DNS 系统的异常流量侦测和处理

1、台灣區網際網路研討會 TANet2001 陳昌盛 國立交通大學計算機與網路中心2001.10.24-26DNS 系統的異常流量偵測、管理以及除錯內容概要簡介與研究動機相關研究系統架構實驗結語與推廣建議Ordinary DNS queriesInternetLocal DNS serverRemote DNS Forwarding ServerWINS/DNS queriesIndirect modeDirect modeDNS serverDNS 系統運作的基本原理DNS Traffic Profiling, source data from TW-MOECC Newsletter, 相關研究

2、 (1)DNS 系統的問題DNS server 的系統的安全漏洞DNS-spoofing 問題DNS 網路攻擊 (DoS)相關的DNS查詢統計分布A RR 查詢 56%PTR RR 查詢 30%其他查詢 14% 左右相關研究 (2)常見的異常流量案例大量反解查詢Forwarding Storm/loopSplit domain zone 的建置網路攻擊 ( Virus, DoS, )相關程式BIND DNS server 程式IPF IP packet filter 程式 (兼 packet accounting)MRTG 即時流量統計繪圖系統Aguri 即時流量匯整系統系統架構與相關的統計D

3、NS 即時流量統計系統架構DNS 查詢的分布來自校內來自校外DNS 查詢通信協定的分布UDP 與 TCP 封包的比較各式應用伺服器DNS外部防火牆Ipfw, ipchain, ipfInternetMRTG 圖形化流量監測系統NIDS(e.g. snort)Misuse Detection -Port scan, CGI attacks, etcStatistic AnalysisAguri, Netflow, etc.Log Mining異常偵測Anomaly Detection系統內部防火牆SMTP, WWW, etcDNS Server HostclientLANDNS 系統異常流量偵測

4、系統的架構圖Dst-port = 53NYMRTG-3MRTG-4MRTG-2YNSrc-addr = ANYSrc-addr ! = 10.113/16Src-addr = 10.113/16UDP or TCP ?MRTG-1Src_addr = 10.113/16UDP ?YIgnoreDNS 輸入查詢流量統計規劃 (1)Dst-port = 53NNRejectYMRTGEndStartFind effective DNS queries and ratioYSrc-port = 137IgnorePacket AccumulationProgramDNS 輸入查詢流量統計 (2)Da

5、ily Graph (5 Minute Average)Weekly Graph (30 Minute Average)Monthly Graph (2 Hour Average)DNS 即時流量統計 異常流量案例Aguri 流量匯整系統%!AGURI-1.0%StartTime: Wed Jun 27 19:23:40 2001 (2001/06/27 19:23:40)%EndTime: Wed Jun 27 19:25:03 2001 (2001/06/27 19:25:03)%AvgRate: 371.59Kbpssrc address 3855289 (100.00%)/0 3815

6、4 (0.99%/100.00%) /1 38668 (1.00%/1.00%) /2 56820 (1.47%/94.63%) /16 65805 (1.71%/90.70%) /18 122006 (3.16%/73.75%) /21 47347 (1.23%/70.58%) 1825400 (47.35%) 661646 (17.16%) 3 81389 (2.11%) 3 105310 (2.73%) /19 40144 (1.04%/1.04%) /19 56381 (1.46%/2.51%) /20 40245 (1.04%/1.04%) 1 203984 (5.29%) 2 20

7、3984 (5.29%) /18 43094 (1.12%/1.12%) /12 55372 (1.44%/2.45%) 0 39266 (1.02%) /4 78245 (2.03%/2.03%) /7 52029 (1.35%/1.35%)%LRU hits: 93.50% (23369/24994)DNS 異常案例 - Aguri 流量匯整系統摘要報告結論DNS 是 Software Infrastructure 的重要組成建議 incoming 與 outgoing DNS traffic 分開建立專屬的Caching-only Server 給特定的系統使用Mail/WWW 等系統網路實驗課程謹慎使用 DNS forwarding 避免 DNS forwarding loop採行多路由分工的 DNS 查詢系統架構DNS S.arpaOthersDNS serverCaching-onlywww, proxySMTPLayer-1Layer-2Ordinary client多路