基于DNS的网络攻击行为监测

DNS是网络环境相对薄弱的一环，非常容易受到攻击和入侵。目前网络环境中发生较多的DNS攻击大概有，DNS缓存感染，DNS信息劫持，DNS重定向，ARP欺骗，本机劫持等多种方式。基于DNS的网络行为监控则是通过对DNS攻击报文的分析再辅之spark来达到实时监控和防范的目的，实现一个系统的网络安全态势感知平台的功能。其中，本文只对DNS攻击的特征进行分析。

DNS信息劫持的分析监测

DNS信息劫持，又叫DNS欺骗，发生DNS欺骗时，Client最少会接收到两个以上的应答数据报文，报文中都含有相同的ID序列号，一个是合法的，另一个是伪装的。据此特点，有以下两种检测办法：(1)被动监听检测。即监听、检测所有DNS的请求和应答报文。通常DNS Server对一个请求查询仅仅发送一个应答数据报文(即使一个域名和多个IP有映射关系，此时多个关系在一个报文中回答)。因此在限定的时间段内一个请求如果会收到两个或以上的响应数据报文，则被怀疑遭受了DNS欺骗。(2)主动试探检测。即主动发送验证包去检查是否有DNS欺骗存在。通常发送验证数据包接收不到应答，然而黑客为了在合法应答包抵达客户机之前就将欺骗信息发送给客户，所以不会对DNS Server的IP合法性校验，继续实施欺骗。若收到应答包，则说明受到了欺骗攻击。

DNS反射放大攻击监测

DNS反射放大攻击是一种通过向开放的DNS服务发送伪造源发地址的查询请求来将应答流量导向攻击目标的一种拒绝服务攻击手段。此类攻击主要利用回复包比请求包大的特点，伪造请求包的源IP地址，将应答包引向被攻击的目标。DNS反射放大攻击特征如下：

DNS回复超过512字节

攻击者为了达到攻击目的，响应包大小往往超过限制的512字节，放大倍数一般超过10倍以上。

短时间内某一SIP请求数量骤增

攻击者利用”肉鸡“发起请求攻击，使用循环发送请求方式对攻击者进行访问，因为请求资源记录中的>SIP都被伪造为被攻击者的IP，所以DNS服务器在短暂时间段内会接收到同一个SIP的多个请求记录。

查询类型以ANY为主(query)

每个查询类型一般都对应固定的响应比例长度，比如A类型响应资源长度一般是固定的32位字节IP地址，MX和ANY类型的响应记录一般是不固定的长度，也最容易被攻击者利用。OPT RR字段中的UDP报文大小设置为很大的值(query)

攻击者会将OPT RR字段重点额UDP报文大小设置为很大的值，Additional records中的UDP payload

size的值很大

size的值很大，通过这样的放大了攻击流量，发送的DNS查询请求包大小一般为60字节左右，而查询返回结果的数据包大小通常为3000字节或者更大，使攻击流量放大几十倍。

DNS僵尸网络监测

根据僵尸网络的恶意域名与人工生成的合法域名之间的统计特征区别进行量化分析后对两者进行区分。根据各个特征的特点，将以下特征分成两类，分别是“静态特征”和“动态特征”。静态特征指那些直接反应在DNS数据记录中的不需要更具访问时间段进行计算处理的特征指标。“动态特征”则是指那些需要根据DNS访问信息，结合其他域名的相关信息进行联合计算所得到的跟时间相关的特征。

静态特征

1 域名相应TTL小于300。TTL<100

2 域名字符长度大于10个字符。Domain<10

3 域名字符串组成中数字和字母混杂。数字字符分散在字母字符中间。

动态特征

4 域名被大量用户请求，但获取nxdomain回复。每天解析为nxdomain的次数超过1000。

5 域名解析分布非常不均匀，具有突发性。将每天的数据根据时间段分为若干段。获取分布特征。Distribute(D) = MAX6(count(Ti)) / ∑count(Ti) < 0.9

结束

通过DNS报文不仅可以分析出DNS攻击的特征，而且也可以用DNS报文来监测一些诸如僵尸网络等，网络异常行为。有了这些网络安全监测系统的实现水到渠成。