李驁騁,王 崢

(1.南京烽火軟件科技有限公司,南京 210019; 2.武漢郵電科學研究院,武漢 430074)

0 概述

域名系統(tǒng)(Domain Name System,DNS)是為域名和IP地址之間的映射提供服務的系統(tǒng)。在目前互聯(lián)網遍布全球的社會背景下,DNS服務是日常工作和生活不可或缺的一部分。在互聯(lián)網中,很多應用需要DNS服務技術的支持,DNS的安全性在很大程度上也決定了互聯(lián)網的安全。另一方面,DNS報文中也可能包含用戶的隱私?，F(xiàn)有的DNS攻擊主要存在于僵尸網絡中,目前被應用較為廣泛是Fast-Flux攻擊技術,現(xiàn)有的工作更多依賴最長存活時間(Time To Live,TTL)進行判斷,但這并不能完全形容Fast-Flux的特征,或者使用機器學習的算法[1-2],但是并未很好地解釋Fast-Flux的特性。

為避免將TTL小的正常DNS報文濾除,找到Fast-Flux的真正特性,在濾除攻擊報文時減小誤傷,本文根據(jù)歷史數(shù)據(jù)進行分析,以期在歷史數(shù)據(jù)成果的基礎上找到過濾報文的方法,并在保護用戶權益的基礎上增加系統(tǒng)的實時性,維護網絡安全。

1 僵尸網絡

1.1 工作原理

僵尸網絡是攻擊者運用一種或者多種手段傳播bot程序病毒,使大量主機感染,在攻擊者和被感染主機之間形成一對多控制的網絡[3-4]。黑客利用僵尸程序控制大量主機,形成僵尸網絡[5]。通過僵尸網絡運營者,即僵尸網絡操縱控制者,采用Fast-Flux攻擊是目前一個新型的發(fā)展趨勢。

僵尸網絡的形成多種多樣,但總體來說,僵尸網絡的生命周期有4個階段[3]:開發(fā)階段,將僵尸程序放到僵尸主機上;集合階段,僵尸主機通過C&C服務器連接起來;攻擊執(zhí)行階段,通過從C&C服務器得到的控制主機的命令,截獲被控主機的DNS請求;更新維護階段,控制主機是為了更好地控制和修補僵尸網絡。

在僵尸網絡的生命周期中,僵尸網絡為了保持程序的更新,與控制主機即惡意代碼的傳播者有C&C通信[6]。作為控制主機的傀儡,僵尸主機需要獲取命令程序,并實時更新,即需要頻繁且周期性地連接C&C服務器或者其他主機[7]。一般來說,在僵尸網絡控制者發(fā)命令給受控的僵尸主機前,僵尸主機會處于等待模式,不進行攻擊[8]。

1.2 僵尸網絡架構

本節(jié)介紹僵尸網絡的C&C 2種架構:一種是集中式C&C架構,類似于客戶機/服務器模型;另一種是分布式C&C架構,沒有單一的命令服務器,能夠避免單點故障。

1.2.1 集中式C&C架構

如圖1所示,集中式C&C架構的僵尸網絡是由僵尸控制主機單點連線C&C服務器,然后由C&C服務器控制所有的僵尸主機,即僵尸網絡。通常這樣的架構使用的是IRC通信結構,借用已經使用成熟的結構與協(xié)議使得架構的搭建變得簡單,并且使用范圍較廣,不易被察覺。另外,HTTP協(xié)議也是該架構通信應用較多的協(xié)議之一。隨著C&C技術的發(fā)展,C&C協(xié)議引進了完全定制的指令集和信息加密,不需要借用其他協(xié)議構建僵尸網絡。

圖1 集中式C&C架構

另外,集中式架構還有基于圖1的升級結構,如服務器的分層架構,對僵尸主機進行分化形成代理服務器,即使被跟蹤訪問也只能找到代理節(jié)點,增加了整體結構的隱蔽性。

1.2.2 分布式C&C架構

如圖2所示,僵尸主機松散耦合連接形成分布式C&C體系結構。其優(yōu)點在于僵尸網絡中可以互相通信,這使得僵尸程序的傳播與更新變得更加方便,相較于1.2.1節(jié)的集中式C&C架構,更適用于僵尸主機數(shù)量基數(shù)較大的網絡,分布式結構使得僵尸主機能夠獨立地運作。

圖2 分布式C&C架構

另外,在這種架構中的僵尸網絡利用P2P結構通信,在僵尸主機之間交換版本號,這樣大大降低了跟蹤的可能,僵尸網絡控制者的定位可能性變得更低。雖然在分布式的架構中沒有C&C服務器,僵尸網絡控制者直接與僵尸網絡中的主機通信,但顯然分布式的低跟蹤率也是其一大優(yōu)勢。

1.3 Fast-Flux原理

Fast-Flux可以定義為主機和名稱服務器資源記錄的快速和重復的變化。Fast-Flux在用戶查詢一個域名的包發(fā)送之后,將DNS服務器的回復隱藏,并向用戶主機發(fā)送一個包含很多IP的回復包。然后,用戶主機使用Fast-Flux給IP中的一個訪問“服務器”,但其訪問的是僵尸網絡中的一個僵尸主機。Fast-Flux的攻擊有single-flux(單攻擊)和double-flux(雙攻擊)[9],single-flux的攻擊模式較為簡單,Fast-Flux代理的IP地址在DNS服務器上注冊,僵尸網絡服務器可以隱藏起來;double-flux比single-flux多一個保護層,即僵尸主機的IP作為回復,無法追蹤到僵尸網絡服務器。

Fast-Flux技術具有三大優(yōu)勢[10]。首先,它為攻擊者提供了便利,只需要依靠若干強大的后臺服務器就能夠工作。其次,Fast-Flux使用未知代理,為攻擊者提供額外的保護層用于反跟蹤。最后,由于額外的保護層,網絡的壽命得到延長。

2 相關研究

本地域名和主機域名由本地域名服務器[11]解析管理。大多數(shù)已經完成的工作都使用了主動檢測的方法處理DNS數(shù)據(jù),另外一些工作選擇使用被動的檢測方法,可以避免與可疑域名的互動,還有一些研究結合了前面的2種方法,以提高檢出率[10]。

2.1 主動方法

主動檢測判斷是基于觀察的某些維度,即FFSN的特征,通常是使用人工智能算法。然而,這些算法通常需要消耗內存,例如有監(jiān)督的學習算法、固定的規(guī)則、對零時差攻擊弱檢測[12]等。文獻[13]提出了Fast-Flux網絡和其他相關研究,并給出了實證。在這些技術中,檢測延遲非常長,通常需要至少已經設定的TTL的時間,所以這就限制了檢測Fast-Flux網絡的有效性[10]。在文獻[14]中,實時分類和長期監(jiān)測的方法稱為SSFD應用。然而,類似于文獻[15],SSFD呈現(xiàn)較高的檢測率和較低的誤報率,但使用的是一個不可用的IP地址位置數(shù)據(jù),限制了檢測方法的有效性?？傮w來說,基于主動檢測的方法主要是將較少的DNS流量予以非合法域名的傳輸[16]。

2.2 被動方法

被動檢測方法是由文獻[17]提出的,涉及DNS流量的實時跟蹤、查詢、應答,流量分析用于搜索Fast-Flux服務網絡的蹤跡。C4.5決策樹分類器區(qū)分友好域名和Fast-Flux域名。相對于主動檢測方法,被動檢測的主要優(yōu)點是不需要額外的網絡資源用于主動DNS查找。但是被動檢測技術的延遲比所有其他方式都要長,因為監(jiān)視一個域名需要至少5 d,以檢測該域名的正常運行時間[10]。被動方法的主要問題是需要處理大量的DNS流量的關系判斷合法和非合法域名[16]。因此,被動檢測的方式應用較少。

2.3 實時方法

文獻[18]提出了一個實時檢測FFSN系統(tǒng),目標在于減少幾秒鐘檢測時間但不影響檢測精度。這個想法依賴于觀察,由于Fast-Flux代理轉發(fā)請求而導致HTTP響應中的較長延遲。因為相對于Fast-Flux代理的計算能力和帶寬有限,轉發(fā)請求通過Fast-Flux節(jié)點通常需要額外的時間。另一種實時Fast-Flux檢測方法由文獻[19]提出。實時檢測方法可能導致高的誤報率和漏報率,因此為了更準確地識別Fast-Flux,實時方式并不適合。

2.4 被動與主動相結合的方法

為了進一步降低檢測時間,文獻[20]提出的快速通量監(jiān)測器(FFM),實時檢測快速通量域。FFM使用主動和被動的DNS監(jiān)控實現(xiàn)實時檢測。主動監(jiān)測收集3個功能,并使用貝葉斯分類器分類可疑領域為良性或快速通量。然而,作者認為檢測是實時的,并且需要一個域名,監(jiān)測幾個移動窗口10 min,以增加檢測精度域,但實現(xiàn)起來較為復雜。

本文提出的特征維度,類似于主動監(jiān)測的方式,由于之前的研究均是基于流量的相關維度,本文主要基于報文的4個維度,希望能夠更加準確地形容Fast-Flux的特征,精準地區(qū)分Fast-Flux攻擊報文和正常報文。

3 負載躲避與載流均衡

3.1 負載躲避

Fast-Flux技術的特點是利用域名配置多個IP,并且這些IP以很快的頻率更換,以達到實現(xiàn)域名到IP地址的動態(tài)映射[1]。因此,帶有Fast-Flux攻擊的報文通常其回復段的TTL不會太長,其目的是為了在短時間內可以變換IP,以達到躲避檢測的目的。圖3是Fast-Flux包應答TTL的統(tǒng)計頻次。

圖3 負載躲避的TTL分布

從圖3可知,負載躲避的TTL均集中在小范圍的時間,突出的時間點為10 s和20 s,符合Fast-Flux的快速性。但是并不是只在小范圍出現(xiàn),有的TTL也有較大的時長。更為重要的是,不是應答TTL小的都是Fast-Flux報文包,正常報文也可能將TTL設置的很小。

3.2 載流均衡

對于像百度、新浪、騰訊這樣大型的網站,同一個域名,需要多臺服務器對用戶的請求進行響應。每個服務器對應的IP是不同的,用戶的請求狀態(tài)也是隨機的,如果為用戶提供更好更快的響應,就需要對所有用戶針對同一域名的請求采取載流均衡的服務,即動態(tài)地變換該域名對應的IP,根據(jù)當前流量情況,將請求指引到相對空閑的服務器上,提高網站的響應速度。本文將應答域名為“www.baidu.com”的報文的TTL進行統(tǒng)計,結果如圖4所示。

圖4 載流均衡的TTL分布

從圖4可以看出,百度應答DNS報文的TTL分布集中在50 s和90 s,其中50 s部分的報文與圖3中的Fast-Flux攻擊報文重疊。如果按照TTL的大小判斷濾除報文,閾值小于50 s意味著“www.baidu.com”這樣的域名都會有3.8%的可能性被過濾,即文中至少6 795條報文的服務受到阻攔,其他擁有若干臺服務器的網站也是在這樣的情況下被提高了誤報率,導致部分服務被阻攔;當閾值大于50 s時,部分Fast-Flux的攻擊報文能夠正常運行,僵尸程序就有機會下載到用戶主機上,使用戶遭受損失,降低了系統(tǒng)的準確性。因此,需要找到Fast-Flux的其他特征,更準確地將攻擊報文和正常報文區(qū)分開。

4 Fast-Flux檢測

筆者于2016年9月20日的8:00點到9:00點,在廣東省廣州市共捕獲了223 742 489條DNS報文, 并對報文解析入庫,進而對這批報文進行分析。通過對大量DNS報文的數(shù)據(jù)分析,較全面地發(fā)現(xiàn)了Fast-Flux的攻擊特征,以區(qū)別攻擊報文和正常的報文交流。

針對Fast-Flux以及大型網站的載流均衡的特征,通過分析本文數(shù)據(jù),總結出4個特征,對截獲的DNS報文進行分析。

4.1 最長存活時間

如1.1節(jié)所述,Fast-Flux攻擊為了躲避僵尸主機被追尋到,對DNS報文回復段的TTL設置的值較小,讓報文在短時間內指向僵尸網絡中的IP后,使其盡快失效,以便于將域名所指向的IP更換,躲避檢測。

從圖5可以看到,雖然攻擊報文集中在30 s以下的時間段,但是在超過30 s的時間段依然有攻擊報文的存在。在圖6中,對所有報文的TTL數(shù)據(jù)進行分析,TTL主要集中在50 s、60 s、90 s 3個數(shù)據(jù)上,說明TTL的時間設置較為有規(guī)律可循,但是還是會有一部分正常報文和攻擊報文的TTL有沖突,需要用其他的特征區(qū)別開。

圖5 攻擊報文的TTL分布

圖6 報文TTL的小范圍分布

對于一個正常DNS的域名請求應答報文,應該至少有一個回復段,給以正確的IP回復;或者被查詢的域名有其他名稱,并且保存在域名服務器中,那么應答報文中將有多個回復段,包括若干其他域名以及若干服務器IP。同樣,Fast-Flux攻擊也會有多個IP的情況,將被攻擊主機引到僵尸主機的IP上。因此,將一個DNS回復段分開討論,統(tǒng)計TTL得到的結果可能出現(xiàn)在不同的分類區(qū)間中。

根據(jù)符合上述的篩選過程,將TTL小于30 s的域名放在一起,得到的域名樣本如表1所示。

表1 TTL域名樣本

從表1可以看出,確實存在較多的大型網站的域名后綴,如“qq”“weibo”等,也存在一些不符合域名特征的組合,如最后一個域名“parent.forpage.forhtml”。因此,本文需要將這些大型網站的記錄保護起來,以區(qū)分載流均衡和負載躲避,在保證DNS的正常服務下,避免Fast-Flux攻擊。

4.2 時間差分布平均

從載流均衡和負載躲避的區(qū)別來看,對于攻擊報文,是以轉換域名為對應的僵尸主機IP為目的,因此,TTL統(tǒng)一設置,方便僵尸網絡的控制者操縱,這樣使得相同域名的攻擊包時間差變化不會太大。對于大型網站來說,整個網絡的流量是隨機的,重新運用新的服務器IP的時間是由用戶的意愿和當前網絡流量的分布決定的,因此正常載流均衡機制下DNS包的時間差值是隨機的。

載流均衡與負載躲避時間差分布如圖7、圖8所示。

圖7 載流均衡時間差分布

圖8 負載躲避時間差分布

對比圖7、圖8可以看出,2種DNS報文分布時間差分布相差很大,對于正常網站來說,時間差是隨機分布的,依據(jù)當前流量決定,因此呈現(xiàn)的是正態(tài)分布;對于同一域名的攻擊包,因為Fast-Flux攻擊不關心實時流量的問題,也就不存在報文之間的時間差會變化的問題,所以時間差已經被預先設定,最終統(tǒng)計的結果也是平均分布的趨勢。

4.3 請求頻繁

對于Fast-Flux,快速域名變換攻擊需要不停地更換IP才能躲避追蹤,因此,Fast-Flux的報文需要頻繁發(fā)送報文以達到更換IP的目的,在短時間內會有大量的請求到達被攻擊主機,統(tǒng)計效果如圖9所示。

圖9 攻擊報文接收頻率

從圖9可以看出,時間差黑點集中在較低區(qū),這也就是稱Fast-Flux為快速域名攻擊的原因,單純的TTL比較并不能準確地作為此類攻擊的特征,頻繁的請求更能形容快速域名攻擊。在一段時間內,頻繁接收到某個域名的報文,且頻率大多集中在0.1 s或者0.01 s以下,則該報文符合Fast-Flux快速攻擊的特征,再結合其他特征共同分析,判斷報文的性質。

4.4 IP池

通過上文的幾個維度最終找到一批報文,其中IP與域名部分數(shù)據(jù)如表2所示。通過檢測,表2中的域名為攻擊域名。上文指出,僵尸網絡主要是僵尸主機,每個僵尸主機在通信期間擁有一個對應的IP,這些IP會出現(xiàn)在DNS應答報文的攻擊包中。在一段時間內,僵尸網絡拓撲結構不會改變,因此,Fast-Flux攻擊報文所用到的IP就是有限的僵尸主機的IP。從表2也可以看出,不同的域名也有指向同一IP的情況,同一域名攻擊報文的IP都來自于一個IP池,如果能夠找到這個IP池中的所有IP,可以將這批IP限時封鎖,即限定時間內再次出現(xiàn)其中某一IP可以不用復雜的計算,直接攔截報文,這符合僵尸網絡的原理結構。

表2 IP-域名

4.5 算法流程

4.1節(jié)～4.4節(jié)提出了4個分析維度,具體算法是結合前3個維度篩選,并利用第4個特征維度進行預防,算法流程如圖10所示。對于已經解析過的報文集,先判斷其第一個應答部分的TTL,TTL小于60 s的報文篩選其時間差,計算域名相同的報文之間的時間關系。對于時間差在0.1 s和1 s之間的報文進行進一步判斷該域名的到達頻率,并收集頻率較高的報文出現(xiàn)的回復IP,建立IP池,將其放入黑名單中。

根據(jù)表2顯示,都是同一域名后綴(.mca***.com),并且在短時間內連續(xù)到達報文。其中一個域名對應幾個IP,不同的域名也會指向同一IP?？梢栽O置一個黑名單文件存儲,用于直接濾除,減少判斷時間,提高整體效率。

值得注意的是,由于IP分為動態(tài)IP和靜態(tài)IP,因此如果長期將大量IP進行封鎖,用戶端的黑名單IP會越來越多,甚至會影響用戶的正常使用,因此,對識別出的IP的封鎖也需要設置一個TTL。

圖10 報文篩選算法流程

4.6 效果對比

通過以上前3個維度的篩選分析,本文的數(shù)據(jù)從最初的223 742 489條,通過分析篩選,并將域名去重后縮小到1 629條的范圍,3個維度交叉關系如圖11所示。

圖11 3個維度交叉關系

圖11展現(xiàn)了前3個篩選維度將目標報文縮小的比例,可以看出,通過使用本文提出的Fast-Flux的特征維度,可以將鑒定范圍大大縮小,剩下的報文準確率達到了87.1%,跟文獻[3]中的正確率87%相差不多,但比較而言本文根據(jù)維度處理只需要根據(jù)報文的特征進行辨別,流程更為簡單清晰。由此可以看出本文提出的特征有效,可以較為準確地形容Fast-Flux的攻擊行為。

5 結束語

本文主要針對DNS報文解析后的數(shù)據(jù)進行分析,得出4個特征能夠形容Fast-Flux報文的特性,以區(qū)別大型網站的載流均衡報文,降低誤判率。另外通過更多的維度,可以同時降低系統(tǒng)的漏報率,最大程度地不影響到正常報文,并濾除攻擊報文。本文利用數(shù)據(jù)分析的方式對大量報文的內容進行分析,找到Fast-Flux攻擊時的報文特征,并給出報文篩選的算法,以及根據(jù)已知報文進行短期防范的方式。在正確率相差不多的情況下,本文提出的算法實現(xiàn)更加簡單、容易實現(xiàn)。本文僅提出能夠參考的維度,下一步將優(yōu)化算法與本文的特征維度相結合,以達到自動化區(qū)分的目的。