《DNS系统的异常流量侦测和处理》精选课件.pptVIP

台灣區網際網路研討會 TANet2001 陳昌盛 國立交通大學 計算機與網路中心 2001.10.24-26 內容概要 簡介與研究動機 相關研究 系統架構 實驗 結語與推廣建議 DNS Traffic Profiling, source data from TW-MOECC Newsletter, .tw/ 相關研究 (1) DNS 系統的問題 DNS server 的系統的安全漏洞 DNS-spoofing 問題 DNS 網路攻擊 (DoS) 相關的DNS查詢統計分布 A RR 查詢 56% PTR RR 查詢 30% 其他查詢 14% 左右 相關研究 (2) 常見的異常流量案例 大量反解查詢 Forwarding Storm/loop Split domain zone 的建置 網路攻擊 ( Virus, DoS, …) 相關程式 BIND – DNS server 程式 IPF – IP packet filter 程式 (兼 packet accounting) MRTG – 即時流量統計繪圖系統 Aguri – 即時流量匯整系統 系統架構與相關的統計 DNS 即時流量統計系統架構 DNS 查詢的分布 來自校內 來自校外 DNS 查詢通信協定的分布 UDP 與 TCP 封包的比較 結論 DNS 是 Software Infrastructure 的重要組成 建議 incoming 與 outgoing DNS traffic 分開 建立專屬的Caching-only Server 給特定的系統使用 Mail/WWW 等系統 網路實驗課程 謹慎使用 DNS forwarding 避免 DNS forwarding loop 採行多路由分工的 DNS 查詢系統架構 DNS 系統的異常流量偵測、管理以及除錯 DNS 系統的異常流量 偵測、管理以及除錯 Ordinary DNS queries Internet Local DNS server Remote DNS Forwarding Server WINS/DNS queries Indirect mode Direct mode DNS server DNS 系統運作的基本原理 各式應用 伺服器 DNS 外部 防火牆 Ipfw, ipchain, ipf Internet MRTG 圖形化 流量監測系統 NIDS (e.g. snort) Misuse Detection --Port scan, CGI attacks, etc Statistic Analysis Aguri, Netflow, etc. Log Mining 異常偵測 Anomaly Detection 系統內部 防火牆 SMTP, WWW, etc DNS Server Host client LAN DNS 系統異常流量偵測系統的架構圖 Dst-port = 53 N Y MRTG-3 MRTG-4 MRTG-2 Y N Src-addr = ANY Src-addr ! = 10.113/16 Src-addr = 10.113/16 UDP or TCP ? MRTG-1 Src_addr = 10.113/16 UDP ? Y Ignore DNS 輸入查詢流量統計規劃 (1) Dst-port = 53 N N Reject Y MRTG End Start Find effective DNS queries and ratio Y Src-port = 137 Ignore Packet Accumulation Program DNS 輸入查詢流量統計 (2) Daily Graph (5 Minute Average) `Weekly Graph (30 Minute Average) `Monthly Graph (2 Hour Average) DNS 即時流量統計– 異常流量案例 Aguri 流量匯整系統 %!AGURI-1.0 %%StartTime: Wed Jun 27 19:23:40 2001 (2001/06/27 19:23:40) %%EndTime: Wed Jun 27 19:25:03 2001 (2001/06/27 19:25:03) %AvgRate: 371.59Kbps [src address] 3855289 (100.00%) /0 38154 (0.99%/100.00%) /1 38668 (1.00%/1.00%) /2 56820 (1.47%/94.63%) /16 65805 (1.71%/90.70%) /18 1