推荐星级：

一种基于拟态安全防御的DNS框架设计

更新时间：2019-12-24 12:51:55 大小：2M 上传用户：zhiyao6 查看TA发布的资源 标签：DNS框架 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议(DNSSEC)在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构——拟态DNS(Mimic DNS,M-DNS)——保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.

部分文件列表

文件名	大小
一种基于拟态安全防御的DNS框架设计.pdf	2M

立即下载

【关注B站账户领20积分】

部分页面预览

（完整内容请下载后查看）

第１１期

电ꢀ

ꢀ

子ꢀ

ꢀ

学ꢀ

ꢀ

报

Ｖｏｌ．４５ꢀ Ｎｏ．１１

Ｎｏｖ．ꢀ ２０１７

２０１７年１１月

ＡＣＴＡＥＬＥＣＴＲＯＮＩＣＡＳＩＮＩＣＡ

一种基于拟态安全防御的

ＤＮＳ框架设计

王禛鹏，扈红超，程国振

（国家数字交换系统工程技术研究中心（ＮＤＳＣ），河南郑州４５０００３）

ꢀ ꢀ 摘ꢀ 要：ꢀ 目前针对ＤＮＳ服务器的恶意攻击频发，如ＤＮＳ缓存投毒攻击，而ＤＮＳ安全拓展协议（ＤＮＳＳＥＣ）在大规

模部署时仍面临许多难题．本文提出一种简单易部署的，具有入侵容忍能力的主动防御架构———拟态ＤＮＳ（Ｍｉｍｉｃ

ＤＮＳ，Ｍ⁃ＤＮＳ）———保证ＤＮＳ安全．该架构由选调器和包含多个异构ＤＮＳ服务器的服务器池组成．首先选调器动态选取

若干服务器并行处理请求，然后对各服务器的处理结果采用投票机制决定最终的有效响应．实验仿真表明，相比当前

传统架构，Ｍ⁃ＤＮＳ可以降低缓存投毒攻击成功率约１０个数量级．

关键词： ꢀ ＤＮＳ；ＤＮＳ缓存投毒攻击；拟态安全防御；动态异构冗余

中图分类号： ꢀ ＴＰ３９３ꢀ ꢀ ꢀ 文献标识码： ꢀ Ａꢀ ꢀ ꢀ 文章编号： ꢀ ０３７２⁃２１１２（２０１７）１１⁃２７０５⁃１０

电子学报ＵＲＬ：ｈｔｔｐ：／／ｗｗｗ．ｅｊｏｕｒｎａｌ．ｏｒｇ．ｃｎꢀ

ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．０３７２⁃２１１２．２０１７．１１．０１８

ＡＤＮＳＡｒｃｈｉｔｅｃｔｕｒｅＢａｓｅｄｏｎ

ＭｉｍｉｃＳｅｃｕｒｉｔｙＤｅｆｅｎｓｅ

ＷＡＮＧＺｈｅｎ⁃ｐｅｎｇ，ＨＵＨｏｎｇ⁃ｃｈａｏ，ＣＨＥＮＧＧｕｏ⁃ｚｈｅｎ

（ＮａｔｉｏｎａｌＤｉｇｉｔａｌＳｗｉｔｃｈｉｎｇＳｙｓｔｅｍＥｎｇｉｎｅｅｒｉｎｇ＆ＴｅｃｈｎｏｌｏｇｉｃａｌＲ＆ＤＣｅｎｔｅｒ，Ｚｈｅｎｇｚｈｏｕ，Ｈｅｎａｎ４５０００３，Ｃｈｉｎａ）

Ａｂｓｔｒａｃｔ：ꢀ ＡｓｉｍｐｌｅａｎｄｐｒａｃｔｉｃａｌａｐｐｒｏａｃｈｉｓｒｅｑｕｉｒｅｄｉｍｍｅｄｉａｔｅｌｙｔｏｓａｆｅｇｕａｒｄｔｈｅＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ（ＤＮＳ）

ｂｅｃａｕｓｅｔｈｅｒｅａｒｅｉｎｃｒｅａｓｉｎｇａｔｔａｃｋｓｏｎＤＮＳ（ｓｕｃｈａｓＤＮＳｃａｃｈｅｐｏｉｓｏｎｉｎｇ）ａｎｄｖａｒｉｏｕｓｐｒｏｂｌｅｍｓｗｈｅｎｄｅｐｌｏｙｉｎｇＤｏｍａｉｎ

ＮａｍｅＳｙｓｔｅｍＳｅｃｕｒｉｔｙＥｘｔｅｎｓｉｏｎｓ（ＤＮＳＳＥＣ）ｏｎａｌａｒｇｅｓｃａｌｅ．Ｉｎｔｈｉｓｐａｐｅｒ，ｗｅｐｒｅｓｅｎｔＭｉｍｉｃＤＮＳ（Ｍ⁃ＤＮＳ），ａｎｏｎ⁃

ｉｎｔｒｕｓｉｖｅ，ｔｏｌｅｒａｎｔａｎｄｐｒｏａｃｔｉｖｅｓｅｃｕｒｉｔｙａｒｃｈｉｔｅｃｔｕｒｅ，ｔｏｄｅａｌｗｉｔｈｉｔ．Ｍ⁃ＤＮＳｉｓｃｏｍｐｒｉｓｅｄｏｆａｓｃｈｅｄｕｌｅｒａｎｄａｓｅｒｖｅｒｐｏｏｌ

ｗｈｉｃｈｃｏｎｓｉｓｔｓｏｆｓｅｖｅｒａｌｈｅｔｅｒｏｇｅｎｅｏｕｓＤＮＳｓｅｒｖｅｒｓ．ＴｈｅｓｃｈｅｄｕｌｅｒｄｙｎａｍｉｃａｌｌｙｓｃｈｅｄｕｌｅｓｔｈｅＤＮＳｓｅｒｖｅｒｓｔｏｈａｎｄｌｅｔｈｅｒｅ⁃

ｑｕｅｓｔｓｉｎｐａｒａｌｌｅｌａｎｄａｄｏｐｔｓｔｈｅｖｏｔｅｒｅｓｕｌｔｓｆｒｏｍｔｈｅｍａｊｏｒｉｔｙｏｆｔｈｅｓｅｒｖｅｒｓｔｏｄｅｔｅｒｍｉｎｅｖａｌｉｄｒｅｓｐｏｎｓｅｓ．Ｓｉｍｕｌａｔｉｏｎｒｅｓｕｌｔｓ

ｄｅｍｏｎｓｔｒａｔｅｔｈａｔｃｏｍｐａｒｅｄｗｉｔｈｃｕｒｒｅｎｔｔｒａｄｉｔｉｏｎａｌｆｒａｍｅｗｏｒｋｓ，ａｐｐｒｏｘｉｍａｔｉｎｇ１０ｏｒｄｅｒｓｏｆｍａｇｎｉｔｕｄｅｒｅｄｕｃｔｉｏｎｉｎｃａｃｈｅｐｏｉ⁃

ｓｏｎｉｎｇａｔｔａｃｋｐｒｏｂａｂｉｌｉｔｙｉｓａｃｑｕｉｒｅｄｗｈｅｎｅｍｐｌｏｙｉｎｇＭ⁃ＤＮＳ．

Ｋｅｙｗｏｒｄｓ：ꢀ ＤＮＳ；ＤＮＳｃａｃｈｅｐｏｉｓｏｎｉｎｇａｔｔａｃｋ；ｍｉｍｉｃｓｅｃｕｒｉｔｙｄｅｆｅｎｓｅ；ｄｙｎａｍｉｃｈｅｔｅｒｏｇｅｎｅｏｕｓｒｅｄｕｎｄａｎｃｙ

软件系统，其不可避免地存在未知漏洞和后门，易受攻

１ꢀ 引言

击．２０１６年３月１１日，国家信息安全漏洞共享平台网站

①

ꢀ ꢀ 当前，ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）作为互联网最重

要的基础设施之一^［１］，维护着域名体系和ＩＰ地址空间

的相互映射关系，其重要性不言而喻．然而，作为复杂的

发布安全公告，指出ＢＩＮＤ存在３个高危漏洞．国家互

联网应急中心公布的《２０１５年中国互联网网络安全报

②

告》指出了针对ＤＮＳ服务器的多起攻击行为．ＤＮＳ的

收稿日期：２０１６⁃１０⁃２８；修回日期：２０１６⁃１２⁃０６；责任编辑：蓝红杰

基金项目：国家自然科学基金青年基金（Ｎｏ．６１３０９０２０，Ｎｏ．６１６０２５０９）；国家自然科学基金创新群体项目（Ｎｏ．６１５２１００３）；国家重点研发计划项目

（网络空间拟态防御技术机制研究）（Ｎｏ．２０１６ＹＦＢ０８００１００，Ｎｏ．２０１６ＹＦＢ０８００１０１）

① 关于ＩＳＣＢＩＮＤ存在多个拒绝服务高危漏洞的安全公告，ｈｔｔｐ：／／ｗｗｗ．ｃｎｖｄ．ｏｒｇ．ｃｎ／ｗｅｂｉｎｆｏ／ｓｈｏｗ／３８０９，２０１６．

② ２０１５年中国互联网网络安全报告，ｈｔｔｐ：／／ｗｗｗ．ｃｅｒｔ．ｏｒｇ．ｃｎ／ｐｕｂｌｉｓｈ／ｍａｉｎ／ｕｐｌｏａｄ／Ｆｉｌｅ／２０１５ａｎｎｕａｌｒｅｐｏｒｔ．ｐｄｆ，２０１６，０４ư

电ꢀ ꢀ 子ꢀ ꢀ 学ꢀ ꢀ 报

２０１７年

２７０６

安全形式不容乐观．

ＤＮＳ缓存服务器（又称作递归服务器，Ｒｅｃｕｒｓｉｖｅ

ＮａｍｅＳｅｒｖｅｒ，后文简写为ＲＮＳ）设于用户和权威服务器

（ＡｕｔｈｏｒｉｔａｔｉｖｅＮａｍｅＳｅｒｖｅｒ，后文简写为ＡＮＳ）之间，采用

缓存机制提升整体服务效率．然而，由于ＤＮＳ协议的简

单认证模式和“ＦｉｒｓｔＡｎｓｗｅｒＷｉｎｓ”原则使其易受缓存投

毒攻击（ＤＮＳｃａｃｈｅｐｏｉｓｏｎｉｎｇ），尤其是新型投毒攻击

①

Ｋａｍｉｎｓｋｙ，使得ＤＮＳ安全问题成为研究热点．

现有防御方案主要分为三类：一类是加密认证，其

中典型代表就是ＤＮＳ安全拓展协议ＤＮＳＳＥＣ，由于会引

入信任锚问题^［２］，以及分片攻击^{［３，４］}、和放大攻击问

面位于后端，虽然呈现为一种有状态维护的功能，易受

攻击，但是对于外部用户不可见，实现了“ 状态隐藏”

（ｓｔａｔｅ⁃ｍａｓｋｉｎｇ），无法从外部对其实施有效攻击．

２ư ３ꢀ Ｍ⁃ＤＮＳ系统的安全分析

题，尤其是ＲＮＳ的迭代查询会放大上述问题^［５］，使得

②

ＤＮＳＳＥＣ部署进展缓慢，据《中国域名服务安全状况与

③

态势分析报告２０１５》（后文简称为《报告》）数据显示，

Ｍ⁃ＤＮＳ的异构冗余性增加了攻击者漏洞挖掘的成

本，而动态性则增加了攻击者系统探测时的不确定

ＤＮＳＳＥＣ在ＲＮＳ中的部署率仅为０ư ９％；第二类是异常

检测，如文献［６，７］利用攻击前后ＩＰ熵值的变化实现

检测，然而异常检测本身易引入“用户伪装入侵检测”

问题^［８］，且防御方法较为被动；第三类是增加ＤＮＳ报文

的信息熵，使攻击者更难“猜中”真实报文．如端口号随

性

^{［１５，１６］}，并且破坏了系统突破时的连续性^［１７］．这些特性

也使得系统具备良好的入侵容忍能力，即使是超出了

拟态防御边界的情况（半数以上执行体被攻击），当前

被攻击的执行体在下一个周期可能变为非活跃状态，

从而无法起到作用．当然，对于半数以上执行体已被攻

击成功的周期，Ｍ⁃ＤＮＳ可能无法提供可靠的服务，对此

可以通过缩短切换周期的方式，降低攻击者攻击的有

效时间以及产生影响的时间．

机化技术，在域名前添加随机字符串的ＷＳＥＣＤＮＳ^［９］

，

区别域名大小写的０ｘ２０⁃ｂｉｔ^［１０］，还有通过空间上多个查

询^{［１１，１２］}或时间上多次查询^{［１３，１４］}增加整体的信息熵．

本文针对ＲＮＳ的工作特点，提出了拟态ＤＮＳ服务

器（Ｍ⁃ＤＮＳ）的安全架构，该架构基于拟态安全防御的

动态异构冗余模型（ＤｙｎａｍｉｃＨｅｔｅｒｏｇｅｎｅｏｕｓＲｅｄｕｎｄａｎｃｙ，

ＤＨＲ），利用多个服务器、多次查询（后文称之为预缓存

机制）以及动态调度策略来增加整体的随机性，可以有

效防御ＤＮＳ缓存投毒攻击和未知漏洞后门．

２ư ４ꢀ Ｍ⁃ＤＮＳ的可行性分析

动态异构冗余模型有以下前提假设：（１）系统输入

输出一一对应；（２）正常情况下，异构执行体对同一输

入有同一输出．所以下面对Ｍ⁃ＤＮＳ应用该模型时的问

题进行解决说明．

２ꢀ Ｍ⁃ＤＮＳ架构

（１）系统输入输出一一对应问题．某些大型互联网

公司或在内容分发网络中，为实现负载均衡，可能将一

个域名对应为多个ＩＰ．例如，对某个域名的查询可能返

回ＩＰ^１，ＩＰ^２，ＩＰ^３或ＩＰ^２，ＩＰ^１，ＩＰ^３等，对此可以将这３个ＩＰ

视作一个集合，从而满足域名到ＩＰ地址集的一一对应．

（２）正常情况下一致输出问题．ＲＮＳ之间缓存内容

不一致有两种可能的原因^［１１］：其一就是一个域名对应

多ＩＰ的情况；其二是ＤＮＳ的缓存机制造成的，对此可

２ư １ꢀ 系统架构

如图１所示，Ｍ⁃ＤＮＳ架构由ＤＮＳ池和选调器组成，

ＤＮＳ池由若干运行不同ＤＮＳ软件的服务器构成．选调

器由数据平面和控制平面组成，其中前者完成数据分

流功能；后者负责执行体选择和判决，由选调模块、判决

模块以及ＤＮＳ服务器状态信息组成．具体地，选调模块

根据服务器状态信息动态选取若干作为活跃集，并向

选调器数据平面下达分流指令．选调器判决模块对收到

的各个执行体的应答响应进行综合处理，将判决结果

作为最终响应返回数据平面，并更新服务器状态信息．

２ư ２ꢀ Ｍ⁃ＤＮＳ选调器的安全防护

Ｄ．Ｋａｍｉｎｓｋｙ．Ｉｔ’ｓｔｈｅｅｎｄｏｆｔｈｅｃａｃｈｅａｓｗｅｋｎｏｗｉｔｈｔｔｐ：／／ｗｗｗ．ｂｌａｃｋｈａｔ．

①

ｃｏｍ／ｐｒｅｓｅｎｔａｔｉｏｎｓ／ｂｈ⁃ｊｐ⁃０８／ｂｈ⁃ｊｐ⁃０８⁃Ｋａｍｉｎｓｋｙ／ＢｌａｃｋＨａｔ⁃Ｊａｐａｎ⁃０８⁃Ｋａｍｉｎｓｋｙ⁃

ＤＮＳ０８⁃ＢｌａｃｋＯｐｓ．ｐｄｆ

ＳｅｃｕｒｉｔｙＢｕｌｌｅｔｉｎ：ＤＮＳＳＥＣＡｍｐｌｉｆｉｃａｔｉｏｎＤＤｏＳ，ｈｔｔｐｓ：／／ｗｗｗ．ａｋａｍａｉ．

②

选调器作为Ｍ⁃ＤＮＳ的核心组件，且位于系统的最

前端，易受攻击．本文采用“控制与转发分离”的原则保

障选调器安全：其中数据平面位于选调器前端，可以设

计为一种无状态的硬件转发功能，如采用ＮｅｔＦＰＧＡ⁃

ｃｏｍ／ｃｎ／ｚｈ／ｍｕｌｔｉｍｅｄｉａ／ｄｏｃｕｍｅｎｔｓ／ｓｔａｔｅ⁃ｏｆ⁃ｔｈｅ⁃ｉｎｔｅｒｎｅｔ／ｄｎｓｓｅｃ⁃ａｍｐｌｉｆｉｃａｔｉｏｎ⁃ｄｄｏｓ⁃

ｓｅｃｕｒｉｔｙ⁃ｂｕｌｌｅｔｉｎ．ｐｄｆ，２０１６ư

中国域名服务安全状况与态势分析报告２０１５，ｈｔｔｐ：／／ｗｗｗ．ｃｎｎｉｃ．ｃｎ／

ｇｙｗｍ／ｘｗｚｘ／ｒｄｘｗ／２０１６／２０１６０２／Ｗ０２０１６０２２５３６６１３２６９９８８９ư ｐｄｆ，２０１６ư

ＮｅｔＦＰＧＡ⁃１０ＧＰｒｏｊｅｃｔ．ｈｔｔｐｓ：／／ｇｉｔｈｕｂ．ｃｏｍ／ＮｅｔＦＰＧＡ／ＮｅｔＦＰＧＡ⁃ｐｕｂｌｉｃ／

③

④

１０Ｇ可编程板卡实现，使得攻击者难以攻击；而控制平

ｗｉｋｉ．

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

一种基于拟态安全防御的DNS框架设计

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

资料专题

推荐下载

专栏首页