DNS域名安全实时检测研究.ppt

中国移动集团重点/联合研发项目结题汇报报告,项目名称：DNS域名安全实时检测研究项目编号：,研究背景,目 录,系统组网结构图,DNS防护目标概述,海量DNS请求攻击的安全防护机制研究,DNS缓存投毒防护机制研究,DNS域名劫持防护机制研究,模拟实验情况汇报,研究背景,1、DNS是目前互联网攻击热点，一旦被攻击，将产生重大通信阻断问题：2009年电信519暴风攻击事件导致电信6省互联网DNS服务完全瘫痪，多省受到不同程度影响；联通、铁通各有14省DNS服务受到不同程度影响；移动由于互联网用户较少，6个省DNS解析成功率下降10%左右。2、缓存投毒、域名劫持安全问题越发突出：2010年1月12日晨7时起，至12时之间网络出现百度出现无法访问的情况。官方事故原因说明为：因的域名在美国域名注册商处被非法篡改，导致全球多处用户不能正常访问百度。针对DNS高危的现状，需要一个系统能够实现对DNS系统的运行实时监控，并依靠策略对于所有的访问进行监控，对于可能出现的安全事件（如大规模攻击、网站欺诈等）及时作出判断，并可采取相应的措施进行封堵。,研究背景,目 录,系统组网结构图,DNS防护目标概述,海量DNS请求攻击的安全防护机制研究,DNS缓存投毒攻防护机制研究,DNS域名劫持防护机制研究,模拟实验情况汇报,四川移动针对DNS实时安全防护措施的目标(一),一、建立应用层网络攻击自动防御机制，当DNS遭受来自用户侧的海量域名请求攻击以及畸形报文攻击时，有效消除DNS处理过载而导致退服的风险，确保DNS系统自身设备安全。预警环节：（三项关系为或）1、单位时间DNS域名请求总量达到设定条件，可能为遭受海量请求攻击2、单位时间域名解析失败量达到设定条件，可能遭受畸形报文攻击，以及构造虚拟域名进行海量请求攻击；3、某域名单位时间请求量达到设定条件，可能某网站被攻击启动环节：DNS系统处理负载达到设定条件智能化封堵环节：建立单位时间“IP-域名请求最大次数”关系模型，并动态更新。封堵机制启用时，系统将用户侧IP在单位时间内的请求次数与模型进行比对，将满足设定条件的IP列入僵尸黑名单并自动登陆防火墙，按序添加IP封堵策略。智能化保护环节：当DNS防火墙处理负载达到设定条件，停止僵尸IP添加，防止防火墙过载退服。智能化还原环节：当DNS防火墙处理负载正常，按序自动解封。,二、建立DNS域名解析异常的监测及修复机制，当遭受缓存投毒攻击以及域名劫持攻击时，自动清理缓存服务器域名数据，确保DNS系统业务解析正常。1、有效识别缓存投毒攻击，实时预警并自动修复DNS缓存服务器数据。在DNS递归请求时，对于发往同一个递归DNS服务器的一个请求，正常的情况只产生1个回应包。当在10秒内收到来自该IP地址的多个相同事务ID的回应包时，说明这个请求链路之间被缓存投毒，系统将实时告警，并自动登陆缓存服务器进行数据清除。2、有效识别域名劫持，实时预警并自动修复DNS域名数据。建立第三方域名库（部分热点域名、重点域名），将DNS域名解析回应数据与三方域名库进行实时比对分析，当域名解析错误时，自动登陆授权服务器进行数据修复。3、对于域名异常情况进行半自动分析，生成钓鱼网站库，并自动同步DNS 实施钓鱼网站拦截，加强用户关怀，提升客户感知。（该功能的完善，还需要结合网页数据比对分析，计划下阶段开展）,四川移动针对DNS实时安全防护措施的目标（二）,研究背景,目 录,系统组网结构图,DNS防护目标概述,海量DNS请求攻击的安全防护机制研究,DNS缓存投毒防护机制研究,DNS域名劫持防护机制研究,模拟实验情况汇报,系统组网结构图,四川公司CMNet域名解析系统采用缓存和授权分开组网模式，前端采用两台Cisco 5550防火墙作为DNS系统的安全防护及访问控制。DNS安全实时监测平台为旁路的方式部署，通过镜像数据方式抓取前端8508上所有数据包进行分析，监测平台根据预设规则加以处理，对监控的异常IP通过通信口与防火墙和DNS服务器进行联动处理。这种部署结构适用于不同网络的DNS系统，不影响DNS系统的运行。,研究背景,目 录,系统组网结构图,DNS防护目标概述,海量DNS请求攻击的安全防护机制研究,DNS缓存投毒防护机制研究,DNS域名劫持防护机制研究,模拟实验情况汇报,海量DNS请求攻击的安全防护机制,预警环节：分析海量DNS请求攻击，建立一套对异常请求攻击的预警模型，包括DNS解析总量及失败量模型、单个域名解析请求增量模型。启动环节：系统实时关注DNS服务器运行状态，系统设定适当的启动条件，当DNS服务器符合达到一定压力时，启动DNS保护处理流程，对发起攻击的IP进行封堵。封堵环节：系统建立单一IP单位时间域名请求话务模型，通过模型可判断提取发起异常解析请求的IP地址。当某IP在单位时间的请求量骤增并达到设定条件，列入僵尸库，根据请求总量大小，按序封堵。保护环节：在封堵过程中，系统同时实时关注防火墙负载情况，当防火墙符合达到一定压力时，停止添加阻断策略，防止防火墙因过载导致退服风险，对防火墙及整个网络起到智能保护作用。还原环节：当攻击结束，DNS服务器负载逐步恢复到正常状态后，系统根据智能化策略老化机制，撤除防火墙上的阻断策略，使得整个网络运行状态恢复到攻击发生前的原始正常状态。,预警,启动,封堵,保护,还原,海量DNS请求攻击的安全防护机制,预警环节单位时间DNS解析总量设定条件研究,DNS解析总量话务模型,通过较长时间对四川移动DNS服务器请求总量的监测发现：白天平均每分钟访问量通常在26-28万之间，夜晚高峰也不会超过34万。我们据此建立了5分钟DNS请求总量的模型，当5分钟累计请求量超过170万时，系统将进行实时告警，并给出5分钟内请求的客户端IP明细。目前根据此策略，日均告警量在15条左右，而且在短时间内都能恢复正常，基本排除人为攻击，通常是网站促销等秒杀活动，或热点事件。,正常情况下DNS解析请求量应该保持在一个平稳变化的范围内，当短时间内域名访问请求突然大幅增高，则有可能发生了DNS攻击。我们以此建立了DNS单位时间总请求量模型。,通过较长时间对四川移动DNS服务器失败返回量的监测发现：白天平均每分钟失败量通常0.5万-1.5万之间，夜晚高峰也不会超过2.5万。我们据此建立了5分钟DNS失败量的模型，当5分钟累计请求量超过15万时，系统将进行实时告警，并给出5分钟内失败请求的发起端IP明细。目前根据此策略，日均告警量在25条左右，仅在11月30日晚上22：10-22：40表现异常，5分钟内最大失败次数最高达到了22万，经查是111.9.35.149发起的大量异常域名请求，再确认此IP为移动内部IP，故没进行封堵，监控40分钟后，恢复正常。,正常情况下DNS解析失败返回应该保持在一定范围内，当短时间内域名访问失败返回突然大幅增高，则有可能发生了DNS畸形包攻击或构造虚拟域名海量请求攻击。我们以此建立了DNS单位时间失败量模型。,DNS解析总失败量话务模型,预警环节单位时间DNS解析总失败量设定条件研究,通过对单一域名的解析请求话务模型的分析，建立了两种攻击发现机制：单一域名解析总量模型和但以域名解析增量模型。分别适用于点击量小的非热点域名和点击量大的热点域名。因此，我们建立了“访问量滑动平均值”计算模型：系统会针对单个域名在5倍单位时间内的解析请求平均值作为判定基数，以智能化的适应每天访问量的自然波峰和波谷计算，有效提高判断的准确性。此策略可针对不同数量级的点击量的域名，设定响应的告警阀值。,预警环节单一域名解析请求增量设定条件研究,正常情况下同一域名的解析量应该保持在相对平稳的变化范围内，当短时间内该域名访问请求突然大幅增高，则该域名可能被攻击。我们以此建立了单个域名解析总量和增量话务模型。,单个域名解析总量话务模型,单个域名解析增量话务模型,滑动均值：86,峰值：2507,滑动均值：606,峰值：5103,启动环节DNS系统处理负载设定条件研究,启动环节：系统实时关注DNS服务器运行状态，系统设定适当的启动条件，当DNS服务器符合达到一定压力时，启动DNS保护处理流程，对发起攻击的IP进行封堵。通过近一个月对我省DNS及防火墙状态的观察，发现在正常情况下它们的状态值都很稳定，当出现大量的攻击事件时，DNS及防火墙的状态也会随着变化。如下图所示：,根据这些统计值，我们将DNS的CPU使用率阀值设置为3%，内存使用率设置为35%，即能够作为系统运行状态是否正常的重要判定依据。当DNS的状态值超过设置阀值时，即启动自动封堵处理流程，对事件源IP进行封堵。,封堵环节智能化封堵设定条件研究,通过较长时间的观察，我们发现除开WAP网关、办公网出口等这些内部IP地址以外，单一IP请求数通常保持在500次/分钟以内，即便是夜间峰值也很难超过1500次/分钟；请求失败率通常稳定在10%以下，峰值不会超过20%。因此，我们分别建立了单一IP域名请求数量绝对值超过15000次/5分钟，较话务模型增长倍数超过2倍/5分钟及5分钟单一IP请求失败次数超5000/次的异常IP判定条件。,封堵环节：系统建立单一IP单位时间域名请求话务模型，通过模型可判断提取发起异常解析请求的IP地址。当某IP在单位时间的请求量骤增并达到设定条件，就列入僵尸库，根据请求总量大小，按序封堵。正常情况下单一IP在一个时间段内对DNS的请求数量及请求失败的数量是在个范围内的，当短时间内某个IP的请求或失败请求突然大幅增高，则该IP极有可能正向DNS发动DDOS攻击。我们以此建立了单一IP请求解析量话务模型。,封堵环节封堵实施环节,通过这两个话务模型的应用，平均每天能够发现610个IP被发现请求异常告警。后经观察，均为短时间请求异常，未对DNS带来较大影响。,当DNS的状态值超过设置阀值及防火墙状态值低于设置阀值时，即启动自动封堵机制，即对事件源IP进行封堵。封堵方式：系统通过SSH登录到DNS防火墙，将事件源IP添加到封堵策略中，以实现对该IP地址的封堵。,保护环节防火墙过载保护设定条件研究,保护环节：在封堵过程中，系统同时实时关注防火墙负载情况，当防火墙符合达到一定压力时，停止添加阻断策略，防止防火墙因过载导致退服风险，对防火墙及整个网络起到智能保护作用。我省系统采用的防火墙是Cisco ASA 5550，虽然它对策略条数无限制，但是当封堵策略中的IP数目过大时，会使防火墙的性能明显下降。当防火墙处理负载达到设定条件时，停止僵尸IP添加，防止防火墙过载退服。,通过SSH登录防火墙进行封堵,防火墙是否过载,否,封堵IP触发,不做处理,是,过载设定：,还原环节解封设定条件研究,还原环节：当攻击结束，DNS服务器负载逐步恢复到正常状态后，系统根据智能化策略老化机制，撤除防火墙上的阻断策略，使得整个网络运行状态恢复到攻击发生前的原始正常状态。智能还原机制：当防火墙上对应IP中标率明显下降后，通过如下两种方式进行自动老化：（1）定时老化机制：根据设定的封堵时长，能够定时将已经超过封堵时长的IP地址解除封堵。除此之外，还可以手动将未到达封堵时长的IP提前解除封堵；（2）智能老化机制：实时检测DNS防火墙运行状态，当DNS运行状态恢复正常后，按照封堵顺序，自动排序退化老化策略，结束封堵。,通过SSH登录防火墙解除封堵,不作任何处理,DNS状态是否恢复正常,防火墙中标是否明显下降限,是,是,否,否,研究背景,目 录,系统组网结构图,DNS防护目标概述,海量DNS请求攻击的安全防护机制,DNS缓存投毒攻监测响应机制,DNS域名劫持监测响应机制,模拟实验情况汇报,DNS缓存投毒攻击防护机制研究,缓存投毒保护模型：,在DNS递归请求时，对于发往同一个递归DNS服务器的一个请求，正常的情况只产生1个回应包。当在10秒内收到来自该IP地址的多个相同事务ID的回应包时，说明这个请求链路之间被缓存投毒，系统将实时告警，并自动登陆缓存服务器进行数据清除。由于缓存数据清理后，DNS服务器通过递归重新获取该域名的IP列表，达到域名保护作用。,解析DNS请求包与回应包,否,DNS域名缓存清理,回应包的数量大于1,是,对每一请求包的回应包计数,不做处理,否,研究背景,目 录,系统组网结构图,DNS防护目标概述,海量DNS请求攻击的安全防护机制研究,DNS缓存投毒防护机制研究,DNS域名劫持防护机制研究,模拟实验情况汇报,域名劫持保护模型：,DNS域名劫持攻击防护机制研究,在DNS服务范围内，提取TOPN热点域名和重点域名，建立第三方热点/重点域名库，以此为标准进行域名解析正确性判断，发现解析错误时，借助人工判断确定是否发生域名劫持。当解析结果判定为正确时，可同步更新域名库。当解析结果判定为错误时，系统同步告警，并按照设定自动登录DNS授权服务器修复错误的解析信息，解除域名劫持。,正常,更新域名库,自动登录授权服务器修复错误解析信息,钓鱼网站发现机制：,疑似钓鱼网站域名,缓存投毒攻击监测,域名相似度分析,网页相似度分析,人工审核,DNS封堵,策略老化机制,将现有系统缓存投毒和域名劫持模块所告警的域名，进行域名相似度的分析，对十分相似的域名以组的方式形成报表。对报表内的域名，利用我公司现有的网页爬虫系统进行网页数据的爬取，并对网页进行结构和内容相似度分析。对域名相似度和网页相似度都很高的网站加入到疑似钓鱼网站库。再由人工拨测的方式对疑似钓鱼网站库中的网站进行审核确认，找出钓鱼网站，加入钓鱼网站库。对存在于疑似钓鱼网站库的域名，可通过DNS服务器黑名单进行封堵，同时向客户端IP推送友情提示，进一步提高移动DNS服务的质量和美誉度。,DNS域名异常的后续处理机制（下一步研究方向）,研究背景,目 录,系统组网结构图,DNS防护目标概述,海量DNS请求攻击的安全防护机制研究,DNS缓存投毒防护机制研究,DNS域名劫持防护机制研究,模拟实验情况汇报,模拟实验情况汇报,搭建与现网环境相同的模拟环境，采集点部署在DNS服务器前端交换机，并接入真实DNS请求数据进行实验。具体拓扑图如下：,实验目的：单一IP发起大流量请求，验证系统告警和阻断。,实验过程：添加【监测策略管理】【DNS流量攻击】策略，如5分钟单一IP请求次数阀值30000次；测试人员利用请求工具由公网发起3万次以上包含正常域名的循环请求，系统产生单一IP请求告警；点击阻断，登录防火墙查看是否存在阻断策略记录，并由攻击发起端IP确认是否可继续打开网址；点击取消阻断，登录防火墙查看是否已取消阻断，并由攻击发起端 IP确认是否可打开网址。,实验结果：,单一IP请求次数告警,点击添加阻断,点击取消阻断,阻断成功。,模拟实验情况汇报,实验目的：单一IP错误域名请求失败告警阻断功能。,实验过程：添加【监测策略管理】【DNS流量攻击】策略，如5分钟单一IP请求失败次数阀值5000次；利用请求工具由公网发起5000次以上包含错误域名的请求，系统产生单一IP失败告警；点击阻断，登录防火墙查看是否存在阻断策略记录，并由攻击发起端IP确认是否可继续打开网址；点击取消阻断，登录防火墙查看是否已取消阻断，并由攻击发起端 IP确认是否可打开网址。,实验结果：,单一IP请求失败次数告警,点击添加阻断,点击取消阻断,阻断成功。,模拟实验情况汇报,实验目的：域名访问绝对流量超过阀值告警阻断。,实验过程：添加【域名流量攻击】策略，如5分钟请求次数从 100 到 1000(即原访问数在100到1000内级别)增加到 5000 以上，并选择自动阻断选项为“不阻断”；通过请求工具发起5000次以上针对测试域名的循环请求，系统产生域名绝对流量告警；点击阻断，登录DNS缓存服务器查看是否存在阻断策略记录，并确认是否可继续打开网址；点击取消阻断，登录DNS缓存服务器查看是否已取消阻断策略，并确认是否可打开网址。,实验结果：,域名绝对流量请求次数告警,点击添加阻断,点击取消阻断,阻断成功。,模拟实验情况汇报,实验目的：域名访问相对增量超过阀值告警阻断。,实验过程：添加【域名流量攻击】策略，如5分钟请求次数从 1000 到 10000 增加百分之 150 以上（即在原访问数基础上增量超过150%）以上，并选择自动阻断选项为“不阻断”；通过请求工具发起5000次以上对测试域名的循环请求，系统产生域名相对增量告警；点击阻断，确认是否可继续打开网址；点击取消阻断，确认是否可打开网址。,实验结果：,域名相对增量请求次数告警,点击添加阻断,点击取消阻断,阻断成功。,模拟实验情况汇报,实验目的：域名解析错误告警并清除缓存功能。,实验过程：手动在数据库中添加域名的错误IP信息，正常访问域名，系统产生域名解析错误告警；点击清除缓存，登录DNS缓存服务器查看域名缓存是否已清除；再次访问域名，登录DNS缓存服务器查看域名缓存已存在。,实验结果：,清除缓存成功。,测试前域名缓存,产生告警：,点击清除缓存：,模拟实验情况汇报,32,结束,谢谢大家！,