一、產品簡介
OPENDNS
全球領先的DNS服務提供商之一,提供免費的DNS解析,目前隸屬於思科。支持設備:筆記本電腦,智能手機,平板電腦,DVR,遊戲機,電視等。功能:提供快速、可靠的DNS服務。免費版可以阻止成人網站等,付費版內置檢測可以針對網絡釣魚及網絡惡意域名,可以將Internet訪問設置為特定的白名單,自定義內容過濾,同時可以保留過去一年的互聯網訪問情況。
涉及服務器:208.67.222.222(實驗選用,免費版),208.67.220.220,208.67.222.220,208.67.220.222。
網址:https://www.opendns.com/home-internet-security/
Yandex.DNS
是一個免費的遞歸DNS服務,服務器位於俄羅斯及西歐等地,用戶請求由最近的數據中心處理,其具備三種模式。在“Basic”模式下,沒有流量過濾;在“Safe”模式下,可以保護用戶遠離感染及欺詐網站;“Family”模式可保護用戶免受危險網站侵害並阻止包含成人內容的站點。“Famliy”模式功能最為齊全,包括保護用戶免受感染網站侵害(每天檢查數千萬網頁尋找病毒,發現可疑活動標記為危險並添加到病毒庫中),阻止欺詐網站(阻止方式:用戶嘗試訪問時返回警告頁面),防止殭屍程序(阻止已知C&C服務器的IP查詢),封鎖成人網站(檢測頁面上的色情內容),阻止成人廣告(禁止主機收到正確IP)。
涉及服務器:77.88.8.7(實驗選用,“Famliy”版),77.88.8.88,77.88.8.8
網址:https://dns.yandex.com/advanced/
IBM Quad 9
Quad9提供公共DNS解析服務,並可阻止對受惡意軟件感染的網站的訪問。其包含來自18個以上領先供應商的惡意網址組合池,作為非盈利不會捕獲個人信息進行盈利等行為。在全球各地都有服務器,提供低延遲解析。採用Non-blocking技術,積極阻止用戶訪問已知的惡意域,包括網絡釣魚、勒索軟件及其他使用DNS的惡意活動。如果站點被阻止,用戶將收到“NXDOMAIN”響應,使其感覺為該域不存在。
涉及服務器:9.9.9.9
網址:https://www.quad9.net/
Neustar UltraDNS
Neustar UltraDNS是一項基於雲的企業級權威DNS服務。功能:內置安全功能如DDoS防護、DNSSEC管理Nameserver分段;利用高級流量管理服務來優化DNS性能;可以通過Web門戶制定管理策略。Neustar UltraDNS 防火牆功能:實現DNS解析;在惡意軟件到達最終用戶之前消除不良流量;防止內部用戶訪問有害或不需要的內容;Internet訪問控制。
涉及服務器:156.154.71.2(實驗選用),156.154.70.2
網址:https://www.home.neustar/dns-services
SafeDNS
SafeDNS是一家成立於2010年的公司,位於美國弗吉尼亞州。它為不同類型的市場和客戶提供了基於雲的Web過濾和網絡安全解決方案。例如,SafeDNS解決方案,防止殭屍網絡,勒索軟件,網絡釣魚和其他網絡安全威脅的攻擊。可以將DNS查詢從公司/家庭網絡重定向到SafeDNS過濾服務器,設置過濾規則。功能:保護內部網絡、Wifi熱點,避免網絡釣魚及數據盜竊(基於DNS過濾,90%以上的惡意軟件都需要使用DNS);基於類別過濾,可以設置要允許及阻止的內容類型;可以自定義白名單及黑名單。
涉及服務器:195.46.39.39(實驗選用),195.46.39.40
網址:https://www.safedns.com/web-filtering-for-corporate-users/
SafeSurfer
幫助構建安全互聯網,保護家庭免受有害內容的侵害。功能:可以對設備進行管理,按類篩選內容;阻止色情和其他不當內容,例如廣告、博彩或受惡意軟件侵害的網站;可以對流行社交媒體平台如Facebook等進行屏蔽。
涉及服務器:104.155.237.225(實驗選用),104.197.28.121
網址:https://www.safesurfer.co.nz/
二、實驗測試
對6種聲稱可以進行DNS過濾的產品進行了實驗,以常用服務器(8.8.8.8)為參照(返回正常IP,一般不設對DNS的阻止),將本地DNS配置為產品對應DNS產品的IP地址,通過瀏覽器訪問、wireshark抓包、命令行ping方式進行實驗,通過觀察對比,給出了實驗結果。可以發現,部分產品對DNS惡意域名的阻止效果較好,部分產品幾乎無效果。
以穀歌DNS服務器及安全DNS服務器SafeSurfer為例,對實驗進行說明,其餘類似不做贅述。
谷歌DNS服務器訪問惡意域名情況
l 使用APT34的惡意軟件Helminth涉及的惡意域名進行測試
005aa003P3T647071636F6E626C316E385C61646D696E7369747261746F.go0gIe.com
正常返回IP:23.80.188.7。
使用惡意軟件BONDUPDATER進行測試
2920004cd4bmaf2dc38t.withyourface.com
正常返回IP:208.91.197.46。
使用惡意軟件Pisloader進行測試
ykqhhnocaoinkfoqq.ns1.logitech-usa.com
正常返回IP:58.158.117.102。
SafeSurfer(104.155.237.225)服務器訪問惡意域名情況
使用APT34的惡意軟件Helminth涉及的惡意域名進行測試
使用惡意軟件Pisloader進行測試
使用惡意軟件BONDUPDATER進行測試
基於谷歌服務器的訪問情況對照,發現該產品的阻止效果較好,其會將惡意DNS請求引向預先創建的CNAME server:block.safesurfer.io,返回IP34.67.0.134,彈出阻止頁面。同時,我們對其餘5個產品也進行了類似的實驗。以下為實驗對比表格:
三、總結
通過實驗對比可以發現,目前的安全DNS所使用的阻止方法可以歸納為2種,劫持回复固定IP(如OpenDNS Home、Neustar Free Recuive DNS)或引向產品方創建的CNAME server進而返回阻止頁面(如SafeSurfer)、回复DNS請求以無法找到主機(NXDOMAIN)的形式(如IBM Quad9)。6種產品對惡意域名的阻止效果有所不同,其中,IBM Quad9及SafeSurfer表現較好,SafeDNS及Yandex.DNS表現較差。如果想要使上網更為安全的話,僅需將DNS配置為前兩種產品的服務器地址即可使用,保障聯網安全。但值得注意的是,第三方服務提供商可以訪問DNS解析記錄,如果在隱私要求不高的情況下,免費安全DNS會是很好的選擇。
本文作者:BUPT/Jarvan