域名系統對防DDoS攻擊的部署方案

周寶瑞 北京電信規劃設計院有限公司

劉衛 中訊郵電咨詢設計院有限公司

發展策略

域名系統對防DDoS攻擊的部署方案

周寶瑞 北京電信規劃設計院有限公司

劉衛 中訊郵電咨詢設計院有限公司

通過分析電信運營商域名系統的部署方式和特性，詳細闡述了域名系統邊界部署防DDoS設備的監測和流量清洗過程，并通過防護體系的建立，可有效提高運營商域名系統的安全，為用戶提供良好的服務。

域名系統 分布式拒絕服務攻擊 分布式部署 監測 流量清洗

1 引言

域名系統（DomainNameSystem，DNS）是Internet的重要組成部分，負責將Internet中的域名和IP地址進行相互轉換，同時也是多項互聯網應用服務（如WWW、E-mail、流媒體等）必不可少的重要前提。由于DNS是用戶進行互聯網應用體驗的基礎，為了適應網絡的發展和用戶的需求，提升運營商的形象與效益，要求DNS系統能提供高質量、高性能、高安全的域名解析業務。

隨著運營商對于大寬帶的推廣以及互聯網應用的多樣性，對DNS負載壓力進一步加大，另外隨著互聯網的迅猛發展和技術的進步，網絡安全事件頻繁發生，各種針對DNS系統的攻擊行為不斷升級，目前針對DNS系統的常見攻擊有分布式拒絕服務攻擊（DDoS）、DNS緩存毒化、DNS劫持、緩沖區漏洞溢出攻擊、拒絕服務攻擊等，隨著各種攻擊工具的泛濫，其中DDoS攻擊的效果明顯，影響時間長，發現和處理困難，導致DDoS攻擊事件日益增多。

針對DNS系統的DDoS攻擊引起了電信運營商的高度重視，一些電信運營商在骨干網絡中進行安全設備部署，但是效果不佳。綜合分析，和DNS系統采用的部署方式、DNS特性等有密切關系。因此，運營商必須依據相應的特性，提出相應的解決措施，提升系統的安全能力水平。

2 電信運營商DNS系統部署方式

電信運營商DNS系統主要為寬帶和移動用戶提供互聯網域名解析的業務，依據分區、快速地為用戶提供服務的思想，目前的主流部署方式為分布式部署。

采用Anycast技術進行分布式部署，通過交換機+服務器進行建設，節點數量大多在兩個以上。具體的部署方式如圖1所示。

DNS系統的三層交換機與各服務器運行OSPF路由協議，同時向外宣告DNS平臺的所有服務地址，并將服務地址廣播到城域網路由器，城域網路由器通過重分布，將服務地址廣播整個城域網內，使得DNS各節點就近為對應區域的用戶提供解析服務。就近功能的實現除了采用Anycast技術外，DNS節點所上聯的網絡中路由器對應的層級以及Metric值的設置都對其服務范圍有影響?？傮w來說，實現DNS節點的就近解析對其上聯網絡情況依賴較重。

當某一個節點故障或者異常時，業務服務解析請求可由就近其他節點自動接管；同時，DNS系統采用此種架構的部署方式，由于節點多，流量進行了一定分散，也可有效防御小流量的DDoS攻擊。

3 常規安全防護措施的局限性

關于DNS系統的安全，尤其是對攻擊的防護和處理一直是運營商比較關注的問題，通過在IP骨干網絡中部署一些安全設備，但效果不佳，總結分析，主要有兩大部分原因：DNS解析的特性和常規安全設備的防護機制。

圖1 DNS系統分布式部署網絡示意圖

DNS解析的特性包含：

●DNS以UDP為主，不需要校驗、無狀態、無連接，更難用校驗的方式來識別攻擊。

●DNS解析的特征發散、規律性不強，單域名、單IP的查詢頻率的波動性很大，無法靠簡單的特征來加以識別。

●DNS解析包小，當對網絡帶寬占用不大時，實際對DNS系統的攻擊造成影響卻比較大。

●DNS系統對網絡的依賴性較大，如果骨干網絡中集中部署安全設備，將影響“區域化就近解析”的系統架構，并且攻擊流量上升到IP網城域網核心層調度，會對IP網核心層正常DNS解析流量造成一定影響。

常規安全設備的防護機制：

●目前的防火墻類安全設備以網絡層、傳輸層協議內容的分析為主，而DNS的攻擊數據往往在這些層的報文是完全合法的，只有對報文應用層的數據進行綜合分析，根據報文應用層的特征進行分析，才能較準確地識別攻擊數據包。

●目前的安全防護設備在啟用防護時，以限制并發連接數為主，對HTTP類的訪問有效，但對于DNS解析不適用。

●適用于IP城域網的流量檢測設備無法定位此類相對較小流量，無法有效獲取此部分攻擊特性。

基于以上兩方面分析，對于防DDoS對DNS系統的攻擊最好的部署方式是在DNS節點邊界進行針對DNS特性和攻擊的防御性部署。

4 DNS部署防DDoS攻擊方案

4.1 系統部署架構

為了實現對DNS系統有效的DDoS防護，同時不因DDoS防護設備故障等原因影響DNS節點正常服務，DNS系統各節點邊界部署攻擊防護設備時一般采用旁掛的方式，防護部署架構如圖2所示。

在DNS系統節點邊界部署防DDoS設備，DNS服務器的流量通過交換機端口鏡像的方式，采用DPI技術，將所有的流量復制至攻擊防護系統，系統實時分析處理流量，并在攻擊發生時引導流量至防護系統。

防護系統對流量數據進行統計分析，對于攻擊與疑似攻擊流量進行動態智能篩選甄別，在過濾掉攻擊流量的同時，可以保證正常流量的安全傳輸，對目標服務器進行保護。

4.2 DNS監測

DDoS防護系統監測DNS系統各節點情況，先對流量數據進行多維度統計分析，判斷系統是否有異常和攻擊流量。

首先對DNS服務器中的源IP、目的IP、查詢類型、查詢域名等DNS查詢相關信息進行統計分析，特征信息統計舉例如圖3所示。

圖2 系統防護部署架構

圖3 特征消息統計圖

DNS查詢流量相關信息構成了單一報文的特征信息，而DNS服務器的全體輸入查詢報文的對應條目信息，則構成了整個DNS網絡環境的特征信息。同時，這些特征信息包括QPS曲線統計、源IP分布統計、QN（QueryName）長度分布統計、IP空間統計、域名空間統計、源IP校驗名單（黑白色）、QN校驗名單（黑白色）等構成了防護系統監測的基本維度。

通過多維聯合方式，不同的維度代表不同的網絡特征，維度間有相互關聯的，也有相互獨立的，防護設備則是通過訓練和學習不斷優化自身數據和DNS網絡環境的相似度，從而對于攻擊與疑似攻擊流量進行動態智能篩選甄別，為異常和攻擊流量清洗奠定了基礎。

4.3 流量清洗流程

依據防護系統對現網DNS系統環境的監測和統計分析，當防DDoS設備檢測到異常和攻擊流量時，啟動流量清洗流程，清洗流程如圖4所示。

（1）首先進行預清洗

包括傳統的ACL策略、非法格式清洗、域名通配清洗策略，用于清洗無效IP/端口，畸形DNS查詢包，以及針對已知域名的攻擊流量。

（2）權重分配

依據防護系統監測時的學習統計后，每一條DNS查詢包配發權重（優先級），當發生隨機源IP DDoS攻擊時，離散的攻擊包優先級會與正常流量迥異，根據此種差異，第4層出口流量限速可以讓正常流量優先通過。

（3）名單清洗

基于名單的清洗策略最精確，可根據情況設置對應的黑名單，若發現某個IP/域名超出設定閾值，即自動將其設置為黑名單并清洗，可實現對固定域名DDoS攻擊的發現，另外也可基于IP/域名對所有的DNS訪問進行限速，超過設定閾值的訪問部分將被清洗。

（4）出口限速

基于權重的流量清洗是抵御隨機源IPDDoS攻擊的主要手段，通過防護系統的自主學習與訓練，設備可獲得正常流量的IP分布狀況，使得正常流量與離散的攻擊流量在通過優先級上有所區分，當出現出口流速超過設定閾值時，啟動權重丟包機制，確保正常流量能最大限度通過。具體示例如圖5所示。

圖4 清洗流程圖

圖5 流量清洗示意

通過以上幾個清洗流程，將分辨出來的攻擊流量直接丟掉，不讓流量進入系統內部，不占用DNS系統資源，從而增加DNS系統對攻擊的防護能力。

5 結束語

在電信運營商的DNS系統中，對風險較高的節點邊界部署DDoS防護系統，可實現對固定域名DDoS攻擊、隨機域名DDoS攻擊、偽造源IPDoS攻擊、偽造域名DoS攻擊等的防護，有效提高了DNS系統的安全防護能力，使得運營商的服務更加安全和可靠。

1 阿爾卡茲.DNS與BIND.清華大學出版社

2 RFC1034標準.域名:概念和設施

3 張華健.基于DNS與分層技術的Anycast實現.南京郵電大學

4 華山.基于Anycast架構DNS進行流量清洗部署方案的演進分析

5 歐帥.DNS拒絕服務攻擊的防護系統的研究與設計.南京郵電大學

6 張小妹.基于DNS的拒絕服務攻擊研究與防范.解放軍信息工程大學

AntiDDoS Attack Deployment Solution for DNS

The thesis analyses deployment and characteristics of telecom operators domain name system. We elaborated monitoring and flow cleaning process through deploying the anti-DDoS equipment at boundary of the domain name system. By establishing a protection system,We can effectively improve the security of the operator’s domain name system, to provide users withgoodservice.

DNS,DDoS,distributed deployment, monitoring ,flow cleaning

2015-04-20）