頂級根域名服務器出現(xiàn)故障，導 致.com的網(wǎng)站無法訪問。在Internet快速發(fā)展的今天，DNS 重要性、安全性研究需求顯得尤為突出。1域名系統(tǒng)解析原理DNS系統(tǒng)分為根、頂級域名服務器、權威域名服務器、 主機4個部分，使用分布式數(shù)據(jù)庫將IP地址和域名一一映射。分析DNS欺騙攻擊之前先界定其域名解析流程，DNS分 為2個部分：Server （服務器端）和Client （客戶端），遞歸 服務器內(nèi)部已預先設置了根服務器的IP地址。DNS Server接 受Client域名查詢請求，從DNS root逐層向下迭代查詢。域 名解析流

4、程如圖1所示（以訪問為例）?？蛻舳耸紫认虮镜谼NS服務器發(fā)出查詢 的IP地址的請求，如果本地DNS服務器在 本機DNS緩存表中沒有查到相關記錄，則立即向根服務器發(fā) 起遞歸查詢；根服務器收到查詢請求后，將.cn域服務器地址 反饋給本地DNS服務器；本地DNS服務器繼續(xù)向.cn域發(fā)出 查詢請求，域服務器將.反饋給本地DNS服務器；本 地DNS服務器則繼續(xù)向.域發(fā)出查詢請求，域服務器 將授權域名服務器的地址反饋給本地DNS服務 器；本地DNS服務器繼續(xù)向發(fā)起查詢，得到 的IP地址，以DNS應答包的方式傳遞給用 戶，并將查詢所得內(nèi)容復制在本地DNS緩存表中，以備客戶 端查詢。2 DNS系統(tǒng)欺騙攻擊原理

5、DNS域名系統(tǒng)安全性與Internet能否正常運行緊密相關， DNS系統(tǒng)遭受網(wǎng)絡攻擊時會造成重要信息被泄密、拒絕提供 服務、網(wǎng)絡服務癱瘓等事件發(fā)生，DNS安全性隱患包括以下 幾方面：（1）在設計協(xié)議時安全性考慮不足，不能保證查詢 數(shù)據(jù)的真實性和完整性。（2）Internet在全球快速推廣導致 DNS系統(tǒng)信息管理難度增大，系統(tǒng)冗余性降低。（3）針對DNS 安全性問題提出的各種改進技術如DNSSEC、分布式哈希表等 難以大范圍使用。DNS欺騙攻擊是攻擊者事先偽造為用戶信賴的DNS Server，將查詢IP改為攻擊者事先指定的尸，進而將查詢網(wǎng) 站引向攻擊者網(wǎng)站，實施DNS Server域名欺騙攻擊。

6、此攻擊 方式主要包括2種：緩存中毒、ID欺騙。（1）緩存投毒。為盡最大可能地快速給用戶提供服務， DNS Server將收到的Domain Name和IP地址映射數(shù)據(jù)保存至 本地Cache,保存期限TTL （TTLN0）,在TTL不為0時，如 有訪問該信息的請求信息，無需重新查找可直接從本地答復， 此方式可高效利用緩存信息，增強DNS設施服務效率。緩存 機制的缺陷在于不檢查附加數(shù)據(jù)，緩存投毒攻擊者利用此漏 洞將TTL值設為較長時間即可實現(xiàn)長時間欺騙用戶，在TTL 未失效內(nèi)，緩存內(nèi)事先植入的虛假信息會快速擴散至其他 DNS Server，造成大面積緩存中毒事件發(fā)生。（2）ID欺騙。當DNS緩存已

7、記錄的信息在緩存失效之 前如有Client查詢則直接返回緩存記錄，此過程使用 Transaction ID與端口間的通信來標示一次通信過程。當進行 域名解析時，Client用特定的ID標示向DNS Server發(fā)送解析 數(shù)據(jù)包，DNS Server使用此ID向Client發(fā)送應答數(shù)據(jù)包，Client 對比發(fā)送的請求數(shù)據(jù)包和應答數(shù)據(jù)包ID標示，如一致則說明 該應答信息可靠，否則將該應答信息丟棄。上述通信過程簡潔明了，效率高，但易遭受攻擊，如生 日攻擊。此攻擊來自生日悖論，假設存在一個23人團隊， 則2人同一天生日的概率為50%。生日攻擊利用此特點，向 某一 DNS Server請求同一域名查詢時

8、，也同時發(fā)送大量針對 該域名不同ID的答復報文，增大了使該DNS Server的被騙幾 率。最常見的域名欺騙攻擊是針對DNS數(shù)據(jù)報頭部的事務ID 進行欺騙。3常見DNS欺騙攻擊方法DNS常見欺騙攻擊需要獲取對方ID，主要有網(wǎng)絡監(jiān)聽獲取ID和序列號攻擊（預測下一個ID）法。（1）網(wǎng)絡監(jiān)聽獲取ID。為通過監(jiān)聽用戶流量獲得ID，攻擊者可選擇與DNS Server或眾多客戶端主機中某一主機位 于同一局域網(wǎng)內(nèi)系統(tǒng)允許在請求信息中添加額外信息， 如IP地址、Domain Server等，Client接收到攻擊的Domain Server查詢請求時均被引向攻擊者之前設定的Domain Server。 因DN

9、S系統(tǒng)僅用ID標示判定信息真實性，且ID從Client發(fā) 出、由DNS Server返回，且客戶端僅通過核實發(fā)出、返回端 ID是否一致來確定信息的可靠性，使得通過網(wǎng)絡監(jiān)聽的方式 獲取ID的攻擊成為可能。（2）序列號攻擊原理。DNS查詢報文格式中ID號所占位數(shù)為16位，即其取值范圍 為065535,其預測難度不大，該攻擊過程中攻擊者對正確 報文DNS Server發(fā)起DDOS攻擊，拖延DNS Server正確回復 報文，保證攻擊者的DNS Server搶在正確的DNS Server之前 回復請求端報文，該報文內(nèi)嵌ID與請求報文內(nèi)嵌ID相同， Client接收先到的虛假報文，丟棄后到的真實報文。虛

10、假報 文中內(nèi)嵌的IP將Client引向攻擊者誘導的非法網(wǎng)站。舊版BIND可通過較近幾個DNS包ID來猜測虛假ID,新 版BIND9利用上述猜測法成功概率有所下降，但其算法依然 存在漏洞。據(jù)分析，通過新近收集到的5000個DNS包內(nèi)的 ID同樣可成功測算出即將出現(xiàn)的下一個ID,成功率高達20%, 因此，使用此方法偽造虛假ID并進行DNS欺騙攻擊的成功 率較高。4 DNS欺騙攻擊檢測有關學者提出多種檢測DNS欺騙攻擊方法，相關文獻研 究了 Domain-Flux檢測技術。惡意攻擊軟件使用的算法為DGA （域名生成算法），以time等參數(shù)為算子自動產(chǎn)生大量虛假 域名并嘗試連接與控制服務器。當發(fā)生DN

11、S欺騙攻擊時， Client將收至U 2個以上相同ID的應答報文，但只能有1個真 實的應答報文，其余報文均為欺騙信息。但此類檢測方法試 用范圍不同，鑒于此，本文提出檢測方法。被動監(jiān)聽檢測法被動監(jiān)聽檢測法，檢測接收的DNS應答報文，正常情況 下應答報文只有1個，當域名與IP存在一對多的映射關系時， 1個應答報文中將包含多個映射關系的回復，不會出現(xiàn)有多 個應答報文情況。因此，如一個請求報文在額定時間內(nèi)收到 多個應答報文則有遭受DNS欺騙攻擊的可能。該檢測法不會添加額外的網(wǎng)絡流量負擔，但因其檢測方 法的消極性無法檢測出網(wǎng)絡潛在攻擊威脅。主動試探檢測法主動試探檢測法，由DNS系統(tǒng)主動發(fā)送檢測數(shù)據(jù)包檢測

12、 是否存在DNS欺騙攻擊，通常主動發(fā)送的檢測數(shù)據(jù)包不可能 接收到回復，但攻擊者為搶在合法數(shù)據(jù)包抵達之前能將欺騙 包發(fā)給客戶端，在不驗證DNS Server的IP合法性情況下?lián)屜?發(fā)送應答報文，此情況發(fā)生說明系統(tǒng)受到DNS欺騙攻擊。主動試探檢測法需要DNS系統(tǒng)主動發(fā)送大量探測包，容 易增加網(wǎng)絡流量負擔、導致網(wǎng)絡擁塞，且通常DNS欺騙攻擊 只針對特定域名，在選擇探測包包含的待解析域名時存在定 位性不強的問題，使得該方法的探測難度加大。交叉檢查查詢法交叉檢查查詢法，Client接收DNS應答包后反向?qū)NS Server查詢應答包中返回的IP對應的DNS，如兩者完全一致 則說明DNS系統(tǒng)未受到欺騙攻

13、擊，反之亦然。該查詢方法介于前2種檢測方法之間，即對收到的數(shù)據(jù) 包在被動檢測基礎上再主動驗證，依賴于DNS反向查詢功能， 但較多數(shù)量的DNS Server不支持此功能。使用TTL (生存時間)DNS攻擊檢測TTL(Time to 1%)位于IPV4包的第9字節(jié)占8bit，其作 用是限制IP數(shù)據(jù)包在網(wǎng)絡中的留存時間，在TTL不為0時， 如有訪問該信息的請求信息，無需重新查找可直接從本地答 復。在進行DNS欺騙攻擊時如需長時間欺騙則將TTL值設為 較長時間即可。也是IP數(shù)據(jù)包在網(wǎng)絡中可轉(zhuǎn)發(fā)的最大跳數(shù)， 即可避免IP數(shù)據(jù)包在網(wǎng)絡中無限循環(huán)、收發(fā)，節(jié)約網(wǎng)絡資源。 通常同一 Client發(fā)送的DNS查詢

14、請求會經(jīng)過相對固定的路由、 相對固定時間內(nèi)到達DNS Server。即一定時間內(nèi)，從同一 Client發(fā)往固定DNS Server的請求數(shù)據(jù)分組TTL值大小是相 對固定的。但網(wǎng)絡攻擊者發(fā)動的DNS反射式攻擊需要不同地 區(qū)的多臺僵尸網(wǎng)絡控制的受控計算機協(xié)同工作，同時發(fā)送虛 假源地址的DNS請求信息，雖然攻擊者可使用虛假的源IP 地址、TTL等信息，但由于受僵尸網(wǎng)絡控制的計算機分別位 于不同地域，因此，真實IP地址對應的主機發(fā)送的數(shù)據(jù)分組 抵達DNS Server的數(shù)量很難造假。IP地址造假是成功實施DDOS攻擊的必備條件，因此， 使用TTL的DNS攻擊檢測方法可對來自相同源IP地址的DNS 請求

15、數(shù)據(jù)分組TTL值做實時對比，如相同源IP地址的TTL值 變化頻繁則可對DNS請求分組做無遞歸的本地解析或丟棄。 使用此方法可發(fā)現(xiàn)假IP地址并有效遏制域名反射放大攻擊。5防御技術（1）遭受序列號攻擊時可使用專業(yè)監(jiān)聽軟件，正常情 況下由DNS Server回復報文，如收到多個回復報文即懷疑有 欺騙攻擊；可從以下方面進行防御：僅僅授權自身管轄的域 名解析提供遞歸查詢，且只接受域外DNS Server的DNS查詢 請求，可減少遭到攻擊的可能性；DNS重定向，所有到達DNS Server的查詢均重定向至另DNS Server，對真實的用戶提供 正常域名查詢功能，從而屏蔽、減少虛假IP造成的故障。（2）緩

16、存投毒特點是將TTL值變大，如發(fā)現(xiàn)TTL值過大 需重點關注。投毒攻擊往往攻擊銀行、搜索網(wǎng)站、熱門網(wǎng)站 等，可將此類網(wǎng)站IP記錄為相應表格，統(tǒng)計經(jīng)常被請求解析 的域名頻率，記錄域名查詢失敗次數(shù)，引入域名信譽機制， 如請求IP與表中記錄IP不一致則說明DNS回復信息可疑。6結語網(wǎng)絡攻擊的檢測和防范是推動網(wǎng)絡進步的動力，本文分 析了基于DNS構架的解析過程，闡述了 DNS欺騙攻擊原理， 提出針對DNS欺騙攻擊的檢測方法和防范方案，對提高DNS 系統(tǒng)抗欺騙攻擊能力和安全性有積極作用。隨著網(wǎng)絡的快速 發(fā)展后續(xù)還需進一步探索更有效的檢測方法，以提高DNS系 統(tǒng)抵御各種新型欺騙攻擊的能力，保證系統(tǒng)安全、穩(wěn)定

17、地運 行。參考文獻1天極軟件頻道.互聯(lián)網(wǎng)管理機構ICANN遭攻擊部分資 料被泄露EB/OL.2014-12-22. http： / security/348/42849348.shtml.2前瞻網(wǎng).1 月 21 日網(wǎng)絡故障：根域名服務器dns遭黑客攻擊致網(wǎng)絡癱瘓 EB/OL.2014-01-22.http： / news/2014/328895.shtml.3YADAV S，REDDY A K K，REDDY A L N，et al.Detecting Algorithmically Generated Malicious Domain NamesC/In 10th ACM SIGCOMM C

18、onference on Internet Measurement， Melbourne， Australia， November1-3， 2010.4ANTONAKAKIS M，PERDISCI R，NADJI Y，et al.From Throw-Away Traffic to Bots Detecting the Rise of DGA-Based MalwareC/In 21st USENIX Security Symposium， Bellevue，WA, USA, August 8-10, 2012.5YADAV S, REDDY A L N.Winning with DNS Fa

19、ilures： Strategies for Faster Botnet DetectionC/In 7th International ICST Conference on Security and Privacy in Communication Networks, London, UK, September 7-9, 2011.6YADAV S, REDDY A K K, REDDY A L N, et al.Detecting AlgorithmicallyGenerated Domain-Flux Attacks with DNS TrafficAnalysisJ.IEEE/ACMTransactions on Networking, 2012(5)： 1663-1677.Detection and Prevention of DNS Spoofing AttacksLi Jian(Communication University of Shanxi, Jinzhong 030619, China)Abstract： When providing rel