当DoH加密遇上恶意域名：网络安全的新挑战与应对(图文)

网络安全新防线：DoH 加密技术

在深入探讨恶意域名检测之前，不得不先提及 DoH 加密技术，它为整个 DNS 查询过程披上了一层坚固的铠甲。DoH，即 DNS over HTTPS，简单来说，是一种通过 HTTPS 协议来传输 DNS 查询和响应的技术。
传统的 DNS 查询就像是在一条没有任何保护的道路上传递信息，以明文形式发送，这使得信息极易被窃取、篡改 。而 DoH 的出现，就像是给这条道路加上了重重防护。当我们在浏览器中输入一个网址，比如 "www.example.com"，发起访问请求时，基于 DoH 的工作模式，浏览器并不会直接将 DNS 查询请求发送给普通的 DNS 服务器，而是会先将这个请求通过 HTTPS 加密，然后再发送到支持 DoH 的服务器 。这个支持 DoH 的服务器接收到加密请求后，会对其进行解密，解析出我们想要访问的域名，接着像传统 DNS 服务器一样进行域名查询，找到对应的 IP 地址。最后，服务器再将解析结果通过 HTTPS 加密返回给浏览器，浏览器接收到加密响应后进行解密，获取 IP 地址，从而访问目标网站。
这样的加密通信过程，就像在一个密封的保险箱中传递重要文件，第三方无法窥探和篡改 DNS 查询记录，有效地防止了中间人攻击和 DNS 劫持。举个例子，当你在公共 Wi-Fi 环境下，周围可能存在各种心怀不轨的人试图窥探你的网络活动，若使用传统 DNS，你的 DNS 查询信息就可能被窃取，导致隐私泄露 。但如果启用了 DoH，你的 DNS 查询被加密保护，他们就无从下手，极大地增强了隐私保护。而且，由于 DoH 基于 HTTP/2 协议，支持多路复用和头部压缩等特性，DNS 查询的效率得到了提升，就好比高速公路上增加了更多车道，车辆行驶更加顺畅。

隐藏在加密背后的威胁：恶意域名的新伪装

然而，技术从来都是一把双刃剑，DoH 加密技术在提升网络安全的同时，也给恶意域名带来了新的伪装手段，让它们得以在网络世界中更加隐蔽地活动。
恶意域名常常利用 DoH 服务进行 HTTPS 协议加密封装，把恶意 DNS 流量巧妙地伪装成正常的 HTTPS 流量 。传统的恶意 DNS 隐蔽隧道，借助 DoH 服务进行 HTTPS 协议加密封装后，隐蔽性大大增强。一些黑客工具，如 Iodine、DNS2TCP、DNScat2 以及 Cobalt Strike 等，都具备了通过 DoH 服务将 DNS 隧道流量转换为 HTTPS 协议的能力。在这种情况下，从网络流量中检测恶意域名就如同大海捞针。当你在分析网络流量时，看到的只是普通的 HTTPS 加密流量，很难察觉到其中隐藏的恶意 DNS 查询，这就为恶意域名的传播和攻击提供了可乘之机。
攻击者还会借助公共 DoH 解析器来降低暴露风险。像 Google、Cloudflare 等公共 DoH 解析器，本是为用户提供更安全、更高效的 DNS 解析服务，但却被恶意分子利用 。他们通过这些公共 DoH 解析器进行恶意域名查询，使得恶意通信流量看起来就像是普通用户的正常 DNS 查询。比如，一个木马程序在与控制服务器通信时，配置了公共 DoH 服务，受害机执行木马文件后，会先发送明文 dns A 类查询获取公共 DoH 服务的域名对应 ip，然后向公共 DoH 服务发送恶意域名查询，查询内容使用 https 加密 。从受害机抓包查看木马通信流量，只能看到木马同公共 DoH 服务的加密通信，流量中涉及到的域名为公共 DoH 域名，恶意域名被很好地隐藏在了 https 加密流量中，极大地增加了检测和追踪的难度。
在实际的网络攻击中，利用 DoH 加密的恶意域名常常被用于恶意软件的传播和远程控制。当用户不小心访问了被植入恶意代码的网站，恶意软件可能会通过 DoH 加密的 DNS 查询，与远程的恶意服务器建立联系，下载更多恶意文件，或者接收攻击者的指令，对用户设备进行控制，导致用户数据泄露、设备被操控等严重后果。

检测困境：传统方法为何失效

面对利用 DoH 加密的恶意域名，传统的恶意域名检测方法仿佛陷入了泥沼，难以发挥作用，主要体现在以下几个方面。
传统检测方法依赖对 DNS 流量的明文分析 ，但在 DoH 加密技术下，DNS 查询和响应都被封装在 HTTPS 流量中进行加密传输，就像给原本透明的玻璃贴上了一层不透明的膜，使得检测系统无法直接解析加密流量中的域名信息 。比如，以前通过直接查看 DNS 请求中的域名，就能判断是否为恶意域名，但现在面对 DoH 加密流量，看到的只是一堆加密乱码，根本无法从中获取有效的域名内容，导致基于明文特征的检测手段完全失效。
从 TLS 协商过程中获取有效信息变得极为困难。在 DoH 加密的情况下，虽然可以从 TLS 协商过程中获取一些信息，如 TLS 握手信息、证书信息等，但这些信息存在局限性 。恶意 DoH 流量完全可以利用正常 DoH 服务器进行中转，使得从这些公开信息来判定是否为恶意流量容易产生大量误报 。例如，一些恶意域名使用正常的 DoH 服务器作为中转，其 TLS 握手信息和证书信息可能显示正常，仅从这些表面信息判断，就会将恶意流量误判为正常流量，从而无法准确检测出恶意域名。
传统的基于黑名单的检测方式在面对 DoH 加密恶意域名时也显得力不从心。恶意域名可以借助公共 DoH 解析器频繁更换 IP 地址，使得黑名单难以跟上其变化速度 。就像一个狡猾的罪犯不断变换藏身之处，而警察手中的追捕名单却总是滞后，导致无法及时将其抓获。比如，恶意域名利用公共 DoH 解析器，在短时间内多次更换与恶意服务器通信的 IP 地址，黑名单还没来得及更新，恶意域名就已经通过新的 IP 进行恶意活动了，大大降低了黑名单检测的有效性。

探索新路径：当前的检测策略与技术

面对传统检测方法的失效，网络安全研究者们积极探索新的检测策略与技术，试图在这场与恶意域名的较量中重新夺回主动权 。
一些研究将目光聚焦于加密数据会话过程，从 TLS 协议的 Application Data 消息交互阶段入手，进行深入的特征工程 。基于对 DNS 隧道行为的深刻理解和长期从事加密流量检测的经验，研究人员设计了超过 100 项、大于 1000 维的特征值 。这些特征涵盖了加密消息个数、长度、到达时间等重要加密会话行为信息 。例如，通过对 Client/Server 端 Application Data 消息总个数的统计分析发现，大约 60% 的正常 DoH 流量，Client 端 Application Data 消息的总个数在 0 - 0.01 之间（约 1 - 5 个 Application Data 消息），而在这个区间的恶意 DoH 流量仅占不到 30% 。大约 45% 的恶意 DoH 流量个数在 0.01 - 0.02 之间（约 6 - 10 个 Application Data 消息） 。在 0.1 - 1 区间（约大于 50 个 Application Data 消息）中包含了将近 20% 的恶意 DoH 流量，而本区间中的正常 DoH 流量仅占 2.2% 。通过这样细致的特征分析，能够为后续的模型训练提供丰富且有效的数据支持 。
机器学习算法在 DoH 加密恶意域名检测中也发挥着重要作用 。研究人员选取 Decision Tree、Logistic Regression、Random Forest、Linear Regression、Adaboost 和 SVM 等多种算法进行模型训练和测试对比 。以随机森林算法为例，它通过构建多个决策树，对输入数据进行多次随机抽样和特征选择，然后综合多个决策树的预测结果来做出最终判断 。在对 DoH 流量的检测中，随机森林算法能够充分利用之前提取的各种特征，对流量进行准确分类 。通过大量的实验和实际测试，综合考虑精确率、准确率和模型泛化能力，结合工程化实现等因素，随机森林算法在检测 DoH 加密恶意域名时表现出了较好的性能 ，成为许多检测方案中优先选择的算法 。
还有基于深度学习模型的检测方法不断涌现。这些方法通常基于二元交叉熵和焦点损失函数构建流量检测模型 。二元交叉熵作为适用于二分类任务的损失函数，能够有效衡量模型预测结果与真实标签之间的差异，从而提高恶意流量检测的准确性 。而焦点损失函数则针对恶意流量检测中常见的类别不平衡问题进行改进，它通过降低易分类样本的权重、提高难分类样本的权重以及平衡不同类别之间的权重，使模型在训练过程中更加关注少数但重要的恶意流量，进而提高恶意流量的检测率 。在实际应用中，这些深度学习模型首先会获取 DoH 流量，然后将其输入预先构建好的检测模型中 。模型中的若干残差块会对流量的统计特征进行特征提取，得到空间维度的特征，接着对这些特征进行聚合，得到全局特征向量，最后通过全连接层对全局特征向量进行分类，从而得到恶意流量检测结果 。

实战案例：成功检测与应对的故事

在实际的网络安全防护中，新的检测技术发挥了重要作用，成功检测出多起利用 DoH 加密的恶意域名攻击事件 。
某大型企业的网络安全团队在日常监测中，发现部分网络流量存在异常 。这些流量看似是正常的 HTTPS 加密流量，但通过基于加密数据会话特征分析和机器学习算法的检测系统，却捕捉到了一些可疑迹象 。检测系统首先对这些流量的 TLS 协议 Application Data 消息进行深入分析，发现 Client 端 Application Data 消息的个数和长度分布与正常 DoH 流量存在显著差异 。例如，在一段时间内，某部分流量的 Client 端 Application Data 消息总个数频繁出现在 0.01 - 0.02 之间（约 6 - 10 个 Application Data 消息），这一区间是恶意 DoH 流量的典型特征 。
接着，检测系统运用预先训练好的随机森林模型对这些流量进行分类判断 。模型根据之前提取的多种特征，如加密消息到达时间间隔转移矩阵等，准确识别出这些流量中的恶意 DoH 流量，并定位到与之相关的恶意域名 。进一步调查发现，这些恶意域名被用于传播一种新型木马病毒，该病毒试图通过 DoH 加密的 DNS 查询，与远程的恶意控制服务器建立联系，窃取企业内部的敏感数据 。
在确定了恶意域名和攻击路径后，企业的安全团队迅速采取了应对措施 。他们首先在企业网络边界部署了针对该恶意域名的访问阻断策略，防止内部设备继续与恶意服务器通信 。同时，安全团队对受感染的设备进行隔离和清理，通过安全软件查杀木马病毒，恢复设备的正常运行 。此外，安全团队还将此次检测到的恶意域名和相关流量特征上报给了安全威胁情报共享平台，以便其他企业和机构能够及时防范类似的攻击 。
通过这次成功的检测与应对，企业避免了重大的数据泄露风险，保障了企业网络的安全稳定运行 。这一案例充分展示了新的检测技术在应对 DoH 加密恶意域名威胁时的有效性，也为其他组织提供了宝贵的经验借鉴 。

未来展望：持续演进的网络安全之战

随着网络技术的飞速发展，DoH 加密和恶意域名检测领域将面临更多新的挑战和机遇 。
从挑战方面来看，攻击者的手段会不断升级和创新 。随着量子计算技术的发展，传统的加密算法可能面临被破解的风险，DoH 加密技术也需要不断演进以应对这一潜在威胁 。恶意域名的生成和传播机制也可能更加复杂，比如利用人工智能技术生成更具迷惑性的域名，或者通过更隐蔽的方式进行传播，这将对现有的检测技术提出更高的要求 。
在未来，物联网设备的大规模普及会带来新的安全隐患 。这些设备数量庞大、分布广泛且计算资源有限，很容易成为恶意攻击者利用 DoH 加密进行恶意域名传播和攻击的目标 。如何在资源受限的物联网设备上实现高效的 DoH 加密和恶意域名检测，是亟待解决的问题 。
但未来也充满机遇，新的研究方向和发展趋势正在逐渐显现 。在检测技术上，多模态数据融合将成为一个重要方向 。结合网络流量数据、设备行为数据、用户活动数据等多方面信息，进行综合分析，能够更全面地识别恶意域名，提高检测的准确性和可靠性 。比如，将用户在设备上的操作行为数据与网络流量中的 DoH 加密流量数据相结合，通过分析用户行为的异常模式以及流量特征的变化，更精准地判断是否存在恶意域名相关的攻击 。
人工智能和机器学习技术也将持续发展和优化 。不断改进的深度学习模型将能够更好地理解和处理复杂的网络数据，自动学习和识别恶意域名的新型特征 。同时，迁移学习、联邦学习等新兴技术也有望应用于恶意域名检测领域，实现不同场景下检测模型的快速迁移和协同学习，提高检测效率和效果 。例如，在不同企业或组织的网络环境中，利用联邦学习技术，在不共享原始数据的前提下，协同训练恶意域名检测模型，使模型能够学习到更广泛的恶意域名特征，提升整体的检测能力 。
此外，加强国际间的合作与信息共享也至关重要 。恶意域名的传播不受国界限制，通过建立全球范围内的网络安全信息共享平台，各国和各组织可以及时分享恶意域名的相关情报和检测技术，共同应对全球性的网络安全威胁 。比如，当一个国家检测到新型的利用 DoH 加密的恶意域名攻击时，能够迅速将相关信息传递给其他国家和组织，使其提前做好防范措施，形成全球联动的网络安全防御体系 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御