[发明专利]基于域名系统DNS日志和网络数据检测DNS隧道

说明书

一种用于检测域名服务器隧道的系统，包括处理器和被存储在有形机器可读介质上的机器可读指令，机器可读指令当由处理器执行时，将处理器配置为：在预定时间段期间，收集从域名服务器接收到的对查询的响应，查询由计算设备发送到域名服务器，响应包括因特网协议(IP)地址；在预定时间段期间收集由计算设备访问的IP地址；比较来自域名服务器的响应中的由计算设备接收的IP地址和由计算设备访问的IP地址；以及基于比较检测域名服务器隧道。

技术领域

本公开总体上涉及网络通信，并且更具体地涉及基于域名系统 (DNS)日志和网络数据检测DNS隧道(tunneling)。

背景技术

在此提供的背景描述是为了总体呈现本公开的内容。目前命名的发明者的工作，在本背景部分中描述的工作的程度上，以及在提交申请时可能不具备现有技术资格的描述的方面，既不明示也不暗示地被承认为针对本公开的现有技术。

域名系统(DNS)是因特网上使用的协议和服务。DNS通常用于将域名映射到因特网协议(IP)地址。当用户在web浏览器中输入域名(例如，example.com)时，DNS用于执行转发查找以寻找针对该域名的一个或多个IP地址。

DNS是分层的系统。层级的每个等级可以由具有不同所有权的另一服务器提供。对于因特网，存在13个根DNS服务器，标记为A到 M。这些根DNS服务器通过多于13个物理服务器来实施。DNS的分层特性可以用一个示例来解释。考虑名为my.test.example.com的域的IP地址的示例请求。新的请求将首先去往根DNS服务器寻找哪个 DNS服务器控制.com顶级域。.com DNS服务器将提供控制 example.com域的DNS服务器。接着，example.com DNS服务器将提供控制test.example.com域的DNS服务器。最后，test.example.com DNS 服务器将提供my.test.example.com的IP地址。

利用分层的系统，给定域的所有者可以为其域定义授权服务器。也就是说，用户控制了其域的DNS查询的最终目的地主机。在典型的企业中，端点不会直接向因特网发送DNS请求。因特网DNS服务器将DNS服务提供给端点。然而，由于DNS将转发请求直到授权域名服务器被接触到，具有内部端点访问权限的攻击者可能利用企业用于DNS隧道的DNS基础设施连接到攻击者控制的域。

DNS隧道是在受损的客户端与恶意的DNS服务器之间的DNS查询和响应中嵌入数据的方法，其允许数据泄露和僵尸网络的命令和控制(下文将解释)。通过DNS隧道，另一协议可以通过DNS被隧道。 DNS隧道可以被用于命令和控制、数据泄露、和/或任何IP流量的隧道。DNS隧道允许绕过防火墙网络中的访问和安全策略。这样的安全漏洞会被误用于以下活动，诸如免费的web浏览、命令和控制流量、和/或网络间谍活动。

DNS隧道是可能的，因为DNS请求通常不会在防火墙被过滤掉，有效地打开了安全漏洞。信息绕开第一线网络安全机制的事实使得 DNS隧道在除了免费的web浏览之外非常有吸引力。一些示例包括命令和控制以及网络间谍攻击中的数据泄露，其中攻击者需要DNS提供的可用但不明显的通信信道。

DNS隧道通过将数据封装到DNS包中而工作。通常，隧道客户端(例如，受损的客户端)封装数据在针对特定域名的查询中发送。域名解析器通过启动请求域名的查找过程将隧道流量视为常规请求，可能递归地询问其他域名解析器。在该操作结束时，请求由隧道服务器(例如，恶意的DNS服务器)处理。隧道服务器取回封装的数据并通过封装隧道数据(例如，恶意IP地址和/或数据)在DNS响应消息的回答部分对DNS查询进行响应。