65、域名分类与解析器TTL违规研究

最新推荐文章于 2025-10-29 09:38:32 发布

raspberrypi5

最新推荐文章于 2025-10-29 09:38:32 发布

阅读量32

点赞数

CC 4.0 BY-SA版权

分类专栏：探秘PAM 2023：网络测量与安全前沿文章标签： DNSSEC TTL违规域名分类

本文链接：https://blog.youkuaiyun.com/raspberrypi5/article/details/149737813

探秘PAM 2023：网络测量与安全前沿专栏收录该内容

70 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

域名分类与解析器TTL违规研究

1. DNSSEC中的TTL违规研究

1.1 研究背景

在DNSSEC（域名系统安全扩展）中，DNS响应的TTL（Time-To-Live）并非唯一决定缓存周期的属性。DNSSEC签名响应带有RRSIG记录，该记录包含生效和过期日期，限制了其有效性。支持DNSSEC的解析器必须从缓存中移除RRSIG过期的DNS响应，即使其TTL尚未过期。

1.2 实验设置

采用类似的方法，使域名完全签名（如向上层区域上传DS记录），并提供签名早于TTL过期的DNS响应。
具体设置：A记录和其他DNSSEC相关记录的TTL值设为60分钟，对应的RRSIG在30分钟后失效。
发送第一个请求后，在RRSIG过期但TTL未过期时发送第二个请求，观察解析器是否从权威服务器获取新的A记录。

1.3 实验结果

实验时间为2022年10月27日至11月1日，获得91,634个出口节点和13,679个DNS解析器。
为减少客户端影响，关注至少有5个出口节点的解析器，得到5,274个（38.5%）解析器和75,684个（82.6%）出口节点。
DNSSEC验证解析器 ：93.2%（4,917个）解析器覆盖94%（71,242个）出口节点启用了DO位，但并非所有启用DO位的解析器都正确支持DNSSEC。通过额外步骤，发现13.1%（646个）解析器覆盖8.4%（6,001个）出口节点进行了验证。
存在TTL违规的DNSSEC验证解析器 ：44.1%（285个）解析器（涉及2,645个出口节点）未向权威服务器发送第二个请求，直接从缓存中响应，这直接违反了DNSSEC标准。

1.4 实验结果表格展示

类别	解析器数量	占比	出口节点数量	占比
总解析器	13,679	-	91,634	-
至少5个出口节点的解析器	5,274	38.5%	75,684	82.6%
启用DO位的解析器	4,917	93.2%	71,242	94%
进行验证的解析器	646	13.1%	6,001	8.4%
存在TTL违规的解析器	285	44.1%	2,645	-

1.5 实验流程mermaid流程图

graph LR
    A[发送第一个请求] --> B[等待30分钟（RRSIG过期）]
    B --> C[在60分钟内（TTL未过期）发送第二个请求]
    C --> D{解析器响应方式}
    D -->|从缓存响应| E[存在TTL违规]
    D -->|向权威服务器请求| F[正常响应]

2. 运营域名分类研究

2.1 研究背景

攻击者常利用域名传播恶意软件、进行命令与控制通信或发起钓鱼攻击。每天有大量新域名注册，这给域名注册和托管的互联网中介机构带来了技术和经济上的挑战，难以准确评估域名的安全性。

2.2 现有系统问题

数据获取困难 ：多数现有系统使用特权、封闭或付费数据，构建分类器成本高且复杂，研究人员难以复制结果。
高质量地面真值数据获取难 ：地面真值数据来源多样，如第三方源、排名列表或黑名单，但缺乏对其底层方法的了解。手动标注数据耗时且易过时。
缺失值处理问题 ：传统方法倾向于使用统计方法插补缺失值，但并非所有方法都适用于不同类型的特征，且有缺失值的域名可能无法分类。

2.3 提出的新方法

自动生成地面真值数据 ：基于公开可用的域名注册数据，通过测量TLD注册机构、注册商和托管提供商对滥用域名的缓解措施来生成。
多模型处理缺失值 ：生成大量机器学习模型，每个模型处理一组缺失特征。若要分类有缺失值的域名，使用不包含缺失特征集的模型。
特征重要性评估 ：使用散点图评估特征重要性，分析因测量误差最可能缺失的特征。

2.4 实验验证与应用

验证方法 ：基于COMAR系统构建原型，进行精心设计、自动可靠的地面真值生成、特征选择和缺失值分析。
应用结果 ：将COMAR分类器应用于未标记的钓鱼URL，发现73%的对应域名是恶意注册的，27%是托管恶意网站的良性域名。该系统已在两个ccTLD注册机构部署，支持其反欺诈实践。

2.5 研究贡献列表

开发自动生成受损（良性）和恶意注册域名地面真值数据的新技术。
提出用散点图评估特征重要性的可视化方法，分析因测量误差最可能缺失的特征。
提出基于多个训练模型处理缺失值的方法，替代传统统计插补方法。
应用COMAR分类器分析钓鱼URL的域名，发现不同TLD类型下域名的恶意注册情况。
发现66.1%的恶意注册域名主页无特定技术，52.2%的受损域名使用超过五种框架和插件，更易受Web应用攻击。

3. DNS解析器TTL违规的局限性与拓展研究

3.1 研究局限性

在研究DNS解析器的TTL违规情况时，存在一定的局限性。如果出口节点使用的DNS解析器采用了像Cloudflare那样的多层分布式缓存基础设施，由于只能监控到权威服务器收到的DNS请求，所以只能测量后端缓存DNS解析器。这使得很难确定TTL违规具体发生在哪里，可能是前端缓存、存根解析器或者中间盒导致的。为了提高推断的可信度，只关注了至少能从五个表现一致的出口节点测量到的解析器，但这也导致可分析的解析器数量减少。

3.2 TTL缩短情况研究

DNS解析器可能会将DNS响应的缓存时间设置得比TTL短，但这并不违反DNS标准。可以采用类似的方法来检测那些将DNS记录缓存时间设置得比权威服务器设定的TTL短的解析器。例如，有些解析器可能有一个参数来决定最大TTL，主要是出于安全目的，不太信任非常大的TTL值。不过，解析器也可能根据缓存大小和驱逐策略来决定是否驱逐缓存的DNS响应，这使得持续捕获那些总是将缓存时间设置得比TTL短的DNS解析器变得有些困难。
通过在TTL到期之前发送第二个请求，测量发现有49个（占4,965个的0.99%）解析器总是缩短TTL，4653个（93.7%）解析器总是保留原始TTL，还有263个（5.3%）解析器表现出混合行为，这表明它们的驱逐策略可能产生了影响，进一步研究变得困难。

3.3 TTL相关情况表格展示

情况	解析器数量	占比
总是缩短TTL	49	0.99%
总是保留原始TTL	4653	93.7%
表现出混合行为	263	5.3%

3.4 TTL相关研究流程mermaid流程图

graph LR
    A[发送第一个请求] --> B[在TTL到期前发送第二个请求]
    B --> C{解析器缓存情况}
    C -->|总是缩短TTL| D[缩短情况解析器]
    C -->|总是保留原始TTL| E[保留情况解析器]
    C -->|表现出混合行为| F[混合情况解析器]

4. 域名分类与解析器研究总结

4.1 研究成果总结

在DNSSEC的TTL违规研究方面，通过精心设计的实验，发现了大量DNS解析器存在TTL违规的情况，如44.1%的DNSSEC验证解析器在RRSIG过期后仍从缓存中提供响应，违反了DNSSEC标准。同时，也对TTL缩短的情况进行了研究，了解到不同解析器在缓存时间设置上的差异。
在运营域名分类研究方面，提出了一系列创新方法来克服现有系统的不足。通过自动生成地面真值数据、多模型处理缺失值以及特征重要性评估等方法，构建了更有效的域名分类系统。应用COMAR分类器对钓鱼URL的域名进行分析，得到了不同TLD类型下域名的恶意注册情况等有价值的结论。

4.2 研究成果应用展望

对于DNS解析器的研究成果，可以为网络运营商和DNS服务提供商提供参考，帮助他们优化DNS解析器的缓存策略，提高DNS服务的安全性和准确性。例如，服务提供商可以根据研究结果，对存在TTL违规的解析器进行调整，避免缓存过期的DNS响应。
域名分类系统的研究成果可以为域名注册机构和互联网安全企业提供支持。注册机构可以利用该系统更准确地评估新注册域名的安全性，及时发现和处理恶意注册的域名。互联网安全企业可以将该系统集成到其安全防护体系中，更好地防范域名相关的安全威胁，如钓鱼攻击和恶意软件传播。

4.3 未来研究方向思考

在DNS解析器研究方面，未来可以进一步探索如何更精确地定位TTL违规的具体位置，解决多层分布式缓存基础设施带来的测量难题。还可以研究不同类型的DNS解析器在不同网络环境下的TTL行为，为网络优化提供更全面的依据。
在域名分类研究方面，可以继续优化地面真值数据的生成方法，提高分类系统的准确性和鲁棒性。同时，可以研究如何将域名分类系统与其他安全技术相结合，构建更强大的互联网安全防护体系。