The Greate Wall 相关网络知识（一）域名劫持

什么叫做DNS?

DNS（Domain Name System，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。通过主机名即域名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。DNS协议运行在UDP协议之上，使用端口号53。在RFC文档中RFC 2181对DNS有规范说明，RFC 2136对DNS的动态更新进行说明，RFC 2308对DNS查询的反向缓存进行说明。

什么叫做域名劫持？

域名劫持是互联网攻击的一种方式，通过攻击域名服务器（DNS，Domain Name System，域名系统），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。

什么叫做IDS入侵检测？

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

简要介绍在IDS：

(1) 按入侵检测的手段、IDS的入侵检测模型可分为基于网络和基于主机两种。

基于主机模型
也称基于系统的模型，它是通过分析系统的审计数据来发现可疑的活动，如内存和文件的变化等。其输入数据主要来源于系统的审计日志，一般只能检测该主机上发生的入侵。
基于网络的模型

即通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式，以此来判别是否为入侵者。当该模型发现某些可疑的现象时也一样会产生告警，并会向一个中心 管理站点发出“告警”信号。

（2）按入侵检测的技术基础可分为两类：一种基于标志的入侵检测（signature-based），另一种是基于异常情况的入侵检测（anomaly-based）。
基于标识的检测技术，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现，这有些类似杀毒软 件 的工作原理。
基于异常的检测技术，先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得 出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何精确定义所谓的“正常”情况。

（3） 按输入入侵检测的数据的来源来分，可以分为三类：
　　1） 基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵；
　　2） 基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵；
　　3） 采用上述两种数据来源的分布式入侵检测系统：它能够同时分析来源于系统的审计日志和来源于网络的信息流，这种系统一般由多个部件组成。
（4）按入侵检测所采用的技术方法又可将其细分为下面四种方法：
　　一是基于用户行为概率统计模型的入侵检测方法：
　　这种入侵检测方法是在对用户历史行为建模或在早期的证据或模型的基础上，实时检测用户对系统的使用情况，根据系统内部保存的用户行为概率统计模型进行检测，当发现有 可疑的用户行为发生时，立即保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户改变他们的行为习惯时，这 种异常就会被检测出来。
　　二是基于神经网络的入侵检测方法：
　　这种方法是利用神经网络技术来进行入侵检测。这种方法对用户行为具有学习和自适应功能，能够根据实际检测到的信息有效地加以处理并做出是否有入侵行为的判断。但该方 法还不成熟，目前还没有出现较为完善的产品。
　　三是基于专家系统的入侵检测技术：
　　该技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上建立相应的专家系统，由此专家系统自动进行对所涉及的入侵行为进行分析。该系统可以随着 经验的积累而不断自我学习，并进行规则的扩充和修正。
　　四是基于模型推理的入侵检测技术：
　　该技术根据入侵者在进行入侵时所执行的某些行为程序的特征，建立一种入侵行为模型，根据这种行为模型所代表的入侵行为特征来判断用户执行的操作是否是属于入侵行为。 当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。

以上几种方法每一种都不能保证能准确地检测出变化多端的入侵行为。因此在网络安全防护中要充分衡量各种方法的利弊，综合运用这些方法才能有效地检测出入侵者的非法行为。
什么是根域名服务器?
根服务器：要用来管理互联网的主目录，全世界只有13台。1个为主根服务器，放置在美国。其余12个均为辅根服务器，其中9个放置在美国，欧洲2个，位于英国和瑞典，亚洲1个，位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。美国政府对其管理拥有很大发言权。
---------------------------------------------------------------------------------------------------------------------------------
下面讲讲中国防火墙如何使用的IDS入侵检测技术：

原理：防火长城对所有经过骨干出口路由的在UDP的53端口上的域名查询进行IDS入侵检测，一经发现与黑名单关键词相匹配的域名查询请求，防火长 城会马上伪装成目标域名的解析服务器给查询者返回虚假结果。由于通常的域名查询没有任何认证机制，而且域名查询通常基于的UDP协议是无连接不可靠的协 议，查询者只能接受最先到达的格式正确结果，并丢弃之后的结果。而用户直接查询境外域名查询服务器（比如 Google Public DNS ）又可能会被防火长城污染，从而在没有任何防范机制的情况下仍然不能获得目标网站正确的IP地址。

从2002年左右开始，the china mainland 的网络安全单位开始采用域名劫持（域名污染）技术，使用思科（Cisco）提供的路由器IDS监测系统来进行域名劫 持，防止了一般民众访问被过滤的网站，2002年Google被封锁期间其域名就被劫持到百度，而china部分ISP也会通过此技术插入广告。对于含有多个 IP地址或经常变更IP地址逃避封锁的域名，防火长城通常会使用此方法进行封锁，具体方法是当用户向境内DNS服务器提交域名请求时，DNS服务器返回虚 假（或不解析）的IP地址。

全球一共有13组根域名服务器（Root Server），先前the china mainland有F、I这2个根域DNS镜像，但现在均已因为多次DNS污染外国网络，威胁互联网安全和自由而被断开与国际互联网的连接。

2010年3月，当美国和智利的用户试图访问热门社交网站如 facebook.com 和 youtube.com 还有 twitter.com 等域名，他们的域名查询请求转交给the china mainland控制的DNS根镜像服务器处理，由于这些网站被封锁，结果用户收到了错误的DNS信息，这意味着防火长城的 DNS域名污染域名劫持已影响国际互联网。

2010年4月8日，the china mainland一个小型ISP的错误路由数据，经过中国电信的二次传播，扩散到了整个国际互联网，波及到了AT&T、 Level3、Deutsche Telekom、Qwest Communications和Telefonica等多个国家的大型ISP。