域名系統(tǒng)對(duì)防DDoS攻擊的部署方案

周寶瑞 北京電信規(guī)劃設(shè)計(jì)院有限公司

劉衛(wèi) 中訊郵電咨詢?cè)O(shè)計(jì)院有限公司

發(fā)展策略

域名系統(tǒng)對(duì)防DDoS攻擊的部署方案

周寶瑞 北京電信規(guī)劃設(shè)計(jì)院有限公司

劉衛(wèi) 中訊郵電咨詢?cè)O(shè)計(jì)院有限公司

通過分析電信運(yùn)營(yíng)商域名系統(tǒng)的部署方式和特性，詳細(xì)闡述了域名系統(tǒng)邊界部署防DDoS設(shè)備的監(jiān)測(cè)和流量清洗過程，并通過防護(hù)體系的建立，可有效提高運(yùn)營(yíng)商域名系統(tǒng)的安全，為用戶提供良好的服務(wù)。

域名系統(tǒng) 分布式拒絕服務(wù)攻擊 分布式部署 監(jiān)測(cè) 流量清洗

1 引言

域名系統(tǒng)（DomainNameSystem，DNS）是Internet的重要組成部分，負(fù)責(zé)將Internet中的域名和IP地址進(jìn)行相互轉(zhuǎn)換，同時(shí)也是多項(xiàng)互聯(lián)網(wǎng)應(yīng)用服務(wù)（如WWW、E-mail、流媒體等）必不可少的重要前提。由于DNS是用戶進(jìn)行互聯(lián)網(wǎng)應(yīng)用體驗(yàn)的基礎(chǔ)，為了適應(yīng)網(wǎng)絡(luò)的發(fā)展和用戶的需求，提升運(yùn)營(yíng)商的形象與效益，要求DNS系統(tǒng)能提供高質(zhì)量、高性能、高安全的域名解析業(yè)務(wù)。

隨著運(yùn)營(yíng)商對(duì)于大寬帶的推廣以及互聯(lián)網(wǎng)應(yīng)用的多樣性，對(duì)DNS負(fù)載壓力進(jìn)一步加大，另外隨著互聯(lián)網(wǎng)的迅猛發(fā)展和技術(shù)的進(jìn)步，網(wǎng)絡(luò)安全事件頻繁發(fā)生，各種針對(duì)DNS系統(tǒng)的攻擊行為不斷升級(jí)，目前針對(duì)DNS系統(tǒng)的常見攻擊有分布式拒絕服務(wù)攻擊（DDoS）、DNS緩存毒化、DNS劫持、緩沖區(qū)漏洞溢出攻擊、拒絕服務(wù)攻擊等，隨著各種攻擊工具的泛濫，其中DDoS攻擊的效果明顯，影響時(shí)間長(zhǎng)，發(fā)現(xiàn)和處理困難，導(dǎo)致DDoS攻擊事件日益增多。

針對(duì)DNS系統(tǒng)的DDoS攻擊引起了電信運(yùn)營(yíng)商的高度重視，一些電信運(yùn)營(yíng)商在骨干網(wǎng)絡(luò)中進(jìn)行安全設(shè)備部署，但是效果不佳。綜合分析，和DNS系統(tǒng)采用的部署方式、DNS特性等有密切關(guān)系。因此，運(yùn)營(yíng)商必須依據(jù)相應(yīng)的特性，提出相應(yīng)的解決措施，提升系統(tǒng)的安全能力水平。

2 電信運(yùn)營(yíng)商DNS系統(tǒng)部署方式

電信運(yùn)營(yíng)商DNS系統(tǒng)主要為寬帶和移動(dòng)用戶提供互聯(lián)網(wǎng)域名解析的業(yè)務(wù)，依據(jù)分區(qū)、快速地為用戶提供服務(wù)的思想，目前的主流部署方式為分布式部署。

采用Anycast技術(shù)進(jìn)行分布式部署，通過交換機(jī)+服務(wù)器進(jìn)行建設(shè)，節(jié)點(diǎn)數(shù)量大多在兩個(gè)以上。具體的部署方式如圖1所示。

DNS系統(tǒng)的三層交換機(jī)與各服務(wù)器運(yùn)行OSPF路由協(xié)議，同時(shí)向外宣告DNS平臺(tái)的所有服務(wù)地址，并將服務(wù)地址廣播到城域網(wǎng)路由器，城域網(wǎng)路由器通過重分布，將服務(wù)地址廣播整個(gè)城域網(wǎng)內(nèi)，使得DNS各節(jié)點(diǎn)就近為對(duì)應(yīng)區(qū)域的用戶提供解析服務(wù)。就近功能的實(shí)現(xiàn)除了采用Anycast技術(shù)外，DNS節(jié)點(diǎn)所上聯(lián)的網(wǎng)絡(luò)中路由器對(duì)應(yīng)的層級(jí)以及Metric值的設(shè)置都對(duì)其服務(wù)范圍有影響?？傮w來說，實(shí)現(xiàn)DNS節(jié)點(diǎn)的就近解析對(duì)其上聯(lián)網(wǎng)絡(luò)情況依賴較重。

當(dāng)某一個(gè)節(jié)點(diǎn)故障或者異常時(shí)，業(yè)務(wù)服務(wù)解析請(qǐng)求可由就近其他節(jié)點(diǎn)自動(dòng)接管；同時(shí)，DNS系統(tǒng)采用此種架構(gòu)的部署方式，由于節(jié)點(diǎn)多，流量進(jìn)行了一定分散，也可有效防御小流量的DDoS攻擊。

3 常規(guī)安全防護(hù)措施的局限性

關(guān)于DNS系統(tǒng)的安全，尤其是對(duì)攻擊的防護(hù)和處理一直是運(yùn)營(yíng)商比較關(guān)注的問題，通過在IP骨干網(wǎng)絡(luò)中部署一些安全設(shè)備，但效果不佳，總結(jié)分析，主要有兩大部分原因：DNS解析的特性和常規(guī)安全設(shè)備的防護(hù)機(jī)制。

圖1 DNS系統(tǒng)分布式部署網(wǎng)絡(luò)示意圖

DNS解析的特性包含：

●DNS以UDP為主，不需要校驗(yàn)、無狀態(tài)、無連接，更難用校驗(yàn)的方式來識(shí)別攻擊。

●DNS解析的特征發(fā)散、規(guī)律性不強(qiáng)，單域名、單IP的查詢頻率的波動(dòng)性很大，無法靠簡(jiǎn)單的特征來加以識(shí)別。

●DNS解析包小，當(dāng)對(duì)網(wǎng)絡(luò)帶寬占用不大時(shí)，實(shí)際對(duì)DNS系統(tǒng)的攻擊造成影響卻比較大。

●DNS系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性較大，如果骨干網(wǎng)絡(luò)中集中部署安全設(shè)備，將影響“區(qū)域化就近解析”的系統(tǒng)架構(gòu)，并且攻擊流量上升到IP網(wǎng)城域網(wǎng)核心層調(diào)度，會(huì)對(duì)IP網(wǎng)核心層正常DNS解析流量造成一定影響。

常規(guī)安全設(shè)備的防護(hù)機(jī)制：

●目前的防火墻類安全設(shè)備以網(wǎng)絡(luò)層、傳輸層協(xié)議內(nèi)容的分析為主，而DNS的攻擊數(shù)據(jù)往往在這些層的報(bào)文是完全合法的，只有對(duì)報(bào)文應(yīng)用層的數(shù)據(jù)進(jìn)行綜合分析，根據(jù)報(bào)文應(yīng)用層的特征進(jìn)行分析，才能較準(zhǔn)確地識(shí)別攻擊數(shù)據(jù)包。

●目前的安全防護(hù)設(shè)備在啟用防護(hù)時(shí)，以限制并發(fā)連接數(shù)為主，對(duì)HTTP類的訪問有效，但對(duì)于DNS解析不適用。

●適用于IP城域網(wǎng)的流量檢測(cè)設(shè)備無法定位此類相對(duì)較小流量，無法有效獲取此部分攻擊特性。

基于以上兩方面分析，對(duì)于防DDoS對(duì)DNS系統(tǒng)的攻擊最好的部署方式是在DNS節(jié)點(diǎn)邊界進(jìn)行針對(duì)DNS特性和攻擊的防御性部署。

4 DNS部署防DDoS攻擊方案

4.1 系統(tǒng)部署架構(gòu)

為了實(shí)現(xiàn)對(duì)DNS系統(tǒng)有效的DDoS防護(hù)，同時(shí)不因DDoS防護(hù)設(shè)備故障等原因影響DNS節(jié)點(diǎn)正常服務(wù)，DNS系統(tǒng)各節(jié)點(diǎn)邊界部署攻擊防護(hù)設(shè)備時(shí)一般采用旁掛的方式，防護(hù)部署架構(gòu)如圖2所示。

在DNS系統(tǒng)節(jié)點(diǎn)邊界部署防DDoS設(shè)備，DNS服務(wù)器的流量通過交換機(jī)端口鏡像的方式，采用DPI技術(shù)，將所有的流量復(fù)制至攻擊防護(hù)系統(tǒng)，系統(tǒng)實(shí)時(shí)分析處理流量，并在攻擊發(fā)生時(shí)引導(dǎo)流量至防護(hù)系統(tǒng)。

防護(hù)系統(tǒng)對(duì)流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，對(duì)于攻擊與疑似攻擊流量進(jìn)行動(dòng)態(tài)智能篩選甄別，在過濾掉攻擊流量的同時(shí)，可以保證正常流量的安全傳輸，對(duì)目標(biāo)服務(wù)器進(jìn)行保護(hù)。

4.2 DNS監(jiān)測(cè)

DDoS防護(hù)系統(tǒng)監(jiān)測(cè)DNS系統(tǒng)各節(jié)點(diǎn)情況，先對(duì)流量數(shù)據(jù)進(jìn)行多維度統(tǒng)計(jì)分析，判斷系統(tǒng)是否有異常和攻擊流量。

首先對(duì)DNS服務(wù)器中的源IP、目的IP、查詢類型、查詢域名等DNS查詢相關(guān)信息進(jìn)行統(tǒng)計(jì)分析，特征信息統(tǒng)計(jì)舉例如圖3所示。

圖2 系統(tǒng)防護(hù)部署架構(gòu)

圖3 特征消息統(tǒng)計(jì)圖

DNS查詢流量相關(guān)信息構(gòu)成了單一報(bào)文的特征信息，而DNS服務(wù)器的全體輸入查詢報(bào)文的對(duì)應(yīng)條目信息，則構(gòu)成了整個(gè)DNS網(wǎng)絡(luò)環(huán)境的特征信息。同時(shí)，這些特征信息包括QPS曲線統(tǒng)計(jì)、源IP分布統(tǒng)計(jì)、QN（QueryName）長(zhǎng)度分布統(tǒng)計(jì)、IP空間統(tǒng)計(jì)、域名空間統(tǒng)計(jì)、源IP校驗(yàn)名單（黑白色）、QN校驗(yàn)名單（黑白色）等構(gòu)成了防護(hù)系統(tǒng)監(jiān)測(cè)的基本維度。

通過多維聯(lián)合方式，不同的維度代表不同的網(wǎng)絡(luò)特征，維度間有相互關(guān)聯(lián)的，也有相互獨(dú)立的，防護(hù)設(shè)備則是通過訓(xùn)練和學(xué)習(xí)不斷優(yōu)化自身數(shù)據(jù)和DNS網(wǎng)絡(luò)環(huán)境的相似度，從而對(duì)于攻擊與疑似攻擊流量進(jìn)行動(dòng)態(tài)智能篩選甄別，為異常和攻擊流量清洗奠定了基礎(chǔ)。

4.3 流量清洗流程

依據(jù)防護(hù)系統(tǒng)對(duì)現(xiàn)網(wǎng)DNS系統(tǒng)環(huán)境的監(jiān)測(cè)和統(tǒng)計(jì)分析，當(dāng)防DDoS設(shè)備檢測(cè)到異常和攻擊流量時(shí)，啟動(dòng)流量清洗流程，清洗流程如圖4所示。

（1）首先進(jìn)行預(yù)清洗

包括傳統(tǒng)的ACL策略、非法格式清洗、域名通配清洗策略，用于清洗無效IP/端口，畸形DNS查詢包，以及針對(duì)已知域名的攻擊流量。

（2）權(quán)重分配

依據(jù)防護(hù)系統(tǒng)監(jiān)測(cè)時(shí)的學(xué)習(xí)統(tǒng)計(jì)后，每一條DNS查詢包配發(fā)權(quán)重（優(yōu)先級(jí)），當(dāng)發(fā)生隨機(jī)源IP DDoS攻擊時(shí)，離散的攻擊包優(yōu)先級(jí)會(huì)與正常流量迥異，根據(jù)此種差異，第4層出口流量限速可以讓正常流量?jī)?yōu)先通過。

（3）名單清洗

基于名單的清洗策略最精確，可根據(jù)情況設(shè)置對(duì)應(yīng)的黑名單，若發(fā)現(xiàn)某個(gè)IP/域名超出設(shè)定閾值，即自動(dòng)將其設(shè)置為黑名單并清洗，可實(shí)現(xiàn)對(duì)固定域名DDoS攻擊的發(fā)現(xiàn)，另外也可基于IP/域名對(duì)所有的DNS訪問進(jìn)行限速，超過設(shè)定閾值的訪問部分將被清洗。

（4）出口限速

基于權(quán)重的流量清洗是抵御隨機(jī)源IPDDoS攻擊的主要手段，通過防護(hù)系統(tǒng)的自主學(xué)習(xí)與訓(xùn)練，設(shè)備可獲得正常流量的IP分布狀況，使得正常流量與離散的攻擊流量在通過優(yōu)先級(jí)上有所區(qū)分，當(dāng)出現(xiàn)出口流速超過設(shè)定閾值時(shí)，啟動(dòng)權(quán)重丟包機(jī)制，確保正常流量能最大限度通過。具體示例如圖5所示。

圖4 清洗流程圖

圖5 流量清洗示意

通過以上幾個(gè)清洗流程，將分辨出來的攻擊流量直接丟掉，不讓流量進(jìn)入系統(tǒng)內(nèi)部，不占用DNS系統(tǒng)資源，從而增加DNS系統(tǒng)對(duì)攻擊的防護(hù)能力。

5 結(jié)束語

在電信運(yùn)營(yíng)商的DNS系統(tǒng)中，對(duì)風(fēng)險(xiǎn)較高的節(jié)點(diǎn)邊界部署DDoS防護(hù)系統(tǒng)，可實(shí)現(xiàn)對(duì)固定域名DDoS攻擊、隨機(jī)域名DDoS攻擊、偽造源IPDoS攻擊、偽造域名DoS攻擊等的防護(hù)，有效提高了DNS系統(tǒng)的安全防護(hù)能力，使得運(yùn)營(yíng)商的服務(wù)更加安全和可靠。

1 阿爾卡茲.DNS與BIND.清華大學(xué)出版社

2 RFC1034標(biāo)準(zhǔn).域名:概念和設(shè)施

3 張華健.基于DNS與分層技術(shù)的Anycast實(shí)現(xiàn).南京郵電大學(xué)

4 華山.基于Anycast架構(gòu)DNS進(jìn)行流量清洗部署方案的演進(jìn)分析

5 歐帥.DNS拒絕服務(wù)攻擊的防護(hù)系統(tǒng)的研究與設(shè)計(jì).南京郵電大學(xué)

6 張小妹.基于DNS的拒絕服務(wù)攻擊研究與防范.解放軍信息工程大學(xué)

AntiDDoS Attack Deployment Solution for DNS

The thesis analyses deployment and characteristics of telecom operators domain name system. We elaborated monitoring and flow cleaning process through deploying the anti-DDoS equipment at boundary of the domain name system. By establishing a protection system,We can effectively improve the security of the operator’s domain name system, to provide users withgoodservice.

DNS,DDoS,distributed deployment, monitoring ,flow cleaning

2015-04-20）