李建

DOI：10.16644/j.cnki.cn33-1094/tp.2016.07.009

摘 要： DNS是Internet應(yīng)用基礎(chǔ)，通過DNS映射主機(jī)名和IP地址信息來保證兩者間正常解析，但DNS設(shè)計有先天缺陷，使得其成為被網(wǎng)絡(luò)攻擊的首要對象。為了研究DNS攻擊檢測方法，從網(wǎng)絡(luò)遭受DNS攻擊的特性等方面分析，提出將捕獲到的數(shù)據(jù)包進(jìn)行過濾，并將過濾后數(shù)據(jù)信息通過K-means聚類算法分為不同類別，再用相應(yīng)算法判定該類數(shù)據(jù)是否為DNS攻擊。

關(guān)鍵詞： DNS攻擊； 過濾； 聚類； K-means算法

中圖分類號：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2016）07-31-03

DNS attack detection based on clustering algorithm

Li Jian

（Communication University of Shanxi， Jinzhong， Shanxi 030619， China）

Abstract： DNS is the basis of Internet application. In order to ensure the normal parsing information between the hostname and IP address， the DNS using mapping methods. But DNS makes it the primary object of network attack because of its birth defects. In order to study the DNS attack detection methods， the article analyzes the characteristics of DNS attack from networks， proposes to filter the captured data packets， and divide these data into different categories by using K-means methods， and then whether the data is DNS attack is determined by the corresponding algorithm.

Key words： DNS attack； filter； clustering； K-means algorithm

0 引言

DNS實現(xiàn)IP地址與網(wǎng)絡(luò)域名之間的映射關(guān)系，是Internet重要的基礎(chǔ)設(shè)施，但DNS設(shè)計本身沒有完善的安全措施，使得其成為主要被攻擊對象。2010年1月百度域名NS記錄被伊朗網(wǎng)軍（Iranian Cyber Army）劫持，持續(xù)時間8小時，直接經(jīng)濟(jì)損失700萬人民幣[1]。2013年8月CN域DNS受到DDOS攻擊，導(dǎo)致所有CN域名無法解析。2014年1月發(fā)生的全國DNS故障是大陸境內(nèi)遭受最為嚴(yán)重的DNS攻擊事件，所有通用頂級域（.com/.net/.org）均遭到DNS污染[2]。

國內(nèi)外很多學(xué)者針對DNS攻擊問題曾提出許多解決方案。1997年1月IETF域名安全工作組提出了DNS安全擴(kuò)展協(xié)議[3]，以此加強(qiáng)DNS基礎(chǔ)設(shè)施安全性。Fetzer[4]提出SSL協(xié)議改進(jìn)DNS安全性，但SSL是面向連接的協(xié)議，以TCP協(xié)議為基礎(chǔ)，不適合DNS廣泛使用的UDP協(xié)議。除了對協(xié)議本身研究外，也有研究提出在現(xiàn)有基礎(chǔ)上改進(jìn)安全方案，但大多方式是針對現(xiàn)有技術(shù)基礎(chǔ)上的服務(wù)器軟件升級、禁止相關(guān)功能等較為被動的方法，對DNS攻擊缺乏必要的解決方案，為解決此類問題，需對檢測和防御技術(shù)作深入研究。

1 DNS攻擊原理

DNS作為開放的協(xié)議體系，其上數(shù)據(jù)未加密，也沒有足夠的信息認(rèn)證和保護(hù)措施，對基礎(chǔ)設(shè)施和主要設(shè)備的攻擊未能引起足夠重視。DNS系統(tǒng)在給全球用戶提供域名解析服務(wù)的同時也遭受到來自各方的攻擊和安全威脅，主要攻擊特征描述如表1所示。

由表1可知，大多針對DNS的攻擊都會導(dǎo)致源、目的IP、端口信息等產(chǎn)生異常。因此，可通過分析報頭信息來檢測其是否受到DNS的攻擊，分別選取報文5維屬性（源IP，目的IP，源端口，目的端口，報文長度）作為分析數(shù)據(jù)，一定時間間隔內(nèi)（如5min）截取相關(guān)端口數(shù)據(jù)包，分別統(tǒng)計各維度數(shù)據(jù)，并依據(jù)統(tǒng)計數(shù)據(jù)做相關(guān)處理和檢測，以確定其是否受到DNS攻擊。具體異常檢測模型流程如圖1所示。

具體方法為：在一定時間間隔內(nèi)（如5min）捕獲經(jīng)過網(wǎng)絡(luò)端口的數(shù)據(jù)包并分別統(tǒng)計各維度數(shù)據(jù)；根據(jù)數(shù)據(jù)可信白名單進(jìn)行過濾，分離出正常網(wǎng)絡(luò)流量數(shù)據(jù)；使用聚類算法對過濾出來的數(shù)據(jù)進(jìn)行聚類，將數(shù)據(jù)分為不同類別；計算各聚類間的偏移程度，并將可疑聚類數(shù)據(jù)移入觀察區(qū)做進(jìn)一步檢測確定其是否為DNS攻擊，為此提出系統(tǒng)異常評估因子的計算公式，根據(jù)系統(tǒng)閥值計算系統(tǒng)異常評估因子，并借此判定是否受到DNS攻擊。

2 數(shù)據(jù)包捕獲

捕獲全部經(jīng)DNS服務(wù)器發(fā)往本機(jī)53端口的UDP請求數(shù)據(jù)包（TCP數(shù)據(jù)包不在此檢測范圍），并進(jìn)行過濾分析。流經(jīng)DNS域名解析服務(wù)器的網(wǎng)絡(luò)流量大、服務(wù)器負(fù)載大，捕包技術(shù)的選擇直接影響數(shù)據(jù)包捕獲效率，甚至可能產(chǎn)生丟包現(xiàn)象，直接影響異常檢測效果。因此，高效的捕包技術(shù)為后續(xù)準(zhǔn)確、全面分析數(shù)據(jù)包提供保障。常用的較為流行的數(shù)據(jù)包捕獲技術(shù)有WinPcap技術(shù)、零拷貝技術(shù)等[5-6]。

WinPcap技術(shù)由伯克利分組捕獲庫派生而得，是在Windows 平臺上實現(xiàn)BPF 模型與Libpcap 函數(shù)庫結(jié)合的對底層包的捕獲、狀態(tài)分析的體系結(jié)構(gòu)，此體系結(jié)構(gòu)分別包含核心包過濾驅(qū)動程序、底層動態(tài)連接庫 Packet.dll及相對獨(dú)立于系統(tǒng)的Libpcap函數(shù)庫。

零拷貝（True Zero Copy）技術(shù)可描述為在某節(jié)點的報文收發(fā)過程中不出現(xiàn)內(nèi)存間的拷貝，發(fā)送數(shù)據(jù)時數(shù)據(jù)包由用戶緩沖區(qū)經(jīng)過網(wǎng)絡(luò)接口直接到達(dá)外部網(wǎng)絡(luò)，接收數(shù)據(jù)時由網(wǎng)絡(luò)接口直接將數(shù)據(jù)包送入用戶緩沖區(qū)的數(shù)據(jù)發(fā)送模式。

4 結(jié)束語

DNS協(xié)議設(shè)計缺陷與軟件漏洞使得對其攻擊難度降低，從而使其成為近年來主要網(wǎng)絡(luò)攻擊目標(biāo)。本文在傳統(tǒng)的基于統(tǒng)計的誤用檢測方法上引入聚類分析的思想，將捕獲數(shù)據(jù)包分為不同的類別，提出異常評估因子計算方法，并以此判定是否受到DNS攻擊。該檢測方法對判定疑似數(shù)據(jù)信息是否為DNS攻擊有一定效果，但此算法效果在實際應(yīng)用過程中受到系統(tǒng)參數(shù)取值的影響，如ξ、OF（ci）的取值直接影響最終結(jié)果。故后續(xù)還需在擴(kuò)大檢測范圍、升級檢測模型方面做深入研究，同時也需在智能檢測方面做進(jìn)一步探索，以期提高檢測效果和檢測效率。

參考文獻(xiàn)（References）：

[1] 中關(guān)村在線.百度域名劫持案塵埃落定[DB/OL]. http：//

digi.tech.qq.com/a/20101208/000768.htm.2010-12-08.

[2] 騰訊科技.全國范圍網(wǎng)絡(luò)故障事件一覽：DNS遭多次攻擊

[DB/OL].http：//tech.qq.com/a/20140121/020779.htm，2014-01-24.

[3] Pappas V， Xu Z. Impact of configuration errors on DNS

robustness. In： Proc. of the ACM SIGCOM，2004：319-330

[4] Fetzer C， Pfeifer G， Jim T. Enhancing DNS Security using

the SSL Trust Infrastructure， In： 10th IEEE International Workshop on Object-oriented Real-time Dependable Systems （WORDS 2005），2005：21-28

[5] 張顯，黎文偉.基于多核平臺的數(shù)據(jù)包捕獲方法性能評估[J].

計算機(jī)應(yīng)用研究，2011.28（7）：2632-2639

[6] 劉小威，陳蜀宇，盧堯等.零拷貝技術(shù)在網(wǎng)絡(luò)分析工具中的應(yīng)

用[J].計算機(jī)系統(tǒng)應(yīng)用，2012.21（4）：169-173