一种基于 DNAT 技术的 DNS 重定向改进文案.docVIP

一种基于 DNAT 技术的 DNS 重定向改进文案 　　引言 　　随着用户对自身的信息安全越来越重视，以及网络终端处理能力的提升，越来越多的网站与移动APP 开始运用 SSL /TLS 等加密通信协议来对自己全部或部分的通信数据进行保护。应用加密通信协议可以有效防止基于被动嗅探技术的监听，这在为普通用户提供隐私数据保护的同时，也为某些不法分子规避有关部门的审查提供了温床。要对 SSL/TLS 等加密流量进行审查，必须用到主动嗅探技术。贺龙涛等人研究了基于协议欺骗的主动嗅探[1]，指出协议欺骗其实就是攻击者有目的地破坏网络访问过程中存在的映射关系，并根据所破坏映射关系的不同将可用于主动嗅探的协议欺骗技术分为四大类: ARP 欺骗、路由欺骗、DNS 欺骗，以及应用层欺骗。其中，ARP 欺骗、路由欺骗仅适用于同一局域网内的主动嗅探，应用层欺骗不能用于加密传输协议的嗅探，这些技术都有一定的局限性。故此，出于通用性考虑，一般选用 DNS 欺骗来实现数据流的重定向，也简称为 DNS 重定向。本文在分析现有 DNS 重定向技术实现方式及其缺陷的基础上，提出了一种基于 DNAT 技术的DNS 重定向改进方案。 　　1 DNS 重定向技术的原理与缺陷分析根据欺骗赖以成功的不同基础，可以将 DNS 欺骗分为:( 1) 内应攻击其成功依赖于 DNS 服务器存在某种漏洞。攻击者可以利用这种漏洞非法控制一台 DNS 服务器，而后直接操作域名数据库，将特定域名所对应的 IP地址修改为自己指定的 IP 地址，从而使所有使用该DNS 服务器的客户端，在查询特定域名时，都得到攻击者伪造的 IP 地址。在有些文献中，也将这种攻击直观地称为 DNS 服务器攻陷[2]。( 2) 序列号攻击其成功依赖于 DNS 协议本身在鉴别机制上存在的缺陷。攻击者在嗅探到对特定域名的 DNS 查询请求包后，可以根据其查询ID 轻易伪造一个DNS应答包，并在其中填入自己指定的 IP 地址，只要赶在正常响应之前返回给发出该查询的 DNS 客户端，就能使该客户端的 DNS 缓存里特定域名对应的是攻击者伪造的 IP 地址。 　　在有些文献中，也将这种序列号攻击直观地称为 DNS ID 欺骗。如无法嗅探到 DNS 查询请求包，则还可以通过一种称为 DNS缓存投毒的技术来实现扩展的序列号攻击。依前文所述，DNS 重定向是一种基于 DNS 欺骗实现的网络数据流重定向技术。无论完成 DNS 欺骗时使用的是前述哪种具体形式，现有的中间人监测系统在实现 DNS 重定向时，都是将特定域名原本对应的真实 IP 地址替换成监测主机的 IP 地址，从而使被监控主机向该域名发送的所有数据包都会发送到监测主机而不是拥有该域名的真实服务器，其实现效果如图1 所示。 　　图1 改进前 DNS 重定向技术的效果示意Fig. 1 Effect of unimproved DNS redirection这种将数据流直接重定向到监测主机 IP 地址的实现方式存在两个重大缺陷:一是会把监测主机的 IP 地址直接暴露出来，如果被监控的不法分子拥有足够的安全意识与技术，较容易通过实际访问的 IP 地址察觉到异常，甚至还可能发生被监控主机反入侵监测主机的情况。二是会使监测系统一次运行只能监控一个域名的加密通信。 　　因为如果同一时间把两个或更多域名的加密流量都重定向到一台监测主机，则由于目的地址都是监测主机的 IP 地址，监测主机无法根据四元组信息区分接收的加密流量到底属于哪个域名，也就无法完成正常的代理转发功能。 　　2 DNS 重定向技术的改进方案2. 1 NAT 与 DNATNAT( Network Address Translation，网络地址转换) 是由 IETF 制定，并在 1994 年提出的一项标准，其设计初衷是为了缓解当时已经日益严重的 IP地址紧缺问题。在进行转换处理时，如果是对数据包中的源 IP 地址和源端口进行转换，则称之为SNAT( Source Network Address Translation，源网络地址转换) ; 反之，若是对数据包中的目的 IP 地址和目的端口进行转换，则称之为 DNAT( Destination Net-work Address Translation，目的网络地址转换) 。通过 SNAT，可以让内网多台主机共享一个 IP 地址访问互联网，或是实现 IP 欺骗; 通过 DNAT，可以让外网主机访问内网主机所提供的服务，或是实现数据流的重定向与透明代理。其中，DNAT 的原理如图2 所示。2. 2 基于 DNAT 的 DNS 重定向改进方案描述基于前文的分析，本文结合 DNAT 技术对现有DNS 重定向实现提出了一种改进方案