dns 安全可视化

===

明确目标：

1，什么是dns安全可视化。

什么是dns

2，怎么做到dns安全可视化。

3，什么是BI

4，dns安全是什么，有哪些数据需要展示。

明确方法：

1，先了解资料，然后再通过网络查询了解。

===

dns安全可视化就是将 dns的安全分析，用直观的界面，显示出来。

===

dns 域名系统。 Domain Name System

什么是域名。

===

TTL 生存时间值 Time To Live

在IPv4包头中TTL是一个8 bit字段，它位于IPv4包的第9个字节。

====

将抽象的数据以图形图像的方式展现出来，帮助人们分析，敏捷快速的处理数据。

信息安全领域中，不同的数据源会产生不同类型的安全数据，如数据包、网络流量、BGP信息、时间序列数据、各种日志文件等，它们所能包含的信息是非常丰富的。将不同数据源的数据整合到一起，相互搭配进行可视化展示能够从多个角度来全面准确地监测分析一个网络事件，并且很好地体现当前网络及设备的数据传输、网络流量来源及流动方向、受到的攻击类型等安全情况。

====

BI 商业智能

========

域名是因特网上的一台计算机或计算机组的名称。由一串用“点”分隔的字符组成。

在DNS中注册的任何名称都是域名。域名是 ip地址的面具。方便记忆。

top、.xyz、.com、.cn、.edu 这些是域名后缀。

域名就相当于一个家庭的门牌号码，别人通过这个号码可以很容易的找到你。

IP地址是Internet主机的作为路由寻址用的数字型标识，人不容易记忆。因而产生了域名。

标号“baidu”是这个域名的主体，而最后的标号“com”则是该域名的后缀，代表的这是一个com国际域名，是顶级域名。www.是网络名，为www的域名。

====

什么是域名系统。

因特网上作为域名和IP地址相互映射的一个分布式数据库，

分布式是拆分成多个子业务分到多个机器上。

每个IP地址都可以有一个主机名，主机名由一个或多个字符串组成，字符串之间用小数点隔开。有了主机名，就不要死记硬背每台IP设备的IP地址，只要记住相对直观有意义的主机名就行了。这就是DNS协议所要完成的功能。

====

DNS安全

针对域名系统的恶意攻击

====

配置DNS

锐捷，思科这些

====

DNS分为Client和Server，Client扮演发问的角色，也就是问Server一个Domain Name，而Server必须要回答此Domain Name的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客户。

===

常见的DNS攻击包括：

1) 域名劫持

　　通过采用黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS纪录指向到黑客可以控制的DNS服务器，然后通过在该DNS服务器上添加相应域名纪录，从而使网民访问该域名时，进入了黑客所指向的内容。

　　这显然是DNS服务提供商的责任，用户束手无策。

　　2) 缓存投毒

　　3)DDOS攻击

　　一种攻击针对DNS服务器软件本身，通常利用BIND软件程序中的漏洞，导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其它互联网上的主机，导致被攻击主机拒绝服务。

　　4) DNS欺骗

　　DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。

　　原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

　　现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在.

　　DNS欺骗

　　在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦有客户查询,DNS服务器将会直接返回缓存中的记录

=====

在任何时候都应将网络安全教育放在整个安全体系的首位，努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。

=====

DDoS （Distributed Denial of service）

发起大量域名查询请求

BIND(Berkeley Internet Name Domain)是是最常用的DNS服务软件，具有广泛的使用基础，Internet上的绝大多数DNS服务器都是基于这个软件的。

====

针对DNS的DDoS攻击识别，通常采用判断DNS请求流量阈值的方法来判断发生攻击，这种判断方法有以下局限：

热点事件产生的正常DNS请求流量超限的情况，容易产生误报

针对通过非法域名以小博大的攻击方法，由于其流量未超限会产生漏报

迪普科技采用智能的DNS DDoS攻击识别技术，通过实时分析DNS解析失败率、DNS响应报文与请求报文的比例关系等方法，准确识别各种针对DNS的DDoS攻击，避免产生漏报和误报，并且通过专业的线性DNS攻击防御技术和离散DNS攻击防御技术有效的防御了DNS DDoS攻击。

同时，迪普科技还通过流量异常检测、SYN Cookie、SYN Proxy、连接限制、连接速率限制等技术实现了全面的TCP Flood、UDP Flood、SYN Flood、ICMP Flood、HTTP Get、CC等DDoS攻击防御，全面确保了DNS服务器不会受到DDoS攻击。

====

DNS协议异常防护与漏洞防护

针对DNS欺骗和系统漏洞的防护，最有效的办法是能够准确识别各种协议异常和攻击行为。

传统的攻击识别方式是通过定义攻击行为的特征来实现对已知攻击的检测，这种方式实现起来很简单，但是会导致误报较多，无法准确的识别攻击。迪普科技专业的漏洞库，通过分析攻击产生原理，定义攻击类型的统一特征的方式来识别攻击，这种方式不受攻击变种的影响，具有较高的技术门槛，但是可以将误报降至最低。

迪普科技专业的漏洞库可以为DNS服务提供"虚拟系统补丁"的功能，即使DNS服务器未能及时更新补丁程序，依然能有效地阻挡所有企图利用特定漏洞进行的攻击，可以在几分钟内完成部署，保护DNS系统不受攻击保护DNS系统。迪普科技专家团队及时跟踪业界动态，并且为微软MAPP计划合作伙伴，对最新产生的攻击可以以最快速度升级漏洞库，避免受到零日攻击的威胁。

典型组网

同时，由于DNS服务器承载着大量的域名查询请求，因此也需要能够提供高性能的解决方案，确保不会成为网络中的瓶颈。迪普科技IPS是目前性能最高的IPS产品，最高性能可达万兆，并且创新性的采用了并发硬件处理架构，并采用独有的"并行流过滤引擎"技术，性能不受特征库大小、策略数大小的影响，全部安全策略可以一次匹配完成，即使在特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。同时在专业漏洞库的基础上，集成了卡巴斯基病毒库和应用协议库，是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。

======

国内有数百万用户的DNS被黑客恶意篡改，造成巨大的网络安全隐患、同时降低用户访问网络资源的速度。中国电信通过BGP路由牵引技术，将流向黑客DNS服务器的DNS请求牵引至中国电信的BGP-DNS服务系统，该BGP-DNS对www.taobao.com、www.baidu.com、user.qzone.qq.com进行特别解析，DNS被黑客篡改过的用户访问这些网页时，将会看到相应的警示页面，引导用户修复宽带路由器的DNS。本

====

DNS 是互联网最薄弱的关键技术环节，电信运营商的 DNS 故障等同于断网，互联网企业的 DNS 故障等同于该企业的网站中断。

====

114DNS 曾协助几个大省电信运营商进行 DNS 攻防演练，仅靠几百行简单的 C 代码和一台普通的笔记本电脑，就轻易地将这些省的 DNS 攻瘫，而传统的网络安全设备对此却无能为力，DNS 这么脆弱并非 DNS 软件 BUG 引起，而是因为 DNS 协议的天生缺陷所致。

====

背景：

国内75%以上的家用宽带路由器存在严重的安全隐患：用户浏览网页的时候其DNS就有可能被黑客篡改， DNS被篡改之后，黑客可轻易地骗取用户的帐号密码，威胁您的网游、微博、QQ、淘宝、网银安全！

技术：

家用宽带路由器厂商为节省成本，所有设备都采用相同的用户名和口令（例如2个都是admin），而绝大部分用户从来不修改此默认的用户名和口令，黑客正是利用这一特点而在网页中嵌入修改宽带路由器DNS的代码。

问：安全厂商为何无法杜绝黑客篡改家用宽带路由器的DNS？

答：家用宽带路由器往往通过WiFi连接了多台PC和手机，一方面，黑客篡改其DNS不易被安全软件发现；另一方面，这些终端全部都安装安全软件的可能性很低，任何终端浏览网页都可能导致宽带路由器的DNS被黑客篡改，而这些终端绝大部分都是通过DHCP自动获取DNS的，一旦宽带路由器的DNS被篡改，所有的PC和手机全部中枪。

========

黑客攻击DNS主要利用路由器“弱密码”漏洞。据360安全中心发布的“路由器安全报告”显示，国内30.2%的路由器存在“弱密码”漏洞，只要访问一个带有攻击代码的恶意网页，DNS就会自动被篡改为黑客指定的DNS。全国4.7%的路由器DNS曾经遭黑客篡改。

===

何为根域名服务器？根域名服务器是架构因特网所必须的基础设施，主要用来管理互联网的主目录，全世界只有13台，这13台根域名服务器中名字分别为“A”至“M”，其中10台设置在美国，另外各有一台设置于英国、瑞典和日本。

======

时时监控你的DNS数据，是判定网络是否被攻击的最好方法，例如一个可疑的DNS流量，这很可能预示着你的网络设备成为僵尸网络目标。在众多DNS监控方法中，目前比较行之有效的大概有三种：域名年龄、可疑域名和DNS故障。

===

中国大陆地区内有4组根服务器镜像（F，I，J，L），在少数极端情况下（比如全球互联网出现大面积瘫痪、或者中国互联网国际出口堵塞），至少能保证国内的站点由国内的域名服务器来解析。大陆的这4组服务器都是镜像数据，中国是没有原根域名服务器.

====

DNS基本概念

域名如在浏览器地址栏输入的www.baidu.com，www.hao123.com等我们称之为域名，域名即网站名称。如果说互联网的本质是连接一切，域名则为“一切”提供了身份标识功能，而IP为“一切”提供了寻址功能。域名和IP的关系可类比每个人的姓名与住址。

根域、顶级域、二级域、子域域名采用层次化的方式进行组织，每一个点代表一个层级。一个域名完整的格式为www.baidu.com. 最末尾的点代表根域，常常省略；com即顶级域（TLD）；baidu.com即二级域。依次类推，还有三级域、四级域等等。子域是一个相对的概念，baidu.com是com的子域，www.baidu.com是baidu.com的子域。

域名系统即DNS（Domain Name System）。DNS主要解决两方面的问题：域名本身的增删改查以及域名到IP如何映射。

正向解析查找域名对应IP的过程。

反向解析查找IP对应域名的过程。

解析器即resolver，处于DNS客户端的一套系统，用于实现正向解析或者反向解析。

权威DNS 处于DNS服务端的一套系统，该系统保存了相应域名的权威信息。权威DNS即通俗上“这个域名我说了算”的服务器。

递归DNS 又叫local dns。递归DNS可以理解为是一种功能复杂些的resolver，其核心功能一个是缓存、一个是递归查询。收到域名查询请求后其首先看本地缓存是否有记录，如果没有则一级一级的查询根、顶级域、二级域……直到获取到结果然后返回给用户。日常上网中运营商分配的DNS即这里所说的递归DNS。

转发DNS 转发DNS是一种特殊的递归。如果本地的缓存记录中没有相应域名结果时，其将查询请求转发给另外一台DNS服务器，由另外一台DNS服务器来完成查询请求。

公共DNS 公共DNS属于递归DNS。其典型特征为对外一个IP，为所有用户提供公共的递归查询服务。

域名查询过程

以用户在浏览器输入www.baidu.com为例，我们详细说明一下实际域名查询过程：

1. 用户输入www.baidu.com，浏览器调用操作系统resolver发起域名查询，此处不考虑浏览器的域名缓存；resolver封装一个dns请求报文，并将其发给运营商分配的local dns地址（或者用户自己配置的公共dns）；

2. local dns查询缓存，如果命中则返回响应结果；否则向根服务器发起查询；

3. 根服务器返回com地址。每一层级的DNS服务器都有缓存，实际都是先查缓存，没有缓存才返回下级域，此处不再重复；

4. local dns查询com。com返回baidu.com地址；

5. local dns查询baidu.com，baidu.com返回www.baidu.com对应记录结果。

理论上讲域名查询有两种方式：

迭代查询 A问B一个问题，B不知道答案说你可以问C，然后A再去问C，C推荐D，然后A继续问D，如此迭代…

递归查询 A问B一个问题，B问C，C问D… 然后D告诉C，C告诉B，B告诉A

上述过程中从resolver到递归DNS再到根的查询过程为递归查询，递归DNS到根、到com、到baidu.com的过程为迭代查询。

注意，递归查询需要从系统层面来看，很难单纯的说一台DNS实现了递归查询。

======