構(gòu)建網(wǎng)絡(luò)安全第一道防線 奇安信發(fā)布“安全DNS”公共服務(wù)QDNS

7月7日，奇安信集團(tuán)在京發(fā)布域名安全體系研究報告及“安全DNS”公共服務(wù)QDNS，為政府、企業(yè)以及個人用戶提供全方位的域名安全防御服務(wù)與解決方案。據(jù)介紹，在試運(yùn)行階段，僅2021年6月，奇安信安全DNS已對公眾提供域名解析服務(wù)570億次，解析域名近2億，攔截威脅域名請求1800萬次，涉及威脅域名15萬。

作為互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施，域名系統(tǒng)（DNS）安全甚至?xí)�影響關(guān)鍵信息基礎(chǔ)設(shè)施的安全和國家安全。奇安信集團(tuán)副總裁陳華平表示，基于奇安信長期的研究和實(shí)踐發(fā)現(xiàn)，DNS成為網(wǎng)絡(luò)威脅流動管道的同時，也可以作為感知網(wǎng)絡(luò)威脅并實(shí)時阻斷的第一道防線，奇安信也一直在DNS安全領(lǐng)域持續(xù)投入研究。

域名安全體系研究報告：DNS重大事件敲響國家安全警鐘

清華大學(xué)-奇安信聯(lián)合研究中心主任段海新詳細(xì)介紹了域名體系安全及生態(tài)研究報告（以下簡稱“報告”），他指出，DNS的安全和可靠運(yùn)行對互聯(lián)網(wǎng)及所有網(wǎng)絡(luò)應(yīng)用都至關(guān)重要，是各類地下產(chǎn)業(yè)實(shí)施非法線上活動的重要途徑，甚至成為某些國家之間網(wǎng)絡(luò)爭端的焦點(diǎn)，DNS體系的一點(diǎn)小問題往往是互聯(lián)網(wǎng)上的大問題。

報告盤點(diǎn)了歷史上發(fā)生過的域名系統(tǒng)重大安全事件和技術(shù)進(jìn)展，并發(fā)布了域名體系安全最新測量結(jié)果。

圖：歷史上域名系統(tǒng)重大安全事件

研究團(tuán)隊(duì)所做的測量報告顯示，DNS劫持問題仍然廣泛存在，在全球2691個自治系統(tǒng)中，有198個自治域（AS）檢測到了DNS劫持，在中國356個自治系統(tǒng)中，有61個AS檢測到了DNS劫持。在DNS加密驗(yàn)證部署方面，全球前1萬個網(wǎng)站有38.14%網(wǎng)站支持域名安全驗(yàn)證的DNSSEC，中國前1萬的網(wǎng)站中僅有13.88%支持DNSSEC。

作為網(wǎng)絡(luò)安全產(chǎn)學(xué)研深度融合的典范機(jī)構(gòu)，清華大學(xué)-奇安信聯(lián)合研究中心聯(lián)合奇安信威脅情報中心還在發(fā)布會上介紹了DNS根節(jié)點(diǎn)測量、美國查封伊朗媒體域名事件分析、域名竊取風(fēng)險測量、APT活動分析、奇安信互聯(lián)網(wǎng)安全域名排名等多個方向的實(shí)踐與研究進(jìn)展。

QDNS完善DNS安全生態(tài) 試運(yùn)行期間效果顯著

作為DNS安全威脅的緩解和解決方案，奇安信集團(tuán)羲和網(wǎng)絡(luò)安全實(shí)驗(yàn)室負(fù)責(zé)人鄭曉峰表示，奇安信安全DNS（QDNS）基于奇安信威脅情報中心商業(yè)威脅情報，能夠?qū)�APT攻擊、勒索軟件、竊密木馬、遠(yuǎn)控木馬、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)蠕蟲、惡意下載、黑市工具、流氓推廣等幾十種網(wǎng)絡(luò)威脅請求進(jìn)行有效檢測和阻斷；產(chǎn)品使用的惡意域名庫由多名安全專家、應(yīng)急專家動態(tài)更新維護(hù)，保障了對最新威脅的實(shí)時防護(hù)能力；產(chǎn)品威脅請求阻斷充分考慮域名解析過程，能有效阻斷DNS隱蔽通信并防止用戶信息泄露。

此外，QDNS的遞歸解析能力使用了自主可控的國產(chǎn)化DNS遞歸解析軟件，該軟件可完全替換BIND、Unbound等國外開源DNS遞歸軟件并全面支持國產(chǎn)操作系統(tǒng)，國產(chǎn)化CPU平臺，目前累計(jì)完成超過1萬億次遞歸DNS解析依舊保持穩(wěn)定。

在試運(yùn)行期間，奇安信QDNS就已產(chǎn)生了明顯的效果：僅2021年6月，奇安信QDNS已對公眾提供域名解析服務(wù)570億次，解析域名近2億，攔截威脅域名請求1800萬次，涉及威脅域名15萬。

未來，QDNS將推出面向企業(yè)、團(tuán)體機(jī)構(gòu)的安全DNS解析服務(wù)，提供DNS解析日志分析、資產(chǎn)分析、惡意域名攔截記錄分析、子域名竊取風(fēng)險檢測、DNS隱蔽通信檢測等服務(wù)，為企業(yè)安全建設(shè)提供基礎(chǔ)保障。

安全DNS服務(wù)僅僅是DNS安全生態(tài)中的一個組成部分，未來，奇安信將充分發(fā)揮在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)和行業(yè)優(yōu)勢，以安全DNS服務(wù)為基礎(chǔ)，面向政企機(jī)構(gòu)提供全生態(tài)鏈的網(wǎng)站安全防護(hù)體系。

CNNIC、中國信通院、中國電信、中國聯(lián)通、中國教育網(wǎng)、中國科技網(wǎng)、北京郵電大學(xué)、北京理工大學(xué)、東南大學(xué)、山東大學(xué)、中國海洋大學(xué)、中國人民公安大學(xué)、華為、浪潮、用友、麒麟軟件、邁普、京東方、世紀(jì)互聯(lián)、首都在線、二六三企通、云盾智慧等行業(yè)主管機(jī)構(gòu)、運(yùn)營商、高校、信息化企業(yè)、安全企業(yè)等近百名嘉賓參加了本次發(fā)布會。

清華大學(xué)-奇安信聯(lián)合研究中心：由清華大學(xué)和奇安信集團(tuán)共同成立的聯(lián)合研究中心，該中心在網(wǎng)絡(luò)空間安全領(lǐng)域，充分利用清華大學(xué)網(wǎng)絡(luò)研究院的學(xué)術(shù)研究和技術(shù)開發(fā)實(shí)力，結(jié)合奇安信科技集團(tuán)的行業(yè)與產(chǎn)業(yè)優(yōu)勢，聯(lián)合成立面向網(wǎng)絡(luò)空間安全領(lǐng)域國際學(xué)術(shù)的發(fā)展和國家戰(zhàn)略的需求，共同開展網(wǎng)絡(luò)空間安全前沿技術(shù)研究和開發(fā)。聯(lián)合研究中心將重點(diǎn)研究下一代互聯(lián)網(wǎng)安全體系結(jié)構(gòu)安全、IPv6和下一代通信協(xié)議安全、大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知、大數(shù)據(jù)和人工智能安全、軟件漏洞挖掘、物聯(lián)網(wǎng)安全等。

奇安信威脅情報中心：奇安信集團(tuán)旗下的威脅情報整合專業(yè)機(jī)構(gòu)。該中心以業(yè)界領(lǐng)先的安全大數(shù)據(jù)資源為基礎(chǔ)，基于奇安信長期積累的核心安全技術(shù)，依托亞太地區(qū)頂級的安全人才團(tuán)隊(duì)，通過強(qiáng)大的大數(shù)據(jù)能力，實(shí)現(xiàn)全網(wǎng)威脅情報的即時、全面、深入的整合與分析，為企業(yè)和機(jī)構(gòu)提供安全管理與防護(hù)的網(wǎng)絡(luò)威脅預(yù)警與情報。

Secrank排名查詢網(wǎng)址：https://secrank.cn/topdomain 

附：奇安信DNS安全威脅研究工作

1、根節(jié)點(diǎn)監(jiān)測

DNS根是域名體系樹形結(jié)構(gòu)的起點(diǎn)，是互聯(lián)網(wǎng)唯一的集中控制點(diǎn)�；�于ICANN數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn)，截至2021年7月3日，全球共13組1397個根節(jié)點(diǎn)（Instance）。部署在美國的根節(jié)點(diǎn)數(shù)量實(shí)際占全部根節(jié)點(diǎn)的21%，部署在中國（包括港澳臺）的根節(jié)點(diǎn)數(shù)量全球前5，但只有2.8%。國內(nèi)部署的五個根F、K、L、J和I，共 21個節(jié)點(diǎn)；但是解析服務(wù)器究竟選擇了國內(nèi)、還是國外的哪個根，有多少對根的DNS查詢出境訪問，目前并不是很清楚。

清華大學(xué)-奇安信集團(tuán)聯(lián)合研究中心對根節(jié)點(diǎn)的選擇策略進(jìn)行了大量的分析和實(shí)證測量。測量表明已部署的國內(nèi)節(jié)點(diǎn)發(fā)揮了重要作用，對這五個根的解析延遲大大降低，是其他根查詢延遲的1/10到1/3。但是，即使部署國內(nèi)根的DNS查詢，也并非都選擇了國內(nèi)的節(jié)點(diǎn)，仍有大量的根節(jié)點(diǎn)的查詢出境。測量期間發(fā)現(xiàn)還發(fā)現(xiàn)國內(nèi)部署的有些根節(jié)點(diǎn)并沒有發(fā)揮作用，另外國內(nèi)的根節(jié)點(diǎn)大都是本地部署，不能給其他運(yùn)營商提供解析服務(wù)。

2、美國查封伊朗媒體域名事件技術(shù)分析

近期美國司法部查封了伊朗的一些媒體網(wǎng)站的域名，引起了許多關(guān)注和討論。奇安信研究人員梳理了三種常見的查封已注冊域名途徑，并針對此次事件的相關(guān)技術(shù)流程進(jìn)行分析。分析報告表明，查封是美國執(zhí)法部門要求域名注冊局（registry）執(zhí)行的，與注冊商（registrar）無直接關(guān)系。并對美國執(zhí)法部門是否可以通過類似途徑查封互聯(lián)網(wǎng)上所有的域名，域名被美國政府“查封”后是否還有恢復(fù)的可能性等重點(diǎn)關(guān)注問題進(jìn)行了討論和解答。

3、域名竊�。弘[蔽的角落與被遺忘的數(shù)字資產(chǎn)

域名竊取（domain takeover）是指利用被棄用但是未刪除的解析記錄獲得域名控制權(quán)。攻擊者實(shí)現(xiàn)域名竊取后，域名所有者失去對域名的控制卻并不知情，用戶依舊認(rèn)為域名屬于原有的控制者，但攻擊者可進(jìn)一步實(shí)施釣魚攻擊、竊取敏感信息、傳播惡意軟件等攻擊行為。

針對該風(fēng)險，奇安信技術(shù)研究院進(jìn)行了全球范圍內(nèi)域名被竊取風(fēng)險測量，測量報告表明：第三方服務(wù)域名中有超過10萬個可接管域名，公有云IP池中有超過12萬個可接管域名，包括微軟集團(tuán)域名約150個，國外高校域名約260個，各國政府域名130個，23%的公有云IP存在可被竊取的域名指向。

應(yīng)對域名竊取問題，域名管理者應(yīng)做好DNS配置管理工作，定期刪除或更新指向被棄用的網(wǎng)絡(luò)資源的DNS記錄、避免硬編碼的IP或domain；同時，奇安信將持續(xù)提供域名竊取檢測服務(wù)幫助發(fā)現(xiàn)域名竊取風(fēng)險，企業(yè)用戶可直接通過奇安信安全DNS產(chǎn)品檢測子域名竊取風(fēng)險。

4、基于網(wǎng)絡(luò)資源的APT活動分析

本報告介紹了APT的基本概念和當(dāng)前活躍組織，通過結(jié)合鉆石模型和網(wǎng)絡(luò)殺傷鏈模型的分析框架提出分析方法論，解析威脅相關(guān)的實(shí)體元素，梳理實(shí)體關(guān)系構(gòu)建知識圖譜�；�于奇安信技術(shù)研究院強(qiáng)大的基礎(chǔ)數(shù)據(jù)，整合開源和商業(yè)數(shù)據(jù)資源，通過將方法論應(yīng)用實(shí)踐取得了有效的實(shí)戰(zhàn)成果，如XCodeGhost供應(yīng)鏈攻擊事件溯源、毒云藤APT組織新控制域名發(fā)現(xiàn)、某APT組織的網(wǎng)絡(luò)資源拓展、海蓮花組織基于證書數(shù)據(jù)的分析拓展、印度來源多個組織之間的歸屬分析等。方法論與案例體現(xiàn)了強(qiáng)大的APT發(fā)現(xiàn)、溯源、關(guān)聯(lián)及跟蹤能力，產(chǎn)出的成果也為安全DNS的威脅阻斷提供強(qiáng)有力的支撐。

5、奇安信互聯(lián)網(wǎng)安全域名排名SecRank

互聯(lián)網(wǎng)域名排名在網(wǎng)站影響力評判、白名單域名等多個應(yīng)用場景有重要使用價值。然而當(dāng)前的Alexa、Cisco umbrella排名大多存在不穩(wěn)定、區(qū)分度不夠、方法不透明且非常容易被操縱等問題。奇安信技術(shù)研究院基于海量PDNS數(shù)據(jù)，提出一種全新的域名排名算法，并發(fā)布了SecRank域名排名列表。該方法從活躍周期和請求量維度確定每個IP地址的域名偏好排名，并從域名多樣性和IP地址總請求量維度確定IP權(quán)重，通過合適的投票算法確定了更準(zhǔn)確地反映國內(nèi)域名狀況的排名，相比目前已有的域名排名結(jié)果具備更好的抵抗操縱能力和穩(wěn)定性。