关于人工智能:用DNS进行网络度量和安全分析

44次阅读

共计 4202 个字符,预计需要花费 11 分钟才能阅读完成。

明天为大家举荐由 360 网络安全研究院 - 平安剖析资深专家分享的议题《用 DNS 进行网络度量和平安剖析》,本课题简要论述了 DNS 协定的历史和倒退现状,在此基础上,联合 360 网络安全研究院的多年剖析 DNS 数据的教训,介绍了咱们利用 DNS 数据做过的一些对于大网方面的度量,并联合公司多维度的海量数据做的平安剖析方面的一些工作。

1

DNS 概述

DNS 协定对互联网的从业者来说并不生疏,它是互联网的最古老也是最根底和最外围的协定之一。简略来说的话,它最次要的性能是实现域名和 IP 地址的映射,即互联网的电话簿。

但 DNS 协定可能实现的性能远远不止于实现域名和 IP 地址的映射,很多古代互联网的根底业务都要基于 DNS 协定才可能实现,能够认为跟域名相干的业务简直都和 DNS 协定无关。依据 dns-camel 我的项目 [1] 统计,截止到 2019 年 6 月,共有 150 篇规范,倡议,最佳实际方面的 RFC,共有 2637 页,十分庞杂的内容。所以 DNS 协定理论的复杂度超出了大多数人对其的了解。

下图显示了 DNS 协定相干的 RFC 页数从 1984 年到 2019 年的变动量,能够看到从 1996 年开始,简直以每四年 500 页的速度在稳固减少。

也正因为如此根底和简单,简直所有的互联网业务都会在 DNS 数据中留下痕迹。应用了 DNS 服务的歹意行为也不例外,对 DNS 数据进行平安剖析,能够涵盖绝大多数的歹意行为。

本文从应用 DNS 数据角度来介绍一下能够做的事件。次要是两大类,别离为网络(业务的)度量和平安剖析。

2

网络度量

**DNS 劫持状况
**

同大多数晚期的互联网协议相似,DNS 协定在设计之初是以明文模式传输,反对 TCP 和 UDP 两种传输协定,并且在理论应用过程中次要以传输协定次要以 UDP 为主。

所以到当初,大多数的 DNS 申请和应答依然是基于 UDP 协定的明文模式进行传输,因而 DNS 劫持是 DNS 在理论环境中十分广泛的问题,为了对这个问题有个准确的度量。清华大学网络迷信与网络空间研究院和 360 公司单干,对寰球范畴内的 DNS 劫持状况做了一个定量的度量。测量计划通过申请随机化子域名(防止缓存服务器对申请域名的缓存)在不同的公共 DNS 服务器,从不同的申请类型,顶级域以及协定等维度的形式来探测 DNS 劫持的状况。

测量结果表明:

1.     基于 UDP 的 DNS 数据包更容易受到劫持。

2.     A 类型(IPv4 地址)的 DNS 申请比其余类型稍高。

3.     寰球的 8.5% 的自治域存在 DNS 劫持,其中包含像中国移动这种较大的 ISP。

4.     揣测 DNS 劫持的次要目标是为了缩小财务结算和进步 DNS 相应的性能。

具体的测量具体过程和残缺后果参见这里[2]。

小贴士:DNS 加密传输的停顿

针对 DNS 明文传输的问题,最近几年,业界曾经踊跃的推动起来了,客户端方面大的浏览器厂商(Firefox,Chrome,360 浏览器等)和操作系统厂商(包含 windows 和 macOS)逐渐开始反对 DoT/DoH;在服务器方面包含 360 平安 DNS[3]在内的公共 DNS 服务提供商都开始 DoT/DoH 服务,有条件的用户能够尝试一下,应该能够极大的缓解因为 DNS 劫持所引起的平安危险。

** 用 DNS 数据来度量 NTP pool 的应用状况
**

NTP pool 成立于 2003 年,是一个由志愿者组织起来的,由联网计算机的动静虚构群集组成,可向寰球数百万个零碎提供高度精确的工夫同步服务。它是大多数次要 Linux 发行版和许多联网设施的默认工夫服务器。

因为它的非凡工作形式,在 PDNS(参见上面的小贴士)中,它的域名和 IP 的映射关系在肯定水平上是随机的,特地像之前十分风行的僵尸网络规避攻打检测和防封堵应用的 Fastflux[4]。

为了摸清楚 NTP pool 的理论工作状况,咱们通过 DNS 数据对 NTP pool 做了一次度量。

次要有如下发现:

1.     服务器方面

  • NTP pool 服务器大略在 4000 左右,其中 IPv6 的占比在 25%,IPv4 占 75%。
  • NTP pool 服务器遍布寰球 97 个国家,不过次要次要集中在美、德、法、英、荷、加等发达国家。
  • 国内的服务器只占总服务器个数 2%,并且次要集中在香港,台湾,广东和北京,也是经济较为发达的地区。

2.     子域名方面:

  • TP pool 的子域名次要有三种划分形式:依照大洲,依照国家 / 地区,依照供应商。
  • NTP pool 的域名 DNS 申请中,大概 3% 的域名申请是有效的,次要是因为拼写错误或者零碎的 bug 导致的。
  • 依照供应商拜访的 NTP pool 服务会在肯定水平上裸露用户发动申请的客户端的类型。下图是咱们对不同供应商的 DNS 申请次数的统计:

3.     应用服务器效率方面:

a.    NTP pool 的在轮询服务器方面实践上来说是平衡的

b.   在实际操作中,收到地理位置以及不同服务器服务能力,服务策略的不同导致不同的 IP 提供服务的机会并不均等。

c.  TOP4000 的 RRset(约占总数的 1%)即可占总记录数的 41.21%,不同 RRset 的 CDF 图如下:

残缺的文章请参阅:https://blog.netlab.360.com/l…

小贴士:被动 DNS 零碎

与被动扫描(探测)不同,能够利用大量的被动 DNS 数据进行大规模的基于 DNS 数据的度量。所谓被动 DNS 也即 PassiveDNS(PDNS) 数据库是将历史 DNS 记录解析 / 交融 / 存储的零碎。通过被动的收集 DNS 流量,构建域名和 Rdata(域名的解析后果)之间的全量历史映射关系,实现域名和 Rdata 的互查,以及历史 DNS 记录的查问。

360 的 PDNS 零碎 (https://passivedns.cn) 是国内 …

** 其余的度量
**

利用 PDNS 能够实现很多其余的度量工作,比方:

1.     不同 CDN 厂商规模的评估

2.     黑灰色产业规模的评估

3.     新通用顶级域名(new gTLD)应用状况 /(在事实应用中的)抵触状况的评估

4.     域名在注册,备案以及解析尤其是波及到批量的域名解决时的相干状况的评估

5.     国家(波及域名方面)政策的执行状况的评估

6.     ……

总之在网络测量方面,只有波及到域名,DNS 数据简直就是人造的基准数据,只有设计正当的测量计划,就可能失去精确的后果。

3

平安剖析

面向 DNS 的平安剖析,大体可分为两类:

·      针对 DNS 协定和零碎自身的平安问题的剖析

  • DNS 投毒
  •  DNS 劫持
  •   伪随机前缀 DoS 攻打
  • NXNSAttack 攻打
  •  …

·      应用 DNS 数据来剖析相干的安全事件

  •  DNS 隧道
  • DNS 反射放大
  •  DGA
  • Fastflux
  •   …

DNSMon——基于 DNS 数据的威逼检测和剖析零碎

在日常工作中,针对 DNS 协定和零碎的攻打在 DNS 数据中有肯定的体现,但并不是利用 DNS 数据威逼发现的次要指标。如前所述,只有互联网应用域名的业务就会在 DNS 数据中留下本身的痕迹,恶意程序也不例外。因而从威逼发现的角度来说,应用 DNS 数据检测,剖析和阻断平安威逼是海量 DNS 数据发挥作用的次要场景。

为了可能更加及时高效的发现安全事件,360 公司开发了 DNSMon 零碎。该零碎以 DNS 数据在统计维度上的异样为出发点筛选初始域名,综合 web 页面数据,证书数据,whois 数据,沙箱以及蜜罐等多维度的数据,并联合高质量的 IOC 和 word2vec,LSTM 等深度学习算法,对产生异样的域名进行综合判断,标定其异样状态,给出较为确定性的标签。

对于标黑和高危域名能够录入威逼情报库供第三方应用。对于白和其余灰域名则录入标签库供第三方查问应用。

根本流程如下图:

零碎的劣势次要体现为如下三点:

·      准实时的解决和关联海量的数据。目前在于可能在百万 QPS 的 DNS 申请的状况下,交融多维度的其余数据源进行解决,达到小时级别的输入。

·      自动化水平高。每天可能主动产生千级别的黑域名和高危域名。

·      无先验常识的状况下能够大规模的阻断黑,高危域名

  • 永恒之蓝挖矿蠕虫及其系列变种
  •  MSRAminer 歹意挖矿程序及其系列变种
  • NuggetPhantom 恶意程序及其系列变种
  • DGA.popad 广告网络挖矿程序
  • Mylobot 僵尸网络
  • Godlua 后门
  • Burimi 挖矿蠕虫
  •  LSDMiner 挖矿恶意程序
  • 盗贼歹意 SDK 利用
  • 歹意利用某大型互联网厂商的评论系统漏洞刷广告流量
  • Skidmap 恶意程序
  • 更多案例请参考:https://blog.netlab.360.com/t…

平安剖析的其余方面

在对 PDNS 数据进行深入分析之后,咱们就会发现其实针对很多类型的攻打如果从 DNS 数据入口就会非常简单,可能达到事倍功半的成果。

1.     比方传统的采纳 DGA 技术和 fastflux 技术的僵尸网络从 DNS 数据动手是非常容易的。

2.     再比方某些黑灰行业他们在一直的改良本人的攻打手法时,其所应用的基础设施却是不变的,以某一个或者几个 IP/ 域名为入口通过 DNS 数据可能很快的将其余之前未发现的 IOC 关联进去。

3.     再比方一些恶意程序在运行时,在时序上有着十分稳固的程序,这种十分强的关联关系也会在 DNS 中留下十分显著的特色。只有在时序上构建较好的模型,咱们就可能对域名进行聚类和扩大剖析,从而无效的进步剖析效率。

4.     …

4

** 总结
**

近年来 DNS 协定正向着更重视隐衷性,安全性方面疾速倒退。而针对 DNS 数据的剖析则在对度量 DNS 协定倒退状况,对依靠于 DNS 数据所做的平安剖析方面,尤其是在威逼情报的生产方面施展着越来越重要的作用。

毫无疑问,DNS 协定对将来互联网的倒退起着重要的作用,只管咱们还不晓得它将走向何处,会给将来的网络带来哪些影响,当初是体验这个变动过程的最好机会。无论是对 DNS 数据做平安剖析还是利用 DNS 做各种度量,DNS 这个宝库都值得深刻摸索和开掘。

参考资料

1.     https://powerdns.org/dns-camel/

2.     https://www.usenix.org/system…

3.     https://dns.360.cn/

4.     https://en.wikipedia.org/wiki…:~:text=Fast%20flux%20is%20a%20DNS,compromised%20hosts%20acting%20as%20proxies.

正文完
 0