本周三,2016 BSidesLV安全大会在美国的拉斯维加斯如期举办。在此次大会上,一位名叫Munin的黑客和他的搭档Nik LaBelle共同介绍了一种新型的安全防护技术——DNS灰名单技术,并向到场嘉宾介绍了该技术的设计思路和运行机制。

　　这并不是一种新的概念了,但是我们怎样才能采取正确的方式来帮助管理员保护他们的网络系统免受网络钓鱼攻击和其他安全威胁的侵害呢?

　　如果攻击者想要获得某个组织的计算机系统中所存储的信息资源,那么最可靠、最有效的方法就是对该组织进行网络钓鱼攻击。所谓网络钓鱼攻击,实际上就是通过社会工程学技术去欺骗已获得授权的用户,让他们在无意中泄漏自己的用户凭证。这样一来,攻击者就可以利用这些窃取来的凭证获取到目标系统的访问权限了。
 

　　也许你会认为,我们可以通过黑名单来缓解网络钓鱼攻击所带来的影响。但是这就要求企业或组织必须事先知道攻击者用于钓鱼攻击的域名,可是当他们得知这些恶意域名之后,一切都太晚了,因为攻击已经发生了。白名单也是同样的道理,但是如果采用了白名单机制,那么也就意味着该组织只能够被允许与数量有限的网站进行通信。

　　目前有很多种方法可以防止网络钓鱼攻击,而且其中的很多技术已经得到了广泛的使用。但是这些技术无论多么的强大,它们总是会有提升的空间。

　　后来,在一次分析过程中Munin突然意识到,在大多数的网络钓鱼攻击过程中,都需要目标用户发送DNS请求,而发送的DNS请求信息是可以在用户的内部网络系统中进行控制的。DNS请求与普通的网络通信数据有很大的不同,所以这就是一个可以检测到的数据标量。

　　在意识到这一点之后,Munin又进行了大量的研究。实验结果表明,大多数恶意域名的生存时间一般只有二十四个小时。

　　Munin表示:“在了解到这些信息之后,我们提出了一种垃圾邮件的缓解方案,即灰名单技术。我们可以将该技术应用到DNS的域名解析过程中,这样就可以阻止钓鱼攻击者进行常见类型的网络钓鱼攻击了。除此之外,这种方法也可以缓解一些类似网络钓鱼攻击的安全威胁。这些安全威胁有一个共同特征-它们都需要依赖于DNS快速解析这一功能。”

　　Munin向Salted Hash解释称:“就像电子邮件系统一样,很多电子邮箱可以利用垃圾邮件的SMTP发送特性来屏蔽垃圾邮件,这就是灰名单技术在电子邮件中的应用。如果检测到了此前从未遇见过的域名,那么DNS 灰名单技术将会延迟域名服务器(延迟时间为二十四小时)针对该域名的解析操作,并通过这样的方式来缓解网络钓鱼攻击。”

　　这也就意味着,大多数网络钓鱼链接的DNS解析请求都将会被拒绝。除此之外,管理员还可以通过查看网络日志来了解这些此前从未见过的域名信息。所以管理员就可以在这些问题“成型”之前,彻底消灭它们。

　　除此之外,Munin和LaBelle还进行了一些额外的研究。他们提升了DNS 灰名单技术的稳定性,并尝试去防止一些绕过技术来绕过这种安全防护机制的保护。有趣的是,他们还发现了一些关于勒索软件的内容。

　　Munin解释称:“勒索软件的感染者同样需要与C&C服务器进行通信,以便发送密钥。而他们所使用的服务器域名会不断改变。所以DNS灰名单技术就可以缓解勒索软件所带来的影响,而且还有可能让这些勒索软件失效。这些勒索软件越先进越高级,DNS灰名单技术所带来的效果就会更好。”

　　Munin表示:“我们将会在大会的演讲过程中给大家演示DNS灰名单技术,大家可以自行评估该技术的有效性。DNS灰名单技术可以提升网络管理员和安全防护人员的防御能力,让他们在攻击事件中居于主导地位,这样就不会被攻击者牵着鼻子走了。”