DPtech DNS 防 护 技 术 白 皮 书 杭 州 迪 普 科 技 有 限 公 司 2013 年 8 月 版 权 所 有, 侵 权 必 究 All rights reserved Page 1
目 录 一 概 述... 3 1.1. 背 景... 3 1.2. DNS 面 临 的 威 胁... 3 1.2.1 DNS Flood 攻 击... 3 1.2.2 DNS 欺 骗... 3 1.3. 现 有 DNS 安 全 手 段 的 不 足... 4 二 迪 普 科 技 DNS 防 护 技 术... 5 2.1 技 术 概 述... 5 2.2 DNS 报 文 预 处 理... 5 2.3 DNS 检 测 和 预 警... 5 2.4 DNS 防 护... 6 2.5 DNS Cache... 10 2.6 DNS 信 息 分 析 和 统 计... 11 2.7 其 他 攻 击 防 护... 12 版 权 所 有, 侵 权 必 究 All rights reserved Page 2
一 概 述 1.1. 背 景 DNS 作 为 一 项 互 联 网 基 础 业 务, 对 整 个 互 联 网 的 正 常 运 转 起 着 至 关 重 要 的 作 用, 但 是 DNS 系 统 作 为 全 球 最 大 最 复 杂 的 分 布 式 层 次 数 据 库 系 统, 由 于 其 开 放, 庞 大, 复 杂 的 特 性 以 及 设 计 之 初 对 于 安 全 性 的 考 虑 不 足, 使 其 本 身 非 常 的 脆 弱, 很 容 易 遭 到 攻 击 DNS 服 务 器 已 经 变 成 了 互 联 网 架 构 中 脆 弱 的 一 环, 从 2009 年 暴 风 影 音 事 件 造 成 多 省 断 网 到 2010 年 百 度 被 劫 持 域 名 事 件 可 以 看 出, 最 近 几 年 针 对 DNS 的 攻 击 越 来 越 多, 影 响 也 越 来 越 大, 因 此 如 何 保 护 DNS 系 统 的 安 全 就 成 为 了 目 前 互 联 网 安 全 的 首 要 问 题 之 一 1.2. DNS 面 临 的 威 胁 1.2.1 DNS Flood 攻 击 直 接 发 送 海 量 DNS 查 询 报 文 到 DNS 服 务 器, 或 通 过 发 送 大 量 不 存 在 的 域 名 查 询 报 文, 引 起 服 务 器 持 续 向 上 层 服 务 器 发 送 递 归 请 求, 从 而 消 耗 掉 大 量 服 务 器 资 源, 导 致 DNS 服 务 器 无 法 响 应 正 常 的 DNS 请 求 1.2.2 DNS 欺 骗 DNS 欺 骗 是 最 常 见 的 DNS 安 全 问 题 之 一 当 一 个 DNS 服 务 器 由 于 自 身 的 设 计 缺 陷, 接 收 了 一 个 错 误 的 信 息, 那 么 就 将 做 出 错 误 的 域 名 解 析, 从 而 引 起 众 多 网 络 安 全 问 题 常 见 的 DNS 欺 骗 有 3 种 : 1) DNS 缓 存 投 毒 通 常 所 采 用 的 DNS 缓 存 投 毒 技 术, 就 是 攻 击 者 利 用 本 地 DNS 服 务 器 自 身 对 来 自 权 威 DNS 服 务 器 信 息 无 法 进 行 验 证 这 一 特 点, 通 过 精 心 构 造 虚 假 的 DNS response 来 对 本 地 DNS 的 缓 存 进 行 欺 骗 攻 击 者 猜 测 本 地 DNS 与 权 威 DNS 通 信 的 一 些 特 性, 根 据 这 些 信 息, 攻 击 者 伪 造 大 量 的 回 应 包, 例 如 猜 测 DNS 的 响 应 ID, 由 于 本 地 DNS 对 这 些 伪 造 的 包 难 以 辨 识, 攻 击 者 可 以 成 功 的 版 权 所 有, 侵 权 必 究 All rights reserved Page 3
将 自 己 构 造 的 回 应 包 发 到 本 地 DNS 中, 实 现 缓 存 投 毒 2) 客 户 端 信 息 劫 持 当 用 户 发 起 DNS 解 析 请 求 时, 攻 击 者 监 听 DNS 会 话, 猜 测 DNS 服 务 器 的 响 应 ID, 抢 先 将 虚 假 的 响 应 提 交 给 客 户 端, 从 而 欺 骗 客 户 端 去 访 问 恶 意 的 网 站 3) DNS 重 定 向 攻 击 者 将 DNS 名 称 查 询 请 求 重 定 向 到 恶 意 DNS 服 务 器 上, 被 劫 持 域 名 的 解 析 就 完 全 在 攻 击 者 的 控 制 之 下 1.3. 现 有 DNS 安 全 手 段 的 不 足 1.3.1 系 统 扩 容 利 用 提 高 DNS 服 务 器 的 性 能 或 者 增 多 DNS 服 务 器 量 的 方 法 改 善 每 秒 处 理 DNS 请 求 的 能 力, 这 种 扩 容 对 付 用 户 访 问 量 的 增 加 是 有 效 的, 但 是 面 对 现 在 的 DNS 攻 击 能 力, 每 秒 请 求 流 量 甚 至 可 以 到 达 千 万 QPS, 只 依 靠 系 统 扩 容 是 远 远 不 够 的 1.3.2 DNSSEC DNSSEC 是 由 IETF 提 供 的 一 系 列 DNS 安 全 认 证 的 机 制 它 提 供 了 一 种 来 源 鉴 定 和 数 据 完 整 性 的 扩 展 DNSSEC 的 确 可 以 提 高 DNS 系 统 的 安 全 性, 但 是 DNSSEC 的 全 面 部 署 是 一 个 很 困 难 的 任 务, 难 以 在 短 时 间 内 完 成, 而 且 DNSSEC 本 身 是 很 消 耗 性 能 的, 这 也 有 可 能 成 为 DNS 的 新 隐 患 1.3.3 防 火 墙 防 火 墙 本 身 并 没 有 专 门 针 对 DNS 的 防 护 手 段, 面 对 多 种 多 样 的 DNS 攻 击 手 段, 显 得 束 手 无 策 版 权 所 有, 侵 权 必 究 All rights reserved Page 4
二 迪 普 科 技 DNS 防 护 技 术 杭 州 迪 普 科 技 有 限 公 司 文 档 秘 级 : 对 外 公 开 2.1 技 术 概 述 针 对 传 统 DNS 防 护 手 段 的 不 足, 迪 普 科 技 提 出 了 一 个 系 统 的, 全 方 位 的 防 护 方 案 整 个 DNS 防 护 系 统 的 核 心 分 为 5 大 块, 包 括 DNS 预 处 理,DNS 检 测,DNS 防 护,DNS Cache,DNS 信 息 分 析 及 统 计 这 个 系 统 为 DNS 服 务 系 统 提 供 专 项 的 安 全 监 控, 消 除 攻 击, 日 志 分 析, 域 名 管 理 和 监 控 等 服 务, 实 现 对 DNS 服 务 器 的 全 面 保 护 和 监 控 2.2 DNS 报 文 预 处 理 在 网 络 上 经 常 会 存 在 一 些 不 符 合 规 范 的 DNS 报 文 ( 域 名 超 长, 非 法 字 符 等 ), 这 些 报 文 虽 然 量 不 大, 但 是 由 于 报 文 内 容 不 规 范, 可 能 导 致 服 务 器 出 现 未 知 的 问 题 一 般 情 况 下,DNS 防 护 模 块 无 法 区 分 不 规 范 报 文 和 正 常 报 文, 可 添 加 专 门 的 预 处 理 模 块 进 行 过 滤, 对 于 DNS 报 文, 严 格 按 照 RFC1034,1035, 2181 的 规 定, 对 于 不 符 合 的 报 文 直 接 进 行 丢 弃 此 外, 还 可 以 添 加 DNS 访 问 控 制, 用 户 可 以 根 据 需 要 设 置 域 名,IP 以 及 DNS 类 型 的 黑 白 名 单, 对 报 文 进 行 过 滤 例 如, 如 果 出 现 一 些 IP 或 者 域 名 经 常 发 动 攻 击, 那 么 可 以 让 这 部 分 报 文 不 经 过 后 续 的 识 别 和 防 护 模 块, 而 是 直 接 过 滤 掉, 可 以 提 高 整 个 系 统 的 运 行 效 率 同 样, 对 于 一 些 可 信 的 IP 或 者 域 名, 也 可 以 不 经 过 后 续 模 块 而 是 直 接 交 给 DNS 服 务 器 处 理, 这 样 可 以 提 高 用 户 访 问 速 度 2.3 DNS 检 测 和 预 警 常 规 根 据 请 求 流 量 阈 值 的 方 法 来 判 断 是 否 发 生 攻 击, 是 有 一 定 的 局 限 性 的 例 如, 在 发 生 一 些 热 点 事 件 时, 产 生 的 正 常 DNS 请 求 流 量 也 会 超 过 平 时 配 置 的 防 护 阈 值, 这 样 将 会 发 生 误 报 ; 还 有 一 种 情 况 是, 攻 击 者 只 发 送 不 多 版 权 所 有, 侵 权 必 究 All rights reserved Page 5
的 虚 假 域 名 DNS 请 求, 这 些 请 求 会 造 成 频 繁 逐 级 进 行 递 归 查 询, 造 成 资 源 耗 尽, 但 是 这 种 攻 击 的 流 量 可 能 恰 恰 在 阈 值 之 下, 这 样 也 将 会 产 生 漏 报 这 些 是 传 统 的 DNS 攻 击 识 别 的 缺 陷 而 迪 普 科 技 采 用 两 种 更 准 确 的 方 法 来 识 别 攻 击 : 1) 实 时 分 析 DNS 解 析 失 败 率 当 请 求 域 名 不 存 在, 从 而 导 致 服 务 器 回 应 no such name, 如 果 解 析 失 败 率 增 大, 则 说 明 有 大 量 无 法 解 析 的 请 求 产 生 ( 超 过 指 定 的 阈 值 ), 因 此 可 能 存 在 攻 击 通 过 解 析 失 败 率 即 使 在 攻 击 流 量 不 大 的 情 况 下, 也 可 以 发 现 攻 击 行 为 2) 实 时 分 析 DNS 响 应 报 文 与 请 求 报 文 的 比 例 关 系 如 果 攻 击 流 量 很 大 导 致 服 务 器 被 攻 击 瘫 痪, 这 样 服 务 器 将 无 法 回 应 报 文, 也 就 是 不 会 产 生 no such name 报 文, 因 此 可 采 用 一 种 互 补 的 检 测 方 式, 当 服 务 器 瘫 痪 无 法 回 复 报 文 时, 那 么 必 然 存 在 DNS 服 务 器 响 应 报 文 与 请 求 报 文 之 间 比 例 的 失 衡, 当 这 个 比 值 不 断 缩 小 时, 就 可 以 认 为 服 务 器 出 现 了 问 题, 有 可 能 遭 到 了 攻 击 通 过 以 上 两 种 方 法, 无 论 采 用 什 么 样 的 攻 击 方 式 都 可 以 迅 速 的 发 现 并 采 取 进 一 步 的 防 护 手 段 2.4 DNS 防 护 1) DNS 每 源 IP 限 速 支 持 按 每 源 IP 限 速 每 源 IP 范 围 限 速, 可 以 为 不 同 的 源 IP 设 置 不 同 的 限 速 阈 值, 支 持 访 问 量 TOP N 源 IP 的 识 别 与 展 示 2) DNS 每 域 名 限 速 支 持 按 每 域 名 限 速, 可 以 为 不 同 的 域 名 设 置 不 同 的 限 速 阈 值, 支 持 访 问 量 TOP N 域 名 的 识 别 与 展 示 3) DNS 多 级 域 名 限 速 上 面 的 方 法 对 于 域 名 离 散 的 攻 击 是 没 有 办 法 防 护 的, 但 是 经 过 观 察, 域 名 的 离 散 通 常 不 是 全 离 散, 而 是 域 名 部 分 离 散, 因 此 可 以 把 域 名 分 为 多 级 进 行 防 护 (.com 属 于 顶 级 域 名,baidu.com 属 于 二 级 域 名, 以 此 类 推 ), 对 每 一 个 域 级 单 独 进 行 统 计 并 观 察, 例 如, 如 果 产 生 *.baidu.com 这 样 的 针 对 版 权 所 有, 侵 权 必 究 All rights reserved Page 6
百 度 子 域 进 行 攻 击 的 报 文, 用 传 统 的 全 域 名 进 行 统 计 是 无 法 进 行 防 护 的, 但 是 针 对 二 级 域 名 就 可 以 轻 松 的 发 现 并 丢 弃 这 种 攻 击 迪 普 科 技 目 前 支 持 8 级 域 的 检 测 防 护, 可 以 很 好 的 防 御 针 对 这 种 部 分 子 域 进 行 随 机 的 DNS 攻 击 4) TCP 反 弹 防 护 图 1 TCP 反 弹 防 护 技 术 几 乎 所 有 的 DNS 攻 击 都 是 用 UDP 报 文, 可 以 利 用 这 个 特 性 来 防 护 一 些 离 散 的 DNS 攻 击, 当 检 测 到 DNS 攻 击 时, 设 备 会 回 应 给 客 户 端 一 个 带 有 TC 标 示 位 的 应 答 报 文, 这 时, 正 常 的 主 机 会 重 新 发 起 基 于 TCP 的 53 端 口 的 请 求, 设 备 接 到 TCP 的 请 求 后, 转 化 为 UDP 请 求 送 给 DNS 服 务 器, 以 免 DNS 服 务 器 由 于 处 理 大 量 TCP 报 文 负 载 过 大 但 是, 由 攻 击 软 件 发 送 的 模 拟 攻 击 报 文 不 会 重 发 TCP 的 DNS 请 求 报 文, 因 此 所 有 的 DNS 攻 击 都 会 被 设 备 丢 弃 而 不 会 到 达 DNS 服 务 器 5) DNS 重 传 校 验 版 权 所 有, 侵 权 必 究 All rights reserved Page 7
图 2 DNS 重 传 校 验 技 术 当 设 备 检 测 到 有 攻 击 后, 会 把 后 续 收 到 的 第 一 个 请 求 报 文 缓 存 在 本 地, 不 直 接 转 给 服 务 器 正 常 主 机 在 一 段 时 间 (2-5 秒 ) 没 有 收 到 响 应 报 文 后 会 重 发 DNS 请 求 报 文, 但 是 攻 击 报 文 依 然 会 在 短 时 间 内 不 停 的 发 送 请 求, 通 过 这 个 特 性, 我 们 就 可 以 马 上 丢 弃 这 些 不 符 合 重 传 时 间 间 隔 的 攻 击 报 文 6) 智 能 指 纹 识 别 当 遇 到 IP 地 址 以 及 域 名 都 随 机 的 情 况 下,DNS 报 文 的 其 它 字 段 可 以 成 为 识 别 DNS 攻 击 的 重 要 手 段 通 过 对 报 文 的 三 层 以 及 四 层 进 行 指 纹 特 征 识 别, 这 些 字 段 必 然 存 在 一 些 雷 同 的 指 纹 特 征 ( 例 如 它 的 源 端 口 可 能 是 雷 同 的 ), 因 此 可 以 根 据 这 些 雷 同 的 指 纹 特 征 对 DNS 请 求 报 文 进 行 检 测 和 防 护, 这 样 就 可 以 避 开 IP 地 址 和 域 名 随 机 的 难 题, 找 到 了 攻 克 它 的 方 法 由 于 攻 击 报 文 要 做 到 所 有 字 段 全 随 机 十 分 困 难, 因 此 可 以 利 用 指 纹 识 别 方 法 进 行 有 效 的 DNS 攻 击 防 护 7) DNS 缓 存 投 毒 防 护 当 收 到 请 求 报 文 后, 根 据 源 目 的 IP, 源 目 的 端 口 以 及 DNS ID 五 元 组 建 立 DNS 会 话, 这 时, 没 有 会 话 的 DNS 回 应 报 文 全 部 作 为 恶 意 投 毒 攻 击 而 丢 弃, 只 有 建 立 会 话 的 回 应 报 文 才 递 交 给 后 端 DNS 服 务 器 会 话 信 息 伪 造 的 版 权 所 有, 侵 权 必 究 All rights reserved Page 8
难 度 远 远 大 于 DNS 响 应 ID, 因 此 攻 击 者 很 难 将 投 毒 的 攻 击 报 文 成 功 发 送 到 DNS 服 务 器 同 时, 采 用 DNS 防 护 设 备 内 置 的 Cache, 可 直 接 提 供 DNS 的 解 析 功 能, 避 免 了 DNS 被 投 毒 后 发 送 的 错 误 解 析 结 果 通 过 上 述 两 种 方 法 的 结 合, 可 有 效 的 对 缓 存 投 毒 进 行 防 护 8) DNS 重 点 域 名 监 控 可 以 对 一 些 经 常 受 到 攻 击 的 热 点 域 名 进 行 重 点 检 测, 把 这 些 域 名 和 指 定 的 IP 组 进 行 配 置, 当 某 个 时 刻 IP 出 现 变 化 且 变 化 范 围 不 在 IP 组 内 时, 就 发 出 告 警, 由 管 理 员 向 权 威 服 务 器 确 认 这 个 变 化, 由 此 可 以 判 断 服 务 器 是 否 遭 到 攻 击 利 用 这 个 检 测 机 制, 可 以 及 时 发 现 DNS 欺 骗 攻 击 9) DNS 回 复 报 文 过 滤 这 种 方 法 主 要 是 为 了 对 设 备 收 到 的 回 复 报 文 进 行 检 测, 然 后 按 照 指 定 的 规 则 进 行 过 滤 如 果 应 答 中 的 IP 包 括 内 网 地 址 特 殊 用 途 地 址 或 者 用 户 自 定 义 的 地 址, 则 将 DNS 解 析 结 果 中 的 这 些 IP 地 址 进 行 过 滤, 保 留 正 常 地 址, 之 后 再 对 回 复 报 文 进 行 转 发, 如 果 解 析 结 果 中 的 所 有 IP 都 为 非 法 地 址, 则 将 整 个 报 文 丢 弃 这 样 就 可 以 使 含 有 非 法 地 址 的 回 复 报 文 无 法 到 达 DNS 服 务 器 版 权 所 有, 侵 权 必 究 All rights reserved Page 9
2.5 DNS Cache 杭 州 迪 普 科 技 有 限 公 司 文 档 秘 级 : 对 外 公 开 图 3 DNS Cache 由 于 DNS 防 护 设 备 的 网 络 处 理 性 能 一 般 总 是 大 于 DNS 服 务 器, 因 此 可 以 利 用 DNS Cache 代 替 DNS 服 务 器 进 行 回 复, 这 样 就 可 以 有 效 的 降 低 DNS 服 务 器 的 负 荷 当 遭 到 DNS 离 散 攻 击 时,DNS 请 求 报 文 首 先 匹 配 DNS Cache 中 的 表 项, 如 果 命 中 则 直 接 由 DNS Cache 回 复 这 个 请 求 ; 如 果 未 命 中, 则 需 要 上 送 DNS 服 务 器 进 行 递 归 请 求, 由 于 DNS Cache 已 经 回 复 了 大 多 数 的 DNS 请 求, 倘 若 递 归 请 求 依 然 较 大, 很 有 可 能 是 攻 击 流 量, 可 以 对 这 些 递 归 请 求 进 行 限 速 处 理, 以 免 DNS 服 务 器 受 到 影 响 通 常 情 况 下,DNS Cache 模 块 会 和 DNS 防 护 模 块 配 合 使 用, 先 通 过 DNS Cache 对 大 多 数 常 用 请 求 进 行 回 复, 再 通 过 DNS 防 护 模 块 对 剩 下 的 递 归 请 求 进 行 过 滤, 最 后 到 达 DNS 服 务 器 的 流 量 就 非 常 小 了 这 样 既 可 以 保 证 用 户 的 正 常 上 网, 又 大 大 减 轻 了 DNS 服 务 器 的 负 担 版 权 所 有, 侵 权 必 究 All rights reserved Page 10
2.6 DNS 信 息 分 析 和 统 计 杭 州 迪 普 科 技 有 限 公 司 文 档 秘 级 : 对 外 公 开 针 对 检 测 和 清 洗 的 DNS 异 常 流 量, 提 供 丰 富 的 攻 击 日 志 和 报 表 统 计 功 能, 包 括 攻 击 前 流 量 信 息 清 洗 后 流 量 信 息 攻 击 流 量 大 小 时 间 及 排 序 等 信 息 以 及 攻 击 趋 势 分 析 等 各 种 详 细 的 报 表 信 息, 便 于 了 解 网 络 流 量 状 况 图 4 DNS 每 源 IP 流 量 统 计 及 日 志 图 5 DNS 的 解 析 失 败 率 版 权 所 有, 侵 权 必 究 All rights reserved Page 11
2.7 其 他 攻 击 防 护 除 了 对 DNS 攻 击 防 护 外, 迪 普 科 技 的 DNS 防 护 方 案 还 可 以 对 其 他 常 规 DDoS 攻 击 进 行 有 效 地 防 护 1. 大 容 量 硬 件 ACL 通 过 配 置 硬 件 ACL, 只 放 通 需 要 的 报 文, 例 如 :DNS 相 关 报 文, 管 理 IP 所 发 起 的 SSH 等 管 理 协 议 报 文, 使 DNS 服 务 器 免 遭 除 DNS 攻 击 之 外 的 常 规 DDOS 攻 击 2. 丰 富 的 DDoS 攻 击 防 护 手 段 通 过 SYN Cookie, 限 制 连 接 数, 多 维 度 限 速, 源 IP 有 效 性 检 查, 协 议 行 为 识 别, 异 常 攻 击 特 征 智 能 识 别 等 技 术 全 方 位 支 持 TCP Flood,UDP Flood, SYN Flood,ICMP Flood 等 DDoS 攻 击 的 防 护 版 权 所 有, 侵 权 必 究 All rights reserved Page 12