冷 冰 ，馬曉旭 ，劉 堅

（1.中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引 言

域名系統(tǒng)（Domain Name System，DNS）是互聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施，保證其安全可靠運(yùn)行對整個互聯(lián)網(wǎng)有舉足輕重的作用[1]。

DNS安全事件層出不窮[2]。2009年5月，暴風(fēng)影音的域名發(fā)生無法解析故障，造成對DNS查詢服務(wù)器的分布式拒絕服務(wù)攻擊，導(dǎo)致多地的網(wǎng)絡(luò)服務(wù)中斷。2010年3月，維基百科在服務(wù)切換時將DNS配置錯誤，致使數(shù)小時內(nèi)用戶無法訪問其網(wǎng)站。2014年1月21日，由于DNS服務(wù)器遭到域名劫持，中國互聯(lián)網(wǎng)大面積癱瘓，約三分之二的網(wǎng)站和用戶受到影響。

DNS存在的安全隱患主要表現(xiàn)在[3]：

（1）協(xié)議設(shè)計存在較大的脆弱性，缺乏必要的安全性考慮；

（2）人為錯誤因素使得配置故障普遍存在，系統(tǒng)冗余性大大降低，單點(diǎn)失效問題嚴(yán)重。

為增強(qiáng)DNS系統(tǒng)的可靠性和安全性，通常采用的措施是主從備份及部署防火墻[4]。但這類打補(bǔ)丁的措施難以應(yīng)對大規(guī)模分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊及緩沖區(qū)投毒等針對性的黑客攻擊。

針對現(xiàn)有系統(tǒng)的不足，本文提出了一種新型DNS安全抗毀體系架構(gòu)，并通過仿真驗(yàn)證了其抗硬摧毀和軟攻擊的能力。

1 技術(shù)原理

采用全分布式無中心架構(gòu)，將DNS服務(wù)節(jié)點(diǎn)部署于整個網(wǎng)絡(luò)中，通過群建立和群協(xié)商兩個協(xié)議形成DNS服務(wù)群。由服務(wù)群中的多臺服務(wù)節(jié)點(diǎn)共同參與、相互協(xié)作來響應(yīng)用戶的DNS查詢請求。

在本安全抗毀體系架構(gòu)中，DNS服務(wù)不由單一服務(wù)節(jié)點(diǎn)提供，且不存在中心及固定拓?fù)洌虼穗y以被徹底摧毀，保證了服務(wù)的可用性。

另外，整個系統(tǒng)通過多個節(jié)點(diǎn)共同協(xié)商，對外提供一致的、完整的服務(wù)，確保了DNS查詢結(jié)果的正確性。

為使DNS系統(tǒng)不僅具備容忍自然災(zāi)害、管理員錯誤配置等良性錯誤的能力，還能有效抵御黑客惡意攻擊，需采用能容忍拜占庭錯誤（Byzantine Fault Tolerance，BFT）的算法[5]。

2 系統(tǒng)架構(gòu)

基于服務(wù)群的DNS安全抗毀體系架構(gòu)如圖1所示。該體系結(jié)構(gòu)由分布于整個網(wǎng)絡(luò)的DNS服務(wù)節(jié)點(diǎn)組成。所有DNS服務(wù)節(jié)點(diǎn)組成一個無中心網(wǎng)絡(luò)，對外表現(xiàn)為一個由服務(wù)呈現(xiàn)、服務(wù)生成、服務(wù)重構(gòu)、服務(wù)部署以及服務(wù)管理評估五部分組成的DNS系統(tǒng)。

圖1 基于服務(wù)群的DNS安全抗毀體系架構(gòu)

（1）服務(wù)呈現(xiàn)：包括服務(wù)規(guī)范和服務(wù)描述，確定DNS服務(wù)的協(xié)議規(guī)范，對DNS服務(wù)的特征、服務(wù)資源和服務(wù)運(yùn)行的狀態(tài)進(jìn)行描述，以確保服務(wù)以及服務(wù)調(diào)用結(jié)果的一致性。

（2）服務(wù)生成：包括服務(wù)協(xié)商和響應(yīng)判決，規(guī)范如何通過節(jié)點(diǎn)間的共同協(xié)商和匯聚計算，確保服務(wù)調(diào)用的可用性與服務(wù)結(jié)果的正確性。

（3）服務(wù)重構(gòu)：包括視圖獲取和視圖更新，在服務(wù)節(jié)點(diǎn)因攻擊或損壞不具備對外提供服務(wù)能力時，可以通過服務(wù)視圖的更新來確保整個系統(tǒng)可以持續(xù)對外提供可用、正確的服務(wù)。

（4）服務(wù)部署：包括資源分配和簽名共享，對整個服務(wù)網(wǎng)絡(luò)的資源進(jìn)行分配，并可根據(jù)服務(wù)抗毀評價的結(jié)果對服務(wù)資源進(jìn)行動態(tài)調(diào)整。

（5）服務(wù)管理評價：包括節(jié)點(diǎn)評估、系統(tǒng)評估、動態(tài)監(jiān)測以及服務(wù)恢復(fù)。對DNS服務(wù)抗毀體系進(jìn)行評價，通過定性和定量地對其服務(wù)能力進(jìn)行評定，為管理員提供資源部署與調(diào)整的依據(jù)。

DNS服務(wù)群的構(gòu)建和運(yùn)行依賴于服務(wù)群協(xié)議（Service Group Protocol，SGP）。

3 服務(wù)群協(xié)議

服務(wù)群協(xié)議包括群建立和群協(xié)商兩部分。群建立協(xié)議用于構(gòu)建一個動態(tài)的服務(wù)群；群協(xié)商協(xié)議用于對用戶的DNS請求進(jìn)行匯聚計算，綜合多個服務(wù)節(jié)點(diǎn)計算結(jié)果，向用戶返回一致的DNS查詢結(jié)果。服務(wù)群協(xié)議運(yùn)行示意圖如圖2所示。

圖2 服務(wù)群協(xié)議運(yùn)行示意圖

（1）群建立：提供服務(wù)的多個節(jié)點(diǎn)通過群建立協(xié)議共同協(xié)商出一個統(tǒng)一的服務(wù)群組成，如圖2中的實(shí)線所示。

（2）獲取群：用戶提出服務(wù)請求前，需要先獲得群。用戶先將請求發(fā)送至服務(wù)網(wǎng)絡(luò)的不同節(jié)點(diǎn)，各個服務(wù)節(jié)點(diǎn)收到請求并對其進(jìn)行反饋，用戶對不同節(jié)點(diǎn)反饋的信息進(jìn)行驗(yàn)證，得到當(dāng)前正確的服務(wù)群，該過程如圖2中的點(diǎn)劃線所示。

（3）響應(yīng)服務(wù)請求：用戶將DNS查詢請求發(fā)送給群中任一服務(wù)節(jié)點(diǎn)（該節(jié)點(diǎn)又被稱為代理節(jié)點(diǎn)），代理節(jié)點(diǎn)將該請求組播給當(dāng)前群中的其它服務(wù)節(jié)點(diǎn)，收到服務(wù)請求的節(jié)點(diǎn)各自獨(dú)立運(yùn)行DNS查詢請求，最后協(xié)商出正確的服務(wù)結(jié)果，由代理節(jié)點(diǎn)將結(jié)果返回給用戶。該過程如圖2中的虛線所示。

在描述具體協(xié)議之前需要定義一些符號和術(shù)語：

X→Y:(data)：X發(fā)送報文(data)給Y；

SigKi(data)：使用Ki對數(shù)據(jù)包(data)進(jìn)行簽名；

S：服務(wù)群集合；

si：服務(wù)群集合中的一個服務(wù)節(jié)點(diǎn)i；

t：時間戳；

u：用戶；

AN：服務(wù)請求代理節(jié)點(diǎn)；

Fmal：系統(tǒng)允許的惡意或失效用戶最大值；

Nmin：最小決策集，得出正確結(jié)果所需的最少節(jié)點(diǎn)數(shù)。

3.1 群建立協(xié)議

按照Kihlstrom等[6]的證明，要想得出正確的DNS查詢結(jié)果，其最小決策集需要滿足：Nmin＞3Fmal，即參與共同計算的節(jié)點(diǎn)數(shù)必須大于惡意或失效節(jié)點(diǎn)數(shù)的三倍。

研究者們提出并設(shè)計了眾多群成員協(xié)議用以保證分布式系統(tǒng)中所有正確節(jié)點(diǎn)對群達(dá)成一致，為群建立協(xié)議設(shè)計提供了有益參考[7-9]。

群建立協(xié)議流程如下：

（1）當(dāng)si∈S檢測到a?S想加入群中，則發(fā)送hello報文給S中所有節(jié)點(diǎn)：

（2）si∈S收到不同節(jié)點(diǎn)發(fā)來的[Fmal+1]個hello報文后，驗(yàn)證各報文簽名正確性，將自己對節(jié)點(diǎn)a的監(jiān)測結(jié)果result封裝到ack報文中發(fā)送給S中所有節(jié)點(diǎn)：

（3）si∈S收到不同節(jié)點(diǎn)發(fā)來的Nmin個ack報文后，驗(yàn)證各報文簽名正確后，使用約定的拜占庭錯誤容忍算法計算出正確結(jié)果，更新自己的群視圖S。

協(xié)議中收到不同節(jié)點(diǎn)發(fā)來的[Fmal+1]個hello報文后才開始響應(yīng)是確保至少有一個善意的用戶提出了正確的群更新請求。

同樣，收到不同節(jié)點(diǎn)發(fā)來的Nmin個ack報文后才開始協(xié)商計算也是為了確保拜占庭錯誤容忍算法能計算出正確的結(jié)果。

3.2 獲取群協(xié)議

系統(tǒng)管理員在初始化客戶端時為用戶配置初始服務(wù)群S，用戶利用最小決策集策略來更新群成員。該協(xié)議具體流程如下：

（1）用戶u讀取配置文件，獲取服務(wù)群S；

（2）用戶從群S中隨機(jī)選擇n個服務(wù)節(jié)點(diǎn)(n＞Nmin)，并向n個節(jié)點(diǎn)發(fā)送獲取群成員的請求；

（3）群S中收到群成員獲取請求的服務(wù)節(jié)點(diǎn)對用戶u進(jìn)行響應(yīng)，將最新的群成員發(fā)送給用戶u；

（4）用戶u收到多個響應(yīng)結(jié)果，使用拜占庭錯誤容忍算法得出當(dāng)前最新群Snew。

3.3 群協(xié)商協(xié)議

用戶u獲得最新群成員后，可隨機(jī)選取群中的一個服務(wù)節(jié)點(diǎn)作為服務(wù)請求代理節(jié)點(diǎn)（Agent Node，AN）。當(dāng)用戶需要DNS服務(wù)時，將請求發(fā)送至AN。AN通過組播的形式將用戶請求發(fā)送給當(dāng)前群中的其他服務(wù)節(jié)點(diǎn)，各服務(wù)節(jié)點(diǎn)獨(dú)立執(zhí)行DNS查詢，并將結(jié)果返回給AN。

協(xié)議具體流程如下：

（1）用戶u在群成員中隨機(jī)選取一個服務(wù)節(jié)點(diǎn)AN發(fā)送URL查詢request報文；

（2）AN驗(yàn)證request報文簽名，將該請求組播給至少Nmin個服務(wù)節(jié)點(diǎn)；

（3）服務(wù)節(jié)點(diǎn)si接收到request報文，驗(yàn)證request報文簽名后，執(zhí)行DNS查詢，并將查詢結(jié)果用resolution報文組播給參與服務(wù)的節(jié)點(diǎn)；

（4）AN接收到來自Nmin個不同節(jié)點(diǎn)的resolution報文后，使用拜占庭錯誤容忍算法計算出正確結(jié)果，將該結(jié)果返回給用戶u。

4 仿真實(shí)驗(yàn)

利用OPNET建立相應(yīng)仿真模型，設(shè)定硬件失效和軟攻擊場景，分析評估本文提出的DNS體系架構(gòu)的安全抗毀能力。

4.1 仿真模型

4.1.1 用戶DNS請求模型

用戶DNS請求模型模擬了用戶向服務(wù)節(jié)點(diǎn)發(fā)送DNS服務(wù)請求，并接收服務(wù)響應(yīng)的全過程。用戶DNS請求模型的有限狀態(tài)機(jī)如圖3所示。

圖3 用戶DNS請求模型有限狀態(tài)機(jī)

4.1.2 群建立協(xié)議模型

群建立協(xié)議模型模擬了部署在網(wǎng)絡(luò)中的各個DNS服務(wù)節(jié)點(diǎn)，通過廣播協(xié)議數(shù)據(jù)包，在全網(wǎng)形成統(tǒng)一服務(wù)群的流程，同時也模擬了各個服務(wù)節(jié)點(diǎn)加入、離開群時維護(hù)群完整性的流程。群建立協(xié)議模型的有限狀態(tài)機(jī)如圖4所示。

圖4 群建立協(xié)議有限狀態(tài)機(jī)

4.1.3 群協(xié)商協(xié)議模型

群協(xié)商模型模擬了DNS服務(wù)節(jié)點(diǎn)接收到用戶的DNS查詢請求后轉(zhuǎn)發(fā)請求、獨(dú)立計算、匯聚計算結(jié)果、反饋響應(yīng)數(shù)據(jù)的全流程。群協(xié)商模型的有限狀態(tài)機(jī)如圖5所示。

圖5 群協(xié)商協(xié)議有限狀態(tài)機(jī)

4.1.4 網(wǎng)絡(luò)攻擊設(shè)備模型

網(wǎng)絡(luò)攻擊設(shè)備用于模擬網(wǎng)絡(luò)中的針對DNS服務(wù)的惡意攻擊行為。根據(jù)實(shí)際情況，把攻擊分為兩大類：硬摧毀和軟攻擊。

硬摧毀是由于硬件故障、人為和自然災(zāi)害等因素造成的，在極短的時間內(nèi)使節(jié)點(diǎn)硬件毀壞，服務(wù)能力喪失。在本仿真實(shí)驗(yàn)中，DNS服務(wù)節(jié)點(diǎn)一旦遭受到硬摧毀，該節(jié)點(diǎn)立即喪失服務(wù)能力。硬摧毀相關(guān)的仿真參數(shù)有攻擊目標(biāo)分布和攻擊目標(biāo)數(shù)量。其中，攻擊目標(biāo)分布描述了網(wǎng)絡(luò)中哪些節(jié)點(diǎn)受到硬摧毀，攻擊目標(biāo)數(shù)量則描述了受摧毀的服務(wù)節(jié)點(diǎn)數(shù)量。

軟攻擊通常是由于惡意攻擊和軟件故障等因素造成的，其對DNS服務(wù)的破壞是隨時間變化的。本仿真實(shí)驗(yàn)設(shè)定了兩類典型的DNS攻擊：緩沖區(qū)投毒攻擊和DDoS攻擊。

緩沖區(qū)投毒攻擊：該類型攻擊使被攻擊節(jié)點(diǎn)惡意輸出錯誤DNS查詢結(jié)果。與該類型相關(guān)的仿真參數(shù)是攻擊目標(biāo)分布、攻擊目標(biāo)數(shù)量和相對攻擊時間。其中攻擊目標(biāo)分布描述了網(wǎng)絡(luò)中哪些節(jié)點(diǎn)受到了攻擊；攻擊目標(biāo)數(shù)量則描述了受攻擊的服務(wù)節(jié)點(diǎn)數(shù)量；相對攻擊時間是指攻擊對節(jié)點(diǎn)造成的破壞時間。

DDoS攻擊：該類型攻擊造成節(jié)點(diǎn)對外提供服務(wù)的能力下降，但服務(wù)結(jié)果正確。與該類型相關(guān)的仿真參數(shù)是攻擊目標(biāo)分布、攻擊目標(biāo)數(shù)量、相對攻擊時間和攻擊強(qiáng)度。其中，攻擊目標(biāo)分布描述了網(wǎng)絡(luò)中哪些節(jié)點(diǎn)受到了攻擊；攻擊目標(biāo)數(shù)量則描述了受攻擊的服務(wù)節(jié)點(diǎn)數(shù)量；相對攻擊時間是指攻擊對節(jié)點(diǎn)造成的破壞時間；攻擊強(qiáng)度是指攻擊對節(jié)點(diǎn)影響的程度。在本次仿真實(shí)驗(yàn)中，攻擊強(qiáng)度設(shè)定了4個等級：1級攻擊強(qiáng)度將使節(jié)點(diǎn)服務(wù)能力降低10%，2級降低20%，3級降低40%，4級降低80%。

4.2 仿真場景

在本仿真實(shí)驗(yàn)過程中，整個網(wǎng)絡(luò)中共部署1 000個DNS服務(wù)節(jié)點(diǎn)，分別分布在20個子網(wǎng)中，每個子網(wǎng)中部署50個服務(wù)節(jié)點(diǎn)。子網(wǎng)中的服務(wù)節(jié)點(diǎn)之間通過交換機(jī)互連，各個子網(wǎng)之間通過路由器互連。仿真網(wǎng)絡(luò)中部署了一個網(wǎng)絡(luò)攻擊設(shè)備節(jié)點(diǎn)。其子網(wǎng)拓?fù)淙鐖D6所示。在仿真實(shí)驗(yàn)中，通過改變攻擊種類、攻擊范圍、攻擊強(qiáng)度等參數(shù)，來驗(yàn)證DNS系統(tǒng)的抗毀效能。

圖6 子網(wǎng)拓?fù)鋱D

4.3 仿真結(jié)果及結(jié)論

4.3.1 DNS抗硬摧毀試驗(yàn)結(jié)果

如圖7所示：隨著網(wǎng)絡(luò)中被摧毀的服務(wù)節(jié)點(diǎn)的數(shù)量的增加，DNS服務(wù)正確率維持在100%；服務(wù)響應(yīng)時間在很小的范圍內(nèi)波動。當(dāng)全網(wǎng)采用“主備式”服務(wù)抗毀機(jī)制時，DNS服務(wù)響應(yīng)時間約為1.027 s，與本文方法的服務(wù)響應(yīng)時間差別不大。

圖7 DNS抗硬摧毀試驗(yàn)數(shù)據(jù)趨勢

仿真結(jié)果說明，隨著對網(wǎng)絡(luò)硬摧毀程度的增加，DNS系統(tǒng)仍然能夠正常為用戶提供服務(wù)，且與傳統(tǒng)的主備模式相比，在響應(yīng)時間上未有明顯增加。

4.3.2 DNS抗軟攻擊試驗(yàn)結(jié)果

如圖8（a）所示，當(dāng)網(wǎng)絡(luò)中被緩沖區(qū)投毒攻擊的服務(wù)節(jié)點(diǎn)數(shù)量不超過全網(wǎng)的20%時，全網(wǎng)的服務(wù)正確率維持在100%，當(dāng)網(wǎng)絡(luò)中被緩沖區(qū)投毒攻擊的服務(wù)節(jié)點(diǎn)數(shù)量超過20%后，全網(wǎng)的服務(wù)正確率隨著被緩沖區(qū)投毒攻擊的服務(wù)節(jié)點(diǎn)數(shù)量的增加而逐步下降。如圖8（c）所示，隨著網(wǎng)絡(luò)中被DDoS攻擊的服務(wù)節(jié)點(diǎn)數(shù)量的增加，全網(wǎng)服務(wù)正確率始終保持100%。如圖8（b）、圖8（d）所示，隨著軟攻擊的服務(wù)節(jié)點(diǎn)數(shù)量的增加、攻擊強(qiáng)度增大，全網(wǎng)的服務(wù)響應(yīng)時間僅在小范圍內(nèi)波動。

圖8 DNS抗軟攻擊試驗(yàn)數(shù)據(jù)趨勢

4.3.3 仿真結(jié)論

通過對以上仿真實(shí)驗(yàn)和試驗(yàn)數(shù)據(jù)進(jìn)行分析，得出如下結(jié)論：

（1）本文方法具有較強(qiáng)的抵抗硬摧毀能力，當(dāng)網(wǎng)絡(luò)中的服務(wù)節(jié)點(diǎn)被摧毀的數(shù)量達(dá)到全網(wǎng)的90%時，網(wǎng)絡(luò)中剩余的服務(wù)節(jié)點(diǎn)仍然能夠正常為用戶提供服務(wù)。與傳統(tǒng)的主備模式相比，在未明顯增加服務(wù)響應(yīng)時間的情況下，大幅提高了DNS服務(wù)的可用性。

（2）本文方法對兩類軟攻擊都具備一定的抵御能力，當(dāng)網(wǎng)絡(luò)的軟攻擊發(fā)生在網(wǎng)絡(luò)中的局部范圍時，本文方法能夠保證對用戶服務(wù)請求響應(yīng)的正確率達(dá)到100%。而傳統(tǒng)的主備模式無法有效地檢測出緩沖區(qū)投毒攻擊，從而導(dǎo)致用戶得到錯誤的DNS查詢結(jié)果。

（3）當(dāng)網(wǎng)絡(luò)中發(fā)生的軟攻擊擴(kuò)散到整個網(wǎng)絡(luò)后，本文方法對軟攻擊的抵抗能力會隨著攻擊規(guī)模的擴(kuò)大，攻擊強(qiáng)度的增強(qiáng)以及網(wǎng)絡(luò)中用戶數(shù)量的增加而降低，服務(wù)請求響應(yīng)正確率低于100%。造成該缺陷的原因在于：服務(wù)群中沒有包含網(wǎng)絡(luò)中被攻擊節(jié)點(diǎn)的信息，不能及時將惡意節(jié)點(diǎn)剔除出群。

后續(xù)，我們將針對該缺陷做進(jìn)一步研究?？梢钥紤]為服務(wù)群增加惡意節(jié)點(diǎn)監(jiān)測能力，通過改進(jìn)的選舉算法將惡意節(jié)點(diǎn)快速剔除。

5 結(jié) 語

DNS安全抗毀體系結(jié)構(gòu)是域名服務(wù)安全運(yùn)行的重要保障。針對現(xiàn)有DNS系統(tǒng)存在安全缺陷，本文提出了一種基于群服務(wù)的DNS安全抗毀體系架構(gòu)，該架構(gòu)采用多個獨(dú)立的DNS服務(wù)節(jié)點(diǎn)對用戶的DNS請求進(jìn)行協(xié)同響應(yīng)，利用拜占庭錯誤容忍算法抵御緩沖區(qū)投毒等惡意DNS攻擊，確保向用戶返回正確的DNS查詢結(jié)果。仿真實(shí)驗(yàn)表明，與傳統(tǒng)的主備模式相比，本文方法大大提高了DNS服務(wù)的可用性與正確性，具備較強(qiáng)的服務(wù)安全抗毀能力。