360企业安全：DNS安全白皮书（24页）.pdf

1、D DNSNS 安全安全白皮书白皮书 1 摘 要 DNS 是域名解析系统的英文缩写，是 Internet 的一项核心基础服务，它对我们和所有的联网设备使用网络服务都非常关键，是网络的基础设施。其重要性主要体现在两方面：一是为整个互联网应用提供基石。从目前来说不管是传统的 PC和手机端，还是新基建中着力发展的 5G、物联网、工业互联网和卫星互联网，都需要通过 DNS 协议访问服务器；二是随着新经济的发展，网络空间内的经济活动逐渐增加且愈发重要，域名和 IP 作为整个互联网的基础要素，逐渐成为一国在网络空间内的战略资源。正是由于 DNS 在整个网络中发挥的关键作用，近年来针对和利用 DNS 的攻击

2、形势也愈加严峻。据来自 360 网络安全研究院（360Netlab）的研究数据表明，在城域网级别的 DNS 流量中，大约有万分之一到万分之五的 DNS 请求是恶意的。而现代企业中每个员工平均每天发出的 DNS 请求大约是两千次。这意味着如果一个企业拥有一千名员工，那么企业的网络出口处每天可以录得两百到一千次 DNS 恶意请求。发现并阻断这些恶意请求，甚至通过 DNS 恶意请求回溯被黑客攻陷的设备并清除恶意代码，应该成为政府企业网络纵深防御的重要组成部分。因此如何通过有效手段对 DNS 数据进行分析，实现准确识别以达到减少网络恶意行为的发生已变得非常重要。作为 360 安全大脑的一环，360 安

3、全 DNS 从 2013 年提供服务开始，到今年已迈进了第八个年头；每日提供 DNS 服务超过千亿次，历史累计提供 DNS 访问次数超过千万亿次，总可靠性超过 4 个 9。同时，自 2018 年开始提供增强的安全 DNS 服务后，每日拦截恶意域名更是超过四百余万次，累计拦截超过 36 亿次，总可靠性超过 4 个 9。0 目 录 1 背景介绍.1 1.1 DNS 定义.1 1.2 DNS 工作原理.2 1.3 DNS 相关安全问题.4 1.4 DNS 攻击（给客户）带来的危害.8 2 DNS 攻击案例介绍.10 2.1 DNS 大规模攻击事件.10 2.2 2016 DYN CYBER ATTA

4、CK.11 2.3 WANNACRY（永恒之蓝）蠕虫病毒.12 3 DNS 攻击应对方法.13 4 DNS 攻击研究趋势.17 5 360DNS 威胁检测防御系统.19 1 1 背景介绍 今天，互联网已成为我们生活中不可或缺的一部分。从社交到金融、购物再到旅游，我们生活的方方面面都离不开互联网的支持。但是随着互联网的广泛使用，相关的问题也开始一一浮现，在这其中网络安全更是成为大多数网络用户首要关注的问题。同时伴随着网络的飞速发展，网络攻击的常态化也让越来越多的政府机构、企业和个人用户感到头疼，众多国内外一线企业以及知名人士都曾成为网络攻击的受害者。而在形式众多的网络攻击中，DNS 攻击可以说是

5、最为常见的一种，但是它的存在感却一直较低，那么接下来就让我们来了解下什么是 DNS 攻击，以及看看它是如何展开工作的。1.1 DNS 定义 DNS，全称 Domain Name System，即域名解析系统，是 Internet 的一项核心基础服务。它通过使用分层的分布式数据库来处理 Internet 上的域名和 IP 地址之间的映射，主要用于 Internet 等 TCP/IP 网络中。当用户在应用程序中输入域名时，DNS 服务可以将此域名解析为对应的 IP，也就是说当我们访问一个网站时，其实访问的是网站的 web 服务器，而每台服务器在互联网上都有唯一的数字格式的 IP 地址标识。DNS对

6、我们和所有的联网设备使用网络服务非常关键，是网络的基础设施。其重要性主要体现在两方面：一是为整个互联网应用提供基石。从目前来说不管是传统的 PC 和手机端，还是新基建中着力发展的 5G、物联网、工业互联网和卫 2 星互联网，都需要通过 DNS 协议访问服务器；二是随着新经济的发展，网络空间内的经济活动逐渐增加且愈发重要，域名和 IP 作为整个互联网的基础要素，逐渐成为一国在网络空间内的战略资源。1.2 DNS 工作原理 DNS 的出现让用户在进行域名访问时更加简单便捷。以 360 官网为例，其唯一的数字格式 IP 地址为：36.110.213.10，如果每次打开网站都需要记忆和输入这样的点分十