北京市电子政务外网（部分） 互联网 基本应用状况及安全风险 2017-6 域名（DNS）应用安全的盲区 “递归域名入口监管作用尚未发挥，服务安全 有 待加强。 首先，递 归域名服 务是用户 访问 整个域名空间的入口，所有的域名查询都需要 通过递归服务来执行，因此能够在国家网络安 全管理和应急安全处置中发挥重要作用，然而 我国相关网络监管技术手段尚未覆盖到递归域 名服务；其次，由于递归域名直接面向用户服 务，且能够轻易掌握用户的所有上网行为信息， 其安全运行对于保障我国互联网日常安全也极 为重要，然而我国尚未建立统一的针对递归域 名服务的安全监测手段和应急协调机制，导致 递归层面的域名服务安全和信息安全防护存在 一定的缺失。” l 被动的递归域名服务：分布在全球的互联网，存在多种模式和类型，而且“免费”。 l 主动的递归域名应用：取决于终端用户系统的配置，存在多种方式，而且“透明”。 入口 ~ 本源，失察 ~ 失陷，缺失 ~ 失控 … 2 域名系统安全与域名应用安全的正交关系 域名应用信息被作为开源情报 采集和交换 ISC在2011年6月的10分钟演讲稿，标题是 “被动DNS”（Passive DNS），其中的 中文和虚线框是本报告另加（递归服务器 的缓存信息），以便于说明。 ISC---互联网系统联盟，域名系统软件 BIND的属主，根域名F的管理者。 误⽤、滥⽤、被绑架、被利⽤ … 全 球 性 DNS 应 用 的 数 据 量 之 巨 大 （非经营性和非盈利性）采集和复 制以及分析这些元数据（网络通信 的本源数据 Origin Data）需要极 大的资源。但是，彼方的这项工作 还在继续地扩大和扩展。 ! 3 利用DNS应用的隐蔽隧道CT以及C&C l递归域名服务器支 持 所 有符 合 RFC 标 准的DNS请求解析 根域 迭代-1 递归域 顶级域 终端 （根解析器） l受 感 染 的 主 机 将 尝 试 通 过 C&C 隐 蔽 隧 道 发出DNS请求 迭代-2 监测和 防御点 权威域 边界入口 迭代-3 l权 威 域 名 服 务 器 把 经过编码的C&C作为 响应主机的DNS请求 来源：“监控DNS的新一代工具”美国国土安全部，2012-10-9 SOA： Start of Authority 4 “第一公里”安全防御部署拓扑案例 网际监控试点示范计划： 1）阶段1---发现 2）阶段2---改进 3）阶段3---加固 国家信息中心和十省市（已部署4省市）作为国家政务外网网际安全的试点示范 5 北京市电子政务外网605个域名的后缀分布 域名 数量 域名 数量 域名 数量 域名 数量 gov.cn 290 org.cn 78 com 19 info 8 net.cn 29 org 17 biz 10 cn 63 net 13 com.cn 51 tv 12 中国 15 其 中，有 13.2%的域 名及 其 应用信息不在国家的 顶 级 域 名 .cn 管理 和 监测范围。 备注：根据相关部门所提供的信息 6 域名及DNS递归服务器的逻辑拓扑关系 根域名服务器 顶级域名服务器 权威域名服务器 递归域名服务器 l 所配置的二个DNS递归服务器： DNS递归服务器 IP地址 所属自治系统 属地 属主 pdns.cpip.net.cn 210.73.64.2 sdns.cpip.net.cn 210.73.88.2 AS18239 （末端，节点度数=0） 210.73.64.0/19 北京 首信 7 DNS递归服务器的实际使用状况 备注1：以下统计分析数据基于 中环节点的网际监测。 备 注 2 ： DNS 应 用基 本 上处 于 “随意”状态，不仅没 有监管，而且网络行为 的本源数据离散或丢失。 备注3： 首信实用的2台递归域名 服务器IP地址不同于逻 辑 拓 扑 配 置 的 IP 地 址 （且并未发现被使用）。 递归域名服务 IP地址 占比% 递归域名服务 IP地址 占比% 北京首信 210.73.64.1 52.2 北京电信 218.30.118.6 2.4 北京联通 202.106.0.20 22.5 谷歌 8.8.8.8 2.2 南京信风 114.114.114.114 7.4 DNS派 101.226.4.6 1.7 DNS派 123.125.81.6 4.1 DNSPod 119.29.29.29 0.6 北京首信 210.73.88.1 3.9 其它 涉及境外和境内 595个IP地址 3.0 8 北京市电子政务外网应用源IP地址分布 属主 IANA （保留或测试用） 北京360 北京电信 北京电信通 北京联通 北京首信 北京天地祥云 成都电信 广州电信 南京电信 上海电信 天津联通 乌鲁木齐电信 郑州电信 郑州联通 应用IP地址段 10.x.x.x 172.16.16.x 192.168.x.x 101.199.109.x 106.38.187.x 218.30.x.x 220.181.x.x 219.238.164.x 111.206.57.x 123.125.80.x 210.73.x.x 210.75.x.x 211.147.x.x 218.246.x.x 123.59.148.x 182.140.167.x 59.38.120.x 125.88.223.x 180.97.63.x 180.153.196.x 180.163.222.x 111.161.99.x 218.84.244.x 1.192.193.x 42.236.23.x 182.118.22.x IP地址数量 146 397 30 24 69 26 34 3 169 10 29 42 73 12 4 2 11 17 29 35 64 7 15 40 31 11 9 北京市电子政务外网应用源IP地址属主分布 l 一般观察：政务外网的源IP地址是已知分配的重要网络资源,也是网络安全管理的 “白名单”, IP地址网段和属主应该相对明确。 l 技术假设：政务外网的源IP地址原则上需通过防火墙做地址转换（NAT），因此在 网际观察到的应用IP地址应该相对单调。 l 安全风险：源IP地址作为网络的行为的指标（Indicator）之一，失去管控，难以界 定“黑”与“白”；而且不健康的网络应用环境，难以有效地实施安全防护和保障。 10 异常现象 国际标准组织保留的IP地址，用于测试等目的： （1）被作为源IP地址，大量出现在互联网，并且行为疑似高危风险。 （2）初步推断是绕过防火墙的行为，或防火墙没有做地址转换（NAT）。 （3）即使有日志记录，回溯也很困难（谁都可以使用测试IP地址）。 网络的应用环境极不健康，滥用网络资源以及管理缺失， 导致网络安全隐患和漏洞威胁。 l 对此，任何安全防护措施都难以有效地发挥作用； l 因为，“免疫”是要以网络的健康状态作为前提。 11 安全漏洞风险（部分）-1 源IP地址 目的IP地址 172.16.40.200 包长256字节， UDP，TTL=0， 172.16.41.200 172.16.47.200 状态 7.7.7.7 172.16.47.201 172.15.48.200 连续通讯， 持续时间从 0点到23点 备注：通过53端口传输的数据不一定是DNS应用 美国全球信息网格（GIG）的管理和运行单位 已知IP地址段7.0.0.0/8 l2011年10月，有人发现并以数据 证明“美国军方对 加拿大采取的 “间谍活动” ，其中正是 DINANET7 （ 7.25.212.1 ） 劫 持 路由路径。 l国际反黑客联盟组织（AHA）把 DINANET7 （ 7.188.163.222 ， 7.227.89.170） 列入拦 截和 持续 监测的黑名单。 IP地址7.7.7.7的属主是美国国防部 网 络信 息中心 ，DISANET（国 防 信息系统网络）的路由信息被屏蔽。 （错误：所查询IP地址7.7.7.7没有找到任何结果。） 12 安全漏洞风险（部分）-2 源IP地址 172.20.65.135 172.20.65.184 172.20.65.196 172.20.65.229 172.20.67.169 172.20.67.241 192.168.10.200 192.168.10.32 192.168.10.33 210.75.218.20 210.75.218.22 211.147.135.12 目的IP地址 198.41.0.4 （根目录A，Verisign） 192.228.79.201 （根目录B，信息科学研究院） 192.5.5.241 （根目录F，互联网系统联盟） 192.112.36.4 （根目录G，美国防部信息中心） 128.63.2.53 （根目录H，美陆军研究实验室） 192.36.148.17 （根目录I，Netnod） 192.58.128.30 （根目录J，Verisign） 193.0.14.129 （根目录K，欧洲网络协调中心） 199.7.83.42 （根目录L，ICANN） 202.12.27.33 （根目录M，WIDE Project） 192.35.51.30 （顶级目录f.gtld，Verisign） l多 个 源IP地 址直 接访问根域名 （10/13）。 l其中： （ 1） 源 IP 地 址 是 保 留测 试 用IP 地址； （ 2） 源IP地 址 并非递归DNS的 IP地址。 （3） 直接访问 顶 级域名属 非正 常行为。 13 安全漏洞风险（部分）-3 已确认木马 XOR.DDOS 的后门IP地址103.25.9.228， 以代码形式（Hard-Coded）被嵌入在木马中。 l 监测发现（不排除是利用域名应用作为隐蔽隧道）： 源IP地址 目的IP地址 211.147.135.164 211.147.135.163 103.25.9.228 211.147.135.226 14 安全漏洞风险（部分）-4 已确认“暗云”木马的网站：acsewle.com： l 监测发现（不排除已被木马感染）： 源IP地址 目的IP地址 162.88.61.23 210.75.218.20 （2017-6-15） 162.88.60.39 162.88.61.39 15 安全漏洞风险（部分）-5 首信的DNS递归服务器 IP地址 pdns.cpip.net.cn 210.73