DNS 的行为监测
27
1 SEU DNS 的的的的的
-
Upload
riordan-nyhan -
Category
Documents
-
view
90 -
download
0
description
DNS 的行为监测. 目标. DNS 是网络基础设施的重要组成 显式和隐式的依赖性 可用的传输通道 监测内容 网络性能影响 域名 / 域名服务器的依赖性 Fast-Flux 检测 DNS 隐藏通道. 性能影响监测. Multi-homing 环境的问题:解析结果不合理 IP 地址:没有教育网调度地址或 IP 地址状态不一致,例如优酷、 PPTV 、土豆等 根据解析结果调整路由:例如把视频网站调度 IP 地址路由指向教育网出口 使用外部 DNS 服务器 江苏省网中近 30% 的校园网没有自己的 DNS 服务器,或者用户不使用校园网服务器 - PowerPoint PPT Presentation
Transcript of DNS 的行为监测
1 SEU
DNS 的行为监测
2 SEU
目标• DNS 是网络基础设施的重要组成
– 显式和隐式的依赖性– 可用的传输通道
• 监测内容– 网络性能影响– 域名 / 域名服务器的依赖性– Fast-Flux 检测– DNS 隐藏通道
3 SEU
性能影响监测• Multi-homing 环境的问题:解析结果不合理
– IP 地址:没有教育网调度地址或 IP 地址状态不一致,例如优酷、 PPTV 、土豆等
– 根据解析结果调整路由:例如把视频网站调度 IP地址路由指向教育网出口
• 使用外部 DNS 服务器– 江苏省网中近 30% 的校园网没有自己的 DNS 服
务器,或者用户不使用校园网服务器– 教育网的公共 DNS 服务器
大客户 DNS: 121.194.2.2
大客户 DNS : 115.25.208.131 (南京)
4 SEU
依赖性分析• 访问关联度检测
– 统计分析网络边界观察到的 DNS 报文• 热点发现
– 白名单的建立– 资源调度的依据
• 异常发现– 黑名单的建立
5 SEU
内部域名的热点检测聚类中心 ( 域名被访问 IP
数 )
聚类大小 ( 域名个数 )
3477.5 13
1045.5 125
345 374
114.5 653
37.5 623
12 575
3.5 656
0.5 854
2010 年 8 月数据有效域名 3873 个采用 K-Mean 聚类方法
域名 备注idc11.seu.edu.cn 东南大学 DNS 服务器idc17.seu.edu.cn 东南大学邮件网关host-c-23.ustcsz.edu.cn 中国科技大学苏州研究院网络中心bbs.nju.edu.cn 南京大学小百合 BBS
lib.njuct.edu.cn 南京工业大学图书馆ftp2.nuaa.edu.cn 南京航空航天大学校内 FTP 服务器mail1.njust.edu.cn 南京理工大学学生专用 mail 服务器wpidc50.seu.edu.cn 东南大学主页mailgate2.nju.edu.cn EQ 商邮网邮件网关管理系统bbs.seu.edu.cn 东南大学虎踞龙蟠 BBS
jiangfan.ujs.edu.cn 江苏大学江帆网iroi.seu.edu.cn 东南大学射频与光电集成电路研究所jpkc.yzu.edu.cn 扬州大学国家级精品课程申报
6 SEU
外部域名的热点检测聚类中心 ( 域
名被访问 IP
数 )
聚类大小 ( 域名个数 )
200008 1
712.5 2
223.5 197
74 5029
24 43293
7.5 103580
2 997211
域名 备注
www.ssszt.com 传奇私服
www.2011mysf.com 魔域私服
conf.f.360.cn 360 云查询服务器
scdown.qq.com QQ 更新下载服务器
pre.ra.icast.cn 富媒体数字广告服务器
cache.soso.com SOSO 搜索的缓存服务器
icon.cnzz.com cnzz 图片服务器
mimg.126.net 网易邮箱的图片服务器
shared.youdao.com 有道搜索主页
img.taobaocdn.com 淘宝图片服务器
img3.cache.netease.com 网易图片缓存服务器
appimg1.qq.com QQ 游戏和 QQ 空间图片服务器
rextest2.lxdns.com 智能 DNS 服务器
7 SEU
Fast Flux 检测• 恶意网站躲避检测的逃逸技术
– 恶意网站的内容存放在多个主机中– 域名解析结果快速改变: TTL 按分钟计– 解析网站域名的 DNS 也可能逃逸: Double flux
• 基于蜜罐的检测方法• 基于机器学习的检测方法
– 检查 NS 记录的 TTL– 检查域名相关 IP 地址的数量与地域分布情况
8 SEUhttp://www.honeynet.org/papers/ff
Basic fast flux hosting
9 SEU
A phishing attack directed against the popular social networking web site MySpace with a bogus website called login.mylspacee.com
http://www.honeynet.org/papers/ff
10 SEU
Fast-flux 检测设计使用测度
域名 IP 数TTL
IP 所属子网数 (24位前缀 )
IP 所属 AS 数
IP 所属国家数
使用分类方法进行检测
11 SEU
检测实验结果• 测试数据:
2012 年 03 月 02日,东南大学以及网络中心访问的外部域名 : 315105 个;
测试结果:判定为 fast-flux 的域名数为 672 个。
12 SEU
检测结果分类类别 域名数量
*.ntp.org 9
*.facebook.com 73
*. twitter.com 32
*. appspot.com(google app engine 用于网站托管 ) 98
*.youtube.com 98
cdn 服务商 165
恶意网站 4
翻墙类网站 6
反动网站 64
色情网站 29
大型 ISP_ICP 20
bt_tracker 6
其他提供正常服务的网站 19
13 SEU
DNS 隐藏通道• 利用 DNS 服务的普遍可用性构造 VPN
• 基于域名服务– 要拥有一个专门的域名 (authoritative)–控制一个 DNS 服务器 (提供桥接功能)– Base32编码或任意数据传输–低速
• 基于 53端口– Malformed
14 SEU
DNS 报文格式 RFC 1034/1035
QR : 0表示查询报文, 1表示响应报文
Opcode :通常值为 0 (标准查询),其他值为 1 (反向查询)和 2 (服务器状态请求)。
AA :表示授权回答( authoritative answer )
TC :表示可截断的( truncated )
RD :表示期望递归RA :表示可用递归随后 3bit必须为 0
Rcode :返回码,通常为 0 (没有差错)和 3 (名字差错)
15 SEU
查询请求与响应• 域名是记录中资源数据对应的
名字。它的格式和查询名字段格式相同。
• 类型说明 RR 的类型码。类通常为 1 ,指 Internet 数据。
• 生存时间字段是客户程序保留该资源记录的秒数。
• 资源数据长度说明资源数据的数量。该数据的格式依赖于类型字段的值。对于类型 1 ( A记录 ) 资源数据是 4 字节的 IP地址。
16 SEU
DNSCat• 提供一个端到端的 VPS 通道
– 拥有一个域名 server.com的 DNS 服务器– 对于 something.server.com的 DNS请求, something是隐藏通道的数
据(最多 253 个字符)– Something通过对端的 DNS请求传递给对方
• DNS 服务器中有一个 DNSCat代理,与 DNSCat 客户端之间运行一个私有协议。– 不管是否有数据要发送,两个客户端定期向 DNS 服务器提交 DNS请求Client: Query: Type="A" Query="data_from_the_client.domain.com“
Server: Response: Query="data_from_the_client.domain.com" Response="data_from_the_client = CNAME data_from_the_server.domain.com" Response="data_from_the_server = A "some IP address"
Client: Query: Type="CNAME" Query="data_from_the_client.domain.com"
Server: Response: Query="data_from_the_client.domain.com" Response="data_from_the_client = CNAME data_from_the_server.domain.com"
17 SEU
异常的流量行为• 假冒同一网段的地址可以缓解这种流量异常
现象,从而降低 DNS 隐藏通道被检测到的风险。–交换机的 IP/MAC绑定可防范这种逃逸
18 SEU
Heyoka 2009
• 创建 2 个并发通道,一个用于传输使用假冒地址的上行数据。
19 SEU
Heyoka• 另一个通道使用 VPN端点地址发送 DNS请求,其响应中将包含下行数据。
• 客户端通过私有协议进行编码协商和差错控制
20 SEU
PSUDP 2010
• 通过使用特定方式修改 IP 报头和 UDP 报头中的长度字段,可以在 DNS 报文尾部添加任意数量的二进制数据。新构造的报文既不影响 DNS 服务器的正常工作,也不会在网络传输过程中被当作非法报文丢弃。
• 这种方式构造的存储空间容量为 UDP 报文最大长度与实际长度之差。对于 DNS 报文而言,若使用EDNS0 extension ,存储容量为 1024 字节与实际DNS 报文长度之差。
21 SEU
PSUDP• DNS 服务器中有一个 PSUDP 的代理,与 PSUDP 客户端之间运行一个私
有协议。• 客户端将通信内容添加到正常 DNS请求报文的尾部并发送给 DNS 服务
器。 PSUDP代理将隐藏通道的数据剥离并暂存( DNS交互正常进行)。
• 当宿点发来 DNS请求时, PSUDP代理将暂存的数据添加到对应的 DNS响应报文中。
使用前向指针增加检测难度
22 SEU
Iodine• 一种通过 DNS信道进行隐藏通信的 VPN 工具
– 在外部设立一个 VPN 服务器并用一个合法的域名标识– 在 VPN 服务器中运行 Iodined 和代理– 在内部网络的系统中运行 Iodine 客户端
• 客户端与服务器之间利用 DNS 报文格式完成身份认证和隧道建立
• 客户端基于该隧道使用 Raw UDP进行正常通信并借助代理实现翻墙
23 SEU
DNS 隐藏通道的检测测度特征类别 # 特征名称
数据包解析 F1 数据包解析异常F2 UDP 载荷长度F3 DNS消息长度F4 注入数据长度
请求域名 F5 标签数量F6 子域名字串长度F7 域名包含二进制数据F8 域名存储数据量
DNS消息 F9 编码域名含前向指针F10 含 CNAME 记录F11 回答段资源记录数据长度F12 全部资源记录数据长度
# 特征集说明 特征数
FS1 传入、传出及 DNS 数据包总数
3
FS2 含有前向指针、 CNAME
记录和二进制域名的数据包数量
3
FS3 数据包特征 F2, F3, F4, F5,
F6, F8, F11, F12 的统计参数
44
报文特征
连接特征
24 SEU
FS3特征通信特征比较
子域名长度比较
吞吐量比较 (KB)
类别 样本来源 样本数合法请求 校园网 DNS流量 18279
隐蔽通道 Iodine ( 6 类资源记录)
54
Dns2tcp ( 2 类资源记录)
18
DNSCat ( 2 类资源记录)
18
tcp-over-dns 12
25 SEU
监测结果
Pure_Domain 工作时间 ( 分 )
65975.com 15
jicha02.com 50
ooo1000.com 5
bdxxcq.com 10
tzeg.net 5
jzh2000.com 5
eqh365.com 5
时间: 2012 年 4 月 2号 15 : 13 到 4 月 3日 02:38
监测点:某校园网边界
26 SEU
结论• 网络态势感知的重要内容
– 知情可控:脆弱点、关键点– 基于 DPI 技术
• 可服务于多种目的– QoS– Surveillance– Censorship
• 部署可能– 校园网边界– 主干网接入边界
27 SEU
谢谢!
