11眼
第一章绪论
氟化钙1.1研究背景
域名系统Domain Name System,简称DNS)是互联中最重要基础设施之一,它的主要功能是作为互联的“电话本”向其它应用或者服务提供IP和域名之间的翻译服务。互联中绝大多数服务,都依赖于DNS对其服务地址进行解析,如Web,Email等。对于互联中普通用户来说,他们不必非要记住服务的IP地址访问络,利用DNS域名,也可以方便地访问计算机中的各种资源。与此同时,对于他们来说,域名故障几乎等同于络服务不可用。近年来,互联发展迅速,特别是移动互联迅速兴起,让现在互联的发展速度超越了以往任何一个时代。因此,一些传统的线下活动逐渐向互联上迁移,人们可以通过互联方便的浏览新闻、购物、娱乐、理财,还可以通过互联进行银行转账,汇款等服务。?但是,在人们享受互联带来便捷服务的同时,也面临着互联应用的安全威胁。为了牟利,一些不法分子利用互联从事犯罪活动。他们利用DNS劫持,DNS污染,钓鱼站,植入后门等方式,窃取用户银行账户和密码,使用户蒙受了巨大的经济损失。除了针对用户的攻击外,针对公司、组织层面的攻击也变得日益频繁。而作为互联重要基础设施的DNS系统遭受了更为严重的攻击,如拒绝服务攻击(Distributed Denial of Service,简称DDos)、域名劫持、缓存污染、DNS反射型放大攻击等,这些针对DNS的攻击,不仅影响 范围广,波及用户多,而且危害程度前所未有。例如,2009年5月19号国内发生暴风影音DNS故障事件,也称为"5.19断事件”[1],该事件就是因为DNS故障,导致国内几乎所有的互联服务都无法正常访问。2014年1月21日,全国出现大面积DNS服务器故障[2],该故障导致中国境内多家大型互联公司的服务长达几个小时无法访问,如百度,新浪等,究其原因,是由于DNS劫持,域名服务器将所有域名都解析IP地址65.29.2.178上。另外几次影响全球的DNS事件还有:巴西银行瘫疾[3],百度域名劫持[4]等。就连如今看似不新鲜的DDos攻击也再次警醒我们,DDos攻击手段从未被攻击者忽略并且以新的方式对DNS进行大规模攻击,如针对欧洲反垃圾邮件组织Spamhaus实现大规模DDos攻击[5]; 2013年,台菲黑客大战,台湾黑客盗取菲律宾DNS资料库账号和密码[6];同年,黑客为攻击一个结尾的游站,对我国顶级域名系统发起了大规模的DDos 攻击,导致其大量政府、新闻和社交站访问很慢甚至无法访问[7]。
..
1.2研究内容及意义
DNS作为互联中重要的基础设施,它的稳定运行对互联应用至关重要,因此学术界和工业界都将DNS作为研究重点。为了充分了解互联应用的部署和运行现状以及DNS自身的安全,本文的研究重点是骨干环境中DNS解析数据的分析,发现并系统研究当前DNS 流量的应用现状、DNS自身存在的问题以
及DNS的异常行为。在充分调研国内外研究DNS流量异常的数据来源方面,本文选Passive DNS系统作为分析DNS数据的基础平台,然后使用教育内骨干环境下的海量DNS解析数据作为研究对象。本文的研究内容主要分为以下三个部分:第一部分为骨干环境下的Passive DNS系统的实现。首先,本文结合国内外一些现有的Passive DNS系统的优缺点,设计并实现了骨干环境下的PassiveDNS系统,利用该系统采集并建立了t)NS历史数据的库,即DNSDB。该系统与其它现有的PassiveDNS系统相比,其优点在于:现有的系统将采集点部署到一些非主干的DNS服务器上,而本文系统直接将采集点部署在高速带宽的骨干环境上,这让本文系统的采集范围覆盖的络环境更为广泛,从而丰富了采集的数据。另外一个优点是,为了方便对DNS数据进行管理和异常结果查看,本文设计并实现了方便操作的图形化内容管理系统。
第二章DNS基础、威胁和相关研究工作
2.1 DNS的体系结构和工作原理
本节从DNS的起源与发展、体系结构方面高度概括DNS的基础,又从数据类型、请求与响应包格式、域名解析过程等细节详细说明DNS的工作原理。DNS提供的主要服务是将主机名或域名转换成IP地址。它起源于早期美国国防部,当时为了研究目的建立的一个小型互联,在这个络中6?所有主机名都有一个叫hosts的文件,这个文件存在这个小型络的中心服务器上,每个需要解析主机名的主机都需要
时域均衡
从这个中心服务器上下载该文件。随着络中加入的主机数量不断增加,hosts文件也不断增大,更新hosts浪费的带宽也越来越多。因此迫切需要一个能够支持扩展、分布式管理并且支持存储多种数据类型的新系统。由于hosts的种种局限,Paul
Mockapertris在1983年提出动态地址翻译的分布式系统,这是DNS 的最初设计[8]。1987年,由IETF组织发布的RFC1034[9]和RFC1035[10]对DNS协议技术规范进行修改。新的域名系统满足分层结构、分布式存且能够存储多种数据类型。
2.2 DNS安全威胁
DNS服务是互联的最重要的基础服务之一,Email服务、Web访问等多种络服务依赖于DNS服务的解析,可以说它的安全与整个互联应用是否能正常运行有着很大关系。DNS系统作为当前全球结构最复杂、规模最大的分布式数据库系统,在系统设计之初,重点考虑可用性,对安全性考虑并不充分。再加上,作为互联中的重要的基础服务,对DNS系统攻击可以达到事半功倍的效果,因此导致DNS面临着严重的安全威胁。本文按以下几方面对DNS安全威胁进行分类。DDos (Distributed Denial of Service)攻击主要利用僵尸络控制的肉鸡,向受害机器发送大量的服务请求,这些大量请求耗尽受害者的系统资源,造成受害者无法继续处理请求。根据不同的攻击方式,可将DNS的DDos攻击分为查询攻击和反射型放大攻击两种。DNS查询攻击原理:控制机向僵尸络中的大量傀偏机器发送控制命令,
愧偏机器接收到控制命令后,向目标DNS服务器发送大量的伪造源地址的DNS请求,大量恶意的DNS请求发送DNS服务器后,使得DNS服务器忙于处理这些恶意的请求,从而导致DNS服务器对正常用户的请求不能及时处理。这种攻击主要针对DNS根域名服务器和顶级域名服务器,例如2002年10月21日发生了针对所有根域名的大规范分布式拒绝服务攻击[14]; 2007年2月6发生了针对部分根域名的分布式拒绝服务攻击[15]。所幸由于DNS服务器的冗余性,这些攻击并没有造成太大范围破坏。除了顶级域名和根域名服务器外,一些关键的DNS节点也可以成为被攻击的对象,且足以造成大范围的破坏,例如“5.19断事件” [1],攻击者对Dnspod的节点进行DDos攻击,因为国内的解析普遍依赖于该节点,从而引发连锁反应而导致大规范断事件。
.
第三章基于骨干环境的PASSIVE DNS系统设计与实现 (15)
3.1PassiveDNS系统的需求和挑战 (15)
3.1.1Passive DNS系统的研究现状总结 (19)
3.1.2系统需求 (19)
3.1.3系统挑战 (25)
3.2Passive DNS系统设计与实现 (27)
3.3性能评估 (29)
3.4本章小结 (30)
第四章PASSIVE DNS系统数据的统计与关联分析 (32)
4.1基础数据分析 (32)
4.2域名依赖分析 (35)
4.3 本章小结 (43)
第五章PASSIVE DNS系统的异常数据分析 (45)
5.1异常域名解析的提取方法 (45)
5.2针对权威域名月艮务器的DDOS攻击 (49)
5.3DNS 劫持 (51)
5.4Fast-flux (52)
视力障碍5.5域名的特殊用法 (53)
季诺维也夫
5.6异常响应 (55)
5.7本章小结 (56)
营销科学第五章Passive DNS系统旳异常数据分析
5.1异常域名解析的提取方法
本文第二章分析并总结了DNS常见攻击的明显特征:
(1)DDos攻击的明显特征表现在较短的TTL值、短时间内的高访问量、随机变化的请求域名。
(2)DNS劫持攻击的明显特征表现在大量的域名映射目标发生变化。
(3)恶意域名中僵尸络利用的Fast-flux技术的明显特征表现在域名的映射关系更新周期短。
基于以上的分析,本文又根据第四章对DNS解析数据的统计分析结果,选取了TTL、响应值IP地址、
域名长度、域名级数、每秒域名的访问量、域名对应IP地址的个数、二级域名对应的子域名个数以及IP地址对应的域名个数这八种变量作为提取异常解析数据的特征量。根据DNS解析数据的统计分析结果和特征量值的分布测试,本文分析了这八种特征量的阈值选定。需要注意的是,出于上文对DNS数据的应用测量的分析结果以及本节的测试,我们所选择的阈值在其它数据集中有可能需要调整。
..
总结
DNS系统作为络服务的基础设施,随着互联的高速发展,自身的结构变得越发庞大,其规模性、开放性和动态性影响着互联的稳定发展。由于络需求的不断改变和发展,DNS系统提供的服务不再仅仅是域名解析查询,由于DNS快而有效的查询解析优点,而更多地被第三方利用,多数用来提供云端服务。为了精确地了解和掌握DNS络服务基础拱施的实际现状,弄清目前DNS系统的络应用和用户行为,有效引导和管理DNS服务系统,对DNS络流量的测量是必不可少的。本文主要的研究工作包括三部分。第一部分为骨干环境下Passive DNS系统的实现。大规模DNS解析数据的釆集和存储是对DNS流量测量分析的重要基础。本文通过对现有的DNS流量采集系统的体系结构的研究,结合现有系统的优缺点,摒弃在DNS.服务器上采集数据的方案,创新性的提出了骨干环境下的Passive DNS系统的设计,保证了采集的数据的丰富多样性。本文系统主要由采集服务端模块、分析服务端模块、.存储服务
端模块和用户端服务模块四部分组成。采集端采用基于PF_RING套接字增强后的LIBPCAP机制来实现海量数据包的高速捕获。分析端采用Trie 树数据结构来实现数据归并。存储端使用MongoDB,利用数据缓存和索引等技术,实现海量数据的存储和快速查。另外,本文对用户提供的可视化管理系统基于Django开源MVC框架实现。第二部分为DNS流量数据的应用测量。本文从基础数据的统计和域名依赖关联展开分析。在基础数据统计分析方面,本文从数据类型分布、权威域名服务器、TTL值分布、IP地址域名映射以及域名热点排名这五个方向展幵,详细分析了教育内DNS流量的应用现状。在域名依赖关联分析方面,本文从NS和CNAME记录两个方向分析了域名依赖的应用现状,提出了基于图的授权依赖分析方法,分析了依赖和被依赖性较强的DNS域,指出了依赖图中环的问题和缓解该问题的方法。
............
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议