360 DNS安全白皮书

声明

本文是学习360 DNS安全白皮书. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

背景介绍

今天，互联网已成为我们生活中不可或缺的一部分。从社交到金融、购物再到旅游，我们生活的方方面面都离不开互联网的支持。但是随着互联网的广泛使用，相关的问题也开始一一浮现，在这其中网络安全更是成为大多数网络用户首要关注的问题。同时伴随着网络的飞速发展，网络攻击的常态化也让越来越多的政府机构、企业和个人用户感到头疼，众多国内外一线企业以及知名人士都曾成为网络攻击的受害者。

而在形式众多的网络攻击中，DNS 攻击可以说是最为常见的一种，但是它的存在感却一直较低，那么接下来就让我们来了解下什么是 DNS 攻击，以及看看它是如何展开工作的。

DNS 定义

DNS，全称 Domain Name System，即域名解析系统，是 Internet 的一项核心基础服务。它通过使用分层的分布式数据库来处理 Internet 上的域名和 IP 地址之间的映射，主要用于 Internet 等 TCP/IP 网络中。当用户在应用程序中输入域名时，DNS 服务可以将此域名解析为对应的 IP，也就是说当我们访问一个网站时，其实访问的是网站的 web 服务器，而每台服务器在互联网上都有唯一的数字格式的 IP 地址标识。

DNS 对我们和所有的联网设备使用网络服务非常关键，是网络的基础设施。其重要性主要体现在两方面：一是为整个互联网应用提供基石。从目前来说不管是传统的 PC 和手机端，还是新基建中着力发展的 5G、物联网、工业互联网和卫

星互联网，都需要通过 DNS 协议访问服务器；二是随着新经济的发展，网络空间内的经济活动逐渐增加且愈发重要，域名和 IP 作为整个互联网的基础要素， 逐渐成为一国在网络空间内的战略资源。

DNS 工作原理

DNS 的出现让用户在进行域名访问时更加简单便捷。以 360 官网为例，其唯一的数字格式 IP 地址为：36.110.213.10，如果每次打开网站都需要记忆和输入这样的点分十进制数字串是很不方便的。但如果我们输入域名，类似www.360.cn 这样的形式，相对来说就更便于记忆。DNS 的作用就是将域名翻译成 IP 地址供客户端使用，简单来说就相当于手机里的电话簿，通过相关手段将电话号码与姓名互相映射。

图 1 DNS 工作流程

DNS 的工作流程主要分为客户端和服务器两个部分，客户端作为提问者向服务器询问某个域名，服务器则根据域名回答对应的 IP 地址。在实际的使用中，当用户在浏览器中键入域名 www.360.cn 时，主要的流程为：

1. 浏览器客户端向所配置的递归域名服务器发出解析 www.360.cn 域名的 DNS 请求报文（图中的 Q1）。相当于对递归域名服务器说“请给我www.360.cn所对应的 IP 地址”。
2. 递归域名服务器收到请求后，先查询本地缓存。假设没有查到该域名对应记录，则递归域名服务器向所配置的根域名服务器发出请求解析.cn 域名的DNS 请求报文（图中的 Q2）。
3. 根域名服务器收到查询请求后，通过查询得到.cn 顶级域名所对应的顶级域名服务器，然后向递归域名服务器返回一条应答报文（图中的 A1）。相当说“我现在告诉.cn 域名所对应的顶级域名服务器地址”。
4. 递归域名服务器在收到根域名服务器的 DNS 应答报文，得到.cn 顶级域名所对应的顶级域名服务器地址后，再次向对应的顶级域名服务器发送一条请求解析 360.cn 域名的 DNS 请求报文（图中的 Q3）。

（5）.cn 顶级域名服务器在收到 DNS 请求报文后，先查询自己的缓存，假设也没有该域名的记录项，则查询 360.cn 所对应的权威域名服务器，然后也向本地名称服务返回一条 DNS 应答报文（图中的 A2）。相当于说“我现在告诉你360.cn 域名所对应的权威域名服务器地址”。

（6）递归域名服务器在收到.cn 顶级域名服务器的 DNS 应答报文，得到360.cn 二级域名所对应的权威域名服务器地址后，再次向对应的权威域名服务器发送一条请求解析 www.360.cn 域名的 DNS 请求报文（图中的 Q4）。

（7）360.cn 权威域名服务器在收到 DNS 请求报文后，在它的 DNS 区域数据库中查找，最终得出了 www.360.cn 域名所对应的 IP 地址。然后向递归域名服务器返回到条 DNS 应答报文（图中的 A3）。相当于说“www.360.cn 域名的IP 地址为 36.110.213.10”。

（8）递归域名服务器在收到权威域名服务器后，向 DNS 客户端返回一条DNS 应答报文（图中的 A4），告诉浏览器所得到的 www.360.cn 域名的 IP 地址，这样浏览器就可以正常访问这个网站了。

DNS 相关安全问题

总体来说，DNS 相关的安全问题可以分为两类：针对 DNS 的攻击和利用DNS 进行的攻击。其中：

• 针对 DNS 的攻击。又分为针对 DNS 协议的攻击和针对 DNS 服务器的攻击。其主要思路是利用 DNS 协议或服务器的弱点，通过攻击 DNS 服务或服务器的方式来达到攻击使用 DNS 服务的其他网络业务的目的；
• 利用 DNS 进行的攻击。其主要思路是恶意代码利用 DNS 通道，实现与远程控制中心的通信，从而执行报活、传输窃取到的数据、获取攻击指令和执行攻击指令等恶意操作。

图 2 DNS 相关安全问题

下面我们分别看一下这两种不同类别的典型攻击方式：

针对 DNS 的典型攻击

• DDOS 攻击

DDoS 攻击（Distributed Denial of Service)也叫做分布式拒绝服务攻击，攻击者所针对的目标是服务可用性。他们通过操纵大量傀儡机，利用目标系统网络的服务功能缺陷或者消耗其系统资源，使得该目标系统无法提供正常的服务。

虽然随着互联网技术的发展，计算机的处理能力逐年增长，让该攻击方式的困难程度加大了，但是相比基本的 DoS 攻击，DDoS 可以通过利用更多的傀儡机

（肉鸡）来发起进攻，只要攻击者控制了足够多的肉鸡持续进行攻击，就能够使被攻击者的网络服务被拖垮至发生中断。而且由于 DDoS 的攻击方式可以在攻击时对源 IP 地址进行伪造，隐蔽性极强，因此对于该种攻击的检测也相对困难， 难以防范。

针对 DNS 服务的 DDoS 攻击会导致 DNS 服务不可用，从而使得一切需要使用到该 DNS 的网络服务都无法正常运行，导致大面积网络故障，带来经济损失， 甚至其他更严重的后果。

• DNS 缓存投毒

DNS 缓存投毒，是一种十分普遍的攻击。它是利用虚假 Internet 地址替换掉域名系统表中的地址，进而制造破坏。攻击者通过查找并利用 DNS 或域名系统中存在的漏洞，以便将有机流量从合法服务器吸引到虚假服务器上。当网络用户 在带有该虚假地址的页面中进行搜寻并访问某链接时，网页浏览器由于受到该虚 假条目的影响而打开了不同的网页链接，在这种情况下蠕虫、木马、浏览器劫持 等恶意软件就可能会被下载到本地用户的电脑上，导致很多严重的安全问题出现。

之前在对 DNS 工作原理进行介绍时本文曾提到，实际使用中当用户在浏览器中键入域名时，会首先在本地缓存服务器中寻找结果，并且所有的应答信息都将被缓存在本地缓存服务器中，因此攻击者利用这一特性，先是将假的地址植入到 DNS，然后让服务器对假地址进行缓存记录，最终在用户键入网址时把流量牵引到攻击者服务器，完成缓存投毒的整个攻击流程。

DNS 缓存投毒的主要风险是窃取用户数据，因此该攻击的主要目标为医院、金融机构和在线零售商。一旦目标被攻击成功，就意味着任何密码，信用卡或其他个人信息都可能受到损害。另外如果互联网安全提供商的网站被欺骗，那么用户的计算机还可能会受到如病毒或特洛伊木马等的影响。

• DNS 流量劫持

所谓的 DNS 流量劫持是指用户在进行网页浏览时，被强制访问某些网页， 或者在 App 使用中出现弹窗等现象。目前在移动互联网环境下，流量劫持主要分为两类：

• 域名劫持。表现为在用户正常联网状态下(如 3G、4G 和 WiFi 等状态)， 目标域名会被恶意地错误解析到其他 IP 地址上，造成用户无法正常使用服务。
• 数据劫持。对于返回的内容，会在其中强行插入弹窗或嵌入式广告等其他内容，干扰用户的正常使用，对用户体验构成极大伤害。

流量劫持不仅会给用户造成损害，也会让相关互联网公司的商誉和利益被严重伤害。同时由于劫持流量者提供的信息服务完全脱离监管，也可能存在着传播诈骗、色情等低俗甚至严重违法信息的现象。

利用 DNS 的典型攻击

不管是钓鱼网站、垃圾邮件，还是僵尸网络、勒索软件，甚至 APT，绝大多数网络恶意行为都避不开对 DNS 的使用。其中典型的攻击方式有：

• DNS 隐蔽隧道

DNS 隐蔽隧道(DNS Tunneling)是将其他协议的内容封装在 DNS 协议中， 然后通过 DNS 通信完成传输数据的技术。由于 DNS 是网络的基础设施，所以网络出入口处的防火墙等安全设备几乎不会过滤掉 DNS 流量，于是这就给了攻击者机会来利用 DNS 实现下发远程控制指令、进行文件传输等操作。

DNS 隐蔽隧道又分为直连隧道和中继隧道。其中，直连隧道是指：客户端直接和指定的 DNS 服务器建立连接，然后将需要传输的数据通过 DNS 协议进行通信。这种方式的优点是具有较高速度，但蔽性弱、易被探测追踪的缺点也很明显。而中继隧道是指：客户端通过 DNS 迭代查询而实现的 DNS 隧道，这种方式非常隐秘，而且可在绝大部分场景下部署成功。但由于数据包到达目标

DNS 服务器前需要经过多个节点的跳转，数据传输速度和传输能力比直连方式慢很多。

在实际攻击行为中用到 DNS 隐蔽隧道的场景，对隐蔽性要求很高，而速度相对来说没那么重要，因此中继隧道被使用的更多。

• DNS 反射放大攻击

DNS反射放大攻击主要是利用DNS回复包比请求包大的特点，放大流量，伪造请求包的源IP地址为受害者IP，将应答包的流量引入受害的服务器。

![

正常DNS查询方式

![

DNS攻击方式

攻击者通过不断向DNS服务器发送伪造了源IP地址的解析请求，从而放大攻击流量。发送的 DNS 查询请求数据包大小一般为 60 字节左右，而查询返回结果的数据包大小通常为 3000 字节以上，因此，使用该方式进行放大攻击能

够达到 50 倍以上的放大效果。只要能够控制足够多的终端向DNS服务器发送伪造了源IP的DNS解析请求，就能够实现对该IP对应服务的DDoS攻击。

DNS 攻击（给客户）带来的危害

作为互联网世界的道路交通导航系统，如果 DNS 服务被黑客攻击，就会造成互联网导航系统的全面中断或混乱。其中最为明显的结果就是无法正常上网， 或者网络访问被错误的导航到其他的服务器上，比如本来要访问电商网站，却被

错误的 DNS 服务导航到钓鱼网站，那么网民在钓鱼网站输入的帐号密码信息就会被盗，给用户带来信息泄露以及金钱上的损失。

而大规模的 DNS 劫持，则往往会造成断网，因为大型网站的访问量较大， 一般的钓鱼网站服务器无法承受大流量的访问而瞬间瘫痪，网民也就无法访问相关网页。

虽然如今已有很多企业开始全力以赴地应对网络安全威胁，以期能检测和规避网络攻击，但依然还有大部分企业并没有对 DNS 安全起到足够重视，因此仍有大量相关企业的数据、资产和信誉长期处于风险之中。

思科曾在 2016 的年度安全报告中提出，近 91.3%的已知恶意软件被发现使用DNS 作为主要手段，但 68%的企业却忽略了这个问题，并没有对 DNS 解析进行监测，思科将这种现象称之为“DNS 盲点”。同时 Coleman Parkes 公司发布的《2017 全球DNS 威胁调查》报告也表明，DNS 攻击造成的年度平均损失是 220 万美元， 76%的公司企业在过去 12 个月中成为了 DNS 攻击的受害者（比去年上涨 2%）。

2019 年 IDC 全球 DNS 威胁报告更是指出，全球有 82%的企业遭受过 DNS 攻击，

63%的企业因为 DNS 攻击导致业务中断，平均损失超过 100 万美金。

以上的种种数据均表明，DNS 的攻击形势愈加严峻，有越来越多的企业因为DNS 攻击而受到影响，因此如何通过有效手段对 DNS 数据进行分析，实现识别和检测以达到减少网络恶意行为的发生正变得非常重要。

延伸阅读

更多内容 可以 360 DNS安全白皮书. 进一步学习

联系我们

DB51-T 1815-2014 白酒感官质量省评委考核规范 四川省.pdf