陳曾勝

（中國移動通信集團安徽有限公司，合肥 230009）

大規(guī)模災難性DNS安全事件智能防護系統(tǒng)設計研究

陳曾勝

（中國移動通信集團安徽有限公司，合肥 230009）

隨著互聯(lián)網(wǎng)業(yè)務的快速發(fā)展，基于域名解析的應用問題層出不窮，DNS作為互聯(lián)網(wǎng)最重要的基礎服務，其安全隱患也日益突出，本文設計了一種大規(guī)模災難性DNS安全事件智能防護系統(tǒng)，通過建立大型容災數(shù)據(jù)庫，實現(xiàn)單個及大規(guī)模域名解析故障時，及時恢復業(yè)務，同時通過數(shù)據(jù)庫中海量數(shù)據(jù)的分析，建立疑似攻擊源自動發(fā)現(xiàn)和處置機制，系統(tǒng)可實現(xiàn)大幅提升DNS解析正確率、安全性及投訴處理效率。

DNS；攻擊；安全防護；域名監(jiān)控；容災容錯

1 引言

DNS作為互聯(lián)網(wǎng)最重要的基礎服務，其安全隱患也日益突出。DNS服務一般分為緩存、遞歸和授權，緩存服務器主要承擔用戶的解析請求，遞歸服務器負責向外部進行域名的遞歸查詢，授權服務器則承擔其他DNS服務對本地域名的查詢服務。DNS是全球最分散的數(shù)據(jù)庫，域名信息遍布在無數(shù)授權服務器上，易受網(wǎng)絡故障、惡意攻擊等事件的影響。作為一個開放系統(tǒng)，DNS主要面臨著個別域名授權服務器攻擊、根DNS系統(tǒng)攻擊、網(wǎng)絡故障、域名劫持、疑似攻擊源等5類安全威脅與風險，而對DNS系統(tǒng)而言，傳統(tǒng)的防護方法主要是通過防火墻、流量清洗等方式實現(xiàn)攻擊防護，或通過深度數(shù)據(jù)分組檢測對應用層協(xié)議進行檢查過濾的方法實現(xiàn)對DNS架構安全的進一步防護。但對于斷網(wǎng)、封鎖以及根服務器故障等各種大規(guī)模災難性DNS解析事件，目前運營商DNS系統(tǒng)尚無完整的自動發(fā)現(xiàn)、恢復域名解析的系統(tǒng)。為進一步加強DNS系統(tǒng)安全及容災能力，有效應對突發(fā)的災難性DNS安全事件，本文提出了一種DNS安全智能防護系統(tǒng)的設計方案，通過建立大型容災數(shù)據(jù)庫，實現(xiàn)單個及大規(guī)模域名解析故障時，及時恢復業(yè)務，同時通過數(shù)據(jù)庫中海量數(shù)據(jù)的分析，建立疑似攻擊源自動發(fā)現(xiàn)和處置機制。

2 DNS安全防護的現(xiàn)狀與理論

當前，DNS面臨的風險很多，如DoS/DDoS攻擊、緩沖投毒攻擊、放大式攻擊、互聯(lián)網(wǎng)域名攻擊等。這些風險中引發(fā)的事件，多數(shù)由于管理環(huán)節(jié)的疏漏，以及DNS配置復雜性、缺乏一個有效的快速更新機制等原因引起，使得運營商DNS系統(tǒng)無法正常運行，最終導致Internet通信受到嚴重影響。DNS在設計之初并沒有系統(tǒng)考慮安全問題，作為一個開放系統(tǒng)，DNS明顯存在未授權信息的泄漏問題，同時也缺乏有效的接入控制。歷史上幾次典型的攻擊事件，如暴風影音事件、百度域名劫持、瑞典頂級域名“.se”故障等等，對當時的互聯(lián)網(wǎng)安全都產(chǎn)生了嚴峻的挑戰(zhàn)。為確保DNS系統(tǒng)的安全性，需要及時為系統(tǒng)添加補丁，并進一步完善配置。同時針對因遞歸攻擊等導致的服務響應遲緩甚至服務癱瘓等問題，需要采用高可用性的安全架構保證DNS服務的安全性和穩(wěn)定性。

對DNS系統(tǒng)安全而言，傳統(tǒng)的方法只考慮系統(tǒng)本身的安全防護，如通過防火墻、流量清洗等方式實現(xiàn)攻擊防護，或通過深度數(shù)據(jù)分組檢測對應用層協(xié)議進行檢查過濾的方法實現(xiàn)對DNS架構安全的進一步防護。但是對于大規(guī)模斷網(wǎng)、封鎖以及大型注冊代理商系統(tǒng)崩潰等各種影響域名系統(tǒng)安全和穩(wěn)定的事件，上述方法無法完全確保DNS系統(tǒng)服務的安全性、可靠性。此外對于某個特定域名出現(xiàn)解析異常時，目前DNS系統(tǒng)無法自動發(fā)現(xiàn)、恢復域名解析結果，從而影響互聯(lián)網(wǎng)用戶感知，因此具有一定的缺失性。

本文提出的大規(guī)模災難性DNS安全事件智能防護系統(tǒng)，旨在及時發(fā)現(xiàn)和自動處理個別、大批量域名解析失敗問題以保證DNS服務的穩(wěn)定性、可靠性。本系統(tǒng)可解決不同安全事件造成域名解析失敗的問題，一是應對復雜的域名安全形勢，自動處理異常域名避免域名系統(tǒng)故障，提高用戶體驗；二是解決大規(guī)模故障時，自動接管全部遞歸查詢，直接返回用戶結果，保證省內互聯(lián)網(wǎng)業(yè)務的正常運行。此外還可以提升疑似攻擊源的預判手段，自動化識別釣魚類網(wǎng)站，通過規(guī)范化、流程化、系統(tǒng)化手段，建立釣魚類網(wǎng)站事前預警、事中管控、事后防范的閉環(huán)管理流程，實現(xiàn)釣魚網(wǎng)站的識別、審核、屏蔽。本系統(tǒng)可以保證全網(wǎng)域名的正常訪問，降低互聯(lián)網(wǎng)用戶的業(yè)務投訴率，提高了互聯(lián)網(wǎng)業(yè)務感知。

3 DNS安全事件智能防護系統(tǒng)總體方案設計

3.1 系統(tǒng)設計的總體思路

本系統(tǒng)通過建立大型容災數(shù)據(jù)庫，實現(xiàn)單個及大規(guī)模域名解析故障時，及時恢復業(yè)務，同時通過數(shù)據(jù)庫中海量數(shù)據(jù)的分析，建立疑似攻擊源自動發(fā)現(xiàn)和處置機制。系統(tǒng)主要應對以下幾類安全事件。

3.1.1 大規(guī)模解析異常事件

發(fā)生根服務器及大規(guī)模斷網(wǎng)事件時，DNS遞歸請求受阻，可采用人工方式將容災數(shù)據(jù)庫中的數(shù)據(jù)全部回注至緩存系統(tǒng)，供正常域名解析請求使用。并設定特定TTL值，待故障恢復后緩存系統(tǒng)可自動發(fā)起遞歸請求獲取網(wǎng)絡上的實際數(shù)據(jù)，從而有效保證DNS業(yè)務的穩(wěn)定性、可靠性。圖1為系統(tǒng)應對大規(guī)模解析異常事件示意圖。

圖1 系統(tǒng)應對大規(guī)模解析異常事件示意圖

3.1.2 域名劫持事件

通過預置重點域名清單，當清單內域名發(fā)生單個或多個域名解析異常，如緩存污染、配置錯誤、域名過期等現(xiàn)象時，系統(tǒng)探針可偵測到異常情況，并自動清除當前緩存內的解析結果，將該域名解析請求轉發(fā)至容災數(shù)據(jù)庫獲取最近的正確數(shù)據(jù)。針對清單以外的域名，上述過程可通過手工切換。

3.1.3 疑似攻擊源預判處置

當用戶訪問包含釣魚網(wǎng)站等疑似攻擊源的鏈接時，系統(tǒng)對請求域名按照預先設置的反釣魚識別流程進行掃描，當域名被釣魚黑名單直接命中時，直接轉發(fā)用戶的請求至容災數(shù)據(jù)庫，返回正確結果給用戶，并利用嵌入DNS系統(tǒng)的域名解析糾錯功能向用戶推送訪問警示頁面。當域名在釣魚黑、白名單都未命中的情況下，通過域名字符串相似度匹配算法進行釣魚網(wǎng)站初步辨別，再借助人工審核、域名/IP封堵方式實現(xiàn)釣魚網(wǎng)站主動攔截，限制釣魚網(wǎng)站擴散范圍。

3.2 系統(tǒng)主要功能模塊

系統(tǒng)拓撲圖如圖2所示，DNS安全事件智能防護系統(tǒng)，通過與DNS緩存系統(tǒng)聯(lián)動實現(xiàn)智能防護功能。在緩存服務器端安裝探針，定時將域名解析的緩存結果保存至采集服務器，采集服務器對數(shù)據(jù)進行匹配，整理后入庫留存。當域名解析出現(xiàn)異常時，及時發(fā)揮容錯功能，糾正異常解析結果。系統(tǒng)主要包括大型容災、疑似攻擊源處置模塊。

圖2 系統(tǒng)拓撲圖

3.2.1 大型容災容錯模塊

為實現(xiàn)域名解析的容災容錯功能，該模塊主要包括數(shù)據(jù)采集、數(shù)據(jù)整理、數(shù)據(jù)分析及日志分析四類子模塊。大型容災容錯模塊如圖3所示。

數(shù)據(jù)采集：通過探針采集的方式將DNS緩存服務器內的解析數(shù)據(jù)傳送給容災系統(tǒng)，容災系統(tǒng)獨立分析每一次DNS查詢請求與應答結果，只在分析結果觸發(fā)容災功能激活條件時，容災系統(tǒng)才會向現(xiàn)網(wǎng)DNS緩存服務器發(fā)起回注請求，避免影響現(xiàn)網(wǎng)DNS正常運行。

數(shù)據(jù)整理：容災系統(tǒng)將采集到的DNS解析數(shù)據(jù)通過數(shù)據(jù)處理，按照統(tǒng)一格式保存在容災數(shù)據(jù)庫內。在數(shù)據(jù)保存前，需要進行重復數(shù)據(jù)清理、新舊數(shù)據(jù)對比更新、增量數(shù)據(jù)保存、垃圾數(shù)據(jù)清理、備份策略制定等步驟，保證容災數(shù)據(jù)庫中保存的數(shù)據(jù)是最新的、準確的解析結果。

數(shù)據(jù)分析：數(shù)據(jù)分析模塊比照容災功能激活條件，對數(shù)據(jù)采集模塊獲取的數(shù)據(jù)進行實時分析處理。當滿足條件時，數(shù)據(jù)分析模塊向DNS緩存服務器進行數(shù)據(jù)回注操作，從而確保及時向用戶提供正確的解析結果。

日志分析：系統(tǒng)實時記錄容災系統(tǒng)的存取記錄，并入庫保存3個月以上，便于事后跟蹤分析。

為解決查詢、回注等操作等操作，容錯容災系統(tǒng)設計了專門的采集、存儲、處理、查詢模塊，與現(xiàn)網(wǎng)DNS為旁路結構，并互相打通解析數(shù)據(jù)采集、查詢、回注接口。

3.2.2 疑似攻擊源發(fā)現(xiàn)與處置模塊

圖3 大型容災容錯模塊

圖4 疑似攻擊源發(fā)現(xiàn)與處置模塊

該模塊主要包括釣魚網(wǎng)站一次識別、釣魚網(wǎng)站自動審核、人工審核管制等3個重要環(huán)節(jié)。其中一次識別是基礎，需要從每日300億條DNS日志中鎖定疑似釣魚網(wǎng)站清單，用于后續(xù)的二次自動篩選、三次人工審核。疑似攻擊源發(fā)現(xiàn)與處置模塊如圖4所示。

4 DNS安全事件智能防護系統(tǒng)實現(xiàn)

4.1 系統(tǒng)實現(xiàn)的技術手段

智能防護系統(tǒng)通過記錄和保存用戶查詢的全部正確結果，構建一個可管理、可使用的大型數(shù)據(jù)庫，在域名授權體系部分或全部出現(xiàn)故障時，自動引導用戶使用備份數(shù)據(jù)獲取查詢結果，保證區(qū)域內互聯(lián)網(wǎng)正常運行。

目前，系統(tǒng)主要通過以下幾種手段加以實現(xiàn)。

4.1.1 大型容災備份

（1）個別域名容錯機制

針對個別域名的容錯，預先設置監(jiān)控時間間隔、糾錯時間間隔等容錯功能參數(shù)。

第一步：針對個別域名，自動實時監(jiān)控DNS服務器上用戶的請求應答狀態(tài)。第二步：對于不能獲得請求結果的域名或域，自動切換至容錯數(shù)據(jù)庫查詢結果，若存在則自動將容錯數(shù)據(jù)返回給用戶。第三步：若容錯數(shù)據(jù)庫也沒有相應記錄，則根據(jù)預定策略進行本地攔截，避免此類查詢造成DNS系統(tǒng)崩潰。第四步：當上述查詢恢復正常時，自動取消本地攔截功能，實現(xiàn)流程閉環(huán)。

（2）大型容錯數(shù)據(jù)庫

因域名數(shù)量之大直接決定容錯數(shù)據(jù)的模塊，本系統(tǒng)按照DNS解析結果數(shù)據(jù)特征構建支持大容量數(shù)據(jù)存儲和更新機制的數(shù)據(jù)庫系統(tǒng)，自動保存采集過來的域名解析數(shù)據(jù)。所有解析數(shù)據(jù)根據(jù)預定策略進行處理和更新，包括：TTL值修訂、無結果數(shù)據(jù)數(shù)據(jù)處理、過期數(shù)據(jù)清理等。

（3）數(shù)據(jù)加速器技術

建立數(shù)據(jù)加速器，為提高效率和保證數(shù)據(jù)庫系統(tǒng)負載，采用預裝載和高速緩存技術，提高數(shù)據(jù)讀取效率，可以滿足大規(guī)模網(wǎng)絡需要。

（4）域名解析接管功能

授權域名系統(tǒng)既分散又關聯(lián)，任何部分的故障或缺失都可能引發(fā)連鎖反應，當網(wǎng)絡故障、注冊代理機構授權系統(tǒng)癱瘓、重要應用域名故障等情況導致無法與上級域名系統(tǒng)通信時，極端情況下系統(tǒng)可以接管整個互聯(lián)網(wǎng)域名解析功能。

4.1.2 疑似攻擊源發(fā)現(xiàn)與處置

（1）釣魚網(wǎng)站一次識別

釣魚網(wǎng)站一次識別通過對容災數(shù)據(jù)庫中海量數(shù)據(jù)的分析，通過模糊匹配算法，高效識別、過濾與目標網(wǎng)站可能相似的釣魚網(wǎng)站。一次識別功能主要涉及域名匹配算法、命中參數(shù)配置及黑白名單管理等技術關鍵點，直接影響釣魚網(wǎng)站一次識別效率與準確性。

疑似域名匹配算法：根據(jù)目標分析網(wǎng)站（一般為極有可能被釣魚者仿冒設計的金融理財、網(wǎng)銀和運營商網(wǎng)站）域名特征，開發(fā)釣魚網(wǎng)站識別模式，我們方案中包括簡單匹配、復雜匹配兩種匹配識別算法。以www.10086.cn網(wǎng)站為例，對該網(wǎng)站進行反釣魚監(jiān)控，簡單匹配直接通過真實網(wǎng)站域名的關鍵字符串進行模糊或精準查詢；針對某些釣魚網(wǎng)站利用相似字符（例如0代替O）達到以假亂真的情況，采用復雜匹配方式，從海量DNS請求中識別出更多可疑對象。

命中參數(shù)配置：在系統(tǒng)性能、處理時間、人工審核工作量等因素約束條件下，系統(tǒng)允許對DNS解析域名的掃描范圍通過參數(shù)設置方式進行控制，例如可將訪問量較小的域名直接過濾，重點關注訪問次數(shù)多、影響面廣的網(wǎng)站域名。

黑白名單管理：為提高釣魚網(wǎng)站監(jiān)控系統(tǒng)效率，系統(tǒng)引入黑白名單管理機制。黑名單是前期通過識別、人工審核確認為釣魚網(wǎng)站的域名，直接列入黑名單，減少可疑域名識別環(huán)節(jié)、降低人工審核工作量。白名單是通過官方認證的合法域名清單列表，針對此類域名，系統(tǒng)直接跳過不進行識別，提高釣魚網(wǎng)站監(jiān)測效率。

（2）疑似網(wǎng)站自動審核

基于容災數(shù)據(jù)庫分析出的疑似釣魚網(wǎng)站往往比較多，目前系統(tǒng)日平均發(fā)現(xiàn)的疑似釣魚網(wǎng)站在2 000個左右，直接送至人工審核工作量巨大。通過進一步分析研究發(fā)現(xiàn)釣魚網(wǎng)站內容往往具備某些特征，例如頁面內容中包含“中獎、禮品”等誘導信息的概率較大，通過打通與互聯(lián)網(wǎng)內容資源撥測系統(tǒng)接口，利用釣魚網(wǎng)站特征庫，實現(xiàn)對釣魚一次識別結果的自動化篩選，大幅提高審核工作效率。

（3）人工審核管制

以疑似網(wǎng)站自動審核輸出的非?？梢删W(wǎng)站域名為對象，通過人工方式逐一訪問可疑網(wǎng)站，利用網(wǎng)站備案、網(wǎng)頁內容、域名所有者等相關信息詳細審查、確認，針對最終確認的釣魚網(wǎng)站，通過網(wǎng)絡IP、域名封堵方式嚴控釣魚網(wǎng)站訪問，同時推送用戶警示信息。

4.2 系統(tǒng)的安全防護效果

對比其他DNS安全防護系統(tǒng)，本系統(tǒng)在實際運用中具有以下幾項優(yōu)勢：

首先，防護數(shù)量級大，安徽移動日均DNS請求量在百億規(guī)模（日均360億次左右），涉及域名達千萬級別，本系統(tǒng)設計了6 T的容災容錯系統(tǒng)存儲，可實現(xiàn)對一個月內全部解析結果的備份，達到上億級別的解析記錄，基本實現(xiàn)90%以上解析數(shù)據(jù)的覆蓋，最大限度滿足容錯解析需求。

本系統(tǒng)還具備自愈能力強的優(yōu)勢，本系統(tǒng)采用分布式架構，有效保證了上億數(shù)量級數(shù)據(jù)的處理能力。在發(fā)生大規(guī)模災難性DNS安全事件時，通過自動轉發(fā)及回注DNS緩存系統(tǒng)的方式，快速響應異常域名解析的請求，響應時間3 s以內。

圖5 疑似網(wǎng)站自動審核

系統(tǒng)具有細粒度異常域名自動保護特點，當單個精細域名解析異常時，系統(tǒng)探針可及時偵測到異常情況，并自動將該域名解析請求轉發(fā)至容災數(shù)據(jù)庫獲取最近的正確數(shù)據(jù)，全程無需手工干預。

系統(tǒng)智能預判準確率高，通過對容災數(shù)據(jù)庫中海量數(shù)據(jù)的分析，有效識別疑似攻擊源的釣魚網(wǎng)站，當用戶訪問釣魚網(wǎng)站的鏈接時，當域名被釣魚黑名單直接命中時，直接轉發(fā)用戶的請求至容災數(shù)據(jù)庫，返回正確結果給用戶。釣魚網(wǎng)站預判通過簡單匹配、復雜匹配兩種識別算法保證結果的準確性，預判準確率90%以上。

此外，本系統(tǒng)不改變DNS解析模式：本系統(tǒng)保留所有域名授權體系信息，在域名授權系統(tǒng)某個環(huán)節(jié)出現(xiàn)故障時，DNS系統(tǒng)可以維持與原來正常工作狀態(tài)相同的工作模式，在災備中心獲取授權信息，通過正常遞歸獲取遞歸結果，依然保留了域名授權體系的倒掛樹狀結構。

目前DNS智能防護系統(tǒng)已投入現(xiàn)網(wǎng)使用，日均轉發(fā)異常解析域名至容錯系統(tǒng)100個以上，月均發(fā)現(xiàn)疑似釣魚類網(wǎng)站40個，大幅提升DNS解析正確率和安全性。在系統(tǒng)未投入使用前，依靠人工分析和用戶投訴，平均因域名解析異常導致的投訴5例/日；系統(tǒng)使用后，通過問題預發(fā)現(xiàn)，此類投訴降至1例以內。此外，很大程度上提升了效率，系統(tǒng)通過預發(fā)現(xiàn)解析異常問題，單個域名解析異常投訴處理時長由1 h降低至3 min以內；系統(tǒng)通過自動發(fā)現(xiàn)和封堵釣魚網(wǎng)站，將此類投訴處理時長由2 h降低至10 min以內；系統(tǒng)應用后，月平均監(jiān)測定位40個釣魚網(wǎng)站，為未應用系統(tǒng)前的5倍以上。本系統(tǒng)初步實現(xiàn)域名解析安全的集中化管理，已實現(xiàn)與省內集中性能系統(tǒng)對接，日均派發(fā)預警工單5張，實現(xiàn)對重點DNS安全事件的自動預警、自動派發(fā)。

5 結論

本文提出的DNS安全智能防護系統(tǒng)的設計方案，通過建立大型容災數(shù)據(jù)庫，實現(xiàn)單個及大規(guī)模域名解析故障時，及時恢復業(yè)務，同時通過數(shù)據(jù)庫中海量數(shù)據(jù)的分析，建立疑似攻擊源自動發(fā)現(xiàn)和處置機制。

系統(tǒng)具備防護數(shù)量級大、自愈能力強、細粒度異常域名自動保護、智能預判準確率高、不改變DNS解析模式等優(yōu)勢，系統(tǒng)投入使用后，大幅提升DNS解析正確率和安全性，以及域名解析異常的發(fā)現(xiàn)及投訴處理效率。

[1] 胡寧， 鄧文平， 姚蘇. 互聯(lián)網(wǎng)DNS安全研究現(xiàn)狀與挑戰(zhàn)[J]. 網(wǎng)絡與信息安全學報， 2017，(3)：13-21.

[2] 王利霞. DNS安全現(xiàn)狀[J]. 計算機安全， 2011，(8)：65-68.

[3] 彭巍， 曹維華， 賀曉東. 大型運營商DNS智能解析關鍵技術及方案[J]. 電信科學， 2016，(1)：159-163.

[4] 陳文文， 吳開超. 海量域名日志數(shù)據(jù)分析與可視化研究及應用[J]. 計算機應用研究， 2016，(2)：335-338.

Research on intelligent protection system of DNS security for large scale catastrophic

CHEN Zeng-sheng
(China Mobile Group Anhui Co., Ltd., Hefei 230009, China)

With the rapid development of internet services, the application problems about domain names solution continue to appear. As the most important Internet based services, the security risks of DNS have become increasingly prominent. The intelligent protection system of DNS security for large scale catastrophic which presented in this paper, can resume the service by the establishment of large-scale disaster database when single or lots of domain names resolution failure. And at the same time, through the analysis of massive data in database, the system establish the automatic discovery and disposal mechanism for suspected attack source, to achieve substantial increase in DNS parsing accuracy, security and complaint handling ef fi ciency.

DNS; attack; security protection; domain monitor; disaster tolerant

TN915

A

1008-5599（2017）09-0078-06

2017-02-28