當攻擊發生時,安全機器人能夠在無人值守的情況下,自動識別攻擊,主動採取措施,讓域名系統免於長時間的攻擊威脅。
隨著智慧校園信息化建設的高速發展,北京理工大學的權威域名服務範圍越來越廣,運行復雜度越來越高。目前學校已開通4個權威域名,300餘個主機域名,權威域名服務是學校教育信息化工作的重要基礎設施。
據互聯網相關權威機構的安全報道,面向DNS的攻擊頻度僅次於網站攻擊。但域名安全往往被忽視,這也是近年來網絡安全領域最薄弱的環節之一。面對如此嚴峻的安全態勢,北京理工大學的權威域名安全工作迫切需要加強升級。
北京理工大學教育域名安全服務平臺
考慮到域名系統的專業性強,傳統的域名安全防護專業人才匱乏,學校的域名安全服務平臺部署了域名安全機器人,對多節點權威域名服務提供7×24小時、全年無休的實時防護,提升了全校域名的安全穩定性。
域名安全機器人
域名安全機器人是一個基於域名攻擊大數據的智能分析和處置引擎,包括攻擊流量識別、阻斷控制、智能學習等模塊。
攻擊特徵庫
基於DNS攻擊類型的不同,攻擊特徵有很大不同,目前已知的攻擊類型有四類,包括域名劫持、緩存投毒等,每一類的攻擊特徵時常發生變化。
域名劫持
通過採用非法的攻擊手段控制域名管理密碼和管理郵箱,然後將該域名的DNS紀錄指向某個DNS服務器,再在該DNS服務器上添加域名紀錄。
緩存投毒
控制DNS遞歸服務器,把原本準備訪問某網站的用戶在不知不覺中帶到攻擊者指向的其他網站上。其實現方式有多種,比如,當用戶權威域名服務器被同時作為遞歸服務器使用時,利用權威域名服務器的漏洞實施緩存投毒攻擊,將錯誤的域名紀錄存入緩存中,從而使所有使用該遞歸服務器的用戶得到錯誤的解析結果。
DDOS攻擊
通常利用BIND軟件中的漏洞,導致DNS服務器崩潰或拒絕服務;另一種攻擊的目標不是DNS服務器,而是利用DNS服務器作為中間的“攻擊放大器”,去攻擊其它互聯網上的主機,導致被攻擊主機拒絕服務。
DNS欺騙
攻擊者冒充域名服務器的一種欺騙行為。在DNS緩存還沒有過期之前,如果有客戶查詢在DNS緩存中已經存在的記錄,DNS服務器將會直接返回緩存中的記錄。
攻擊識別
帶有攻擊特徵的流量出現時,安全機器人開始觀察、取證。在一定時間段內攻擊流量成型並保持持續狀態,安全機器人比對攻擊特徵庫,若特徵庫中有此攻擊定義,則識別為攻擊。
阻斷控制
安全機器人與各類控制單元(如防火牆、流量控制設備等)建有接口。已識別的攻擊者將被送往控制單元進行阻斷或採取其他限制措施。阻斷控制手段採取後,攻擊者將失去影響域名服務和服務平臺的能力。針對偽造重要服務器IP的攻擊,採取白名單和流量控制措施加以調控,以避免誤傷。
智能學習
安全機器人的能力很大程度上取決於攻擊特徵庫的豐富程度。一開始,這個攻擊特徵庫是預設的,隨著攻擊識別量越來越多,域名攻擊的數據集也越來越多,攻擊特徵存在隨時變化和升級的預期,因此安全機器人也需要具備基於攻擊數據集的智能學習能力。當多個學校不同設備的數據集構成一個域名攻擊大數據時,其智能學習效率將大為提高。
域名安全機器人配置
北京理工大學共有三臺權威域名設備,一個主站,二個輔站,主站與輔站實現統一管理。主站和輔站分別部署一個安全機器人。安全機器人負責對各自的域名服務開展7×24小時不間斷的安全值守工作,從攻擊識別到阻斷控制,實現了完全無人值守。學校的安全服務團隊事後進行巡查,評估域名機器人的工作,並對機器人工作進行優化。
域名安全機器人相關實踐
學校的域名安全服務平臺正處於測試階段,運行2個月以來,遭遇到多次較大流量的攻擊。在未經處理的情況下,攻擊流量高達日常流量的50~100倍。
圖1為2019年7月30日至8月6日的權威DNS流量圖,其中高峰為攻擊發生流量,可以看到這一週的工作日經常發生攻擊。
圖1 北京理工大學2019年7月30日至8月6日的權威DNS流量
通過安全機器人的及時處置,學校的權威域名服務始終保持安全可控狀態。攻擊流量發生後,即被安全機器人有效控制,一方面峰值流量下降了2/3,另一方面攻擊現象在處置後立即消失。
以2019年8月5日的攻擊數據為例進行說明(見表1),當天共有4次攻擊行為,每次攻擊發生時即被有效控制,系統記錄了17個攻擊相關IP。
表1 2019年8月5日的攻擊數據
這些IP大部分分佈在國內東部省市不同的運營商,可能是攻擊源,也可能是被攻擊的受害者。在這些輪番攻擊中,通過安全機器人第一時間的及時應對,學校的網絡環境始終保持安全和穩定,權威域名服務正常運轉,未受到任何影響。
域名安全機器人上線以來的測試運行期數據證明,安全機器人值班,對流量實時監控,並與安全服務團隊定期巡檢相結合的模式,可以保證學校權威域名服務的安全穩定。當攻擊發生時,安全機器人能夠在無人值守的情況下,自動識別攻擊,主動採取措施,讓域名系統免於長時間的攻擊威脅。
在這項專業性很強的業務工作中,安全機器人與權威域名安全服務的深度融合是學校DNS工作的一次大膽創新和實踐,是智慧校園智能服務升級的一次領先嚐試。
(本文刊載於《中國教育網絡》雜誌2019年10月刊,原標題《北京理工大學域名安全機器人上線》,作者:盧肖,單位為北京理工大學網絡信息技術中心)
閱讀更多 中國教育網 的文章
