北京理工大學域名安全機器人上線

文／盧肖

當攻擊發生時，安全機器人能夠在無人值守的情況下，自動識別攻擊，主動采取措施，讓域名系統免于長時間的攻擊威脅。

隨著智慧校園信息化建設的高速發展，北京理工大學的權威域名服務范圍越來越廣，運行復雜度越來越高。目前學校已開通4 個權威域名，300 余個主機域名，權威域名服務是學校教育信息化工作的重要基礎設施。

據互聯網相關權威機構的安全報道，面向DNS 的攻擊頻度僅次于網站攻擊。但域名安全往往被忽視，這也是近年來網絡安全領域最薄弱的環節之一。面對如此嚴峻的安全態勢，北京理工大學的權威域名安全工作迫切需要加強升級。考慮到域名系統的專業性強，傳統的域名安全防護專業人才匱乏，學校的域名安全服務平臺部署了域名安全機器人，對多節點權威域名服務提供7×24 小時、全年無休的實時防護，提升了全校域名的安全穩定性。

域名安全機器人

域名安全機器人是一個基于域名攻擊大數據的智能分析和處置引擎，包括攻擊流量識別、阻斷控制、智能學習等模塊。

攻擊特征庫

基于DNS 攻擊類型的不同，攻擊特征有很大不同，目前已知的攻擊類型有四類，包括域名劫持、緩存投毒等，每一類的攻擊特征時常發生變化。

1.域名劫持

通過采用非法的攻擊手段控制域名管理密碼和管理郵箱，然后將該域名的DNS 紀錄指向某個DNS 服務器，再在該DNS 服務器上添加域名紀錄。

2.緩存投毒

控制DNS 遞歸服務器，把原本準備訪問某網站的用戶在不知不覺中帶到攻擊者指向的其他網站上。其實現方式有多種，比如，當用戶權威域名服務器被同時作為遞歸服務器使用時，利用權威域名服務器的漏洞實施緩存投毒攻擊，將錯誤的域名紀錄存入緩存中，從而使所有使用該遞歸服務器的用戶得到錯誤的解析結果。

北京理工大學教育域名安全服務平臺

3.DDOS 攻擊

通常利用BIND 軟件中的漏洞，導致DNS 服務器崩潰或拒絕服務;另一種攻擊的目標不是DNS 服務器，而是利用DNS 服務器作為中間的“攻擊放大器”，去攻擊其它互聯網上的主機，導致被攻擊主機拒絕服務。

4. DNS 欺騙

攻擊者冒充域名服務器的一種欺騙行為。在DNS 緩存還沒有過期之前,如果有客戶查詢在DNS 緩存中已經存在的記錄，DNS 服務器將會直接返回緩存中的記錄。

攻擊識別

帶有攻擊特征的流量出現時，安全機器人開始觀察、取證。在一定時間段內攻擊流量成型并保持持續狀態，安全機器人比對攻擊特征庫，若特征庫中有此攻擊定義，則識別為攻擊。

阻斷控制

安全機器人與各類控制單元（如防火墻、流量控制設備等）建有接口。已識別的攻擊者將被送往控制單元進行阻斷或采取其他限制措施。阻斷控制手段采取后，攻擊者將失去影響域名服務和服務平臺的能力。針對偽造重要服務器IP 的攻擊，采取白名單和流量控制措施加以調控，以避免誤傷。

智能學習

安全機器人的能力很大程度上取決于攻擊特征庫的豐富程度。一開始，這個攻擊特征庫是預設的，隨著攻擊識別量越來越多，域名攻擊的數據集也越來越多，攻擊特征存在隨時變化和升級的預期，因此安全機器人也需要具備基于攻擊數據集的智能學習能力。當多個學校不同設備的數據集構成一個域名攻擊大數據時，其智能學習效率將大為提高。

域名安全機器人配置

北京理工大學共有三臺權威域名設備，一個主站，二個輔站，主站與輔站實現統一管理。主站和輔站分別部署一個安全機器人。安全機器人負責對各自的域名服務開展7×24 小時不間斷的安全值守工作，從攻擊識別到阻斷控制，實現了完全無人值守。學校的安全服務團隊事后進行巡查，評估域名機器人的工作，并對機器人工作進行優化。

域名安全機器人相關實踐

學校的域名安全服務平臺正處于測試階段，運行2 個月以來，遭遇到多次較大流量的攻擊。在未經處理的情況下，攻擊流量高達日常流量的50～100 倍。

圖1 為2019 年7 月30 日至8 月6 日的權威DNS 流量圖，其中高峰為攻擊發生流量，可以看到這一周的工作日經常發生攻擊。

通過安全機器人的及時處置，學校的權威域名服務始終保持安全可控狀態。攻擊流量發生后，即被安全機器人有效控制，一方面峰值流量下降了2/3，另一方面攻擊現象在處置后立即消失。

以2019 年8 月5 日的攻擊數據為例進行說明（見表1），當天共有4 次攻擊行為，每次攻擊發生時即被有效控制，系統記錄了17 個攻擊相關IP。

這些IP 大部分分布在國內東部省市不同的運營商，可能是攻擊源，也可能是被攻擊的受害者。在這些輪番攻擊中，通過安全機器人第一時間的及時應對，學校的網絡環境始終保持安全和穩定，權威域名服務正常運轉，未受到任何影響。

圖1 北京理工大學2019 年7 月30 日至8 月6 日的權威DNS 流量

表1 2019 年8 月5 日的攻擊數據

域名安全機器人上線以來的測試運行期數據證明，安全機器人值班，對流量實時監控，并與安全服務團隊定期巡檢相結合的模式，可以保證學校權威域名服務的安全穩定。當攻擊發生時，安全機器人能夠在無人值守的情況下，自動識別攻擊，主動采取措施，讓域名系統免于長時間的攻擊威脅。

在這項專業性很強的業務工作中，安全機器人與權威域名安全服務的深度融合是學校DNS 工作的一次大膽創新和實踐，是智慧校園智能服務升級的一次領先嘗試。