Abstract

这是大分大学大学院的一篇论文, 如果对传统的DNS sinkhole进行改造的话, 不仅能防止恶意网站, 还能搞明白恶意脚本/软体的行为.

本来访问网站要从域名到ip, 如果某个域名有邪恶内容被列入了黑名单, DNS伺服器就返回一个假的ip就避免了用户和邪恶网站的通信.
但这样还有个问题就是不知道假如用户真的访问了邪恶网站会发生些什么, 比如乱传隐私数据/下载病毒软体.
这个论文就在这方面提出了改进方案.

Content

互联网上有很多マルウェア和钓鱼的伺服器, 为了阻止和这种邪恶伺服器的通信, 主要有俩种办法.
防火墙和DNS sinkhole.

但是啊, 防火墙就缺点很明显了, 只能通过源ip, 目标ip和端口号这三个参数来进行限制, 这种就是パケットフィルタ型的防火墙.
这种防火墙只能识别包没办法识别应用数据, 能识别应用层数据的防火墙就叫次世代型防火墙.

DNS sinkhole就不一样了, 是对于已经知道的邪恶网站进行的阻断, 部署在フルリゾルバ伺服器上.
DNS解析的第一层原名是recursive resolver, 所以这个就是部署在第一层了.

相关研究又说还有不用修改recursive resolver也能部署的方法的论文, 猜一猜那就是部署在本地网关吧.

然后他们就找了俩台recursive resolver部署DNS sinkhole, 面向大约1000台客户端提供DNS服务.
平时正常运作, 如果发现是恶意网址就返回本机ip.
搞了十一个月解析1.4亿次才234次恶意请求, 因为这个实验的客户端来自情报系的学生和老师所以恶意请求很少.

有一个特别的恶意网站bleachkon.net引起了注意, 因为一边请求ipv4地址一边请求ipv6地址, 而且所有的恶意请求都来自同一个客户端ip.

不愧是20年的论文, 确实也是现在的传统防火墙的防护能力是不够的.
但那个特别抓典型出来的恶意网站真的会让霸天笑死, 网站名直接叫死神控而且估计用的是校园网内部的静态ip.
那个拿校园网ip尝试访问了俩次的老铁, 不知道是不是已经在论文发布后社死了🤣.

当前的配置已经能阻止恶意网站的访问, 但就是管理员不知道用户链接到恶意网站时打算干什么(传递敏感资料/下载恶意软体), 用户也没收到恶意网站的提示就是知道自己访问不了.

所以他们又搞了观测伺服器, 按照不同类型的恶意网址, 给返回不同的ip也就是让用户访问不同的观测伺服器.
然后把用户发起的对于观测伺服器给发起的请求给记录下来, 再返回一个警告页面.
具体的蜜罐技术霸天也看不懂, 反正大概知道原理就行了.

这样就搞定了, 然后他们就用Wireshark再收集了俩个月的实验数据, 和改进之前的DNS sinkhole的数据对比了一下. 老实说…. 这俩次实验连持续时间都不一样, 霸天看不出什么东西来.
不过总之这样就能看到用户向恶意伺服器发送的数据包的具体内容了, 还是很有助于网络安全分析的.

有点意思, 把原先的DNS sinkhole返回一个不可达的ip改造返回一个观测伺服器的ip来观察恶意软体的行为, 观测数据具体要怎么分析这篇论文倒没说, 不过确实挺有创意的.
即使是外面的其他人也想受到这个改造后的sinkhole的保护也只需要改自己的默认DNS伺服器地址就行了.