当前,网络安全问题已经成为各大企业、机构所必须面临的问题。业内人士普遍认为,网络攻击已经是仅次于极端天气和自然灾害的全球第三大威胁,网络犯罪目前每年造成的经济损失高达5000亿美元。钓鱼网站、假冒知名网站行骗…网络世界在带给人类便利的同时,也存在种种乱象。然而在谈到各种安全技术的时候,DNS是一个绕不过去的话题。
DNS(域名系统)一直被认为是最重要的互联网服务之一,几乎所有的网络服务都依托于DNS服务将域名解析为IP地址,普遍被其他协议使用,如HTTP,SMTP等,可以说,它是互联网上的无名英雄。但相较于DNS服务的重要性,企业在做网络安全防护时,却没有对其充分重视,导致了DNS成为了一个关键的攻击媒介,一旦发生针对DNS的恶意攻击,所造成的后果之严重,影响之广泛都让人难以接受。
为此,针对DNS在网络安全上出现的问题及对应办法,我们与伏羲智库业务总监张翼及背后团队展开了一场深入对话。
1
为什么DNS在网络安全中这么重要?它服务企业的逻辑是什么?
基于被动DNS的安全检测,攻击溯源,反垃圾邮件,上网行为管理是现在安全公司解决安全问题的重要手段。被动DNS技术是2004年被发明出来的,它与DNS查询的方式相反,属于反向获取或查询DNS数据信息。被动DNS将DNS系统中可用的DNS数据信息采集、归纳、整理到数据库中,以便相关人员对其进行检索、查询和分析应用。这些数据信息包含了当前的和历史的DNS数据,比如,在过去的十余年,某个域名曾经被解析指向哪些IP地址、某个域名下有哪些三四级子域名、哪个域名解析服务器曾经为哪些域名提供过服务、某个IP地址访问过哪些域名等信息。
被动DNS数据是一类非常重要的数据源。例如,对新注册域名或子域名的关注;对DNS变更及DNS错误信息的监控与比对;另外,在一个域名被识别为恶意或可疑后,通过被动DNS历史记录,可以方便快速地帮助调查人员找到最初攻击发生时的证据。总之,由于DNS几乎存在于任何网络通信交换中,无论采用何种协议,从DNS历史数据着手,几乎都具有普遍的价值。
2
当企业真正遇到网安问题,该如何应对?伏羲智库对此有没有什么应对方案?
现在都说数据是最宝贵的资产,大数据的价值如同工业时代的石油。当前智库也是在数据上发力,专注于域名、IP地址、DNS等互联网基础资源、协议、及产生数据的采集、分析和产品化工作,核心围绕全球被动DNS数据(PassiveDNS,简称pDNS)的采集和分析来进行,并基于此提供专业、定制化的数据服务。为我们的客户提供网络安全工作所必需的数据资源和衍生服务。
伏羲智库始终致力于DNS安全、网络控制技术、互联网安全等领域的研究与服务。依托自身和合作伙伴资源在全球范围内超过300个中大型递归DNS服务运营商端部署数据采集节点,已经积累了目前全球最大的pDNS实时和历史数据库DNSDB,可以说DNSDB不但监测当前互联网上的事物关系,同时也记录了过去十年间互联网上的发生过的事物关系。
同时,伏羲智库也在通过建立国内的pDNS数据库的方式,拓展和增加自身的数据来源和数据量,增强pDNS数据的研究分析工作。我们的DNSDB数据库内保存有超过1000亿条非重复的DNS解析记录,时间可以追溯到2010年,每秒超过20万次的查询监测,日处理解析数据超过5TB,并可提供分钟级全球范围内的新域名推送服务。
3
可以详细解释一下“DNSDB数据库”能解决什么问题。
依托DNSDB数据库,可以快速发现IP地址和域名之间的对应关系,从而实现高效、准确的溯源工作。这在威胁情报、威胁狩猎、APT攻击防御等安全场景中非常有用。目前,DNSDB数据库是一个任何网络安全问题都会用到的互联网基础资源数据,可被广泛应用于网络安全、互联网大数据分析、网络品牌保护等场景。当前利用智库的DNSDB数据库的历史数据以及相关的实时数据推送服务可以做到:
1、检测互联网上新出现域名,锁定高危域名资产
被动DNS传感器可以实时监测到最新出现的域名(NOD,Newly Observed Domain)、子域名/主机名(NOH,Newly Observed Host)这一特性至关重要,因为全新的域名通常与恶意活动的关联程度非常高,每天互联网上新出现的域名大约50万个,其中绝大多数都被用于各类型的不良违法应用。对新出现域名的监测可以第一时间锁定新增的高威胁网络资产。
例如网络钓鱼或垃圾邮件发起方每天会启用大量新域名进行邮件发送随机快速被丢弃域名。对来自新出现域名24小时内发出的邮件进行阻断和甄别是被证实为有效且成本最低的方法。
2、异常解析行为识别恶意域名
通常情况下,正常合法域名并不会经常变更其地址、名称服务器等信息。而通过被动DNS数据库,可以对解析记录频繁变化的域名进行监测。
例如在可以有效识别出通过快速流量攻击(fast-flux)等技术来隐藏其恶意活动的这些域名。
3、威胁情报分析
当某IP地址、域名或名称服务器被标记为恶意时,可以通过被动DNS轻松识别哪些域名映射到该IP地址、哪些域名托管在该名称服务器或哪些IP曾经与该恶意域名相关联,进而能够找到入侵或攻击最初发生时的有效证据。
例如针对APT组织的攻击溯源普遍会用到pDNS数据作为关联关系分析的数据基础和溯源工具。
4、检测域名劫持
被动DNS数据库,可以几乎实时地对类似缓存投毒等域名劫持行为进行发现。通过对被动DNS数据库的定期查询,能够让管理员了解主要域名所映射的地址信息,如果发现与常规映射有任何偏差,则极有可能表示一场针对您企业的攻击行动已经发生。
5、品牌保护
通过对某一品牌关键字进行模糊匹配查询,可以找出与您企业名称或注册商标名称类似而没有经过任何授权的域名,特别是仿冒域名往往会出现在新注册域名(NOD)或子域名(NOH)中,例如 类似于 10086-real-payment.com 或者10086.cn.abc.com 这样包含10086的关键词域名,如果被用于钓鱼邮件或者仿冒网站,很容易让用户误认为是在访问中国移动的服务。通过新出现域名、子域名及时发现,通报,关停未授权域名,可以及时消除由此产生的品牌负面影响,降低企业用户数据被钓鱼的安全风险
6、域名DNS历史记录查询
利用被动DNS主要目的之一是让分析人员有能力访问DNS历史记录以供分析使用。比如,通过DNSDB API,您可以分析历史DNS记录,检查新记录,比较差异,洞察可能的攻击向量等。另外,在管理员想要恢复DNS服务器中不管出于什么原因而被删除、修改过的DNS记录时,被动DNS数据库也显得尤为重要。我们的DNSDB中保存了所有类型的DNS记录信息,如:A记录、AAAA记录、MX记录、NS记录、TXT等。
7、探索子域名
你有没有想过baidu.com或taobao.com有多少子域名?使用被动DNS数据库,您可以浏览世界上任何域名的子域名。通过对每个子域名的探索,你可能会发现与网站开发、测试等相关内容,有些易受攻击区域往往存于其中,不怀好意的恶意攻击者可以利用这些信息对您发起攻击,所以,这也是为什么一定要将子域纳入DNS审计的一个重要原因。
4
除了DNSDB数据库外,伏羲智库还有哪些DNS相关的数据库资源?
目前,全球域名WHOIS信息也是非常重要的互联网基础数据库。简单来说,WHOIS是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商、域名注册日期和过期日期等等)。2018年以后,新注册域名的WHOIS信息中的用户隐私信息不再公开,因此WHOIS数据库中的历史域名价值大大增加。伏羲智库目前在国内外拥有多家域名WHOIS合作伙伴,可以为安全行业提供全面的域名WHOIS解决方案。未来,伏羲智库将会力争研发更多的数据服务和产品,为网络安全作出更多努力。