DNS攻击检测与安全防护研究综述

DNS攻击检测与安全防护研究综述

吴海燕 ,曾强 ,张小强 ,谢崇斌

中国移动通信集团陕西有限公司   陕西省西安市   710076

摘要：随着社会科技能力的不断发展和进步，网络安全也越发的得到了人们的重视，而这其中的基于域名的DNS攻击能够在一定程度上对防火墙以及同一网段的网络策略进行绕过，从而盗取到一些敏感信息，进而操控到内网的设备，产生十分严重的危害。而且需要注意的是DNS重绑定主要依靠设置恶意域名来实现。而对于如何更好的检测出DNS域名绑定等相关问题，本文则是针对性的提出如何基于被动式的分析DNS检测攻击模型来实现对一些DNS重绑定。而其中主要的实现方式就是通过被动式的引入大量的DNS数据，然后再通过去其中的域名地址、时间、通信异常和通信行为等四个维度进行深度画像，然后再基于C4.5决策树和SVN朴素贝叶斯等计算方法来对数据进行混合式的分类然后在进行组合训练，赋予其不同的权重。然后通过交叉实验可以得出结论，其中的DRC的模型对于一些恶意域名的识别率能够达到百分之九十五。相对于恶意域名检测工具来说，DRC模型对于恶意域名的识别相对来说更为的准确。

关键词：域名系统；DNS 攻击检测；安全防护；机器学习

1DNS相关知识

1.1DNS 重绑定的实现原理

为了更加清晰的对DNS重绑定攻击检测有有一个了解，首选就需要其实现原理。在发动DNS重绑定攻击之前，首先需要做的就是设置好对应的恶意域名和DNS解析服务器。并且其主要的攻击步骤可以分为一下几点：攻击者首选需要设置好恶意域名服务器，然后当客户访问恶意网站的时候首选会向恶意域名服务器发送请求。当恶意域名服务器收到请求的时候会对其进行解析，然后就能获取到访问者的访问IP地址。在受害者访问页面时，不经意间就会下载恶意的js代码脚本，从而泄露信息。由于攻击者的DNS解析的生命周期的时间较短，因此解析地址就会出现经常过期的问题，就需要在访问恶意网址的域名，此时恶意域名服务器就会将恶意构造的IP地址返回给访问终端。

1.2被动DNS数据

本文针对DNS重绑定攻击中的检测研究方式其中引入DNS数据。而其中被动的DNS数据就是从真实的互联网环境中收集到的DNS流量，然后再通过解析、过滤、重组、去重等多种步骤处理之后然后储存在数据库中。而这一概念最高的提出者则是WEIMER在2004年时候提出的，并且讲这种方式总结为恶意域名识别以及流量分析和黑名单识别。并且因为对域名描述比较全面，并且还能够利用DNS数据总结出互联网环境的真实情况，因此也就能够给研究人员提供相应的理论基础。

2 常见 DNS 攻击

2.1 DNS欺骗

最为常见的DNS攻击就是DNS欺骗，也可以称之为域名欺骗。主要实现原理就是把用户合理的请求中的IP替换为一个恶意的IP地址，从而将用户引导到恶意的钓鱼网站来盗取用户信息。

2.2 DNS 隐蔽信道

还有一种比较常见的DNS攻击手段就是隐蔽信道，这种手段的定义为是一种信道在设计的目的不是为了传输信息的通道。并且隐蔽通道在本质上也违背了互联网通信协议的规则，使用一些秘密的载体来传递信息。因为传统的检测系统以及防火墙对于这些载体无法显著的检测出来，所以在隐蔽通道中的数据就难以被发现，所以隐蔽通道具体来讲就是信息隐藏技术中的一种分支。而DNS隐蔽信道具体来讲就是一种封装报文的技术，只不过其载体是DNS数据包。而往往因为DNS的作用也不是用作数据传输，导致很多的技术人员没有将其当做恶意通信诱发的数据泄露的风险。而且目前的网络防火墙和检测系统往往都会开放DNS解析服务，主要是因为因为阻碍DNS流程很有可能会造成正常的远程连接出现失败的问题。所以DNS隐蔽信道逐渐的发展成为了客户手中最后欢迎的通信工具和手段，被广泛的使用在一些秘密指令和数据传输方面。

2.3 DNS DDOS 攻击

DNS攻击手段还有一种比较常见的手段就是通过拒绝服务的方式来不断的消耗网络资源以及宽带流量，从而导致服务器没有空余资源去处理其他的外部情况，最终导致整个网络服务出现瘫痪的结果。而其中DOS攻击就是单一攻击或者说是对单一对象发起的攻击，也就是通俗来讲的一对一攻击模式。而分布式拒绝服务则是一种DOS攻击的升级版本，其主要攻击原理就大致和DOS攻击相同，但是攻击方式却是由一对一变成了一对多的方式，其破坏性也就成倍增长。通常DOS攻击的方式都是将成千上万的僵尸主机进行联合然后在同一时间点对统一目标发起攻击，而这样的DOS攻击的流程能够达到每秒钟1.2TB，基本没有任何网络服务能够应对如此规模的流程攻击，最终导致整个网络服务迅速瘫痪。

2.4 DNS 反射放大攻击

DNS攻击中还以一种十分常见的攻击方式就是反射放大攻击，其主要的特点就是将目标服务的网络资源消耗殆尽，当然从本质来讲这也是DDOS攻击中的一种。但是和常规的DNS DDOS攻击的区别则是攻击者并不是直接向攻击目标发出攻击，而是通过伪造虚拟的IP地址然后向开放的DNS服务器发送请求，届时的服务器将将会将比正常报文大于数倍的请求报文发送给目标网络服务，从而形成DDOS方式的攻击。

3 常见 DNS 攻击检测技术

3.1 DNS 欺骗检测技术

而对于DNS欺骗的检测也相对来说比较困难，主要是由于DNS欺骗并不会产生明显的网络流程的变化，并且其数据包与普通的包在数据结构和大小方面也十分相似。就当前的DNS欺骗技术来讲，只要可以根据其特性分为被动监听检测技术、主动探测技术以及交叉验证检测技术三种。

3.2 DNS 隐蔽信道检测技术

当前国内主要对DNS隐蔽信道的检测技术分为以下两类：基于流量特征的检测技术以及基于荷载特征的检测技术。并且因为DNS隐蔽信道主要通过DNS协议的荷载内容来对信息进行封装，也就导致荷载分析会通过捕获的DNS报文特征以及标准的DNS报文特征比较。同时荷载分析其最大的优势就是原理相对较为简单，但是其缺点也十分明显就是很难检测出其中一些指标接近正常的隐蔽通道。而基于流程特征的检测技术则是通过对DNS中流量进行宏观分析来对隐蔽信道作出检测。本质来说隐蔽通道虽然报文的特征能够造价但是其流程的特征是无法进行造假的。一旦发现其中某个IP的DNS流程异常便能够及时的发现。

3.3 DNS DDOS 攻击检测技术

而关于对DNS中的DDOS攻击进行检测相对来说也就较为困难，因此相关的科研人员不但需要重点关注其攻击的方式，还要将研究的重心放在如何降低这种攻击力度上面。归根结底还是因为DNS中的DDOS攻击一般都会造成较为严重的损害，而缓解其攻击的程度则是能够极大程度上降低经济损失。

3.4 DNS反射放大攻击检测技术

而DNS中的反射放大攻击检测技术则是针对DNS反射放大攻击所准备的，主要是因为DNS反射放大攻击的本质还是DDOS攻击，而此种检测方式和之前讲述的DNS DDOS攻击检测的方式极为相似，对于此种检测方式就不进行过多的阐述。而本文则是针对性的讲解如何将DNS反射放大攻击进行一定程度的缓解，主要包括如何放开对DNS服务器的保护，然后通过对伪造源的IP数据包进行稀释以及对攻击的流量进行清洗。

结论

综上所述，由于当今社会在互联网时代的大背景下，网络安全已经逐步的发展成为一项十分重要的安全工作，不仅仅关系到人们的财产安全，还关系着信息安全。而对于DNS功能已经攻击我们也要深入研究，审核了解到DNS攻击的特性以及将会导致的严重后果。不断的提升对DNS攻击的检测技术和防控技术。而通过本文中常见的DNS攻击的介绍以及检测方式我们也要不断学习和创新，同时对于各种各样的DNS检测技术掌握其中的精髓。希望能够在DNS攻击检测和安全防护方面取得重要的突破，为我国的网络安全事业的不断强大提供动力，提升我国的网络安全防护能力。

参考文献：

[1]章坚武,安彦军,邓黄燕.DNS攻击检测与安全防护研究综述[J/OL].电信科学:1-23[2022-08-03].http://kns.cnki.net/kcms/detail/11.2103.TN.20220718.0821.002.html

[2]陈治昊.一种多粒度DNS隧道攻击检测方法[J].现代计算机,2021(17):106-113.

[3]郭烜臻,潘祖烈,沈毅,陈远超.一种基于被动DNS数据分析的DNS重绑定攻击检测技术[J].信息网络安全,2021,21(03):87-95.

[4]李建飞,成卫青.基于文本和DNS查询的非常规域名检测研究[J].计算机技术与发展,2020,30(02):114-120.