基于Fast-Flux的DNS異常行為分析

李驁騁,王 崢

(1.南京烽火軟件科技有限公司,南京 210019; 2.武漢郵電科學(xué)研究院,武漢 430074)

0 概述

域名系統(tǒng)(Domain Name System,DNS)是為域名和IP地址之間的映射提供服務(wù)的系統(tǒng)。在目前互聯(lián)網(wǎng)遍布全球的社會(huì)背景下,DNS服務(wù)是日常工作和生活不可或缺的一部分。在互聯(lián)網(wǎng)中,很多應(yīng)用需要DNS服務(wù)技術(shù)的支持,DNS的安全性在很大程度上也決定了互聯(lián)網(wǎng)的安全。另一方面,DNS報(bào)文中也可能包含用戶(hù)的隱私。現(xiàn)有的DNS攻擊主要存在于僵尸網(wǎng)絡(luò)中,目前被應(yīng)用較為廣泛是Fast-Flux攻擊技術(shù),現(xiàn)有的工作更多依賴(lài)最長(zhǎng)存活時(shí)間(Time To Live,TTL)進(jìn)行判斷,但這并不能完全形容Fast-Flux的特征,或者使用機(jī)器學(xué)習(xí)的算法[1-2],但是并未很好地解釋Fast-Flux的特性。

為避免將TTL小的正常DNS報(bào)文濾除,找到Fast-Flux的真正特性,在濾除攻擊報(bào)文時(shí)減小誤傷,本文根據(jù)歷史數(shù)據(jù)進(jìn)行分析,以期在歷史數(shù)據(jù)成果的基礎(chǔ)上找到過(guò)濾報(bào)文的方法,并在保護(hù)用戶(hù)權(quán)益的基礎(chǔ)上增加系統(tǒng)的實(shí)時(shí)性,維護(hù)網(wǎng)絡(luò)安全。

1 僵尸網(wǎng)絡(luò)

1.1 工作原理

僵尸網(wǎng)絡(luò)是攻擊者運(yùn)用一種或者多種手段傳播bot程序病毒,使大量主機(jī)感染,在攻擊者和被感染主機(jī)之間形成一對(duì)多控制的網(wǎng)絡(luò)[3-4]。黑客利用僵尸程序控制大量主機(jī),形成僵尸網(wǎng)絡(luò)[5]。通過(guò)僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者,即僵尸網(wǎng)絡(luò)操縱控制者,采用Fast-Flux攻擊是目前一個(gè)新型的發(fā)展趨勢(shì)。

僵尸網(wǎng)絡(luò)的形成多種多樣,但總體來(lái)說(shuō),僵尸網(wǎng)絡(luò)的生命周期有4個(gè)階段[3]:開(kāi)發(fā)階段,將僵尸程序放到僵尸主機(jī)上;集合階段,僵尸主機(jī)通過(guò)C&C服務(wù)器連接起來(lái);攻擊執(zhí)行階段,通過(guò)從C&C服務(wù)器得到的控制主機(jī)的命令,截獲被控主機(jī)的DNS請(qǐng)求;更新維護(hù)階段,控制主機(jī)是為了更好地控制和修補(bǔ)僵尸網(wǎng)絡(luò)。

在僵尸網(wǎng)絡(luò)的生命周期中,僵尸網(wǎng)絡(luò)為了保持程序的更新,與控制主機(jī)即惡意代碼的傳播者有C&C通信[6]。作為控制主機(jī)的傀儡,僵尸主機(jī)需要獲取命令程序,并實(shí)時(shí)更新,即需要頻繁且周期性地連接C&C服務(wù)器或者其他主機(jī)[7]。一般來(lái)說(shuō),在僵尸網(wǎng)絡(luò)控制者發(fā)命令給受控的僵尸主機(jī)前,僵尸主機(jī)會(huì)處于等待模式,不進(jìn)行攻擊[8]。

1.2 僵尸網(wǎng)絡(luò)架構(gòu)

本節(jié)介紹僵尸網(wǎng)絡(luò)的C&C 2種架構(gòu):一種是集中式C&C架構(gòu),類(lèi)似于客戶(hù)機(jī)/服務(wù)器模型;另一種是分布式C&C架構(gòu),沒(méi)有單一的命令服務(wù)器,能夠避免單點(diǎn)故障。

1.2.1 集中式C&C架構(gòu)

如圖1所示,集中式C&C架構(gòu)的僵尸網(wǎng)絡(luò)是由僵尸控制主機(jī)單點(diǎn)連線C&C服務(wù)器,然后由C&C服務(wù)器控制所有的僵尸主機(jī),即僵尸網(wǎng)絡(luò)。通常這樣的架構(gòu)使用的是IRC通信結(jié)構(gòu),借用已經(jīng)使用成熟的結(jié)構(gòu)與協(xié)議使得架構(gòu)的搭建變得簡(jiǎn)單,并且使用范圍較廣,不易被察覺(jué)。另外,HTTP協(xié)議也是該架構(gòu)通信應(yīng)用較多的協(xié)議之一。隨著C&C技術(shù)的發(fā)展,C&C協(xié)議引進(jìn)了完全定制的指令集和信息加密,不需要借用其他協(xié)議構(gòu)建僵尸網(wǎng)絡(luò)。

圖1 集中式C&C架構(gòu)

另外,集中式架構(gòu)還有基于圖1的升級(jí)結(jié)構(gòu),如服務(wù)器的分層架構(gòu),對(duì)僵尸主機(jī)進(jìn)行分化形成代理服務(wù)器,即使被跟蹤訪問(wèn)也只能找到代理節(jié)點(diǎn),增加了整體結(jié)構(gòu)的隱蔽性。

1.2.2 分布式C&C架構(gòu)

如圖2所示,僵尸主機(jī)松散耦合連接形成分布式C&C體系結(jié)構(gòu)。其優(yōu)點(diǎn)在于僵尸網(wǎng)絡(luò)中可以互相通信,這使得僵尸程序的傳播與更新變得更加方便,相較于1.2.1節(jié)的集中式C&C架構(gòu),更適用于僵尸主機(jī)數(shù)量基數(shù)較大的網(wǎng)絡(luò),分布式結(jié)構(gòu)使得僵尸主機(jī)能夠獨(dú)立地運(yùn)作。

圖2 分布式C&C架構(gòu)

另外,在這種架構(gòu)中的僵尸網(wǎng)絡(luò)利用P2P結(jié)構(gòu)通信,在僵尸主機(jī)之間交換版本號(hào),這樣大大降低了跟蹤的可能,僵尸網(wǎng)絡(luò)控制者的定位可能性變得更低。雖然在分布式的架構(gòu)中沒(méi)有C&C服務(wù)器,僵尸網(wǎng)絡(luò)控制者直接與僵尸網(wǎng)絡(luò)中的主機(jī)通信,但顯然分布式的低跟蹤率也是其一大優(yōu)勢(shì)。

1.3 Fast-Flux原理

Fast-Flux可以定義為主機(jī)和名稱(chēng)服務(wù)器資源記錄的快速和重復(fù)的變化。Fast-Flux在用戶(hù)查詢(xún)一個(gè)域名的包發(fā)送之后,將DNS服務(wù)器的回復(fù)隱藏,并向用戶(hù)主機(jī)發(fā)送一個(gè)包含很多IP的回復(fù)包。然后,用戶(hù)主機(jī)使用Fast-Flux給IP中的一個(gè)訪問(wèn)“服務(wù)器”,但其訪問(wèn)的是僵尸網(wǎng)絡(luò)中的一個(gè)僵尸主機(jī)。Fast-Flux的攻擊有single-flux(單攻擊)和double-flux(雙攻擊)[9],single-flux的攻擊模式較為簡(jiǎn)單,Fast-Flux代理的IP地址在DNS服務(wù)器上注冊(cè),僵尸網(wǎng)絡(luò)服務(wù)器可以隱藏起來(lái);double-flux比single-flux多一個(gè)保護(hù)層,即僵尸主機(jī)的IP作為回復(fù),無(wú)法追蹤到僵尸網(wǎng)絡(luò)服務(wù)器。

Fast-Flux技術(shù)具有三大優(yōu)勢(shì)[10]。首先,它為攻擊者提供了便利,只需要依靠若干強(qiáng)大的后臺(tái)服務(wù)器就能夠工作。其次,Fast-Flux使用未知代理,為攻擊者提供額外的保護(hù)層用于反跟蹤。最后,由于額外的保護(hù)層,網(wǎng)絡(luò)的壽命得到延長(zhǎng)。

2 相關(guān)研究

本地域名和主機(jī)域名由本地域名服務(wù)器[11]解析管理。大多數(shù)已經(jīng)完成的工作都使用了主動(dòng)檢測(cè)的方法處理DNS數(shù)據(jù),另外一些工作選擇使用被動(dòng)的檢測(cè)方法,可以避免與可疑域名的互動(dòng),還有一些研究結(jié)合了前面的2種方法,以提高檢出率[10]。

2.1 主動(dòng)方法

主動(dòng)檢測(cè)判斷是基于觀察的某些維度,即FFSN的特征,通常是使用人工智能算法。然而,這些算法通常需要消耗內(nèi)存,例如有監(jiān)督的學(xué)習(xí)算法、固定的規(guī)則、對(duì)零時(shí)差攻擊弱檢測(cè)[12]等。文獻(xiàn)[13]提出了Fast-Flux網(wǎng)絡(luò)和其他相關(guān)研究,并給出了實(shí)證。在這些技術(shù)中,檢測(cè)延遲非常長(zhǎng),通常需要至少已經(jīng)設(shè)定的TTL的時(shí)間,所以這就限制了檢測(cè)Fast-Flux網(wǎng)絡(luò)的有效性[10]。在文獻(xiàn)[14]中,實(shí)時(shí)分類(lèi)和長(zhǎng)期監(jiān)測(cè)的方法稱(chēng)為SSFD應(yīng)用。然而,類(lèi)似于文獻(xiàn)[15],SSFD呈現(xiàn)較高的檢測(cè)率和較低的誤報(bào)率,但使用的是一個(gè)不可用的IP地址位置數(shù)據(jù),限制了檢測(cè)方法的有效性。總體來(lái)說(shuō),基于主動(dòng)檢測(cè)的方法主要是將較少的DNS流量予以非合法域名的傳輸[16]。

2.2 被動(dòng)方法

被動(dòng)檢測(cè)方法是由文獻(xiàn)[17]提出的,涉及DNS流量的實(shí)時(shí)跟蹤、查詢(xún)、應(yīng)答,流量分析用于搜索Fast-Flux服務(wù)網(wǎng)絡(luò)的蹤跡。C4.5決策樹(shù)分類(lèi)器區(qū)分友好域名和Fast-Flux域名。相對(duì)于主動(dòng)檢測(cè)方法,被動(dòng)檢測(cè)的主要優(yōu)點(diǎn)是不需要額外的網(wǎng)絡(luò)資源用于主動(dòng)DNS查找。但是被動(dòng)檢測(cè)技術(shù)的延遲比所有其他方式都要長(zhǎng),因?yàn)楸O(jiān)視一個(gè)域名需要至少5 d,以檢測(cè)該域名的正常運(yùn)行時(shí)間[10]。被動(dòng)方法的主要問(wèn)題是需要處理大量的DNS流量的關(guān)系判斷合法和非合法域名[16]。因此,被動(dòng)檢測(cè)的方式應(yīng)用較少。

2.3 實(shí)時(shí)方法

文獻(xiàn)[18]提出了一個(gè)實(shí)時(shí)檢測(cè)FFSN系統(tǒng),目標(biāo)在于減少幾秒鐘檢測(cè)時(shí)間但不影響檢測(cè)精度。這個(gè)想法依賴(lài)于觀察,由于Fast-Flux代理轉(zhuǎn)發(fā)請(qǐng)求而導(dǎo)致HTTP響應(yīng)中的較長(zhǎng)延遲。因?yàn)橄鄬?duì)于Fast-Flux代理的計(jì)算能力和帶寬有限,轉(zhuǎn)發(fā)請(qǐng)求通過(guò)Fast-Flux節(jié)點(diǎn)通常需要額外的時(shí)間。另一種實(shí)時(shí)Fast-Flux檢測(cè)方法由文獻(xiàn)[19]提出。實(shí)時(shí)檢測(cè)方法可能導(dǎo)致高的誤報(bào)率和漏報(bào)率,因此為了更準(zhǔn)確地識(shí)別Fast-Flux,實(shí)時(shí)方式并不適合。

2.4 被動(dòng)與主動(dòng)相結(jié)合的方法

為了進(jìn)一步降低檢測(cè)時(shí)間,文獻(xiàn)[20]提出的快速通量監(jiān)測(cè)器(FFM),實(shí)時(shí)檢測(cè)快速通量域。FFM使用主動(dòng)和被動(dòng)的DNS監(jiān)控實(shí)現(xiàn)實(shí)時(shí)檢測(cè)。主動(dòng)監(jiān)測(cè)收集3個(gè)功能,并使用貝葉斯分類(lèi)器分類(lèi)可疑領(lǐng)域?yàn)榱夹曰蚩焖偻俊Ｈ欢?作者認(rèn)為檢測(cè)是實(shí)時(shí)的,并且需要一個(gè)域名,監(jiān)測(cè)幾個(gè)移動(dòng)窗口10 min,以增加檢測(cè)精度域,但實(shí)現(xiàn)起來(lái)較為復(fù)雜。

本文提出的特征維度,類(lèi)似于主動(dòng)監(jiān)測(cè)的方式,由于之前的研究均是基于流量的相關(guān)維度,本文主要基于報(bào)文的4個(gè)維度,希望能夠更加準(zhǔn)確地形容Fast-Flux的特征,精準(zhǔn)地區(qū)分Fast-Flux攻擊報(bào)文和正常報(bào)文。

3 負(fù)載躲避與載流均衡

3.1 負(fù)載躲避

Fast-Flux技術(shù)的特點(diǎn)是利用域名配置多個(gè)IP,并且這些IP以很快的頻率更換,以達(dá)到實(shí)現(xiàn)域名到IP地址的動(dòng)態(tài)映射[1]。因此,帶有Fast-Flux攻擊的報(bào)文通常其回復(fù)段的TTL不會(huì)太長(zhǎng),其目的是為了在短時(shí)間內(nèi)可以變換IP,以達(dá)到躲避檢測(cè)的目的。圖3是Fast-Flux包應(yīng)答TTL的統(tǒng)計(jì)頻次。

圖3 負(fù)載躲避的TTL分布

從圖3可知,負(fù)載躲避的TTL均集中在小范圍的時(shí)間,突出的時(shí)間點(diǎn)為10 s和20 s,符合Fast-Flux的快速性。但是并不是只在小范圍出現(xiàn),有的TTL也有較大的時(shí)長(zhǎng)。更為重要的是,不是應(yīng)答TTL小的都是Fast-Flux報(bào)文包,正常報(bào)文也可能將TTL設(shè)置的很小。

3.2 載流均衡

對(duì)于像百度、新浪、騰訊這樣大型的網(wǎng)站,同一個(gè)域名,需要多臺(tái)服務(wù)器對(duì)用戶(hù)的請(qǐng)求進(jìn)行響應(yīng)。每個(gè)服務(wù)器對(duì)應(yīng)的IP是不同的,用戶(hù)的請(qǐng)求狀態(tài)也是隨機(jī)的,如果為用戶(hù)提供更好更快的響應(yīng),就需要對(duì)所有用戶(hù)針對(duì)同一域名的請(qǐng)求采取載流均衡的服務(wù),即動(dòng)態(tài)地變換該域名對(duì)應(yīng)的IP,根據(jù)當(dāng)前流量情況,將請(qǐng)求指引到相對(duì)空閑的服務(wù)器上,提高網(wǎng)站的響應(yīng)速度。本文將應(yīng)答域名為“www.baidu.com”的報(bào)文的TTL進(jìn)行統(tǒng)計(jì),結(jié)果如圖4所示。

圖4 載流均衡的TTL分布

從圖4可以看出,百度應(yīng)答DNS報(bào)文的TTL分布集中在50 s和90 s,其中50 s部分的報(bào)文與圖3中的Fast-Flux攻擊報(bào)文重疊。如果按照TTL的大小判斷濾除報(bào)文,閾值小于50 s意味著“www.baidu.com”這樣的域名都會(huì)有3.8%的可能性被過(guò)濾,即文中至少6 795條報(bào)文的服務(wù)受到阻攔,其他擁有若干臺(tái)服務(wù)器的網(wǎng)站也是在這樣的情況下被提高了誤報(bào)率,導(dǎo)致部分服務(wù)被阻攔;當(dāng)閾值大于50 s時(shí),部分Fast-Flux的攻擊報(bào)文能夠正常運(yùn)行,僵尸程序就有機(jī)會(huì)下載到用戶(hù)主機(jī)上,使用戶(hù)遭受損失,降低了系統(tǒng)的準(zhǔn)確性。因此,需要找到Fast-Flux的其他特征,更準(zhǔn)確地將攻擊報(bào)文和正常報(bào)文區(qū)分開(kāi)。

4 Fast-Flux檢測(cè)

筆者于2016年9月20日的8:00點(diǎn)到9:00點(diǎn),在廣東省廣州市共捕獲了223 742 489條DNS報(bào)文, 并對(duì)報(bào)文解析入庫(kù),進(jìn)而對(duì)這批報(bào)文進(jìn)行分析。通過(guò)對(duì)大量DNS報(bào)文的數(shù)據(jù)分析,較全面地發(fā)現(xiàn)了Fast-Flux的攻擊特征,以區(qū)別攻擊報(bào)文和正常的報(bào)文交流。

針對(duì)Fast-Flux以及大型網(wǎng)站的載流均衡的特征,通過(guò)分析本文數(shù)據(jù),總結(jié)出4個(gè)特征,對(duì)截獲的DNS報(bào)文進(jìn)行分析。

4.1 最長(zhǎng)存活時(shí)間

如1.1節(jié)所述,Fast-Flux攻擊為了躲避僵尸主機(jī)被追尋到,對(duì)DNS報(bào)文回復(fù)段的TTL設(shè)置的值較小,讓報(bào)文在短時(shí)間內(nèi)指向僵尸網(wǎng)絡(luò)中的IP后,使其盡快失效,以便于將域名所指向的IP更換,躲避檢測(cè)。

從圖5可以看到,雖然攻擊報(bào)文集中在30 s以下的時(shí)間段,但是在超過(guò)30 s的時(shí)間段依然有攻擊報(bào)文的存在。在圖6中,對(duì)所有報(bào)文的TTL數(shù)據(jù)進(jìn)行分析,TTL主要集中在50 s、60 s、90 s 3個(gè)數(shù)據(jù)上,說(shuō)明TTL的時(shí)間設(shè)置較為有規(guī)律可循,但是還是會(huì)有一部分正常報(bào)文和攻擊報(bào)文的TTL有沖突,需要用其他的特征區(qū)別開(kāi)。

圖5 攻擊報(bào)文的TTL分布

圖6 報(bào)文TTL的小范圍分布

對(duì)于一個(gè)正常DNS的域名請(qǐng)求應(yīng)答報(bào)文,應(yīng)該至少有一個(gè)回復(fù)段,給以正確的IP回復(fù);或者被查詢(xún)的域名有其他名稱(chēng),并且保存在域名服務(wù)器中,那么應(yīng)答報(bào)文中將有多個(gè)回復(fù)段,包括若干其他域名以及若干服務(wù)器IP。同樣,Fast-Flux攻擊也會(huì)有多個(gè)IP的情況,將被攻擊主機(jī)引到僵尸主機(jī)的IP上。因此,將一個(gè)DNS回復(fù)段分開(kāi)討論,統(tǒng)計(jì)TTL得到的結(jié)果可能出現(xiàn)在不同的分類(lèi)區(qū)間中。

根據(jù)符合上述的篩選過(guò)程,將TTL小于30 s的域名放在一起,得到的域名樣本如表1所示。

表1 TTL域名樣本

從表1可以看出,確實(shí)存在較多的大型網(wǎng)站的域名后綴,如“qq”“weibo”等,也存在一些不符合域名特征的組合,如最后一個(gè)域名“parent.forpage.forhtml”。因此,本文需要將這些大型網(wǎng)站的記錄保護(hù)起來(lái),以區(qū)分載流均衡和負(fù)載躲避,在保證DNS的正常服務(wù)下,避免Fast-Flux攻擊。

4.2 時(shí)間差分布平均

從載流均衡和負(fù)載躲避的區(qū)別來(lái)看,對(duì)于攻擊報(bào)文,是以轉(zhuǎn)換域名為對(duì)應(yīng)的僵尸主機(jī)IP為目的,因此,TTL統(tǒng)一設(shè)置,方便僵尸網(wǎng)絡(luò)的控制者操縱,這樣使得相同域名的攻擊包時(shí)間差變化不會(huì)太大。對(duì)于大型網(wǎng)站來(lái)說(shuō),整個(gè)網(wǎng)絡(luò)的流量是隨機(jī)的,重新運(yùn)用新的服務(wù)器IP的時(shí)間是由用戶(hù)的意愿和當(dāng)前網(wǎng)絡(luò)流量的分布決定的,因此正常載流均衡機(jī)制下DNS包的時(shí)間差值是隨機(jī)的。

載流均衡與負(fù)載躲避時(shí)間差分布如圖7、圖8所示。

圖7 載流均衡時(shí)間差分布

圖8 負(fù)載躲避時(shí)間差分布

對(duì)比圖7、圖8可以看出,2種DNS報(bào)文分布時(shí)間差分布相差很大,對(duì)于正常網(wǎng)站來(lái)說(shuō),時(shí)間差是隨機(jī)分布的,依據(jù)當(dāng)前流量決定,因此呈現(xiàn)的是正態(tài)分布;對(duì)于同一域名的攻擊包,因?yàn)镕ast-Flux攻擊不關(guān)心實(shí)時(shí)流量的問(wèn)題,也就不存在報(bào)文之間的時(shí)間差會(huì)變化的問(wèn)題,所以時(shí)間差已經(jīng)被預(yù)先設(shè)定,最終統(tǒng)計(jì)的結(jié)果也是平均分布的趨勢(shì)。

4.3 請(qǐng)求頻繁

對(duì)于Fast-Flux,快速域名變換攻擊需要不停地更換IP才能躲避追蹤,因此,Fast-Flux的報(bào)文需要頻繁發(fā)送報(bào)文以達(dá)到更換IP的目的,在短時(shí)間內(nèi)會(huì)有大量的請(qǐng)求到達(dá)被攻擊主機(jī),統(tǒng)計(jì)效果如圖9所示。

圖9 攻擊報(bào)文接收頻率

從圖9可以看出,時(shí)間差黑點(diǎn)集中在較低區(qū),這也就是稱(chēng)Fast-Flux為快速域名攻擊的原因,單純的TTL比較并不能準(zhǔn)確地作為此類(lèi)攻擊的特征,頻繁的請(qǐng)求更能形容快速域名攻擊。在一段時(shí)間內(nèi),頻繁接收到某個(gè)域名的報(bào)文,且頻率大多集中在0.1 s或者0.01 s以下,則該報(bào)文符合Fast-Flux快速攻擊的特征,再結(jié)合其他特征共同分析,判斷報(bào)文的性質(zhì)。

4.4 IP池

通過(guò)上文的幾個(gè)維度最終找到一批報(bào)文,其中IP與域名部分?jǐn)?shù)據(jù)如表2所示。通過(guò)檢測(cè),表2中的域名為攻擊域名。上文指出,僵尸網(wǎng)絡(luò)主要是僵尸主機(jī),每個(gè)僵尸主機(jī)在通信期間擁有一個(gè)對(duì)應(yīng)的IP,這些IP會(huì)出現(xiàn)在DNS應(yīng)答報(bào)文的攻擊包中。在一段時(shí)間內(nèi),僵尸網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不會(huì)改變,因此,Fast-Flux攻擊報(bào)文所用到的IP就是有限的僵尸主機(jī)的IP。從表2也可以看出,不同的域名也有指向同一IP的情況,同一域名攻擊報(bào)文的IP都來(lái)自于一個(gè)IP池,如果能夠找到這個(gè)IP池中的所有IP,可以將這批IP限時(shí)封鎖,即限定時(shí)間內(nèi)再次出現(xiàn)其中某一IP可以不用復(fù)雜的計(jì)算,直接攔截報(bào)文,這符合僵尸網(wǎng)絡(luò)的原理結(jié)構(gòu)。

表2 IP-域名

4.5 算法流程

4.1節(jié)～4.4節(jié)提出了4個(gè)分析維度,具體算法是結(jié)合前3個(gè)維度篩選,并利用第4個(gè)特征維度進(jìn)行預(yù)防,算法流程如圖10所示。對(duì)于已經(jīng)解析過(guò)的報(bào)文集,先判斷其第一個(gè)應(yīng)答部分的TTL,TTL小于60 s的報(bào)文篩選其時(shí)間差,計(jì)算域名相同的報(bào)文之間的時(shí)間關(guān)系。對(duì)于時(shí)間差在0.1 s和1 s之間的報(bào)文進(jìn)行進(jìn)一步判斷該域名的到達(dá)頻率,并收集頻率較高的報(bào)文出現(xiàn)的回復(fù)IP,建立IP池,將其放入黑名單中。

根據(jù)表2顯示,都是同一域名后綴(.mca***.com),并且在短時(shí)間內(nèi)連續(xù)到達(dá)報(bào)文。其中一個(gè)域名對(duì)應(yīng)幾個(gè)IP,不同的域名也會(huì)指向同一IP。可以設(shè)置一個(gè)黑名單文件存儲(chǔ),用于直接濾除,減少判斷時(shí)間,提高整體效率。

值得注意的是,由于IP分為動(dòng)態(tài)IP和靜態(tài)IP,因此如果長(zhǎng)期將大量IP進(jìn)行封鎖,用戶(hù)端的黑名單IP會(huì)越來(lái)越多,甚至?xí)绊懹脩?hù)的正常使用,因此,對(duì)識(shí)別出的IP的封鎖也需要設(shè)置一個(gè)TTL。

圖10 報(bào)文篩選算法流程

4.6 效果對(duì)比

通過(guò)以上前3個(gè)維度的篩選分析,本文的數(shù)據(jù)從最初的223 742 489條,通過(guò)分析篩選,并將域名去重后縮小到1 629條的范圍,3個(gè)維度交叉關(guān)系如圖11所示。

圖11 3個(gè)維度交叉關(guān)系

圖11展現(xiàn)了前3個(gè)篩選維度將目標(biāo)報(bào)文縮小的比例,可以看出,通過(guò)使用本文提出的Fast-Flux的特征維度,可以將鑒定范圍大大縮小,剩下的報(bào)文準(zhǔn)確率達(dá)到了87.1%,跟文獻(xiàn)[3]中的正確率87%相差不多,但比較而言本文根據(jù)維度處理只需要根據(jù)報(bào)文的特征進(jìn)行辨別,流程更為簡(jiǎn)單清晰。由此可以看出本文提出的特征有效,可以較為準(zhǔn)確地形容Fast-Flux的攻擊行為。

5 結(jié)束語(yǔ)

本文主要針對(duì)DNS報(bào)文解析后的數(shù)據(jù)進(jìn)行分析,得出4個(gè)特征能夠形容Fast-Flux報(bào)文的特性,以區(qū)別大型網(wǎng)站的載流均衡報(bào)文,降低誤判率。另外通過(guò)更多的維度,可以同時(shí)降低系統(tǒng)的漏報(bào)率,最大程度地不影響到正常報(bào)文,并濾除攻擊報(bào)文。本文利用數(shù)據(jù)分析的方式對(duì)大量報(bào)文的內(nèi)容進(jìn)行分析,找到Fast-Flux攻擊時(shí)的報(bào)文特征,并給出報(bào)文篩選的算法,以及根據(jù)已知報(bào)文進(jìn)行短期防范的方式。在正確率相差不多的情況下,本文提出的算法實(shí)現(xiàn)更加簡(jiǎn)單、容易實(shí)現(xiàn)。本文僅提出能夠參考的維度,下一步將優(yōu)化算法與本文的特征維度相結(jié)合,以達(dá)到自動(dòng)化區(qū)分的目的。