阿繼琛+段程遠(yuǎn)+李珂瑋+嚴(yán)澤民+張子威

摘要：DNS作為互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)服務(wù)系統(tǒng)，在保證互聯(lián)網(wǎng)絡(luò)的正常運(yùn)行方面起著不可或缺與的作用，其安全性也影響著互聯(lián)網(wǎng)的安全與效率。然而，互聯(lián)網(wǎng)上發(fā)生的網(wǎng)絡(luò)攻擊事件日益頻繁，DNS 系統(tǒng)也遭受到了一系列的劫持攻擊。尋找一個(gè)行之有效的方法來(lái)解決DNS劫持攻擊已經(jīng)到了刻不容緩的地步。本作品旨在應(yīng)對(duì)近年來(lái)大規(guī)模發(fā)生的DNS劫持攻擊，以USB Key為平臺(tái)（用于存儲(chǔ)DNS解析數(shù)據(jù)）開發(fā)一種基于客戶端的DNS防劫持安全系統(tǒng)。該安全系統(tǒng)和目前已有的面向客戶端的安全軟件相比，具有針對(duì)DNS劫持攻擊的響應(yīng)功能和防護(hù)機(jī)制，而且基于USB Key的DNS解析能夠滿足用戶對(duì)于價(jià)格、安全性、效率三方面的要求，性價(jià)比較高，擁有良好的市場(chǎng)前景。本作品的創(chuàng)新技術(shù)包括面向客戶端的DNS防劫持技術(shù)、基于“判決機(jī)制”的DNS解析技術(shù)、基于USB key的DNS解析數(shù)據(jù)的安全存儲(chǔ)及處理技術(shù)。針對(duì)現(xiàn)在被普遍的關(guān)注的DNS安全問(wèn)題，我們將這些創(chuàng)新技術(shù)和安全方案內(nèi)化到一個(gè)面向客戶端的DNS安全解析系統(tǒng)之中。

關(guān)鍵詞：DNS防劫持；USB-Key；互聯(lián)網(wǎng)

中圖分類號(hào)：P393.4 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）15-0037-03

1 概述

隨著域名系統(tǒng)飛速發(fā)展，域名的注冊(cè)規(guī)模急劇擴(kuò)大，其管理難度急劇增加。由于DNS協(xié)議在設(shè)計(jì)之初沒(méi)有考慮太多的安全因素，DNS上的各類數(shù)據(jù)沒(méi)有加密保護(hù)和認(rèn)證預(yù)防，DNS系統(tǒng)在實(shí)現(xiàn)上具有脆弱性，再加上人為攻擊和破壞，DNS面臨非常嚴(yán)重的安全威脅。常見的安全問(wèn)題包括域名與 IP 地址之間的映射關(guān)系被修改，客戶主機(jī)遭受欺騙攻擊、面臨拒絕服務(wù)，DNS 服務(wù)器緩存中毒、區(qū)域信息泄漏等。

作為 Internet 上的關(guān)鍵基礎(chǔ)服務(wù)，DNS 一旦出錯(cuò)，將影響互聯(lián)網(wǎng)大部分業(yè)務(wù)的正常運(yùn)行。所以，DNS 的安全問(wèn)題越來(lái)越受到關(guān)注，對(duì)DNS系統(tǒng)安全的分析和研究就顯得尤為重要。

2 相關(guān)研究和技術(shù)

當(dāng)前國(guó)內(nèi)外對(duì)于DNS防劫持技術(shù)的研究主要基于DNS服務(wù)端，其中包括針對(duì)協(xié)議設(shè)計(jì)進(jìn)行的改進(jìn)、DNS 服務(wù)端的流量檢測(cè)、DNS 管理和維護(hù)等幾個(gè)方面。而在客戶端進(jìn)行的防護(hù)主要體現(xiàn)在對(duì)DNS服務(wù)器合法性的判斷和自動(dòng)配置方面。

針對(duì)協(xié)議設(shè)計(jì)的脆弱性方面。1997 年，IETF 成立了工作組專門研究DNSSEC 安全擴(kuò)展協(xié)議（DNS Security Extensions），并推出了一系列的 RFC標(biāo)準(zhǔn)，從概念、協(xié)議設(shè)計(jì)、報(bào)文格式、加密算法及密鑰管理等方面完善了原有DNS體系的不足之處，從而形成一整套的DNSSEC 解決方案。DNSSEC 雖然極大增強(qiáng)了DNS 的安全性，但一直沒(méi)有大規(guī)模的部署。

DNS 流量檢測(cè)方面，甄別出異常的DNS 流量，發(fā)現(xiàn)可能的DNS 攻擊，以檢測(cè)DNS 系統(tǒng)的實(shí)現(xiàn)漏洞和配置漏洞為目的，可以形成目標(biāo)DNS系統(tǒng)的安全檢測(cè)報(bào)告。該檢測(cè)模塊通過(guò)遠(yuǎn)程檢測(cè)目標(biāo)服務(wù)器的整體狀況，協(xié)議支持情況，配置漏洞和軟件實(shí)現(xiàn)漏洞，準(zhǔn)確地發(fā)現(xiàn)目標(biāo)服務(wù)器的安全問(wèn)題。但是，通過(guò)服務(wù)器進(jìn)程利用率和DNS 數(shù)據(jù)率來(lái)甄別異常流量，在實(shí)際運(yùn)行中是并不充分的，另外基于服務(wù)端的DNS安全檢測(cè)系統(tǒng)還是具有一定的局限性。

除此之外，針對(duì)服務(wù)端進(jìn)行的安全策略還包括DNS管理和維護(hù)方面以及加強(qiáng)網(wǎng)絡(luò)安全傳輸方面。

在DNS客戶端方面，我們橫向比較了國(guó)內(nèi)現(xiàn)有的六款安全軟件，它們的功能最多就是自動(dòng)優(yōu)選DNS服務(wù)器、自動(dòng)修改本地DNS設(shè)置、輔助修改路由器密碼等功能。它們并沒(méi)有涉及過(guò)多的應(yīng)對(duì)DNS劫持的功能，這在真正應(yīng)對(duì)攻擊時(shí)有很大的局限性。因此，基于安全考慮，我們需要更加深入地改善本地的DNS防護(hù)機(jī)制，并且在此基礎(chǔ)上，最大程度的優(yōu)化和改進(jìn)用戶的安全上網(wǎng)速率。

因此，本項(xiàng)目提出的基于USB Key的DNS本地防劫持系統(tǒng)從多線程的DNS后臺(tái)重構(gòu)解析請(qǐng)求和基于Winpcap的DNS解析結(jié)果分析出發(fā)（下文中即稱DNS安全解析器），創(chuàng)新性地引入多DNS解析返回結(jié)果“判決”機(jī)制和基于USB key的解析數(shù)據(jù)安全存儲(chǔ)與處理機(jī)制，開啟了一條防止DNS劫持的新思路。

3 總體結(jié)構(gòu)

本系統(tǒng)實(shí)現(xiàn)的基于USB key的DNS本地防劫持系統(tǒng)包括硬件和配套軟件兩部分。其中，硬件利用了國(guó)產(chǎn)的USB key進(jìn)行設(shè)計(jì)，軟件在windows內(nèi)核下實(shí)現(xiàn)。安全系統(tǒng)的體系結(jié)構(gòu)框圖如下：

面向客戶端的DNS安全解析系統(tǒng)是在整個(gè)DNS通信的過(guò)程中為用戶提供服務(wù)的，其中涉及對(duì)hosts文件的操作，對(duì)USB key的操作以及對(duì)DNS服務(wù)器的訪問(wèn)。而本研究項(xiàng)目的創(chuàng)新點(diǎn)及特色正是體現(xiàn)在這些過(guò)程之中，所以應(yīng)該具有一套完備的DNS解析技術(shù)體系結(jié)構(gòu)。體系結(jié)構(gòu)中應(yīng)包含DNS安全解析器，存儲(chǔ)和處理關(guān)鍵數(shù)據(jù)的USB key系統(tǒng)，基于“判決機(jī)制”的DNS解析等主要的功能模塊。通過(guò)這些功能模塊來(lái)完成實(shí)現(xiàn)面向客戶端的DNS安全系統(tǒng)的具體功能實(shí)現(xiàn)。

4 關(guān)鍵技術(shù)設(shè)計(jì)

目前針對(duì)DNS系統(tǒng)安全的技術(shù)主要是圍繞DNS服務(wù)器以及DNS通信協(xié)議展開的，其中具代表性的有DNSSEC安全協(xié)議和DNS流量檢測(cè)技術(shù)。本研究項(xiàng)目將采用基于本地解析器的新思路來(lái)達(dá)到這些技術(shù)的部分安全目的，其中創(chuàng)新點(diǎn)體現(xiàn)在如下方面：

1）面向客戶端的DNS防劫持技術(shù)

目前主要的DNS安全防護(hù)研究成果大部分都是基于Overlay技術(shù)，從根本上改變現(xiàn)有體系的層次結(jié)構(gòu)。相比之下，面向客戶端的、從DNS解析器重構(gòu)的角度出發(fā)的DNS防劫持方案尚屬首次提出。本項(xiàng)目擬研究并設(shè)計(jì)一種面向客戶端的DNS防劫持技術(shù)，增強(qiáng)客戶端在保障DNS安全性過(guò)程中的作用，同時(shí)最大程度保證用戶上網(wǎng)的安全和效率。

面向客戶端的DNS防劫持技術(shù)以重構(gòu)多個(gè)DNS解析請(qǐng)求為基礎(chǔ)，通過(guò)“判決”機(jī)制形成可信度更高的解析結(jié)果，然后將解析結(jié)果即域名-IP地址映射對(duì)直接寫入hosts文件，通過(guò)本地地址解析緩存，跳過(guò)了通常情況下向DNS服務(wù)器發(fā)送DNS解析請(qǐng)求的過(guò)程。

從安全效益的方面考慮，本項(xiàng)目方案和主流的DNSSEC協(xié)議技術(shù)相比，能夠防范大部分DNS劫持攻擊和DNS服務(wù)器管理員產(chǎn)生的配置錯(cuò)誤，而且能在一定程度上應(yīng)對(duì)攻擊者針對(duì)DNS服務(wù)器的DDOS攻擊。除此之外，該項(xiàng)技術(shù)的實(shí)現(xiàn)和運(yùn)行機(jī)制較DNSSEC協(xié)議技術(shù)更為簡(jiǎn)單，不需要一系列技術(shù)性要求較高的專用設(shè)備，對(duì)域名解析系統(tǒng)的要求較低，對(duì)開發(fā)和維護(hù)人員素質(zhì)要求相對(duì)較低，具有一定的靈活性、可擴(kuò)充性以及可移植性。

從效率的方面考慮，面向客戶端的DNS防劫持技術(shù)通過(guò)本機(jī)存儲(chǔ)域名-IP地址映射對(duì)的方式直接以IP地址完成對(duì)目標(biāo)網(wǎng)站的訪問(wèn)，省去了之前訪問(wèn)服務(wù)器的部分過(guò)程，從而縮短了整個(gè)訪問(wèn)過(guò)程的時(shí)間，提高了時(shí)間效率。此外，該技術(shù)實(shí)現(xiàn)的空間成本低，USB key 的存儲(chǔ)容量就能夠滿足該技術(shù)對(duì)域名—IP地址映射對(duì)存儲(chǔ)的空間開銷要求。

2）基于“判決機(jī)制”的DNS解析技術(shù)

當(dāng)前的DNS解析技術(shù)有遞歸查詢方式、迭代查詢方式以及設(shè)置快取緩存區(qū)。這些技術(shù)實(shí)現(xiàn)了DNS服務(wù)器對(duì)于用戶DNS請(qǐng)求的查詢和應(yīng)答，但都是針對(duì)服務(wù)端的技術(shù)，而且在安全性方面存在一定的漏洞，極易受到DNS劫持、DNS重定向、DNS緩存污染等攻擊的影響。而基于“判決機(jī)制”的DNS解析技術(shù)是一項(xiàng)提供安全保障的DNS解析技術(shù)，它在已有的解析技術(shù)基礎(chǔ)之上，加上了安全的技術(shù)支持。

目前針對(duì)DNS通信安全的技術(shù)譬如DNS流量檢測(cè)技術(shù)，主要是針對(duì)傳輸過(guò)程中數(shù)據(jù)的監(jiān)視與檢測(cè)，目的是檢測(cè)出異常的DNS數(shù)據(jù)流，從而檢測(cè)并阻止針對(duì)DNS系統(tǒng)攻擊，保護(hù)DNS通信過(guò)程中信息的完整性。基于“判決機(jī)制”的DNS解析技術(shù)在用戶端設(shè)計(jì)安全機(jī)制幫助用戶甄別虛假的被篡改了的信息數(shù)據(jù)，從而有效防止DNS欺騙攻擊、DNS重定向等網(wǎng)絡(luò)攻擊。

3）基于USB key的DNS解析數(shù)據(jù)的安全存儲(chǔ)及處理技術(shù)

USB Key具有安全數(shù)據(jù)存儲(chǔ)空間，可以存儲(chǔ)數(shù)字證書、密鑰等秘密數(shù)據(jù)，對(duì)該存儲(chǔ)空間的讀寫操作必須通過(guò)程序?qū)崿F(xiàn)。此外，USB Key 內(nèi)置CPU，可以實(shí)現(xiàn)加解密和簽名的各種算法，加解密運(yùn)算在USB Key內(nèi)進(jìn)行。因此，目前的USB key被廣泛用于身份認(rèn)證。

本項(xiàng)目創(chuàng)新性地將USB key用于DNS解析數(shù)據(jù)的安全存儲(chǔ)及處理，利用USB key兼有安全數(shù)據(jù)存儲(chǔ)空間，可以實(shí)現(xiàn)算法的特點(diǎn)，將DNS解析數(shù)據(jù)以及完整性檢測(cè)算法寫入U(xiǎn)SB key，從而實(shí)現(xiàn)客戶端在本地完成DNS解析數(shù)據(jù)的生成和完整性的檢測(cè)。

用USB key實(shí)現(xiàn)DNS解析數(shù)據(jù)的安全存儲(chǔ)及處理，充分利用了USB key安全高效的特點(diǎn)。DNS解析數(shù)據(jù)存儲(chǔ)在USB key中，可以保證其完整性，而且USB key能夠在可接受時(shí)間內(nèi)完成對(duì)解析數(shù)據(jù)的完整性檢測(cè)，保證網(wǎng)絡(luò)程序的順暢運(yùn)行。此外，USB key還有使用簡(jiǎn)便，價(jià)格低廉的特點(diǎn)，用戶無(wú)需具備調(diào)試和配置家庭路由器的技術(shù)背景，不僅可以提升用戶上網(wǎng)在防DNS劫持方面的安全性，還可以通過(guò)USB Key固化解析數(shù)據(jù)，減小故障所造成的不利影響，實(shí)現(xiàn)DNS解析加速，提高用戶上網(wǎng)體驗(yàn)度。

5 系統(tǒng)實(shí)現(xiàn)與測(cè)試分析

我們對(duì)整個(gè)基于USB Key的面向客戶端的DNS防劫持系統(tǒng)的基本功能進(jìn)行了測(cè)試，主要分為功能測(cè)試、安全性測(cè)試、壓力測(cè)試和效率測(cè)試，經(jīng)測(cè)試系統(tǒng)能夠按照預(yù)期正常運(yùn)行。其中：

1）功能測(cè)試，主要是對(duì)系統(tǒng)的功能設(shè)計(jì)進(jìn)行驗(yàn)證，測(cè)試系統(tǒng)功能的完備性與正確性。這項(xiàng)測(cè)試覆蓋系統(tǒng)所涉及的幾乎所有功能模塊，保證系統(tǒng)能夠達(dá)到預(yù)先設(shè)計(jì)的技術(shù)功能要求；

2）安全性測(cè)試，主要是對(duì)徐I同能否保證用戶登錄安全網(wǎng)站進(jìn)行測(cè)試統(tǒng)計(jì)，從而檢驗(yàn)系統(tǒng)安全性。

3）壓力測(cè)試，主要測(cè)試系統(tǒng)的抗壓力性，測(cè)試系統(tǒng)在重復(fù)性操作情況下的抗壓力性能。

4）效率測(cè)試，通過(guò)對(duì)比使用系統(tǒng)和不使用系統(tǒng)進(jìn)行時(shí)間開銷對(duì)比，以此檢測(cè)系統(tǒng)的加速比。

6 結(jié)束語(yǔ)

國(guó)際著名網(wǎng)絡(luò)安全專家Roland Dobbins曾說(shuō)過(guò)，DNS就像空氣，平時(shí)我們感覺不到它的存在，但是一旦出現(xiàn)問(wèn)題，其影響可能“致命”。本系統(tǒng)正是針對(duì)DNS目前存在的安全問(wèn)題（例如DNS劫持攻擊），首次提出了基于USB Key的客戶端DNS防劫持安全系統(tǒng)。本小組充分調(diào)研了目前已有的DNS防劫持安全方案，其中面向客戶端的安全軟件的解決方案仍然存在一定的局限性。大部分的安全軟件對(duì)于DNS劫持攻擊只能夠做到報(bào)警，或者恢復(fù)原來(lái)的設(shè)置，沒(méi)有進(jìn)一步的安全措施。而本系統(tǒng)在很大程度上彌補(bǔ)了這些安全軟件功能上的不足。除了在安全可靠性上有所提高之外，在DNS解析效率上也有所提升。

本系統(tǒng)的創(chuàng)新性主要體現(xiàn)在 “面向客戶端”和“基于USB Key”兩個(gè)方面。目前的USB Key技術(shù)已經(jīng)比較成熟，但主要用于身份認(rèn)證，主要用于存儲(chǔ)一些重要的認(rèn)證數(shù)據(jù)。本小組正是瞄準(zhǔn)了USB Key對(duì)數(shù)據(jù)安全存儲(chǔ)和處理的特性，首次將其用于存儲(chǔ)重要的DNS解析數(shù)據(jù)，不僅能夠?qū)崿F(xiàn)DNS本地安全解析，還能夠加快DNS解析的速度。另外，本系統(tǒng)針對(duì)DNS網(wǎng)絡(luò)解析過(guò)程中存在的威脅，還提出了一種基于“判決機(jī)制”的DNS安全解析方案，不僅能夠有效檢測(cè)出DNS劫持攻擊，還能通過(guò)“判決”、“比對(duì)”選擇出正確的DNS解析數(shù)據(jù)，從而在一定程度上防范DNS劫持攻擊。