許多DNS隧道化實(shí)用程序并沒(méi)有試圖隱藏�。他們依賴(lài)于DNS經(jīng)常不被監(jiān)控這一事實(shí)。提出了多種DNS隧道檢測(cè)技術(shù)�����。檢測(cè)技術(shù)將分為兩類(lèi)�����,有效載荷分析(Payload Analysis)和流量分析(traffic analysis)��。對(duì)于有效載荷分析��,將分析一個(gè)或多個(gè)請(qǐng)求和響應(yīng)的DNS有效載荷�,以獲得隧道指示器。對(duì)于流量分析����,流量將隨著時(shí)間的推移進(jìn)行分析�����。將考慮計(jì)數(shù)����、頻率和其他請(qǐng)求屬性���。
一����、有效載荷分析
對(duì)于有效載荷分析檢測(cè)技術(shù)��,我們也可以借鑒域生成算法的研究��。DGA生成的域與數(shù)據(jù)編碼中的名稱(chēng)類(lèi)似��。以下技術(shù)已在過(guò)去的研究中被涵蓋��。
1.1請(qǐng)求和響應(yīng)的大小
一種技術(shù)涉及到分析請(qǐng)求和響應(yīng)的大小�。在一篇博客文章(Bianco, 2006)中,作者定義了基于源字節(jié)和目標(biāo)字節(jié)比率的方法來(lái)識(shí)別可疑的DNS隧道傳輸��。將作為Snort/Squil入侵檢測(cè)系統(tǒng)的一部分存儲(chǔ)在MySQL數(shù)據(jù)庫(kù)中的DNS數(shù)據(jù)查詢(xún)?cè)醋止?jié)和目標(biāo)字節(jié)��。然后將該比率與一個(gè)限值進(jìn)行比較。
其他人(Pietraszek, 2004)���, (Skoudis, 2012)已經(jīng)提出觀察DNS查詢(xún)和響應(yīng)的長(zhǎng)度來(lái)檢測(cè)隧道。DNS隧道化實(shí)用程序通常試圖將盡可能多的數(shù)據(jù)放入請(qǐng)求和響應(yīng)中�。因此,隧道請(qǐng)求可能會(huì)有長(zhǎng)標(biāo)簽����,最多63個(gè)字符,長(zhǎng)名稱(chēng)最多255個(gè)字符�。另一個(gè)建議是查看所有超過(guò)52個(gè)字符的主機(jī)名請(qǐng)求(Guy, 2009)。
1.2主機(jī)名的熵
DNS隧道可以根據(jù)請(qǐng)求主機(jī)名的熵來(lái)檢測(cè)(Van Horenbeeck, 2006)����, (Butler, 2011)。合法的DNS名稱(chēng)通常有字典上的單詞或看起來(lái)有意義的東西�����。
編碼的名稱(chēng)具有更高的熵和更均勻地使用字符集�。不過(guò),也有例外����,DNS名稱(chēng)用于表示某種類(lèi)型的信息����。內(nèi)容交付網(wǎng)絡(luò)有時(shí)就是這樣�。尋找具有高熵的DNS名稱(chēng)可以作為隧道挖掘的指標(biāo)。
1.3統(tǒng)計(jì)分析
查看DNS名稱(chēng)的特定字符構(gòu)成是另一種可用于檢測(cè)隧道的方法�����。合法的DNS名稱(chēng)往往只有幾個(gè)數(shù)字��,而編碼的名稱(chēng)可能有很多數(shù)字����。研究域名中數(shù)字字符的百分比已經(jīng)被提出(Bilge, 2011)。觀察最長(zhǎng)有意義子串(LMS)長(zhǎng)度的百分比是另一種基于字符組成的方法(Bilge, 2011)���。觀察獨(dú)特字符的數(shù)量是另一種可能性�����。推薦提醒任何超過(guò)27個(gè)獨(dú)特字符(蓋伊�,2009)��。
由于合法的域名在一定程度上反映了通用語(yǔ)言,因此可以使用字符頻率分析(Born, 2010b)來(lái)檢測(cè)DNS隧道效應(yīng)產(chǎn)生的域名����。
重復(fù)輔音可以用來(lái)檢測(cè)DNS隧道效應(yīng),或者重復(fù)輔音和數(shù)字(Lockington, 2012)���。隧道實(shí)用程序可能會(huì)創(chuàng)建具有連續(xù)輔音和數(shù)字的名稱(chēng)���,這些數(shù)字在反映通用語(yǔ)言的域名中不太可能看到��。
1.4 不常見(jiàn)的記錄類(lèi)型
另一種可能的檢測(cè)方法是尋找典型客戶(hù)不常用的記錄�����,如“TXT”記錄(Pietraszek, 2004)����。
1.5 違反政策
如果策略要求所有DNS查找通過(guò)內(nèi)部DNS服務(wù)器,則違反該策略可作為檢測(cè)方法�����。流量可以直接監(jiān)控DNS請(qǐng)求到互聯(lián)網(wǎng)(Fry, 2009)�。請(qǐng)注意,大多數(shù)DNS隧道實(shí)用程序都設(shè)計(jì)為在通過(guò)內(nèi)部DNS服務(wù)器轉(zhuǎn)發(fā)請(qǐng)求時(shí)也能正常工作�����。
1.6 特定的簽名
在某些情況下,研究人員為特定的DNS隧道化實(shí)用程序提供了簽名����。簽名可用于檢查DNS頭中的特定屬性并檢查有效負(fù)載中的特定內(nèi)容。例如�����,為檢測(cè)NSTX DNS隧道效應(yīng)開(kāi)發(fā)了一個(gè)Snort簽名(Van Horenbeeck, 2006)��。
二����、流量分析
流量分析涉及在一段時(shí)間內(nèi)查看多個(gè)請(qǐng)求/響應(yīng)對(duì)。請(qǐng)求的數(shù)量和頻率可以用于隧穿的指示���。對(duì)于流量分析檢測(cè)技術(shù)��,在過(guò)去的研究中已經(jīng)涵蓋了以下內(nèi)容���。
2.1 每個(gè)IP地址的DNS流量(per IP address)
一個(gè)基本而直接的方法是查看特定客戶(hù)端IP地址生成的DNS流量(Pietraszek, 2004), (Van Horenbeeck, 2006)。由于隧道數(shù)據(jù)通常限制為每個(gè)請(qǐng)求512字節(jié)����,因此通信需要大量的請(qǐng)求。此外��,如果客戶(hù)端輪詢(xún)服務(wù)器�,它將持續(xù)發(fā)送請(qǐng)求。
2.2 每個(gè)域的DNS流量(per domain)
另一種基本方法是查看特定域名的大量流量(Butler, 2011)��。DNS隧道實(shí)用程序都是使用特定域名來(lái)傳輸數(shù)據(jù)的����,因此��,所有隧道流量都將是那個(gè)域名�����。我們應(yīng)該考慮DNS隧道可以配置多個(gè)域名的可能性���,從而降低每個(gè)域的通信量��。
2.3 每個(gè)域名的主機(jī)數(shù)量
給定域名的主機(jī)數(shù)量可以作為一個(gè)指標(biāo)(Guy, 2009)��。DNS隧道實(shí)用程序?qū)γ總€(gè)請(qǐng)求請(qǐng)求一個(gè)唯一的主機(jī)名�。這可能導(dǎo)致一個(gè)比典型的合法域名大得多的數(shù)字。此方法將作為使用流量分析的示例實(shí)現(xiàn)��。
2.4 DNS服務(wù)器的地理位置
地理因素是可以使用的另一個(gè)因素��。正如所提議的�����,大量的DNS流量到世界上你不做生意的地方”(Skoudis, 2012)��。對(duì)于沒(méi)有廣泛國(guó)際足跡的企業(yè)����,這種方法可能有用。
2.5 域歷史
域歷史也可以用來(lái)引起對(duì)DNS流量的懷疑�����。檢查何時(shí)添加了“A”記錄或“NS”記錄(Zrdnja, 2007)����。該方法用于檢測(cè)惡意活動(dòng)中涉及的域名。它也與檢測(cè)DNS隧道效應(yīng)有關(guān)��。一個(gè)域可能是最近為DNS隧道化而獲得的,它的NS記錄可以在最近添加�����。
2.6NXDomain響應(yīng)量
為了檢測(cè)DGA生成的名稱(chēng)�,提出了尋找過(guò)量NXDomain響應(yīng)的方法。(Antonakakis,2012)����。該方法可用于檢測(cè)能產(chǎn)生大量NXDomain響應(yīng)的Heyoka。
2.7可視化
研究表明��,可視化技術(shù)可以用于檢測(cè)DNS隧道(Guy,2009)�。這種方法需要分析人員進(jìn)行交互工作,但是隧道式的流量非常突出��。
2.8 孤立DNS請(qǐng)求
雖然大多數(shù)檢測(cè)方法都是觀察我們能看到什么����,但另一種方法是觀察我們希望看到什么�����,但卻沒(méi)有���。對(duì)于一般計(jì)算�����,DNS請(qǐng)求只在另一個(gè)請(qǐng)求之前發(fā)出��,例如http上的web頁(yè)面請(qǐng)求��?�?紤]到這一點(diǎn)���,另一種檢測(cè)方法是查找沒(méi)有其他應(yīng)用程序(如http)相應(yīng)請(qǐng)求的DNS請(qǐng)求���。會(huì)有一些例外很容易被過(guò)濾掉。安全設(shè)備可以反向查找IP地址�。反垃圾郵件解決方案使用DNS查詢(xún)來(lái)檢查給定的IP地址是否在黑名單上。端點(diǎn)安全產(chǎn)品使用帶有FQDN中嵌入的編碼文件散列的DNS查詢(xún)來(lái)檢查可疑文件的信譽(yù)���。
2.9 一般隱蔽通道檢測(cè)
在其他的研究中已經(jīng)討論了一些獨(dú)立于協(xié)議的隱蔽通道檢測(cè)技術(shù)(Couture, 2010)���。用于隧道檢測(cè)的實(shí)用程序可以查看一天中的請(qǐng)求時(shí)間或?qū)⒘髁颗c統(tǒng)計(jì)指紋進(jìn)行比較。
