一种智能家居环境下的DNS重绑定攻击检测方法

摘要

本发明涉及智能家居DNS重绑定攻击检测防御技术领域，具体涉及一种智能家居环境下的DNS重绑定攻击检测方法，提出收线建立“三点一线”的攻击检测模型，“三点”分别为：局域网内部跳板、攻击者恶意DNS服务器、受害者IOT设备，“一线”为跳板对域名进行查询过程，即攻击者操纵恶意DNS服务器返回域名对应本地物联网设备的地址给跳板，跳板作为恶意请求的转发者对目标IOT设备发起恶意攻击，攻击检测模型认为当构成“三点一线”时，智能家居环境下的IOT设备就有可能遭受DNS重绑定的攻击，再通过对跳板设备上访问站点的JS代码分析，智能家居环境中的IOT设备API接口信息的综合审查，判断是否遭受DNS重绑定攻击的风险。

说明书

技术领域

本发明涉及智能家居DNS重绑定攻击检测防御技术领域，具体涉及一种智能家居环境下的DNS重绑定攻击检测方法。

背景技术

DNS重新绑定是计算机攻击的一种形式。在这种攻击中，恶意网页会导致访问者运行客户端脚本客户端脚本，攻击网络上其他地方的计算机。 从理论上讲，同源策略可防止发生这种情况：客户端脚本只能访问为脚本提供服务的同一主机上的内容。比较域名是实施此策略的重要部分，因此DNS重新绑定通过滥用域名系统（DNS）来绕过这种保护。这种攻击可以通过让受害者的网络浏览器访问专用IP地址的机器并将结果返回给攻击者来破坏专用网络。它也可以用于使用受害者机器发送垃圾邮件，分布式拒绝服务攻击或其他恶意活动。

DNS重绑定攻击颠覆了浏览器的同源策略，并将其转换为开放的网络代理。我们调查了DNS重绑定攻击，它的攻击模式是利用浏览器和插件之间的相互作用产生。这些攻击可以用来绕过防火墙，对于发送垃圾邮件和欺骗按点击付费的广告商具有很高的效益。此攻击还可用于通过使受害者的Web浏览器访问专用IP地址的计算机并将结果返回给攻击者来破坏私有网络。现代浏览器使用域名来评估同源策略限制，不使用IP地址。为了绕过同源策略，攻击者可以调整域名的IP指向来进行有效攻击。在实施DNS重绑定的过程中，TTL（Time-To-Live）值的设定对成功与否起到重要作用。

TTL(Time-To-Live)，就是一条域名解析记录在DNS服务器中的存留时间[11]。当各地的DNS服务器接受到解析请求时，就会向域名指定的DNS服务器发出解析请求从而获得解析记录；在获得这个记录之后，记录会在DNS服务器中保存一段时间，这段时间内如果再接到这个域名的解析请求，DNS服务器将不再向DNS服务器发出请求，而是直接返回刚才获得的记录；而这个记录在DNS服务器上保留的时间，就是TTL值。

增大TTL值，加速域名解析时间。一般情况下，域名的各种记录是极少更改的，很可能几个月、几年内都不会有什么变化。我们完全可以增大域名记录的TTL值让记录在各地DNS服务器中缓存的时间加长，这样在更长的一段时间内，我们访问这个网站时，本地ISP的DNS服务器就不需要向域名的DNS服务器发出解析请求，而直接从缓存中返回域名解析记录。

减小TTL值，加速域名解析生效时间。域名有更改的可能，因为缓存的问题，可能会出现有的地方生效了，有的地方还未生效的情况，当在DNS服务器中设置的TTL值小时可以加速域名解析成功后的生效时间。

在本地物联网智能设备环境下，JS安全和API安全至关重要，在此环境下的物联网设备即使位于防火墙之后也容易遭受DNS重绑定攻击的威胁。

智能家居是利用先进的计算机技术、网络通讯技术、智能云端控制、综合布线技术、医疗电子技术依照人体工程学原理，融合个性需求，将与家居生活有关的各个子系统如安防、灯光控制、窗帘控制、煤气阀控制、信息家电、场景联动、地板采暖、健康保健、卫生防疫、安防保安等有机地结合在一起，通过网络化综合智能控制和管理，实现“以人为本”的全新家居生活体验。IOT设备在智能家居环境中，作为DNS重绑定攻击的目标，存在很多的安全问题，厂商为了方便用户将设备接入局域网范围内提供服务，开放了诸多服务接口来完成设备提供的服务。开放的服务接口 是引起这个问题和威胁的关键。因此，提出智能家居环境下DNS重绑定攻击模型和检测模型，并对模型进行分析给出DNS重绑定攻击的防御措施，减小其带来的危害有重要现实意义。

公告号为CN108418803B的专利文献公开了一种防御DNS重绑定攻击的方法，包括：响应于浏览器当前页面的请求，获取当前页面的ID、请求的域名和请求类型；从域名解析服务器获取域名的解析IP；当判定请求类型是主页面且域名与主页面的域名不同时，获取解析IP和TTL值并存储至数组；当判定请求类型不是主页面且域名与主页面的域名相同时，从数组中获取上一次访问的域名与当前页面请求的域名相同的主页面的ID；当判定主页面的ID与上一次ID相同时，获取当前页面请求的域名的TTL值和解析IP；当判定本次解析IP与上一次解析IP不相似且TTL值小于预设值时，对当前页面进行屏蔽。该方法可帮助浏览器防御DNS重绑定攻击，适用于一遍浏览器，对于智能家居环境不适合。

发明内容

本发明的目的在于针对现有技术中存在的问题提供一种智能家居环境下的DNS重绑定攻击检测方法，以实现对智能家居环境中DNS重绑定攻击的检测。

本发明的技术方案是：

一种智能家居环境下的DNS重绑定攻击检测方法，包括如下步骤：

S1：受害者发出DNS查询请求，攻击者控制一个恶意站点，该站点加载有恶意的JS代码，攻击者便可控制恶意DNS服务器来回复域名的查询，一旦受害者访问该域名，他们的内部跳板Web浏览器就会发出DNS查询请求，查找该恶意站点的IP地址；

S2：攻击者控制的DNS服务器回复受害者DNS查询请求，当攻击者收到受害者的DNS请求时，攻击者控制的DNS服务器会返回该恶意站点的真实IP地址，进行响应，受害者加载恶意的JS片段；

S3：JS片段不断向恶意站点的域名发起请求，攻击者将响应的TTL值设置为T秒，让受害者的机器再次请求DNS服务器，攻击者予以响应，受害者加载的恶意站点包含恶意的JavaScript代码，该代码开始在受害者的Web浏览器或其它能够访问链接的客户端上运行，该代码不断向某一接口发送POST或GET请求，其中包含格式为JSON的代码片段,该接口为智能家居IOT设备厂商开放出来的接口，此时首次访问或短时间访问web浏览器失效；

S4：再次进行DNS查询，当访问web浏览器失效，DNS的TTL缓存也失效后，再次进行DNS查找；

S5：返回目标IOT设备的IP地址；攻击者此时控制DNS服务器以与此web浏览器或者请求链接的客户端同网段的IP地址响应，该IP地址是本地网络中的受攻击的IOT设备的地址；

S6：被攻击者不断向目标设备发起请求，受害者的计算机收到此恶意DNS响应，并将指向该恶意站点的HTTP请求指向IOT设备设置的ip地址，web浏览器将一个POST请求发送到该恶意站点的服务接口上，此时JavaScript代码不断向此IOT发送JSON格式的POST或GET请求，对设备进行控制。

具体的，所述的恶意DNS服务器用来响应对站点域名查询的请求，并且将TTL值设置为1-2s。

所述的智能家居中DNS重绑定攻击的主要特点有：操作简单，攻击者只需要发布恶意网站，并吸引受害者访问网站即可发动攻击；隐蔽性强，由于通过内网受害主机访问目标设备，所以，安全日志中不会留下攻击者的痕迹；危害性大，通过重绑定攻击，攻击者不仅可以连接到物联网设备，而且可以对设备的配置进行更改，以及进行进一步的攻击。

本发明的有益效果是：该一种智能家居环境下的DNS重绑定攻击检测方法，提出收线建立“三点一线”的攻击检测模型，“三点”分别为：局域网内部跳板、攻击者恶意DNS服务器、受害者IOT设备，“一线”为跳板对域名进行查询过程，即攻击者操纵恶意DNS服务器返回域名对应本地物联网设备的地址给跳板，跳板作为恶意请求的转发者对目标IOT设备发起恶意攻击，攻击检测模型认为当构成“三点一线”时，智能家居环境下的IOT设备就有可能遭受DNS重绑定的攻击，再通过对跳板设备上访问站点的JS代码分析，以及智能家居环境中的IOT设备API接口信息的综合审查，进一步判断是否遭受DNS重绑定攻击的风险。

附图说明

图1是DNS重绑定攻击步骤示意图。

具体实施方式

为便于对本发明实施例的理解，下面将结合附图以具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

一种智能家居环境下的DNS重绑定攻击检测方法，包括如下的具体步骤：

步骤1：受害者发出DNS查询请求，攻击者控制一个恶意站点，比如www.rebinding.com，该站点加载有恶意的JS代码，攻击者便可控制恶意DNS服务器来回复域名的查询，一旦受害者访问该域名，他们的内部跳板Web浏览器就会发出DNS查询请求，查找该恶意站点的IP地址www.rebinding.com；

步骤2：攻击者控制的DNS服务器回复受害者DNS查询请求，当攻击者收到受害者的DNS请求时，攻击者控制的DNS服务器会返回该恶意站点www.rebinding.com的真实IP地址，如39.163.38.43进行响应，受害者加载恶意的JS片段；

步骤3：JS片段不断向恶意站点的域名发起请求，攻击者将响应的TTL值设置为1秒，以便受害者的机器不会长时间缓存它，让受害者的机器再次请求DNS服务器，攻击者予以响应，受害者加载的恶意站点www.rebinding. com站点包含恶意的JavaScript代码，该代码开始在受害者的Web浏览器或其它能够访问连接的客户端上运行，该代码不断向某一接口，如http://www.rebinding.com/settemp发送POST或GET请求，其中包含格式为JSON的代码片段,如{“tmode”：1，“a_heat”：95}，该settemp接口为智能家居IOT设备厂商开放出来的接口。此时首次访问或短时间访问web server失效；

步骤4：再次进行DNS查询，当访问失效，DNS的TTL缓存也失效后，再次进行DNS查找；

步骤5：返回目标IOT设备的IP地址，攻击者此时控制DNS server以与此web浏览器或者请求链接的客户端同网段的IP地址比如192.168.1.77响应，该IP地址是本地网络中的受攻击的IOT设备的地址；

步骤6：被攻击者不断向目标设备发起请求，受害者的计算机收到此恶意DNS响应，并将指向http://www.rebinding. com的HTTP请求指向ip地址为192.168.1.77的IOT设备。浏览器将一个POST请求发送到http://www.rebinding.com/settemp的服务接口上。此时JavaScript代码不断向此IOT发送JSON格式的POST或GET请求，对设备进行控制。

所述的DNS重绑定攻击步骤如图1所示，依次为受害者发出DNS请求；攻击者控制的DNSserver回复受害者DNS请求；JS片断不断向恶意的域名发出请求；再次进行DNS查询；返回目标IOT设备的IP地址；被攻击者不断向目标设备发起请求；完成攻击。本发明提供的智能家居环境下的DNS重绑定攻击检测方法是根据该攻击步骤进行步步防御。

本发明实施例的一种智能家居环境下的DNS重绑定攻击检测方法，攻击过程中有外部恶意的DNS服务器、内部跳板Web浏览器、内部IOT设备地址三个前提条件，满足这三个条件之后才能形成一次完整的智能家居环境下的DNS重绑定攻击。

本发明实施例的一种智能家居环境下的DNS重绑定攻击检测方法，提出一种“三点一线”的攻击检测模型。攻击检测模型认为当构成“三点一线”时，智能家居环境下的IOT设备就有可能遭受DNS重绑定的攻击，再通过对跳板设备上访问站点的JS代码分析，以及智能家居环境中的IOT设备API接口信息的综合审查，进一步判断是否遭受DNS重绑定攻击的风险。

“三点”分别为：局域网内部跳板、攻击者恶意DNS服务器、受害者IOT设备，“一线”为跳板对域名进行查询过程，即攻击者操纵恶意DNS服务器返回域名对应本地物联网设备的地址给跳板，跳板作为恶意请求的转发者对目标IOT设备发起恶意攻击，攻击检测模型认为当构成“三点一线”时，智能家居环境下的IOT设备就有可能遭受DNS重绑定的攻击，再通过对跳板设备上访问站点的JS代码分析，以及智能家居环境中的IOT设备API接口信息的综合审查，进一步判断是否遭受DNS重绑定攻击的风险。通过对DNS重绑定攻击的分析和攻击检测方法的研究有效防止智能家居环境下DNS重绑定攻击的发生。

所述的外部攻击者恶意DNS服务器，在智能家居设备中构建攻击模型，恶意DNS服务器承载重要的作用，它用来响应对www.rebinding.com 域名查询的请求，并且将TTL值设置为1s，因此使得它的响应结果不会长时间停留在本地DNS解析器的缓存中。当web浏览器再次执行查询的时候，有机会让恶意的DNS将www.rebinding.com的返回地址指向目标设备的IP地址。

所述的内部跳板web浏览器是在智能家居设备中构建攻击模型中重要的一环，它作为本地网络与外界网络交互的媒介，很容易遭受攻击，它被攻击者当作“肉鸡”来执行恶意的代码程序。在DNS重绑定的过程中，它作为对外部网络请求的发起者，与外部网络通信。攻击者在建立一些钓鱼链接之后，通过广告恶意弹窗等方式诱骗用户访问预置的链接地址进一步进行DNS的重绑定攻击。

IOT设备在智能家居环境中，作为DNS重绑定攻击的目标，存在很多的安全问题，厂商为了方便用户将设备接入局域网范围内提供服务，开放了诸多服务接口来完成设备提供的服务，在构建的攻击模型中，内部设备地址发现以及接口的发现是至关重要的问题，这两个内容是攻击者探测设备发起攻击的核心。

最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。