• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    DNS攻擊檢測與安全防護(hù)研究綜述

    2022-10-09 06:53:50章堅武安彥軍鄧黃燕
    電信科學(xué) 2022年9期
    關(guān)鍵詞:域名數(shù)據(jù)包信道

    章堅武,安彥軍,鄧黃燕

    (1. 杭州電子科技大學(xué),浙江 杭州 310018;2. 浙江宇視科技有限公司,浙江 杭州 310051)

    0 引言

    隨著物聯(lián)網(wǎng)、AI、云技術(shù)的日益普及,傳統(tǒng)互聯(lián)網(wǎng)正向“互聯(lián)網(wǎng)+物理設(shè)備”[1]、“互聯(lián)網(wǎng)+AI”[2]和“互聯(lián)網(wǎng)+云”[3]等“互聯(lián)網(wǎng)+”逐漸演變,這些演變使連接人、物、應(yīng)用和數(shù)據(jù)的網(wǎng)絡(luò)迎來了一個全新的時代。2021年互聯(lián)網(wǎng)域名系統(tǒng)國家工程研究中心主任毛偉表示,“互聯(lián)網(wǎng)發(fā)展至今,域名系統(tǒng)(2omain name system,DNS)早已超越了簡單的解析功能,成為涵蓋‘網(wǎng)絡(luò)空間’‘互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)資源’‘軟硬件技術(shù)系統(tǒng)’在內(nèi)的支撐全球互聯(lián)網(wǎng)‘互聯(lián)互通、共享共治’的重要基石”,并提出了下一代DNS的概念:從基礎(chǔ)解析尋址向“全面感知、可靠傳輸、智能分析、精準(zhǔn)決策”的新模式升級[4]。然而DNS的安全脆弱性[5]導(dǎo)致新模式下的DNS面臨更加嚴(yán)峻的安全挑戰(zhàn)。例如,隨著萬物互聯(lián)的不斷發(fā)展,智能醫(yī)療設(shè)備、穿戴設(shè)備涉及更多敏感隱私數(shù)據(jù),攻擊者通過DNS隱蔽信道不僅可以竊取其敏感數(shù)據(jù),還可以通過惡意指令對數(shù)據(jù)進(jìn)行更改,危害用戶健康[6]。同時,DNS面臨大規(guī)模DDoS(2istribute2 2enial of service)攻擊的風(fēng)險[7]。云環(huán)境中大量數(shù)據(jù)存儲在云端,基于DNS欺騙和DNS隱蔽信道的數(shù)據(jù)泄露嚴(yán)重威脅云端數(shù)據(jù)安全,同時云環(huán)境下域名集中化管理,使云端DNS服務(wù)遭受DDoS攻擊造成的損失更加嚴(yán)重[8]。新模式下的DNS涉及公共通信、信息服務(wù)、金融、電子政務(wù)、國防科技等重要領(lǐng)域,遭到攻擊會喪失服務(wù)功能或者泄露重要數(shù)據(jù),嚴(yán)重?fù)p害公共利益,甚至危害國民經(jīng)濟(jì)發(fā)展[9]。檢測DNS攻擊與加強DNS安全防護(hù)成為保障DNS平穩(wěn)發(fā)展的必要手段。

    DNS攻擊檢測與安全防護(hù)的研究意義在于:及時檢測各種針對DNS的攻擊,以保障DNS的正常運轉(zhuǎn);提升DNS自身安全的穩(wěn)健性,以增強其對攻擊的抵抗能力;有助于持續(xù)提升DNS在新模式下的功能多樣性和覆蓋領(lǐng)域廣泛性。

    在DNS攻擊檢測的研究過程中,研究人員通過引入機器學(xué)習(xí)技術(shù),取得了較為顯著的成就。機器學(xué)習(xí)在DNS攻擊檢測方面表現(xiàn)出不可比擬的優(yōu)勢。同時,為進(jìn)一步提高DNS的安全性,大量相應(yīng)的安全防護(hù)方案被提出,增強了DNS自身的穩(wěn)健性。

    1 常見DNS攻擊

    1.1 DNS欺騙

    DNS欺騙,亦稱域名欺騙,可將用戶合法請求對應(yīng)的IP地址替換為一個虛假、惡意的IP地址,從而將用戶導(dǎo)向至釣魚網(wǎng)站,以竊取隱私信息。DNS欺騙如圖1所示,主要由兩種方式組成:DNS緩存中毒和DNS信息劫持[10]。

    圖1 DNS欺騙

    如圖1(a)所示,在DNS緩存中毒攻擊中,攻擊者非法修改DNS服務(wù)器的緩存記錄,將域名原本對應(yīng)的IP地址替換為惡意IP地址,從而將用戶訪問轉(zhuǎn)移到釣魚網(wǎng)站。DNS緩存中毒極具傳播性,如果其他DNS服務(wù)器從此處獲得緩存信息,錯誤緩存將進(jìn)一步擴散。與DNS緩存中毒不同,DNS信息劫持沒有修改DNS服務(wù)器的緩存記錄,而是在DNS服務(wù)器響應(yīng)之前將用戶請求導(dǎo)向惡意的IP地址,該過程如圖1(b)所示。在域名解析過程中,DNS請求包與響應(yīng)包通過序列號機制一一對應(yīng)。攻擊者通過監(jiān)聽用戶和DNS服務(wù)器的通信過程,預(yù)測出DNS服務(wù)器響應(yīng)包的序列號,并據(jù)此制作虛假響應(yīng)包。該包在真實數(shù)據(jù)包到達(dá)之前返回給客戶端,客戶端解包,獲得惡意的IP地址,從而將用戶訪問轉(zhuǎn)移到釣魚網(wǎng)站。

    1.2 DNS隱蔽信道

    Lampson[11]首次提出隱蔽信道的概念,并將其定義為“信道被設(shè)計的本意并不是為了傳輸信息”的通信信道。隱蔽信道違反互聯(lián)網(wǎng)通信協(xié)議的規(guī)則,使用網(wǎng)絡(luò)信息載體(網(wǎng)絡(luò)協(xié)議、協(xié)議數(shù)據(jù))秘密傳遞信息[12]。由于傳統(tǒng)的入侵檢測系統(tǒng)和網(wǎng)絡(luò)防火墻對這些載體的檢測力度較小,隱蔽信道傳輸?shù)臄?shù)據(jù)難以被發(fā)現(xiàn),因此隱蔽信道也是信息隱藏技術(shù)的一個分支。

    DNS隱蔽信道是一種報文封裝技術(shù),利用DNS數(shù)據(jù)包封裝信息[13]。由于DNS原本并不是用于數(shù)據(jù)傳輸,人們總是忽視其也是惡意通信或數(shù)據(jù)泄露的潛在威脅[14]。此外,網(wǎng)絡(luò)防火墻和入侵檢測系統(tǒng)都會開放DNS服務(wù),因為阻止DNS流量可能會導(dǎo)致合法的遠(yuǎn)程連接失敗。因此,DNS隱蔽信道逐漸成為攻擊者手中理想的命令和控制(comman2 an2 control,C&C)信道,被廣泛用于秘密指令和數(shù)據(jù)的接收與發(fā)送。例如,發(fā)送惡意控制指令,竊取信用卡賬號和登錄密碼或其他有價值的隱私信息等[15]。

    1.3 DNS DDoS攻擊

    拒絕服務(wù)(2enial of service,DoS)通過耗盡網(wǎng)絡(luò)服務(wù)的資源和帶寬,使服務(wù)器沒有額外的能力處理外部請求,從而使網(wǎng)絡(luò)服務(wù)崩潰、癱瘓。DoS攻擊是單一攻擊者對單一對象發(fā)起的攻擊,即一對一的攻擊方式。DDoS是升級版的DoS攻擊,其攻擊原理和攻擊后果與DoS攻擊相同,但其攻擊方式變?yōu)楦哂衅茐男缘亩鄬σ坏墓舴绞絒16]。如圖2所示,DDoS攻擊將成千上萬個僵尸主機聯(lián)合起來在同一時間內(nèi)對同一目標(biāo)發(fā)起攻擊,這樣的DDoS攻擊流量可達(dá)到1.2 TB/s[17],大多數(shù)網(wǎng)絡(luò)服務(wù)器沒有能力應(yīng)對如此規(guī)模的攻擊流量,從而迅速崩潰。

    與其他形式的DDoS攻擊相比,DNS DDoS攻擊具有更強大的破壞力,這是因為DNS的分布式結(jié)構(gòu)具有單點失效性,一旦某根域受到攻擊,該根域下的整個網(wǎng)絡(luò)便會癱瘓。此外,DNS DDoS攻擊還可以用來發(fā)起針對性的攻擊,如2016年發(fā)生的DNS DDoS攻擊事件[18],其攻擊目標(biāo)是為3 000多家企業(yè)提供DNS地址解析服務(wù)的權(quán)威名稱服務(wù)提供商Dyn,該攻擊導(dǎo)致推特、亞馬遜等知名網(wǎng)站在相當(dāng)長一段時間內(nèi)不可訪問,造成巨大經(jīng)濟(jì)損失,Dyn也因此喪失8%的域名客戶。

    圖2 DNS DDoS攻擊

    1.4 DNS反射放大攻擊

    DNS反射放大攻擊利用DNS響應(yīng)包比請求包大的特點,耗盡攻擊目標(biāo)的網(wǎng)絡(luò)資源,本質(zhì)上也屬于DDoS攻擊。DNS反射放大攻擊與常規(guī)DNS DDoS攻擊的差別是,攻擊者不是直接向目標(biāo)發(fā)起攻擊,而是通過偽造IP地址,向開放DNS服務(wù)器發(fā)送請求,此時服務(wù)器會將數(shù)倍于請求報文的響應(yīng)報文發(fā)送到受害方,形成間接的DDoS攻擊,該過程如圖3所示。據(jù)統(tǒng)計,DNS請求包的大小通常在40~60 byte,而開放DNS服務(wù)器響應(yīng)報文的大小卻可以達(dá)到4 000~6 000 byte,將攻擊流量放大了近100倍。DNS反射放大攻擊使得攻擊者控制少量的僵尸主機,就可以達(dá)到超大規(guī)模DDoS攻擊的效果,在較短時間內(nèi)使受害方網(wǎng)絡(luò)崩潰、癱瘓。

    1.5 惡意DGA域名

    近年來,惡意軟件的數(shù)量不斷增加,對網(wǎng)絡(luò)安全造成較為嚴(yán)重的破壞[19]。通常情況下,惡意軟件有一個固定的IP地址和一個固定的域名,在該惡意軟件的生存周期內(nèi),此對應(yīng)關(guān)系不會發(fā)生變化。惡意軟件通過域名與特定服務(wù)器通信以實現(xiàn)C&C通信,這樣的域名被標(biāo)識為惡意域名后,只需通過黑名單過濾就可以解決該惡意軟件的威脅。近年來,惡意軟件為了逃避檢測,使用域名生成算法(2omain generate algorithm,DGA)來不斷更新域名。

    DGA是一種排序算法,用于定期生成大量的域名。在發(fā)動攻擊時惡意軟件使用DGA快速生產(chǎn)大量的惡意域名。此外,攻擊者還配合使用速變IP技術(shù)不斷變化IP地址,使域名和IP地址都處在動態(tài)的變化中。在這種方式下,黑名單無法起到過濾DGA域名的作用,這是因為黑名單的更新速度永遠(yuǎn)跟不上DGA的變化速度,并且防御者需找出所有的DGA域名才能切斷與惡意軟件的C&C通信。DGA使惡意軟件的檢測變得更加困難,給網(wǎng)絡(luò)安全造成了極大的威脅。

    除上述5種常見的DNS攻擊外,還存在一些特殊的DNS攻擊。例如,漏洞攻擊,攻擊者利用DNS服務(wù)器緩存區(qū)溢出、訪問權(quán)限等漏洞對DNS的安全性進(jìn)行破壞[5];域名滲透攻擊,攻擊者在合法的頂點域下注冊惡意子域名,從而獲得頂點域的信任,進(jìn)行網(wǎng)絡(luò)釣魚和竊取重要信息[20];蠕蟲攻擊,BannaCry蠕蟲病毒通過特定域名控制勒索病毒的傳播,受感染主機的文件被非法加密,需要支付一定的費用才可解鎖[21]。

    表1對上述DNS攻擊的原理以及攻擊造成的后果進(jìn)行了總結(jié)分析。

    圖3 DNS反射放大攻擊過程

    表1 DNS攻擊對比分析

    2 常見DNS攻擊檢測技術(shù)

    2.1 DNS欺騙檢測技術(shù)

    DNS欺騙的檢測較為困難,這是因為DNS欺騙不會造成網(wǎng)絡(luò)流量的明顯變化,其數(shù)據(jù)包和普通的數(shù)據(jù)包在結(jié)構(gòu)和內(nèi)容上也極為相似。目前針對DNS欺騙的檢測主要分為3種方式:被動監(jiān)聽檢測技術(shù)、主動探測檢測技術(shù)和交叉驗證檢測技術(shù)[10]。

    (1)被動監(jiān)聽檢測技術(shù)

    被動監(jiān)聽檢測技術(shù)通過統(tǒng)計DNS解析過程中每一個DNS請求包對應(yīng)DNS響應(yīng)包的數(shù)量來判斷網(wǎng)絡(luò)中是否發(fā)生DNS欺騙。通常情況下,一個DNS請求只會收到一個DNS應(yīng)答,即便在一個域名對應(yīng)多個IP地址的情況下也不會返回多個響應(yīng)包,只是在應(yīng)答報文中增加相應(yīng)的應(yīng)答域。但如果發(fā)生DNS欺騙,一個查詢可能得到兩個或者兩個以上的響應(yīng)包。被動監(jiān)聽檢測的缺點是過于被動,不能積極主動地去發(fā)現(xiàn)一些隱藏的DNS欺騙。

    (2)主動探測檢測技術(shù)

    主動探測技術(shù)是DNS主機自主發(fā)出DNS請求探測數(shù)據(jù)包,試探網(wǎng)絡(luò)中是否有DNS欺騙發(fā)生。探測主機向非DNS服務(wù)方發(fā)送請求,理論上不會收到任何響應(yīng)。而攻擊者往往不會拒絕任何一個DNS請求,也不會檢查數(shù)據(jù)包的有效性,從而返回一個欺騙響應(yīng)包給探測主機。主動探測檢測技術(shù)的缺點是需要發(fā)出大量的探測包,浪費帶寬資源,加重網(wǎng)絡(luò)負(fù)擔(dān);另外,DNS欺騙通常針對特定的域名,而DNS服務(wù)器中解析的域名有很多,因此該技術(shù)的檢測效率往往較低。

    (3)交叉驗證檢測技術(shù)

    交叉驗證技術(shù)基于DNS的反向查詢功能。DNS主機首先通過域名查詢獲得IP地址,然后據(jù)此IP地址反向查詢域名,如果二者匹配,說明沒有發(fā)生DNS欺騙,否則說明欺騙攻擊存在。但并不是所有的DNS服務(wù)器都支持反向查詢的功能,該檢測方法應(yīng)用受限。

    2.2 DNS隱蔽信道檢測技術(shù)

    目前國內(nèi)外研究將DNS隱蔽信道的檢測技術(shù)分為兩大類:基于載荷特征的檢測技術(shù)和基于流量特征的檢測技術(shù)。由于DNS隱蔽信道利用DNS協(xié)議的載荷內(nèi)容封裝信息,載荷分析通過判斷捕獲的DNS報文特征和標(biāo)準(zhǔn)DNS報文特征是否存在差異來識別隱蔽信道。載荷分析的優(yōu)點是原理簡單,缺點是難以檢測報文特征接近正常的隱蔽信道。

    基于流量特征的檢測技術(shù)通過宏觀分析DNS流量的異常行為來檢測隱蔽信道。隱蔽信道的報文特征可以造假,但流量特征是無法更改的,如某個IP地址下的DNS流量突然增多、大量DNS流量流向未知區(qū)域等。流量分析的優(yōu)點是不受隱蔽信道構(gòu)建技術(shù)的影響,通用性較好,缺點是需要對大規(guī)模的流量進(jìn)行統(tǒng)計分析,是一項耗時、煩瑣的任務(wù)。Farnham等[14]對常用的載荷特征和流量特征進(jìn)行了總結(jié),見表2。

    表2 DNS隱蔽信道常用檢測特征

    隨著機器學(xué)習(xí)技術(shù)的發(fā)展,目前DNS隱蔽信道檢測大多綜合使用載荷特征和流量特征訓(xùn)練機器學(xué)習(xí)模型,因此上述分類方法已經(jīng)不太適用。本文從機器學(xué)習(xí)的角度出發(fā),對近年來DNS隱蔽信道檢測技術(shù)進(jìn)行全面的分類和總結(jié),并將其分為兩大類:無監(jiān)督學(xué)習(xí)和監(jiān)督學(xué)習(xí)。監(jiān)督學(xué)習(xí)又分為傳統(tǒng)的機器學(xué)習(xí)技術(shù)和深度學(xué)習(xí)技術(shù),深度學(xué)習(xí)又分為基于特征工程的深度學(xué)習(xí)檢測技術(shù)和基于非特征工程的深度學(xué)習(xí)檢測技術(shù)。最后按照分類結(jié)果的維度將每一項技術(shù)歸為二分類或者多分類。

    2.2.1 無監(jiān)督學(xué)習(xí)

    無監(jiān)督學(xué)習(xí)主要通過DNS報文的載荷特征來檢測隱蔽信道,并且主要的無監(jiān)督學(xué)習(xí)方式是聚類。如Das等[22]提出一種基于TXT資源記錄聚類的檢測方法:首先從TXT記錄中提取8維特征,例如字符串的熵、長度、字符比率、大小寫字母的比率、數(shù)字比率等;然后對正常通信、隱蔽信道通信下的特征進(jìn)行統(tǒng)計分析,得到每種特征的分布規(guī)律;最后依據(jù)此規(guī)律將正常流量和隧道流量聚類成不同的兩部分。此方法的優(yōu)點是,當(dāng)樣本差別較大時,不僅可以檢測DNS隱蔽信道流量,還可以將不同的隱蔽信道進(jìn)行分類;其缺點是,過程比較復(fù)雜,需要提前手動分析各個特征在正常流量中和隱蔽信道流量中的分布規(guī)律。除此之外,人工分析難免會發(fā)生各種誤差,導(dǎo)致聚類的結(jié)果不理想,不能很好地達(dá)到檢測的目的。因此無監(jiān)督學(xué)習(xí)在DNS隱蔽信道檢測上的應(yīng)用不是很多。

    2.2.2 監(jiān)督學(xué)習(xí)

    (1)傳統(tǒng)的機器學(xué)習(xí)技術(shù)

    在過去的十幾年中,使用傳統(tǒng)的機器學(xué)習(xí)技術(shù)檢測DNS隱蔽信道[23-26]是非常熱門的研究。如,Aiello等[23]提出了一種基于傳統(tǒng)支持向量機(support vector machine,SVM)的檢測方法,提取DNS查詢和響應(yīng)的數(shù)據(jù)包大小和時間間隔的統(tǒng)計值(如平均值、方差、偏度和峰度)作為特征,訓(xùn)練SVM分類器檢測隱蔽信道流量;Almusawi等[24]改進(jìn)了傳統(tǒng)的SVM,并提出了一種多標(biāo)簽的分類器Multi-SVM,Multi-SVM不僅可以區(qū)分正常流量和隱蔽信道流量,還可以對不同的隱蔽信道流量進(jìn)行分類。除SVM外,應(yīng)用于DNS隱蔽信道檢測的傳統(tǒng)機器學(xué)習(xí)方法還包括隨機森林(ran2om forest,RF)[25]、決策樹(2ecision tree,DT)[26]等。這些方法只是在分類器的選擇上存在差異,訓(xùn)練模型使用的特征大同小異,因此不對這些傳統(tǒng)模型展開詳細(xì)敘述。

    為了進(jìn)一步提高傳統(tǒng)機器學(xué)習(xí)模型的準(zhǔn)確性,Yang等[27]提出了一種堆疊模型,該模型將k-近鄰(k-nearest neighbor,KNN)、SVM和RF結(jié)合起來生成了一個更加強大的分類器。實驗結(jié)果表明,與單個KNN、SVM、RF相比,堆疊模型具有更好的準(zhǔn)確率。堆疊模型是未來研究的一個重點方向,因為堆疊模型可以更好地學(xué)習(xí)數(shù)據(jù)集中的有效特性,從而提升檢測準(zhǔn)確度。

    (2)深度學(xué)習(xí)技術(shù)

    傳統(tǒng)機器學(xué)習(xí)技術(shù)的一個共同缺點是不適用于大規(guī)模的數(shù)據(jù)集,檢測精度會隨著數(shù)據(jù)集的擴大而降低。深度學(xué)習(xí)可以有效地彌補傳統(tǒng)機器學(xué)習(xí)的不足,近年來使用深度學(xué)習(xí)技術(shù)來檢測DNS隱蔽信道已成為一種趨勢[28-32]。本文將基于深度學(xué)習(xí)的DNS隱蔽信道檢測技術(shù)分為兩類:基于特征工程的深度學(xué)習(xí)檢測技術(shù)和基于非特征工程的深度學(xué)習(xí)檢測技術(shù)。

    基于特征工程的深度學(xué)習(xí)檢測技術(shù)[28-30]需要從數(shù)據(jù)集中提取感興趣的特征并進(jìn)行預(yù)處理,然后訓(xùn)練檢測模型;而基于非特征工程的深度學(xué)習(xí)檢測技術(shù)[31-32]無須人工提取特征,將數(shù)據(jù)集直接輸入模型進(jìn)行訓(xùn)練。卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural network,CNN)在DNS隱蔽信道檢測中被廣泛使用。Bubnov[28]提出了一種多標(biāo)簽的CNN檢測模型,并提取DNS資源記錄和域名熵作為訓(xùn)練特征,對不同類型的DNS隱蔽信道進(jìn)行檢測。該模型具有非常簡單的架構(gòu),僅使用單尺度卷積的CNN構(gòu)建模型,檢測精度不是特別理想。之后,Palua等[29]提出了一種多尺度卷積神經(jīng)網(wǎng)絡(luò)(multi-class convolutional network,MC-CNN)檢測模型。與Bubnov[28]的模型相比,MC-CNN設(shè)計了不同尺寸的卷積核,可以從多個維度感知目標(biāo)的特征,從而有效地提高檢測精度。張猛等[30]提出了一種將DNS隱蔽信道檢測與圖像識別相結(jié)合的全新方法,首先將數(shù)據(jù)集中的特征輸入灰度圖像中,然后構(gòu)建基于CNN的Lenet-5模型進(jìn)行圖像識別,從而達(dá)到檢測隱蔽信道的目的。該方法開辟了一個全新的檢測方向,突破了現(xiàn)有DNS隱蔽信道檢測技術(shù)上的局限性。該方法的一個主要缺點是將隱蔽信道特征嵌入灰度圖像時需要耗費大量的人力資源,增加了額外的工作量。

    Bubnov[28]、Palua等[29]、張猛等[30]的方法都需要人工提取特征來訓(xùn)練模型,屬于基于特征工程的檢測技術(shù)。如今深度學(xué)習(xí)的數(shù)據(jù)量都非常大,提取特征并進(jìn)行預(yù)處理是極其耗時的任務(wù),而基于非特征工程的深度學(xué)習(xí)檢測技術(shù)可以避免這一工作,有效地節(jié)省人力資源,所以該檢測技術(shù)是最近的研究熱點。

    Liu等[31]提出一種BYTE-CNN檢測模型,并將整個DNS數(shù)據(jù)包作為模型的輸入。該模型的優(yōu)點是沒有依賴具體的檢測特征,而是學(xué)習(xí)整個DNS數(shù)據(jù)包的結(jié)構(gòu)信息,具有較高的檢測靈活性。BYTE-CNN的缺點是當(dāng)DNS數(shù)據(jù)包混雜過量無關(guān)信息時,檢測性能難以保證。Chen等[32]提出了一種基于長短期記憶(long short-term memory,LSTM)網(wǎng)絡(luò)的檢測模型,識別DNS隱蔽信道域名。該模型同樣沒有依賴具體的檢測特征,而是直接將域名輸入LSTM進(jìn)行訓(xùn)練。以上基于非特征工程的深度學(xué)習(xí)檢測技術(shù)除可以節(jié)省人力資源外,另一個優(yōu)點是模型的泛化性能好,因為沒有依賴具體的特征,當(dāng)攻擊者修改編碼機制時,可以避免重新訓(xùn)練一個檢測模型。表3對上述基于監(jiān)督學(xué)習(xí)的DNS隱蔽信道檢測技術(shù)進(jìn)行了對比分析。

    2.3 DNS DDoS攻擊檢測技術(shù)

    關(guān)于DNS DDoS攻擊,研究人員不僅關(guān)心攻擊的檢測,也將研究重點放在如何緩解此攻擊上。因為DNS DDoS攻擊往往能造成嚴(yán)重的經(jīng)濟(jì)損失,緩解一部分攻擊可以有效降低一些損失。本節(jié)按照DNS DDoS攻擊的檢測和緩解兩個部分展開敘述。

    表3 基于監(jiān)督學(xué)習(xí)的DNS隱蔽信道檢測技術(shù)

    2.3.1 DNS DDoS攻擊的檢測技術(shù)

    DNS DDoS攻擊的檢測技術(shù)可以分為兩類:離線檢測[33-34]和在線檢測[35]。離線檢測通過提取攻擊期間的DNS數(shù)據(jù)包特征與正常DNS數(shù)據(jù)包特征訓(xùn)練機器學(xué)習(xí)分類器,將檢測問題轉(zhuǎn)換為分類問題。例如,Takeuchi等[33]通過訓(xùn)練貝葉斯分類器、Chen等[34]通過訓(xùn)練RF分類器對DDoS流量和正常流量進(jìn)行分類。雖然這種方式可以識別DNS DDoS攻擊,但是實際意義不是很大,因為DDoS攻擊持續(xù)時間不是很長,攻擊結(jié)束后再去進(jìn)行分類也就失去了意義。

    在線檢測是近年來研究的重點方向,檢測到攻擊流量時,會設(shè)置報警信號提醒服務(wù)器采取相應(yīng)的應(yīng)對措施,在一定程度上降低損失。在線檢測基于對流量的監(jiān)控,即通過監(jiān)控某一時間段內(nèi)流量的變化情況來識別DDoS攻擊。Trejo等[35]提出了一種KNN在線動態(tài)檢測模型,將當(dāng)前時刻的流量、與當(dāng)前時刻在同1 h內(nèi)的流量以及過去3 h內(nèi)的流量作為一組訓(xùn)練數(shù)據(jù)。如果3個部分的流量都是相似的,則被認(rèn)為是正常DNS流量,否則認(rèn)為出現(xiàn)異常情況。在線檢測的關(guān)鍵在于識別流量的異常變化,而真實網(wǎng)絡(luò)環(huán)境中的正常流量也是時刻變化的,所以在線檢測技術(shù)必須設(shè)置某種標(biāo)準(zhǔn)來區(qū)分流量的正常變化和異常變化。

    2.3.2 DNS DDoS攻擊的緩解技術(shù)

    (1)響應(yīng)緩存技術(shù)

    響應(yīng)緩存技術(shù)[36-38]利用服務(wù)器在受到攻擊時可以為自己緩存中的域提供服務(wù)的特性,保證在DDoS攻擊期間,部分服務(wù)可以正常運行。Ballani等[36]和Bei等[37]提出DNS解析器不要完全清除已過期的TTL(time to live)記錄,而是將其轉(zhuǎn)存在一個單獨的“過期緩存”列表中。當(dāng)DNS權(quán)威名稱服務(wù)器受到攻擊,其相應(yīng)的解析器收不到任何響應(yīng)時,DNS解析器從“過期緩存”的TTL記錄中響應(yīng)查詢。Ballani等[36]提出的方法的局限是,該“過期緩存”列表是不更新的,長時間不訪問該服務(wù)的記錄仍保留在緩存中,導(dǎo)致“過期緩存”的響應(yīng)效率較低。Mahjabin等[38]在“過期緩存”中引入一種更新機制,不斷去除一些陳舊的訪問記錄,使“過期緩存”列表保持動態(tài)更新,大大提高DDoS攻擊期間“過期緩存”機制的接入效率。

    (2)負(fù)載均衡技術(shù)

    負(fù)載均衡技術(shù)[38-40]基于合作的思想,在若干服務(wù)器之間共享資源。在攻擊期間,受到攻擊的服務(wù)器將資源解析任務(wù)轉(zhuǎn)移到?jīng)]有受到攻擊的服務(wù)器上,有效緩解DDoS攻擊的威脅。Anycast[39]是一種被廣泛應(yīng)用的網(wǎng)絡(luò)路由方式,允許位于不同地域的一組服務(wù)器使用相同的IP地址。當(dāng)DDoS攻擊被發(fā)起時,攻擊流量被發(fā)送到與它最近的DNS服務(wù)器,使攻擊流量被分散,網(wǎng)絡(luò)中不會出現(xiàn)單點瓶頸,從而有效緩解DDoS攻擊。

    Mahjabin等[38]提出了一種動態(tài)負(fù)載均衡解決方案,在DDoS攻擊之前只有1~2個服務(wù)器為單一域名提供服務(wù),在攻擊期間其他服務(wù)器根據(jù)資源占用情況決定是否為該域名提供解析服務(wù)。這種方式下DNS服務(wù)器的數(shù)量不是固定的,可以隨著攻擊量的變化而變化,動態(tài)負(fù)載均衡技術(shù)極大提高了資源的利用率,節(jié)約了服務(wù)器成本。Bang[40]提出一種基于域重定向的負(fù)載均衡技術(shù),其核心思想是將DNS查詢重定向到備用服務(wù)器,從而防止DNS服務(wù)器過載。該技術(shù)首先將若干DNS服務(wù)器組成一個重定向鏈,當(dāng)鏈中的某一個節(jié)點被大量查詢流量淹沒時,會通過DNAME記錄(將屬于某一個域的查詢轉(zhuǎn)移到另一個域,即跨域重定向),將查詢流量重定向到其他相關(guān)的服務(wù)器上,從而實現(xiàn)重定向鏈中節(jié)點之間的流量被重新分配,有效緩解了DNS服務(wù)器流量過載的情況。

    (3)其他通用技術(shù)

    近年來,研究人員都致力于研究與開發(fā)一些防御DDoS攻擊的通用技術(shù),如軟件定義網(wǎng)絡(luò)(software 2efine2 network)[41]、網(wǎng)絡(luò)功能虛擬化(network function virtualization)[42]和信息中心網(wǎng)絡(luò)(information-centric networking)[43],這些技術(shù)也通過檢查攻擊流量和資源共享來緩解DDoS攻擊。

    2.4 DNS反射放大攻擊檢測技術(shù)

    DNS反射放大攻擊的本質(zhì)也是DDoS攻擊,其檢測方式與上述DNS DDoS攻擊檢測方式相似,此處不再贅述。本節(jié)介紹DNS反射放大攻擊的緩解策略,包括對開放DNS服務(wù)器的保護(hù),過濾偽造源IP數(shù)據(jù)包以及稀釋和清洗攻擊流量[44]。

    (1)對開放DNS服務(wù)器的保護(hù)

    開放DNS服務(wù)器極容易被攻擊者利用,充當(dāng)攻擊過程中的流量放大器,因此加強對開放DNS服務(wù)器的保護(hù)可以有效緩解DNS反射放大攻擊。首先,可以考慮關(guān)閉一些不必要的DNS服務(wù),同時加強請求服務(wù)的鑒權(quán)和認(rèn)證;其次,加強防火墻、路由器的管控力度,判斷流量的源IP地址,對不屬于內(nèi)部子網(wǎng)的IP地址進(jìn)行阻斷;最后,按照數(shù)據(jù)包大小對來自外部的DNS響應(yīng)包進(jìn)行過濾,并將超大的數(shù)據(jù)包直接丟棄。

    (2)過濾偽造源IP數(shù)據(jù)包

    反射攻擊的源頭是攻擊者發(fā)送的偽造DNS請求數(shù)據(jù)包,如果互聯(lián)網(wǎng)服務(wù)提供商可以檢查數(shù)據(jù)包的合法性,對偽造數(shù)據(jù)包進(jìn)行過濾,就可以限制DNS反射放大攻擊。RFC2827/BCP38規(guī)則中建議使用數(shù)據(jù)包入口過濾技術(shù),以避免攻擊者構(gòu)建虛假的偽IP數(shù)據(jù)包發(fā)起DNS反射放大攻擊。但出于成本考慮,遵守這一建議的網(wǎng)絡(luò)服務(wù)提供商較少,導(dǎo)致該方法沒有被廣泛應(yīng)用,DNS仍面臨虛假IP數(shù)據(jù)包的嚴(yán)峻挑戰(zhàn)。

    (3)稀釋和清洗攻擊流量

    稀釋、清洗DNS反射放大攻擊的流量主要用到Anycast技術(shù)。在攻擊期間,反射放大流量被發(fā)送到最近的Anycast數(shù)據(jù)清洗中心進(jìn)行流量清洗過濾,將大規(guī)模的反射放大流量進(jìn)行稀釋、分散,從而有效防御反射放大攻擊。

    2.5 惡意DGA域名檢測技術(shù)

    2.5.1 基于黑名單的檢測技術(shù)

    黑名單技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域被廣泛使用,將惡意域名列入黑名單是早期DGA域名研究中最常用的方法。另一種類似于黑名單的技術(shù)是使用逆向工程,即通過研究DGA的規(guī)律,在攻擊之前提前搶注域名并列入黑名單,以阻止與惡意域名通信。但DGA域名通常在攻擊發(fā)起時臨時產(chǎn)生,在攻擊結(jié)束時消亡,生命周期很短,將這樣的域名列入黑名單是無效的。另外,網(wǎng)絡(luò)安全人員必須不斷更新黑名單以應(yīng)對DGA域名的不斷更新,所以黑名單技術(shù)需要耗費大量的人力資源,應(yīng)用比較受限。

    2.5.2 基于語言特征的檢測技術(shù)

    DGA域名一般比正常域名要長很多,所以長域名是DGA域名的一個關(guān)鍵特征,以長度檢測為中心的研究也是之前的熱點[45],而基于黑名單的檢測方法難以檢測長度較短的DGA域名。為此,基于語言特征的檢測方法被提出。人為設(shè)計的域名通常具有一定的意義,而DGA域名是隨機生成的,不具有實際意義,也難以發(fā)音與記憶。Ahluwalia等[46]根據(jù)詞匯特性和語言特征,計算了域名的信息論度量,從而檢測出長短不同的DGA域名。Agyepong等[47]通過查看域名中單個字符(unigram)以及雙字符(bigram)的分布情況,計算KL距離、編輯距離和Jaccar2系數(shù)來檢測惡意域名。隨著編碼技術(shù)的發(fā)展,許多DGA域名與正常域名已體現(xiàn)出很大的相似性,僅分析域名的結(jié)構(gòu)特征很難達(dá)到準(zhǔn)確的檢測效果,且容易被對手規(guī)避。 2.5.3 基于流量分析的檢測技術(shù)

    DGA域名在一定程度上會造成DNS流量出現(xiàn)異常情況,例如,使域名解析器生成大量的域名不存在(non-existent 2omain,NXDOMAIN)流量。NXDOMAIN流量表明解析器沒有該請求域名的相關(guān)記錄。Antonakakis等[48]基于這一原理提出了一種利用NXDOMAIN流量檢測DGA域名的方法。Zhou等[49]發(fā)現(xiàn)同一DGA域組中的每個域名具有類似的查詢風(fēng)格,如果能夠確定某個域名為DGA域名,然后在DNS流量中尋找與該域名類似的流量,可以同時過濾掉同一惡意軟件生成的DGA域組。

    基于流量分析的檢測技術(shù)雖可以達(dá)到較好的檢測效果,但是在實際研究中這種方法并不常用,因為DNS報文中包含太多與所需信息無關(guān)的內(nèi)容,分析流量規(guī)律是一項極其耗費時間的任務(wù),導(dǎo)致檢測效率較低。

    2.5.4 基于機器學(xué)習(xí)的檢測技術(shù)

    基于機器學(xué)習(xí)的DGA域名檢測技術(shù)是近年來的研究熱點,其相關(guān)檢測技術(shù)與DNS隱蔽信道檢測相似,唯一的差別在于,DGA域名檢測中涉及了數(shù)據(jù)樣本不平衡時的解決方案,即代價敏感(考慮了數(shù)據(jù)不平衡問題)和非代價敏感的檢測技術(shù)(沒有考慮數(shù)據(jù)不平衡問題)。

    在無監(jiān)督學(xué)習(xí)中,DGA域名檢測主要使用聚類算法,利用正常域名和DGA域名在語義特性和結(jié)構(gòu)特性上的差異進(jìn)行聚類,最常用的聚類算法為K-means聚類[50-51]。

    在監(jiān)督學(xué)習(xí)中,利用傳統(tǒng)機器學(xué)習(xí)技術(shù)檢測DGA域名的通用方法是提取域名的結(jié)構(gòu)特征,如域名長度、熵、元音字符、輔音字符、數(shù)字字符的比率等,然后訓(xùn)練RF[52-53]、DT[54-55]、KNN[56]、SVM[57]等分類器達(dá)到檢測目的。傳統(tǒng)的機器學(xué)習(xí)技術(shù)依賴于特征提取,檢測的靈活性較差。

    在監(jiān)督學(xué)習(xí)中,利用深度學(xué)習(xí)技術(shù)檢測DGA域名的優(yōu)勢是不依賴具體的人工提取特征,有效提高了檢測的準(zhǔn)確性和靈活性。LSTM具備長期學(xué)習(xí)能力以及優(yōu)秀的文本特征學(xué)習(xí)能力,是DGA域名檢測中最受歡迎的神經(jīng)網(wǎng)絡(luò)。但是Boo2bri2ge等[58]發(fā)現(xiàn)了LSTM在多分類任務(wù)中對數(shù)據(jù)不平衡非常敏感,很難檢測出域名結(jié)構(gòu)特殊且樣本數(shù)量較少的DGA域名。之后Tran等[59]、Chen等[60]針對這一問題,提出了一種代價敏感的解決方案,其核心思想是通過分配動態(tài)權(quán)重,提高特殊樣本在分類中所占的權(quán)重,從而提升特殊樣本的檢測率。循環(huán)神經(jīng)網(wǎng)絡(luò)(recurrent neural network,RNN)[61]、生成對抗網(wǎng)絡(luò)(generative a2versarial network,GAN)[62]也是DGA域名檢測中較為常用的檢測網(wǎng)絡(luò)。王媛媛等[63]總結(jié)了RNN、LSTM、GAN在DGA域名檢測中的優(yōu)勢與缺陷,具體見表4。最后將上述DGA域名檢測技術(shù)進(jìn)行總結(jié),見表5。

    3 DNS安全防護(hù)

    基于DNS可發(fā)起多種類型的攻擊,單純的檢測防御難以有效抵御各種DNS風(fēng)險,因此多種提高DNS自身穩(wěn)健性的安全防護(hù)方案被提出。本節(jié)從DNS去中心化、DNS加密認(rèn)證、DNS解析限制3個方面對近年來的DNS安全防護(hù)方案進(jìn)行總結(jié)與分析。

    表4 RNN、LSTM、GAN優(yōu)缺點對比

    表5 基于監(jiān)督學(xué)習(xí)的DGA域名檢測技術(shù)

    3.1 DNS去中心化

    DNS的樹狀分布結(jié)構(gòu)以及根域管理模式,導(dǎo)致其具有單點失效的問題。有效加強DNS安全穩(wěn)健性的方法之一是改變其中心化的拓?fù)浣Y(jié)構(gòu)。目前關(guān)于DNS去中心化的技術(shù)方案主要包含以下3個方面。

    (1)基于P2P網(wǎng)絡(luò)的DNS去中心化

    基于P2P(peer to peer)網(wǎng)絡(luò)負(fù)載均衡的特點,研究人員提出P2P模式下的DNS解析系統(tǒng)。P2P網(wǎng)絡(luò)中不存在中心節(jié)點,每個節(jié)點相互平等,網(wǎng)絡(luò)資源和服務(wù)分散在每一個節(jié)點上,沒有單點失效問題,對DDoS攻擊具有高彈性,如基于Chor2的動態(tài)域名服務(wù)(2ynamic 2omain name service,DDNS)網(wǎng)絡(luò)[64]、基于Ka2emlia的P-DONAS網(wǎng)絡(luò)[65]。在DDNS和P-DONAS網(wǎng)絡(luò)中,DNS域名記錄的存儲和檢索利用分布式哈希表(2istribute2 Hash table,DHT)完成,所以這兩種網(wǎng)絡(luò)繼承了DHT的良好容錯特性,即DHT上的一個DNS服務(wù)器受到攻擊宕機時,其數(shù)據(jù)會自動向相鄰服務(wù)器轉(zhuǎn)移,只有當(dāng)所有服務(wù)器都癱瘓時,數(shù)據(jù)才會丟失,造成DNS解析失敗。

    基于P2P的DNS去中心化方案雖然能有效解決DNS單點失效的問題,但是也存在一些局限性。

    · 數(shù)據(jù)延遲,P2P網(wǎng)絡(luò)的數(shù)據(jù)需多次轉(zhuǎn)發(fā)才能到達(dá)所有節(jié)點,當(dāng)網(wǎng)絡(luò)波動時,一條DNS查詢可能在多個大時延的P2P網(wǎng)絡(luò)節(jié)點上進(jìn)行傳輸,DNS解析效率明顯下降。

    · 數(shù)據(jù)偽造,P2P網(wǎng)絡(luò)缺乏驗證數(shù)據(jù)真實性的機制,容易遭受DNS欺騙攻擊。

    · 數(shù)據(jù)冗余,P2P網(wǎng)絡(luò)的每個節(jié)點都要進(jìn)行

    數(shù)據(jù)的轉(zhuǎn)發(fā),同一節(jié)點會多次收到同樣的

    數(shù)據(jù),造成數(shù)據(jù)冗余。

    (2)基于區(qū)塊鏈的DNS去中心化

    區(qū)塊鏈?zhǔn)窃诓豢煽凯h(huán)境下提供可靠決策的分布式賬簿技術(shù),具有去中心化、防篡改等特點[66]。區(qū)塊鏈去中心化的特性使DNS可以有效抵御DDoS攻擊;防篡改的特性保證DNS記錄難以被篡改,從而有效抵御DNS欺騙攻擊。目前較為流行的基于區(qū)塊鏈去中心化的DNS是基于Bitcoin開發(fā)的Namecoin[67]和Blockstack[68]。Namecoin是Bitcoin的第一個衍生系統(tǒng),使用虛擬頂級域名.bit提供DNS服務(wù)。Namecoin保留了Bitcoin的絕大多數(shù)功能和特性,只是將Bitcoin鏈上存儲的交易數(shù)據(jù)替換為.bit和IP地址的對應(yīng)關(guān)系,該對應(yīng)關(guān)系被永久寫入?yún)^(qū)塊鏈,保證相應(yīng)的域名可以一直被訪問。然而,Namecoin將域名記錄信息和控制信息都存儲在鏈上,整個系統(tǒng)面臨的數(shù)據(jù)存儲壓力很大,導(dǎo)致其在擴展性上存在一定的局限性。為了解決這一問題,將域名信息和控制信息分層存儲的Blockstack系統(tǒng)被提出。Blockstack在區(qū)塊鏈中僅保存少量的控制信息用于協(xié)議注冊、創(chuàng)建域名、哈希綁定和密鑰綁定,大量的域名記錄信息存儲在外部數(shù)據(jù)庫中,實現(xiàn)了數(shù)據(jù)平面和控制平面的分離,提高了區(qū)塊鏈DNS的擴展性。

    基于區(qū)塊鏈的DNS去中心化方案也存在一些局限性。與傳統(tǒng)DNS不兼容,用戶必須安裝特定的解析插件才能與實際的DNS通信;面臨51%攻擊的風(fēng)險,基于區(qū)塊鏈的DNS,如果被控制了整個系統(tǒng)51%的算力,即超過一半的DNS記錄可以被惡意更改,整個系統(tǒng)的安全性將無法保證。

    (3)基于根聯(lián)盟的DNS根去中心化

    龐大的互聯(lián)網(wǎng)系統(tǒng)僅包含13個根服務(wù)器,網(wǎng)絡(luò)的接入和通信都以這些根為中心。DNS根中心化蘊含權(quán)力濫用的風(fēng)險,可以通過DNS根區(qū)對特定的群體、組織、甚至國家發(fā)起針對性攻擊,因此研究人員提出DNS根域去中心化的方案?;诟?lián)盟的DNS根去中心化的方式主要包括如下 4種[69]:遞歸根,在本地遞歸解析服務(wù)器上直接進(jìn)行根域解析,相當(dāng)于在本地建立一個根服務(wù)器;偽裝根,將部分根域的查詢導(dǎo)向到該根域的偽裝鏡像進(jìn)行解析,以降低根域的解析壟斷性;開放根,建立獨立運作的根服務(wù)器,打破根服務(wù)器地理分布不均衡以及根區(qū)管理被少數(shù)國家操縱的現(xiàn)狀;全球根,添加根服務(wù)器的數(shù)量,將13個根服務(wù)器擴增到更大規(guī)模,通過Anycast技術(shù)實現(xiàn)對特定根區(qū)的解析。

    基于根聯(lián)盟的DNS根去中心化的本質(zhì)是削弱根的權(quán)威性,將根服務(wù)器的解析權(quán)限分散到各個子根,在一定程度上可以緩解針對特定域的攻擊。該方案的缺點是沒有達(dá)到完全的DNS去中心化,根區(qū)數(shù)據(jù)仍來源于互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(Internet Assigne2 Numbers Authority,IANA),根權(quán)力濫用的風(fēng)險只是被降低,仍然存在。

    3.2 DNS加密認(rèn)證

    傳統(tǒng)開放式的DNS解析過程缺乏對數(shù)據(jù)真實性的驗證和對完整性的保護(hù),導(dǎo)致DNS容易遭受欺騙攻擊。隨著密碼技術(shù)的發(fā)展,將加密技術(shù)引入DNS來保障數(shù)據(jù)傳輸過程的真實性和完整性受到廣泛關(guān)注。目前DNS加密認(rèn)證技術(shù)主要包括如下幾種方式。

    (1)DNSSEC加密認(rèn)證

    國際因特網(wǎng)工程任務(wù)組(Internet Engineering Task Force,IETF)提出基于數(shù)字簽名和密鑰加密認(rèn)證的DNSSEC(2omain name system security extensions)方案[70]以確保DNS解析結(jié)果的真實性。DNSSEC為DNS根域名添加存儲密鑰和驗證密鑰是否有效的安全記錄,并且從最高級別的根域名開始逐級為域名提供簽名認(rèn)證,從而建立一條從根區(qū)開始逐級認(rèn)證的信任鏈。在DNS解析過程中,DNSSEC沿著信任鏈自頂向下解析,通過簽名認(rèn)證每一級子域的數(shù)據(jù)都真實可靠,從而保證DNS解析的結(jié)果難以被篡改,有效抵御DNS欺騙攻擊。

    (2)DNSCurve加密認(rèn)證

    DNSSEC并不對DNS數(shù)據(jù)本身進(jìn)行加密,只是通過簽名驗證DNS數(shù)據(jù)的真實性,如果DNS報文被惡意抓取,會造成嚴(yán)重的信息泄露。為了保證DNS數(shù)據(jù)包在傳輸過程中的保密性,研究人員提出一種基于橢圓曲線加密算法的DNSCurve系統(tǒng)[71]為DNS提供鏈路層的安全防護(hù)。DNSCurve保證DNS請求被正確解析的機制與DNSSEC類似,差別在于DNSCurve在驗證DNS數(shù)據(jù)包的真實性后還需對數(shù)據(jù)包進(jìn)行加密。因此即使DNSCurve系統(tǒng)下的DNS數(shù)據(jù)包被惡意分析,但由于加密算法的保護(hù),攻擊者仍難以獲取有效信息。

    (3)協(xié)議加密認(rèn)證

    傳統(tǒng)DNS基于用戶數(shù)據(jù)報協(xié)議(user 2atagram protocol,UDP)傳輸數(shù)據(jù),UDP在網(wǎng)絡(luò)上明文傳輸,無法保證數(shù)據(jù)的安全性。此外,UDP是無連接的協(xié)議,通信雙方無法驗證對方的身份,容易遭受欺騙攻擊。因此對DNS傳輸層協(xié)議進(jìn)行安全增強來提升DNS安全性的方式受到廣泛研究。目前最安全有效的方式是DOT(DNS over TLS)和DOH(DNS over HTTPS)方案。DOT使用傳輸控制協(xié)議(transmission control protocol,TCP)和傳輸層安全(transport layer security,TLS)協(xié)議傳輸數(shù)據(jù),數(shù)據(jù)傳輸前DNS解析器和服務(wù)器建立TCP連接驗證雙方的身份,防止虛假數(shù)據(jù)包入侵;數(shù)據(jù)傳輸過程中使用TLS協(xié)議對DNS數(shù)據(jù)進(jìn)行加密,防止數(shù)據(jù)內(nèi)容被篡改和泄露。DOH的原理與DOT類似,區(qū)別在于DOH基于超文本傳輸安全協(xié)議(hypertext transfer protocol secure,HTTPS)進(jìn)行封裝,格式更加通用。

    3.3 DNS解析限制

    (1)設(shè)置開放服務(wù)器查詢權(quán)限

    開放DNS服務(wù)器提供響應(yīng)外部資源請求的功能,但是網(wǎng)絡(luò)防火墻和入侵檢測系統(tǒng)對開放DNS服務(wù)器的保護(hù)力度不足,導(dǎo)致其容易被攻擊者利用,實施DNS反射放大攻擊、DNS信息劫持、DNS緩存中毒等惡意攻擊。因此研究人員提出對開放DNS服務(wù)器設(shè)置接入權(quán)限[5],以減少網(wǎng)絡(luò)中惡意DNS請求的數(shù)量。

    (2)設(shè)置權(quán)威服務(wù)器響應(yīng)速率

    權(quán)威域名服務(wù)器可以統(tǒng)計相同來源DNS查詢的頻次,據(jù)此可以設(shè)置一個響應(yīng)計數(shù)閾值來限制響應(yīng)的數(shù)量。在一定的時間段內(nèi),DNS響應(yīng)次數(shù)達(dá)到設(shè)定的閾值,權(quán)威域名服務(wù)器停止響應(yīng),以降低其遭受DDoS攻擊和反射放大攻擊的風(fēng)險。

    4 未來研究方向

    4.1 DNS攻擊檢測方面

    隨著攻擊技術(shù)的發(fā)展,檢測技術(shù)也需不斷改進(jìn),目前DNS攻擊檢測技術(shù)存在如下局限性待解決。

    (1)檢測模型的更新往往落后于攻擊技術(shù)的變化,難以應(yīng)對變型攻擊。如惡意DGA域名的檢測技術(shù)往往落后于DGA域名變化的速度[72],導(dǎo)致惡意域名不能被及時發(fā)現(xiàn),造成安全隱患。

    (2)缺乏對特殊攻擊的深入研究。目前大多數(shù)檢測技術(shù)缺乏對特殊攻擊的深入研究,如低吞吐量下的DNS隱蔽信道,此類型的DNS隱蔽信道雖然降低了信息泄露的速率,但即便一個DNS數(shù)據(jù)包只泄露1 bit的信息,在一年后泄露的信息量可以達(dá)到26 GB[73]。特殊類型的攻擊應(yīng)引起足夠的重視。

    (3)檢測的時效性難以滿足。目前多數(shù)檢測系統(tǒng)只關(guān)注檢測的準(zhǔn)確性和魯棒性等指標(biāo),然而檢測效率對檢測系統(tǒng)同樣重要。隱私泄露、DNS欺騙、DDoS攻擊等具有嚴(yán)重后果的攻擊如果不能及時被發(fā)現(xiàn),會造成嚴(yán)重的后果,因此未來的檢測系統(tǒng)需不斷提高檢測的時效性。

    4.2 DNS安全方面

    針對DNS安全問題,目前已經(jīng)涌現(xiàn)了大量研究成果,但是DNS攻擊事件仍不斷發(fā)生,這是由DNS自身安全脆弱性造成的,檢測與緩解技術(shù)難以應(yīng)對各種攻擊方式。因此未來研究應(yīng)重點提升DNS自身的穩(wěn)健性來降低遭受攻擊的風(fēng)險,未來DNS安全防護(hù)可以關(guān)注以下幾個方面。

    (1)加大去中心化DNS研究力度?;趨^(qū)塊鏈的DNS可以有效兼容區(qū)塊鏈技術(shù)的各項優(yōu)點,是未來DNS去中心化的重要研究方向。目前基于區(qū)塊鏈的DNS設(shè)計面臨如下挑戰(zhàn)。

    · 兼容性有待提高?;趨^(qū)塊鏈的系統(tǒng)與DNS是各自獨立的兩部分,兼容性差[74],需要安裝特定的解析插件才能訪問域名系統(tǒng),只有不斷提高兩者的兼容性,才能使基于區(qū)塊鏈的DNS被廣泛部署。

    · 共識算法的效率有待提高。DNS的數(shù)據(jù)需要不斷更新和維護(hù),數(shù)據(jù)需要在整個鏈上達(dá)成共識一致更新。然而目前主要的共識算法的效率較低,難以滿足DNS數(shù)據(jù)實時更新的需要[75],如工作量證明、權(quán)益證明等,因此結(jié)合DNS場景需求設(shè)計高效的共識算法是基于區(qū)塊鏈DNS去中心化的重要課題。

    (2)提高DNS加密方案部署覆蓋率?;诩用芗夹g(shù)和簽名認(rèn)證技術(shù)實現(xiàn)了對DNS資源記錄完整性和可靠性的保護(hù),可以有效地解決DNS欺騙攻擊,保護(hù)DNS的安全,然而該技術(shù)的部署覆蓋率卻不是很高,如DNSSEC在頂級域的部署率為89%,而在二級域的部署率僅為3%,這是因為目前大多數(shù)DNS加密方案普遍存在如下問題。

    · 兼容性差。目前絕大多數(shù)的加密方案需要對DNS協(xié)議進(jìn)行修改,且難以與DNS兼容運行,造成這些研究成果難以在實際中被廣泛推廣,如何提高加密防護(hù)方案與DNS的兼容性是未來DNS加密技術(shù)研究的首要方向。

    · 網(wǎng)絡(luò)資源開銷大?;诩用芗夹g(shù)的DNS中,DNS數(shù)據(jù)包會攜帶大量的數(shù)字簽名消息,耗費額外的網(wǎng)絡(luò)帶寬資源。這一特點一旦被攻擊者利用,會增加DNS受到放大攻擊的風(fēng)險[69]。因此需要進(jìn)一步地研究DNS加密技術(shù)的安全性與資源消耗的平衡。

    4.3 云環(huán)境下的DNS安全

    云服務(wù)的蓬勃發(fā)展使DNS服務(wù)逐漸向云端遷移,云環(huán)境相較于傳統(tǒng)的互聯(lián)網(wǎng)更加復(fù)雜,云安全面臨更加嚴(yán)峻的挑戰(zhàn)。據(jù)調(diào)查,在云服務(wù)對象中,有42%的組織受到了來自DNS云應(yīng)用的宕機攻擊,云環(huán)境下的DNS安全同樣面臨嚴(yán)峻的挑戰(zhàn)[76]。

    (1)云環(huán)境下基于DNS的數(shù)據(jù)泄露。云服務(wù)伴隨著數(shù)據(jù)的海量存儲,越來越多的數(shù)據(jù)在Internet上傳輸,傳輸?shù)男畔⒃街匾?,發(fā)生泄露后造成的影響越大,如利用DNS隱蔽信道進(jìn)行隱私數(shù)據(jù)的傳輸和竊取[5]。云環(huán)境下基于DNS的數(shù)據(jù)泄露需引起高度關(guān)注。

    (2)云環(huán)境下的DNS欺騙。網(wǎng)絡(luò)釣魚和惡意軟件欺詐在云環(huán)境中依然有效[77],緩解云環(huán)境下的DNS欺騙是一個重要的研究方向。

    (3)云環(huán)境下的拒絕服務(wù)攻擊。云環(huán)境下域名解析服務(wù)集中到少數(shù)云服務(wù)提供商。文獻(xiàn)[78]表明91%~93%的二級域共享同一個權(quán)威名稱解析服務(wù)器,因此云環(huán)境下的DDoS攻擊一旦成功,會造成更加嚴(yán)重的后果。云環(huán)境下DNS服務(wù)的集中化發(fā)展已成趨勢,如何有效檢測DDoS攻擊和緩解集中化后遭受DDoS攻擊的風(fēng)險,亟待進(jìn)一步研究。

    5 結(jié)束語

    DNS功能的多樣性使其遭受攻擊時造成的后果愈發(fā)嚴(yán)重,因此提高DNS攻擊檢測能力與加強DNS安全防護(hù)是保障DNS功能擴展的必要前提。本文詳細(xì)介紹了常見DNS攻擊的檢測技術(shù)以及增強DNS安全性能的防護(hù)方法,并對未來DNS安全的研究方向進(jìn)行了展望。希望本文可以為相關(guān)領(lǐng)域的研究人員提供一定的參考。

    猜你喜歡
    域名數(shù)據(jù)包信道
    SmartSniff
    如何購買WordPress網(wǎng)站域名及綁定域名
    基于導(dǎo)頻的OFDM信道估計技術(shù)
    一種改進(jìn)的基于DFT-MMSE的信道估計方法
    騰訊八百萬美元收購域名
    基于MED信道選擇和虛擬嵌入塊的YASS改進(jìn)算法
    基于Libpcap的網(wǎng)絡(luò)數(shù)據(jù)包捕獲器的設(shè)計與實現(xiàn)
    一種基于GPU的數(shù)字信道化處理方法
    視覺注意的數(shù)據(jù)包優(yōu)先級排序策略研究
    頂級域名爭奪戰(zhàn):ICANN放出1930個通用頂級域名,申請者有上千家
    免费看十八禁软件| 在线观看午夜福利视频| 国产成人系列免费观看| 黄色 视频免费看| 天堂av国产一区二区熟女人妻| 免费观看精品视频网站| svipshipincom国产片| 精品99又大又爽又粗少妇毛片 | 天堂网av新在线| 午夜激情欧美在线| 亚洲人成伊人成综合网2020| 免费人成视频x8x8入口观看| 高清毛片免费观看视频网站| 哪里可以看免费的av片| 久久久久久大精品| 19禁男女啪啪无遮挡网站| 俄罗斯特黄特色一大片| 舔av片在线| 精品国产美女av久久久久小说| 国产亚洲欧美在线一区二区| 九九热线精品视视频播放| 精品久久久久久久毛片微露脸| 久久中文字幕人妻熟女| 欧美成人性av电影在线观看| 国产私拍福利视频在线观看| 五月伊人婷婷丁香| av欧美777| 悠悠久久av| 九色国产91popny在线| 亚洲欧洲精品一区二区精品久久久| 99久久成人亚洲精品观看| xxx96com| 国产人伦9x9x在线观看| 18美女黄网站色大片免费观看| 精品熟女少妇八av免费久了| 日韩有码中文字幕| 禁无遮挡网站| 好男人在线观看高清免费视频| 啪啪无遮挡十八禁网站| 女人高潮潮喷娇喘18禁视频| 国产探花在线观看一区二区| 免费在线观看成人毛片| 国内精品久久久久久久电影| 久9热在线精品视频| 亚洲精品久久国产高清桃花| 1024手机看黄色片| 国产日本99.免费观看| 国产欧美日韩一区二区精品| 热99re8久久精品国产| 麻豆av在线久日| 18禁裸乳无遮挡免费网站照片| 久久久久性生活片| 国产精品久久久久久人妻精品电影| 给我免费播放毛片高清在线观看| 我要搜黄色片| 99国产精品一区二区蜜桃av| 丝袜人妻中文字幕| 日韩高清综合在线| 免费在线观看成人毛片| 免费看日本二区| 亚洲欧洲精品一区二区精品久久久| aaaaa片日本免费| 1024手机看黄色片| 老司机午夜十八禁免费视频| www.熟女人妻精品国产| xxxwww97欧美| 亚洲国产中文字幕在线视频| 后天国语完整版免费观看| 午夜激情欧美在线| 国产激情久久老熟女| 成人一区二区视频在线观看| 亚洲最大成人中文| 观看免费一级毛片| 成人欧美大片| 高清在线国产一区| 免费在线观看日本一区| 欧美色欧美亚洲另类二区| 在线观看日韩欧美| 免费在线观看成人毛片| 久久精品国产99精品国产亚洲性色| 成人av在线播放网站| 久久精品国产99精品国产亚洲性色| 国产激情欧美一区二区| 怎么达到女性高潮| av天堂中文字幕网| 变态另类成人亚洲欧美熟女| 91在线观看av| 亚洲 欧美 日韩 在线 免费| 亚洲成人久久性| 精品人妻1区二区| 久久人人精品亚洲av| 亚洲av美国av| 国产精品久久久久久精品电影| 亚洲性夜色夜夜综合| 一级a爱片免费观看的视频| 少妇丰满av| 亚洲专区中文字幕在线| 黄色女人牲交| 99精品欧美一区二区三区四区| 一区福利在线观看| 亚洲精品美女久久av网站| 亚洲国产欧洲综合997久久,| 夜夜爽天天搞| 18禁美女被吸乳视频| 男人和女人高潮做爰伦理| 精品久久久久久久末码| 欧美日韩一级在线毛片| 亚洲人成电影免费在线| 亚洲人成伊人成综合网2020| 欧美中文日本在线观看视频| 真人做人爱边吃奶动态| 少妇的逼水好多| 欧美一级a爱片免费观看看| 国产精品乱码一区二三区的特点| 黄色日韩在线| 精品国产超薄肉色丝袜足j| www.自偷自拍.com| 亚洲 国产 在线| 日本与韩国留学比较| 最好的美女福利视频网| 欧美黑人欧美精品刺激| 国产精品 国内视频| 亚洲成av人片免费观看| 国产久久久一区二区三区| 成人av在线播放网站| 99久国产av精品| 亚洲五月天丁香| 午夜激情欧美在线| 高清在线国产一区| 黄色日韩在线| 亚洲av片天天在线观看| 亚洲精品在线美女| 国产三级在线视频| 亚洲成人中文字幕在线播放| 久久精品综合一区二区三区| 香蕉丝袜av| 国产精品自产拍在线观看55亚洲| 99国产精品一区二区蜜桃av| 午夜福利视频1000在线观看| 97超级碰碰碰精品色视频在线观看| www.熟女人妻精品国产| 婷婷亚洲欧美| 国产三级中文精品| 国产私拍福利视频在线观看| 国产99白浆流出| 一进一出好大好爽视频| 国产av不卡久久| 亚洲av电影在线进入| 久9热在线精品视频| 欧美黄色淫秽网站| 国产亚洲精品综合一区在线观看| 亚洲 欧美 日韩 在线 免费| 1000部很黄的大片| www.999成人在线观看| 色综合亚洲欧美另类图片| 淫秽高清视频在线观看| 最近最新免费中文字幕在线| 精品午夜福利视频在线观看一区| 99热精品在线国产| 亚洲男人的天堂狠狠| 久久久久久久久中文| 国产成人精品久久二区二区免费| 每晚都被弄得嗷嗷叫到高潮| 天天躁狠狠躁夜夜躁狠狠躁| 我的老师免费观看完整版| 草草在线视频免费看| 欧美日韩中文字幕国产精品一区二区三区| 免费看十八禁软件| 精品99又大又爽又粗少妇毛片 | 午夜成年电影在线免费观看| 国产精品乱码一区二三区的特点| 午夜福利18| 亚洲精品粉嫩美女一区| 99久久无色码亚洲精品果冻| 香蕉丝袜av| www国产在线视频色| 一本精品99久久精品77| 一级黄色大片毛片| 日韩成人在线观看一区二区三区| 嫩草影院精品99| 亚洲七黄色美女视频| 男人的好看免费观看在线视频| 色av中文字幕| 搞女人的毛片| 不卡一级毛片| 亚洲国产看品久久| 日韩欧美免费精品| 老鸭窝网址在线观看| 国产v大片淫在线免费观看| 男女那种视频在线观看| 欧美日韩瑟瑟在线播放| 精华霜和精华液先用哪个| 五月玫瑰六月丁香| 18禁裸乳无遮挡免费网站照片| 国产人伦9x9x在线观看| 在线观看舔阴道视频| 欧美日本亚洲视频在线播放| 99国产综合亚洲精品| 亚洲精华国产精华精| 欧美3d第一页| 淫妇啪啪啪对白视频| 亚洲中文字幕日韩| 日韩成人在线观看一区二区三区| 国产蜜桃级精品一区二区三区| 免费大片18禁| 最新在线观看一区二区三区| 午夜久久久久精精品| 99国产精品99久久久久| 大型黄色视频在线免费观看| 极品教师在线免费播放| 禁无遮挡网站| 看免费av毛片| 特级一级黄色大片| 男人舔女人下体高潮全视频| 哪里可以看免费的av片| 熟女人妻精品中文字幕| tocl精华| 一级毛片女人18水好多| 久久久久久久久中文| 日韩欧美 国产精品| 久久久水蜜桃国产精品网| 欧美激情在线99| 欧美中文日本在线观看视频| 天堂av国产一区二区熟女人妻| 老司机在亚洲福利影院| 91麻豆精品激情在线观看国产| 亚洲aⅴ乱码一区二区在线播放| 99久久成人亚洲精品观看| 亚洲成人免费电影在线观看| 亚洲激情在线av| 成人午夜高清在线视频| 久久久久国产一级毛片高清牌| 免费观看精品视频网站| 国产一级毛片七仙女欲春2| 国产精品一区二区三区四区久久| 免费在线观看成人毛片| www日本在线高清视频| 午夜影院日韩av| 亚洲国产欧美人成| 无人区码免费观看不卡| 黑人操中国人逼视频| 好男人电影高清在线观看| 亚洲精品粉嫩美女一区| 免费在线观看成人毛片| 搞女人的毛片| 精品国产三级普通话版| 久久久久国内视频| 日韩欧美国产在线观看| 午夜两性在线视频| 中文字幕人妻丝袜一区二区| 1024手机看黄色片| 国产1区2区3区精品| 999精品在线视频| 九九久久精品国产亚洲av麻豆 | 美女扒开内裤让男人捅视频| 欧美乱码精品一区二区三区| 亚洲自拍偷在线| а√天堂www在线а√下载| 国产单亲对白刺激| 亚洲欧美日韩东京热| 久久精品夜夜夜夜夜久久蜜豆| 国产成人精品无人区| 婷婷丁香在线五月| 白带黄色成豆腐渣| 欧美又色又爽又黄视频| 91在线精品国自产拍蜜月 | www.精华液| 精品一区二区三区视频在线观看免费| 国产高清视频在线观看网站| 国产欧美日韩一区二区精品| 亚洲午夜理论影院| 人妻夜夜爽99麻豆av| 天堂√8在线中文| 午夜精品久久久久久毛片777| 久久精品国产清高在天天线| 真人一进一出gif抽搐免费| 观看免费一级毛片| 亚洲午夜理论影院| av欧美777| 亚洲欧美日韩卡通动漫| 最近最新中文字幕大全电影3| 欧美日韩精品网址| 亚洲熟妇中文字幕五十中出| 一个人免费在线观看电影 | 亚洲精品一区av在线观看| 观看美女的网站| 国产精品永久免费网站| 国产精品一区二区三区四区免费观看 | 午夜影院日韩av| 最新中文字幕久久久久 | 无人区码免费观看不卡| 亚洲欧美日韩高清在线视频| 成人特级黄色片久久久久久久| 又黄又爽又免费观看的视频| 国产91精品成人一区二区三区| 久久久久国内视频| 国产精品一区二区免费欧美| 亚洲无线观看免费| 中文字幕人成人乱码亚洲影| 在线观看午夜福利视频| 在线看三级毛片| 国产精品99久久99久久久不卡| 一区福利在线观看| 热99在线观看视频| 国产真实乱freesex| 99精品在免费线老司机午夜| 最好的美女福利视频网| 又粗又爽又猛毛片免费看| 色播亚洲综合网| 精品一区二区三区av网在线观看| 欧美又色又爽又黄视频| 欧美黑人巨大hd| 精品久久久久久成人av| 日韩精品中文字幕看吧| 国产精品综合久久久久久久免费| 久久中文字幕一级| 欧美黄色片欧美黄色片| 亚洲成a人片在线一区二区| 亚洲熟女毛片儿| 欧美一区二区国产精品久久精品| 亚洲avbb在线观看| av在线蜜桃| 久久久国产精品麻豆| 在线免费观看不下载黄p国产 | 香蕉久久夜色| 18禁国产床啪视频网站| 在线观看日韩欧美| 久久午夜综合久久蜜桃| 欧美又色又爽又黄视频| 啪啪无遮挡十八禁网站| 高清毛片免费观看视频网站| 国产成人精品久久二区二区免费| 99久久99久久久精品蜜桃| 午夜福利欧美成人| a级毛片在线看网站| 精品国内亚洲2022精品成人| 女人高潮潮喷娇喘18禁视频| 亚洲,欧美精品.| 欧美丝袜亚洲另类 | 99热这里只有是精品50| 日本五十路高清| 最近视频中文字幕2019在线8| 国产精品 国内视频| 男女那种视频在线观看| 成年版毛片免费区| 丰满人妻一区二区三区视频av | 亚洲精品国产精品久久久不卡| 久久伊人香网站| 久久香蕉精品热| 制服丝袜大香蕉在线| 久久国产精品人妻蜜桃| 国产高清视频在线播放一区| a级毛片a级免费在线| 精品午夜福利视频在线观看一区| 99精品在免费线老司机午夜| 午夜影院日韩av| 免费搜索国产男女视频| 国产人伦9x9x在线观看| 日韩欧美国产一区二区入口| 这个男人来自地球电影免费观看| 久久久国产成人精品二区| av福利片在线观看| or卡值多少钱| 欧美另类亚洲清纯唯美| 亚洲专区中文字幕在线| 国产精品久久视频播放| 日本一本二区三区精品| 国产野战对白在线观看| 成人无遮挡网站| 制服人妻中文乱码| 亚洲自拍偷在线| 国产一区二区在线av高清观看| 欧洲精品卡2卡3卡4卡5卡区| 亚洲精品一卡2卡三卡4卡5卡| 亚洲精品色激情综合| 成人av在线播放网站| 亚洲欧美精品综合一区二区三区| 久久久久久久久久黄片| 久久久国产成人精品二区| 亚洲一区二区三区色噜噜| 狠狠狠狠99中文字幕| 亚洲色图 男人天堂 中文字幕| 日本熟妇午夜| 亚洲中文av在线| 亚洲美女视频黄频| 99久久国产精品久久久| 亚洲色图av天堂| 久久中文字幕人妻熟女| 黑人欧美特级aaaaaa片| 精华霜和精华液先用哪个| 午夜福利在线观看吧| 搡老熟女国产l中国老女人| www.999成人在线观看| aaaaa片日本免费| 在线播放国产精品三级| 亚洲美女黄片视频| 99精品久久久久人妻精品| www日本在线高清视频| 久久久国产精品麻豆| 欧洲精品卡2卡3卡4卡5卡区| 法律面前人人平等表现在哪些方面| 99国产极品粉嫩在线观看| 母亲3免费完整高清在线观看| 99久久综合精品五月天人人| 麻豆久久精品国产亚洲av| 午夜福利在线观看吧| 韩国av一区二区三区四区| 久久99热这里只有精品18| 99久久国产精品久久久| 亚洲精品在线美女| 一二三四社区在线视频社区8| 日本在线视频免费播放| 男人舔奶头视频| 亚洲狠狠婷婷综合久久图片| 久久久久精品国产欧美久久久| 亚洲成人精品中文字幕电影| 国产亚洲欧美在线一区二区| 精品久久久久久久久久久久久| 精品人妻1区二区| 国产精品亚洲一级av第二区| 麻豆国产97在线/欧美| 欧美一级毛片孕妇| 人人妻,人人澡人人爽秒播| 久久久国产精品麻豆| 男女那种视频在线观看| 热99在线观看视频| 亚洲五月婷婷丁香| 三级男女做爰猛烈吃奶摸视频| 国产高清视频在线观看网站| 国产av一区在线观看免费| 嫩草影视91久久| 十八禁人妻一区二区| 亚洲av成人一区二区三| 欧美日本亚洲视频在线播放| 亚洲欧美日韩卡通动漫| 在线国产一区二区在线| 亚洲国产精品999在线| 精品久久久久久久末码| 国产精品乱码一区二三区的特点| 嫩草影院精品99| 国产伦精品一区二区三区四那| 欧美黄色片欧美黄色片| 级片在线观看| 热99在线观看视频| 老司机福利观看| 人人妻人人澡欧美一区二区| 国产淫片久久久久久久久 | 亚洲性夜色夜夜综合| 国产1区2区3区精品| 亚洲,欧美精品.| 国产av一区在线观看免费| 国产成人系列免费观看| xxxwww97欧美| 999久久久国产精品视频| av天堂中文字幕网| 国产一区二区在线av高清观看| 国产aⅴ精品一区二区三区波| 色综合亚洲欧美另类图片| 色尼玛亚洲综合影院| 五月伊人婷婷丁香| 老司机午夜福利在线观看视频| 波多野结衣高清无吗| 国产精品美女特级片免费视频播放器 | 久久精品夜夜夜夜夜久久蜜豆| 少妇的丰满在线观看| 亚洲精品一区av在线观看| 午夜激情福利司机影院| 老熟妇仑乱视频hdxx| 99在线视频只有这里精品首页| 亚洲中文字幕一区二区三区有码在线看 | av片东京热男人的天堂| 大型黄色视频在线免费观看| 国产精华一区二区三区| 在线观看66精品国产| 91久久精品国产一区二区成人 | 两个人看的免费小视频| 国产高清激情床上av| 精品日产1卡2卡| 一级a爱片免费观看的视频| 精品久久蜜臀av无| 亚洲国产精品999在线| 亚洲成a人片在线一区二区| 日韩人妻高清精品专区| 在线观看午夜福利视频| 又紧又爽又黄一区二区| 免费看十八禁软件| 九九在线视频观看精品| 午夜福利在线观看吧| 99视频精品全部免费 在线 | 熟女电影av网| 国产成人影院久久av| 黑人巨大精品欧美一区二区mp4| 欧美成人一区二区免费高清观看 | 成年人黄色毛片网站| 国产亚洲av高清不卡| 又大又爽又粗| 亚洲熟女毛片儿| 国产亚洲av嫩草精品影院| 一二三四在线观看免费中文在| 欧美xxxx黑人xx丫x性爽| 免费av不卡在线播放| www.www免费av| 国产精品久久久久久久电影 | 午夜激情欧美在线| 午夜福利在线在线| 最近在线观看免费完整版| 12—13女人毛片做爰片一| a在线观看视频网站| 全区人妻精品视频| 欧美成人一区二区免费高清观看 | 在线观看午夜福利视频| 国产视频一区二区在线看| 18禁裸乳无遮挡免费网站照片| 国产亚洲av高清不卡| 国产亚洲精品久久久com| 日本黄色视频三级网站网址| 精品欧美国产一区二区三| 久久久久久九九精品二区国产| 别揉我奶头~嗯~啊~动态视频| 成人av一区二区三区在线看| 中文字幕精品亚洲无线码一区| 国产精品久久久久久亚洲av鲁大| 99久久精品国产亚洲精品| 日韩成人在线观看一区二区三区| 婷婷丁香在线五月| 美女免费视频网站| www.熟女人妻精品国产| 国产精品香港三级国产av潘金莲| 高清在线国产一区| 88av欧美| 淫妇啪啪啪对白视频| 久久香蕉国产精品| 亚洲国产日韩欧美精品在线观看 | 老鸭窝网址在线观看| 亚洲av五月六月丁香网| 在线观看午夜福利视频| 精品国产亚洲在线| 欧美日韩福利视频一区二区| 日韩人妻高清精品专区| 夜夜夜夜夜久久久久| 美女午夜性视频免费| 欧美中文综合在线视频| 国产精品免费一区二区三区在线| 精品久久久久久久久久免费视频| 国产成人福利小说| 国产熟女xx| 日日干狠狠操夜夜爽| 国产精品一区二区精品视频观看| 午夜福利视频1000在线观看| 99久久久亚洲精品蜜臀av| 在线免费观看不下载黄p国产 | 精品久久久久久久末码| 一区二区三区激情视频| 欧美色视频一区免费| 午夜免费成人在线视频| 久久精品国产99精品国产亚洲性色| 亚洲片人在线观看| 制服人妻中文乱码| 国产一区二区在线av高清观看| 一本综合久久免费| 夜夜爽天天搞| 欧美三级亚洲精品| 精品欧美国产一区二区三| 欧美+亚洲+日韩+国产| 国产v大片淫在线免费观看| 他把我摸到了高潮在线观看| 99久久成人亚洲精品观看| 99在线人妻在线中文字幕| 亚洲av成人一区二区三| 最近最新中文字幕大全免费视频| 午夜两性在线视频| 亚洲人与动物交配视频| 午夜免费成人在线视频| 法律面前人人平等表现在哪些方面| 亚洲18禁久久av| netflix在线观看网站| av视频在线观看入口| 亚洲精品在线美女| 成人性生交大片免费视频hd| 国产精品影院久久| 国产精品久久电影中文字幕| 波多野结衣高清作品| 在线国产一区二区在线| 欧美zozozo另类| 亚洲熟女毛片儿| 久久这里只有精品19| 中文字幕人成人乱码亚洲影| 两个人看的免费小视频| 国产亚洲欧美在线一区二区| 少妇熟女aⅴ在线视频| 美女cb高潮喷水在线观看 | 99久久精品国产亚洲精品| 国产不卡一卡二| 最近最新中文字幕大全电影3| 欧美性猛交黑人性爽| 曰老女人黄片| 成年人黄色毛片网站| 日本与韩国留学比较| 天堂影院成人在线观看| 欧美性猛交黑人性爽| 国产精品国产高清国产av| 一本一本综合久久| 日韩欧美精品v在线| 亚洲第一电影网av| 九色成人免费人妻av| 两性午夜刺激爽爽歪歪视频在线观看| 久久亚洲真实| 黄色 视频免费看| 久久精品国产99精品国产亚洲性色| 宅男免费午夜| 亚洲国产日韩欧美精品在线观看 | 热99re8久久精品国产| 最新中文字幕久久久久 | 神马国产精品三级电影在线观看| 国产成人啪精品午夜网站|