［劉志軍　汲傳鑫　彭巍　肖慧］

?

基于多層級限速的DNS安全防護技術(shù)應用

［劉志軍汲傳鑫彭巍肖慧］

摘要針對DNS系統(tǒng)常見的攻擊類型進行了分析，結(jié)合各類攻擊手段對DNS系統(tǒng)安全防護幾種典型技術(shù)進行了總結(jié)，同時結(jié)合運營商網(wǎng)絡的情況，提出了一種基于多層級限速的DNS系統(tǒng)安全防護技術(shù)和解決方案，能有效解決傳統(tǒng)DNS系統(tǒng)存在的安全防護能力不足的問題，有效地抵御現(xiàn)網(wǎng)針對DNS系統(tǒng)的DDoS流量攻擊，對于今后DNS系統(tǒng)的安全防護功能的提升以及DNS系統(tǒng)的建設具有較好的指導和參考意義。

關(guān)鍵詞：DNS系統(tǒng) DDoS攻擊 多層級限速

劉志軍

中國電信股份有限公司廣東分公司，碩士，研究方向為IP網(wǎng)絡。

汲傳鑫

上海牙木通訊技術(shù)有限公司，學士，研究方向為DNS設備與系統(tǒng)研發(fā)。

彭巍

中國電信股份有限公司廣東研究院，碩士，研究方向為IP網(wǎng)絡。

肖慧

中國電信股份有限公司廣東分公司，碩士，研究方向為IP網(wǎng)絡。

1　引言

DNS（Domain Name System）域名系統(tǒng)，作為互聯(lián)網(wǎng)的基礎服務設施，為域名和精確IP地址建立映射關(guān)系，實現(xiàn)用戶訪問互聯(lián)網(wǎng)上的網(wǎng)站、應用與業(yè)務。近年來，隨著網(wǎng)絡應用和業(yè)務的不斷發(fā)展，網(wǎng)絡攻擊事件日益頻繁，DNS系統(tǒng)也遭到一系列的攻擊，造成了嚴重的經(jīng)濟、社會效益損失。

從2009年至今，國內(nèi)外也已發(fā)生多起針對DNS系統(tǒng)的較大安全事件，例如：

（1）2009年5月19日，域名免費托管組織DNSPod遭受DDoS攻擊，加上暴風影音軟件自身的問題，導致了國內(nèi)六省長時間斷網(wǎng)事件。

（2）2010年1月12日，百度DNS被劫持，造成其網(wǎng)站數(shù)小時內(nèi)無法被訪問，造成較大經(jīng)濟損失。

（3）2010年8月7日，國際知名DNS服務提供者DNS Made Easy遭受DDoS攻擊，造成1.5小時的服務宕機，經(jīng)觀測發(fā)現(xiàn)DDoS的攻擊流量高達50Gbit/s。

（4）2012年2月7日下午3點多到晚上7點多，多個省份遭受到大流量的DDOS攻擊，攻擊流量最高達60萬QPS。

（5）2014年12月全國多省運營商DNS系統(tǒng)受到散列域名攻擊，攻擊流量峰值達到70G，請求次數(shù)峰值超過1億次Qps。

以上事件反映出目前國內(nèi)外DNS系統(tǒng)在自身處理能力、安全防護、管理監(jiān)控方面存在不足，表明DNS系統(tǒng)服務將面臨著愈來愈嚴峻的安全形式。迫切需要提高DNS系統(tǒng)的安全防護能力，抵抗各種流量攻擊進而保證正常用戶的域名查詢服務。

2　DNS的安全問題及常見的攻擊方法

DNS系統(tǒng)面臨的安全方面的攻擊主要包括DNS服務內(nèi)容被篡改和DNS服務器受到流量攻擊兩種類型。

對于DNS內(nèi)容被篡改方面，一種叫做DNS緩存窺探，它通過正常的DNS解析過程，來探測某一個資源記錄是否存在于所查詢的DNS緩存中；還有域名劫持，它是攻擊者通過相關(guān)黑客手段控制了域名權(quán)威服務器，或者控制了域名管理郵箱和密碼，通過在DNS權(quán)威服務器上進行添加、修改相應的域名記錄，使得用戶在訪問該域名的時候，卻訪問了黑客修改后所指向的內(nèi)容；還有一種稱為DNS緩存投毒，它是利用DNS服務的分層結(jié)構(gòu)，將訪問某域名的用戶在無感知的情況下，訪問了攻擊者所指定的某個服務器；此外還有DNS中間人攻擊，它是基于ARP解析的攻擊手段，攻擊者和被攻擊者在同一局域網(wǎng)內(nèi)，通過ARP攻擊攔截被攻擊者的DNS查詢請求，發(fā)送偽造的DNS應答，使得被攻擊者訪問惡意的網(wǎng)站，其在局域網(wǎng)及WLAN中存在較大的風險。

而對于DNS服務器的流量攻擊方面包括以下類型：

（1）針對DNS的DDoS攻擊

分布式拒絕攻擊是最常見的網(wǎng)絡攻擊方式，攻擊方式有多種，針對DNS的DDoS攻擊最基本的方法就是利用大量正常的DNS查詢請求來占用DNS服務器的網(wǎng)絡帶寬、CPU、內(nèi)存等資源，使得其它合法的用戶的DNS查詢得不到響應。DDoS攻擊利用大量的傀儡機來發(fā)起攻擊，互聯(lián)網(wǎng)的高速發(fā)展給DDoS攻擊創(chuàng)造了有利的條件，用戶的家用電腦、家庭路由器、各類型網(wǎng)絡終端、各類服務器等設備都可能被攻擊者控制成為傀儡機。DDoS攻擊通過僵尸網(wǎng)絡發(fā)起大量的正確域名查詢、前綴變化的錯誤域名查詢，或者發(fā)起全散列的錯誤域名查詢，可以大量擁擠并造成DNS節(jié)點的網(wǎng)絡帶寬癱瘓，同時造成DNS緩存服務器、DNS遞歸服務器資源消耗而宕機，導致整個DNS節(jié)點無法為用戶提供服務，這是目前網(wǎng)絡中最常見的DNS攻擊類型，危害極大。

（2）DNS放大攻擊

DNS放大攻擊利用自身DNS協(xié)議的特性，即通常DNS查詢報文可能只有幾十個字節(jié)，但所查詢特定域名的DNS應答報文卻很長，例如支持ANY類型、TXT類型或者EDNS0的DNS應答報文可以上千甚至幾千個個字節(jié)，即應答報文的長度是通常查詢報文的幾十倍。攻擊者利用這一點，向DNS服務器發(fā)送大量的長度很小的DNS查詢包，但DNS服務器將回復幾十倍的應答流量，可能導致被攻擊者的資源耗盡。

（3）DNS反射攻擊

DNS反射攻擊利用DNS服務器作為反射體進行，攻擊者利用僵尸網(wǎng)絡，偽造第三方服務器，向多個DNS服務器發(fā)起大量的DNS查詢請求，利用DNS放大攻擊使得第三方服務器的網(wǎng)絡帶寬阻塞及服務器資源消耗殆盡。DNS反射攻擊通常是結(jié)合DNS放大攻擊一起使用，發(fā)起大量偽造的會放大應答報文類型的DNS查詢請求，DNS服務器就會向第三方服務器回復經(jīng)放大流量的應答數(shù)據(jù)，從而導致第三方服務器輕易崩潰。

因此當前針對DNS的流量攻擊手段經(jīng)常被攻擊者組合使用，網(wǎng)絡上的DNS DDoS攻擊常常體現(xiàn)為混合類型，對于DNS服務器的危害極大，常常使得服務器資源耗盡，網(wǎng)絡鏈路出現(xiàn)擁塞，無法為廣大用戶提供正常服務。綜上目前針對DNS DDoS流量攻擊是DNS服務提供者所面臨的重要安全問題。?

3　常用的DNS安全防護技術(shù)及局限

（1）加強DNS的安全管理

主要是加強對域名服務器的安全管理，將對外提供服務的DNS解析服務器和管理服務器分離，利用自身服務器的安全加固技術(shù)，結(jié)合定期更改密碼、加強漏洞修復等手段，從而可以防范攻擊者通過黑客手段獲取管理權(quán)限，能有效防范諸如域名劫持之類的常見攻擊，但無法應用流量攻擊。

（2）應用HTTP DNS技術(shù)

DNS協(xié)議默認均采用UDP協(xié)議傳輸，UDP協(xié)議本身的無連接特性，使得DNS服務器無法確定其查詢用戶的真實性，間接上為DDoS攻擊、放大攻擊、反射攻擊提供了相當程度的便利。HTTP DNS技術(shù)通過HTTP協(xié)議承載DNS協(xié)議，除了能有效解決流量調(diào)度的問題之外，它還可以利用TCP協(xié)議的特性，有效地確認查詢用戶的真實性，通過該方法可以有效防范類似緩存投毒、DDoS攻擊、放大攻擊、反射攻擊等攻擊手段。但是HTTP DNS技術(shù)在應用方面具有很大的局限性，只能應用于類似移動APP之類的特殊客戶端，對于網(wǎng)絡運營商而言無法為海量的普通用戶提供大規(guī)模的查詢服務。

（3）TC標志位重傳技術(shù)

DNS標準協(xié)議中，有一個TC標志位字段，當DNS應答結(jié)果超過512字節(jié)UDP協(xié)議無法承載時，會在應答報文中將該標志字段置1，DNS查詢客戶端收到該DNS應答后，會重新發(fā)起基于TCP協(xié)議的DNS查詢，DNS服務器將所有應答結(jié)果基于TCP協(xié)議回復給客戶端。

TC標志位重傳技術(shù)就是利用DNS協(xié)議的這一特性，確認DNS查詢客戶端的真實性，有效防護DDoS攻擊。該技術(shù)是一種針對客戶響應的方法，但是TCP協(xié)議的自身特性會對系統(tǒng)資源消耗巨大，同時在DNS查詢流量比較大的情況下該技術(shù)會產(chǎn)生較大誤差，實際上在網(wǎng)絡運營商的大容量DNS緩存服務器中難以使用。

（4）CNAME類型重傳技術(shù)

類似TC標志位重傳技術(shù)類型，它利用DNS協(xié)議的特性，DNS遞歸服務器收到DNS權(quán)威服務器的CNAME應答結(jié)果后，會重新發(fā)起對這個CNAME結(jié)果的DNS查詢請求，以此來確認DNS查詢客戶端的真實性。這種技術(shù)同樣有很大的局限性，只能應用于DNS權(quán)威服務器，以此來確認DNS遞歸服務器的真實性。其無法應用于普通的DNS緩存服務器和遞歸服務器，實際上無法為包括網(wǎng)絡運營商在內(nèi)的DNS服務提供者實現(xiàn)防流量攻擊保護。

（5）DNS限速技術(shù)

DNS限速技術(shù)有分為IP限速和域名限速。

IP限速是指限定每個IP用戶的每秒鐘DNS查詢次數(shù)。IP限速可以有效的抑制DNS放大攻擊和DNS反射攻擊，對DDoS攻擊有一定的緩解作用，但對于有大量僵尸網(wǎng)絡的DDoS攻擊并不能起到很好的防護作用。域名限速是指限定某個特定域名或泛域名的每秒鐘DNS查詢次數(shù)。域名限速主要是為了防護前綴變化的DNS遞歸攻擊，有效的保護DNS遞歸服務器，但是針對全散列的錯誤域名攻擊無法防護。

4　基于多層級限速的DNS安全防護技術(shù)方案

綜前所述，各種防護技術(shù)都具有其自身的局限性，從而形成在當前網(wǎng)絡環(huán)境中針對大量僵尸網(wǎng)絡的不同類別DDoS攻擊難以實現(xiàn)有效防護的局面。同時在復雜的現(xiàn)網(wǎng)環(huán)境下也可能難以精確溯源攻擊者，因此如何有效應對大量的運行在UDP協(xié)議上全散列域名的DDoS攻擊是網(wǎng)絡運營商所面臨的重大難題。

本文針對目前常見的大規(guī)模DDoS域名流量攻擊，結(jié)合當前網(wǎng)絡運營商采用的專業(yè)化DNS緩存設備，提出了一種基于多層級限速的流量控制安全防護技術(shù)，該技術(shù)方案能有效過濾不同類型DDoS攻擊流量，最大限度保證正常用戶的DNS訪問。多層級限速可防止某一地址段或者對某些域名的查詢流量占用太多資源，從而影響整體系統(tǒng)性能。當出現(xiàn)局部IP段或域名段查詢流量異常變大，則可能是DDoS攻擊所造成，則可通過多層級限速實現(xiàn)防御功能。

在多層級限速過濾技術(shù)實現(xiàn)中，在每一層級別都有不同的過濾策略，不同的過濾策略針對不同的DDoS攻擊流量，每一層級別的過濾策略都是一個限速過濾矩陣，DNS請求包依次通過這些限速過濾矩陣做判斷，通過的為正常請求包，過濾的為異常的DDoS攻擊包。

圖1　DNS緩存設備的多層級限速示意圖

目前的限速過濾矩陣主要有如下幾種：

（1）源IP限速過濾矩陣

判斷識別每個源IP的請求是否超過限速閾值，超過的丟棄。具體是將源IP范圍劃分成各種網(wǎng)段，通過IP網(wǎng)段或單個IP來控制DNS查詢。在系統(tǒng)遭受單個IP或IP段發(fā)起大量DNS請求的攻擊下，有較好的防護作用。

（2）域名限速矩陣

判斷識別每個域名的請求是否超過限速閾值，超過的丟棄。不同的域名有不同的限速閾值，可進行配置，防止系統(tǒng)遭受單個域名大量DNS請求的流量攻擊。

（3）授信域名過濾矩陣

通過分析一定時間內(nèi)現(xiàn)網(wǎng)所有的DNS請求應答數(shù)據(jù)，得到所有應答結(jié)果為NoError的域名清單，將這份清單作為可信的域名列表，DNS請求域名在這份可信的列表中的，不做過濾并正常通過；域名不在這份列表中的DNS查詢請求，授信域名過濾矩陣通過聚合分析域名的三級后綴、二級后綴，再做限速過濾。

處理流程如圖2所示。

圖2　多層級限速流程圖

（4）泛域限速過濾矩陣

如果授信域名列表不全或者不存在，為了應對前綴變化的泛域遞歸攻擊，例如：xxx.abc.com，xxx.abc.com. cn攻擊，將通過泛域限速功能進行防護。泛域限速是為了控制遞歸流量，從域名三級后綴、二級后綴的角度進行聚合統(tǒng)計分析，丟棄遞歸流量較大的域。在遞歸性能有限的情況下，保證正常域名的遞歸。

上述多層級限速的系統(tǒng)內(nèi)處理流程如圖3所示。

圖3　泛域限速過濾矩陣處理流程

目前在廣東電信的DNS網(wǎng)絡環(huán)境中已經(jīng)在DNS緩存設備上現(xiàn)網(wǎng)部署了多層級限速技術(shù)方案。經(jīng)現(xiàn)網(wǎng)運行檢驗，應用多層級限速技術(shù)后，多次針對DNS的DDoS攻擊流量被大大限制，充分反映該技術(shù)是應對全散列域名DDoS攻擊最有效的方法。

5　結(jié)束語

本文對現(xiàn)網(wǎng)DNS系統(tǒng)存在的安全方面的問題進行了分析，對現(xiàn)有的一些安全防護手段進行了概括并分析了它們存在的問題，針對網(wǎng)絡運營商為用戶提供大規(guī)模DNS查詢的特性，提出了在現(xiàn)有DNS緩存設備上應用基于多層級限速的安全防護技術(shù)，可以有效實現(xiàn)對域名服務的安全防護，大大降低了針對DNS的DDoS攻擊流量所造成的影響，有力地保證了廣東電信海量互聯(lián)網(wǎng)用戶正常的域名查詢，保證了各類互聯(lián)網(wǎng)業(yè)務能安全可靠為用戶提供服務。同時也為今后運營商DNS網(wǎng)絡的安全能力提升和系統(tǒng)建設提供了指導和參考，具有重要的推廣應用價值。

參考文獻

1DNS and Bind ，the 9th edition

2基于全局anycast的智能域名系統(tǒng)架構(gòu)演進研究 彭巍、曹維華、李文云、華山 廣東通信技術(shù)

3基于轉(zhuǎn)發(fā)和控制分離的DNS新型架構(gòu)研究 曹維華 賀曉東彭巍 朱華虹

DOI：10.3969/j.issn.1006-6403.2016.04.004

收稿日期：（2016-03-10）