记住一个数字:91.3%。
超过91.3%的恶意软件和远控木马的通信和DNS有关。
这个数字这可不是我瞎说的,是2019年思科(Cisco)公司的一份安全调研报告里说的。
那么问题来了:
- DNS是什么?为什么这么大比例的黑客攻击和DNS有关?
- 既然如此,是不是从DNS入手就能解决相当一部分的网络安全问题呢?
- 用DNS做安全防护的大致原理是什么?
为了照顾所有专业层次的读者,我尽量回答得浅显一些,这篇回答的左侧有目录,专业读者可以选择阅读。
DNS是什么?
DNS是“互联网世界的通讯录”,一台机器要和另一台机器通信,得知道对方的IP地址。就像你打电话给朋友,得知道号码。
电话号码不好记,就有了通讯录,IP地址不好记,就有了DNS域名系统(也就是大家常说的「网址」)。
你打电话给朋友,可以从通讯录里搜出名字,通讯录会自动帮你转换(解析)成手机号码拨过去。
同样,你的电脑要访问一个网站,比如http://hornpub.com,电脑会自动跑去问DNS系统,DNS系统会把网址解析成IP地址,于是你就可以愉快地访问这个网站啦~
为什么网络威胁经常和DNS有关?
我们不妨想一想,黑客为什么要入侵一个目标?图什么?无外乎三个原因:
- 图财,目标的数据资产很值钱
- 图色(bushi
- 目标是一个关键的网络设施或者机构,比如电站、运营商之类的,有战略意义
- 你的防御形同虚设,或者根本没有防御,黑客随便进来逛逛,留个木马,等着看有没有什么有价值的东西
既然如此,黑客打进去之后,第一件事是什么?留下来!
打进来之后,留下一个木马或者后门程序之类的,确保驻留(不被发现和清除掉),再想办法连出去,跟黑客建立远控通信,方便下发指令和回收数据,之后才是内网扩散和数据窃取。
就像谍战片里,间谍潜伏进去之后,先要确保不被发现,尽快跟上级建立通讯,接受上级的行动命令,然后才是下一步行动。
这也不是我瞎说,是美国最大的军火商洛克希德马丁公司(Lockheed Martin)提出的“网络攻击链”( Cyber Kill Chain)模型,也被称为“网络杀伤链”模型,已经被广泛认同。
既然木马要连出去,跟它的主人建立连接,就大概率需要用到DNS系统,否则很可能找不到远控服务器的IP地址,连不上(连不上远控服务器的木马就像断线的风筝,基本废了一多半)。
可能有人要说了:黑客就不能直接把远控服务器的IP地址写到木马里,直接用IP地址回连么?有
可以是可以,但没必要,通常黑客也不会这么做,因为有个大问题:
直接把IP地址写到木马里,万一碰到像 @微步在线 这样的网络安全专家,抓住木马,一顿严刑拷打(破解),木马就会把它主人的远控IP「招供」出来。
轻则被屏蔽,废掉一个IP地址,心疼半天(一个IP地址还挺贵的),重则暴露IP地址,被警察叔叔顺着IP地址找过来,赠送一对银色手镯。
相比之下,域名就便宜得多,黑客可以申请一大堆,用域名指向IP地址,废掉一个域名就再换一个,不心疼。
攻击者们还想出一个非常骚的操作:用DGA(域名生成算法)自动生成成千上万个备选域名,在需要建立远程连接的时候,按照算法从中挑选几个域名注册,就能建立连接。
想象一下:你抓到一个间谍,严刑拷打,让他供出幕后主使,结果它一口气招供出来几万个人的名字,搞得你这个审问员都懵了。
审问员:你的幕后主使是谁,快说!
木马:“我说我说,有张三、赵四、王五、小六、蒸羊羔、蒸熊掌、蒸鹿尾儿、烧花鸭、烧雏鸡、烧子鹅,卤猪、卤鸭、酱鸡、腊肉……”
审问员:“……”
挨个去查,发现大部分查无此人,因为这些域名没有被启用。
幕后黑客需要远程通信时,会临时注册其中某个域名,下发完指令就立刻弃用,下一次换用另一个。
既然黑客爱用域名,就需要DNS来解析,这就解释了为什么许多网络威胁和DNS有关,以及,为什么可以从DNS入手做安全防护。
DNS怎么用来做网络安全防护?
普通的DNS系统,就像一个老好人,谁来求他解析,他都尽力而为。
有安全能力的DNS系统,就像一个侦探拿着一本通讯录,认真辨别每一次DNS解析请求。
一旦发现某一个请求域名和黑客团伙有关,就不给它正常解析,并且告警。
这样一来,木马就没法远程通信,安全人员也能立刻知道内部有机器已经失陷。
我家的OneDNS就属于这种有安全能力的DNS,国外也有类似的产品,比如思科公司的Umbrella。
如何判断恶意和正常的解析请求?
问题又来了:像OneDNS这类有安全防护能力的DNS系统凭什么判断哪些域名请求是恶意的呢?
答:主要靠「威胁情报碰撞」。
安全DNS对接了一个威胁情报云,情报云里汇集了海量的情报数据,安全DNS会把每一条域名请求和云端的情报来「碰撞」比对,一旦命中某一条情报,就立刻拦截并告警。
如果我们把DNS比作小区保安老王,威胁情报就是老王认识的各种消息门路:黑道白道,三教九流,道上有什么好事坏事他都门清,自然能辨别威胁。
当然,海量的情报,老王不能每一条情报都用,必须有选择性的用,否则很可能会误伤正常的域名请求。
这就非常考验威胁情报的质量。
一个好的威胁情报云,背后都有一个复杂模型,抓取海量数据,经过层层筛选,把最有用、最精华、最准确的那部分给DNS服务,这样才能避免误报,发挥安全DNS的价值。
DNS安全防护的大致原理就是这样:一个好的安全DNS=非常好的解析能力+非常好的情报能力。
最后,我也推荐企业、家庭和个人都使用OneDNS这种有安全能力的DNS,原因很简单:DNS就像是你公司、家里的一道门,每天进进出出都要用,安全DNS就像是一条自带监控就警报功能的防盗门——反正你都要装门,为什么不装一条防盗门?
想了解更多详情的话,可以去戳这里:OneDNS官网 看看。
2022年7月19日更新:
底下有一些不太友善的知友在质疑OneDNS,我就不一一掰扯了,在这里统一回应一下:
我并不指望用OneDNS解决所有安全问题,所以我司还有其他许多产品。
网络安全没有银弹(万能药)已经是行业共识,你不能因为一个产品不能解决所有问题,就说它没用。
就像,安全带不能解决一切交通安全问题,但你也不能说“安全带没有用”——它显然可以用极小的代价,极大提升安全水平。
至于在DNS在层面来做安全防护有没有用的问题,我也不想做过多细节讨论,很多大型银行、证券公司、互联网大厂都在用OneDNS。思科公司(Cisco)也推出了一款叫Umbrella的基于DNS的安全产品,像我们熟知的福特汽车公司等都在使用。这些都能佐证,在DNS层面做安全防护是非常可行,受到广泛认可的。
原文链接:https://www.zhihu.com/question/532419761
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/23037
