利用安全DNS过滤恶意域名
2020-12-28 17:01:20 Author: www.4hou.com(查看原文) 阅读量:193 收藏

导语:目前市面上一些免费DNS服务可以为用户提供阻止恶意软件等功能,仅需简单配置,即可使设备免受侵害。利用近几年真实恶意软件攻击涉及的域名对其进行测试,查看产品对恶意域名的阻止情况,与常用的谷歌DNS服务器(8.8.8.8)进行对比,给出推荐使用的、安全性较好的、免费的DNS服务供参考使用,简单、方便的保护日常上网安全。

免责声明:本文作者竭力保证文章内容可靠,但对于任何错误、疏漏或不准确的内容,作者不负任何责任。文章部分内容来源于网络是出于传递更多信息的目的,对此不负任何法律责任。本文仅用于技术分享与讨论,严禁用于其他用途。

一、产品简介

OPENDNS

全球领先的DNS服务提供商之一,提供免费的DNS解析,目前隶属于思科。支持设备:笔记本电脑,智能手机,平板电脑,DVR,游戏机,电视等。功能:提供快速、可靠的DNS服务。免费版可以阻止成人网站等,付费版内置检测可以针对网络钓鱼及网络恶意域名,可以将Internet访问设置为特定的白名单,自定义内容过滤,同时可以保留过去一年的互联网访问情况。

涉及服务器:208.67.222.222(实验选用,免费版),208.67.220.220,208.67.222.220,208.67.220.222。

网址:https://www.opendns.com/home-internet-security/

Yandex.DNS

是一个免费的递归DNS服务,服务器位于俄罗斯及西欧等地,用户请求由最近的数据中心处理,其具备三种模式。在“Basic”模式下,没有流量过滤;在“Safe”模式下,可以保护用户远离感染及欺诈网站;“Family”模式可保护用户免受危险网站侵害并阻止包含成人内容的站点。“Famliy”模式功能最为齐全,包括保护用户免受感染网站侵害(每天检查数千万网页寻找病毒,发现可疑活动标记为危险并添加到病毒库中),阻止欺诈网站(阻止方式:用户尝试访问时返回警告页面),防止僵尸程序(阻止已知C&C服务器的IP查询),封锁成人网站(检测页面上的色情内容),阻止成人广告(禁止主机收到正确IP)。

涉及服务器:77.88.8.7(实验选用,“Famliy”版),77.88.8.88,77.88.8.8

网址:https://dns.yandex.com/advanced/

IBM Quad 9

Quad9提供公共DNS解析服务,并可阻止对受恶意软件感染的网站的访问。其包含来自18个以上领先供应商的恶意网址组合池,作为非盈利不会捕获个人信息进行盈利等行为。在全球各地都有服务器,提供低延迟解析。采用Non-blocking技术,积极阻止用户访问已知的恶意域,包括网络钓鱼、勒索软件及其他使用DNS的恶意活动。如果站点被阻止,用户将收到“NXDOMAIN”响应,使其感觉为该域不存在。

涉及服务器:9.9.9.9

网址:https://www.quad9.net/

Neustar UltraDNS

Neustar UltraDNS是一项基于云的企业级权威DNS服务。功能:内置安全功能如DDoS防护、DNSSEC管理Nameserver分段;利用高级流量管理服务来优化DNS性能;可以通过Web门户制定管理策略。Neustar UltraDNS 防火墙功能:实现DNS解析;在恶意软件到达最终用户之前消除不良流量;防止内部用户访问有害或不需要的内容;Internet访问控制。

涉及服务器:156.154.71.2(实验选用),156.154.70.2

网址:https://www.home.neustar/dns-services

SafeDNS

SafeDNS是一家成立于2010年的公司,位于美国弗吉尼亚州。它为不同类型的市场和客户提供了基于云的Web过滤和网络安全解决方案。例如,SafeDNS解决方案,防止僵尸网络,勒索软件,网络钓鱼和其他网络安全威胁的攻击。可以将DNS查询从公司/家庭网络重定向到SafeDNS过滤服务器,设置过滤规则。功能:保护内部网络、Wifi热点,避免网络钓鱼及数据盗窃(基于DNS过滤,90%以上的恶意软件都需要使用DNS);基于类别过滤,可以设置要允许及阻止的内容类型;可以自定义白名单及黑名单。

涉及服务器:195.46.39.39(实验选用),195.46.39.40

网址:https://www.safedns.com/web-filtering-for-corporate-users/

SafeSurfer

帮助构建安全互联网,保护家庭免受有害内容的侵害。功能:可以对设备进行管理,按类筛选内容;阻止色情和其他不当内容,例如广告、博彩或受恶意软件侵害的网站;可以对流行社交媒体平台如Facebook等进行屏蔽。

涉及服务器:104.155.237.225(实验选用),104.197.28.121

网址:https://www.safesurfer.co.nz/

二、实验测试

对6种声称可以进行DNS过滤的产品进行了实验,以常用服务器(8.8.8.8)为参照(返回正常IP,一般不设对DNS的阻止),将本地DNS配置为产品对应DNS产品的IP地址,通过浏览器访问、wireshark抓包、命令行ping方式进行实验,通过观察对比,给出了实验结果。可以发现,部分产品对DNS恶意域名的阻止效果较好,部分产品几乎无效果。

以谷歌DNS服务器及安全DNS服务器SafeSurfer为例,对实验进行说明,其余类似不做赘述。

谷歌DNS服务器访问恶意域名情况

l  使用APT34的恶意软件Helminth涉及的恶意域名进行测试

005aa003P3T647071636F6E626C316E385C61646D696E7369747261746F.go0gIe.com

1.png

2.png

正常返回IP:23.80.188.7。

使用恶意软件BONDUPDATER进行测试

2920004cd4bmaf2dc38t.withyourface.com

3.png

正常返回IP:208.91.197.46。

使用恶意软件Pisloader进行测试

ykqhhnocaoinkfoqq.ns1.logitech-usa.com

4.png

5.png

正常返回IP:58.158.117.102。

SafeSurfer(104.155.237.225)服务器访问恶意域名情况

使用APT34的恶意软件Helminth涉及的恶意域名进行测试

6.png

7.png

8.png

使用恶意软件Pisloader进行测试

9.png

10.png

使用恶意软件BONDUPDATER进行测试

11.png

12.png

基于谷歌服务器的访问情况对照,发现该产品的阻止效果较好,其会将恶意DNS请求引向预先创建的CNAME server:block.safesurfer.io,返回IP34.67.0.134,弹出阻止页面。同时,我们对其余5个产品也进行了类似的实验。以下为实验对比表格:

1609138655(1).png

三、总结

通过实验对比可以发现,目前的安全DNS所使用的阻止方法可以归纳为2种,劫持回复固定IP(如OpenDNS Home、Neustar Free Recuive DNS)或引向产品方创建的CNAME server进而返回阻止页面(如SafeSurfer)、回复DNS请求以无法找到主机(NXDOMAIN)的形式(如IBM Quad9)。6种产品对恶意域名的阻止效果有所不同,其中,IBM Quad9及SafeSurfer表现较好,SafeDNS及Yandex.DNS表现较差。如果想要使上网更为安全的话,仅需将DNS配置为前两种产品的服务器地址即可使用,保障联网安全。但值得注意的是,第三方服务提供商可以访问DNS解析记录,如果在隐私要求不高的情况下,免费安全DNS会是很好的选择。

本文作者:BUPT/Jarvan

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/1EjP
如有侵权请联系:admin#unsafe.sh