Onderzoek naar soorten DNS-misbruik

SIDN Labs presenteert haar onderzoek naar verschillende typen misbruik van het DNS en hoe TLD-beheerders hun datasets kunnen gebruiken om die te signaleren.

De veiligheid van het DNS is één van de belangrijkste onderzoeksgebieden waar we ons bij SIDN Labs op richten. Ons doel is om die verder te verhogen en met onze resultaten bedrijfsdiensten en –processen te innoveren, zowel binnen SIDN als daarbuiten. Zo draaien we momenteel samen met 32 registrars een pilot met ons experimentele nDEWS-systeem. nDEWS is erop gericht om verdachte net geregistreerde ('zero day') domeinnamen te herkennen aan de hand van het aantal DNS-bevragingen vlak na de registratie. (Voor registrars die geïnteresseerd zijn in deze gratis dienst: zie deze website.)

Misbruik van het DNS neemt echter ook andere vormen aan. Zoals we in onze paper toelichten, zijn andere soorten misbruik bijvoorbeeld spamdomeinen, de verspreiding van malware, command-and-control botnets en de verkoop van nepproducten en drugs via webshops. Elke vorm van misbruik heeft zijn eigen ‘bedrijfsmodel’ dat unieke sporen achterlaat in de datasets die we als .nl-registry beheren. (Tot die datasets behoren registratiegegevens, authoritative internetverkeer en DNS-records, zoals hieronder afgebeeld.)

TLD Operations

Figure 1: TLD Operations: registration (left), domain name resolution (right), and derived datasets. Source: DISSECT 2017 paper.

Hoewel er al veel kwalitatief onderzoek naar misbruik van het DNS is gepubliceerd, betreft dit voornamelijk studies die betrekking hebben op gegevens voor een bepaalde periode of van een bepaald type misbruik. Dit omdat de onderzoekers niet over alle gegevens beschikken. Die intrinsieke beperking geldt niet voor ons, omdat wij als de registry voor .nl toegang hebben tot een continue stroom van allerlei gegevens.

Alvorens te besluiten hoe verder te gaan, moesten we duidelijk inzicht krijgen in wat er al in de literatuur aan bod was gekomen en welke criminele bedrijfsmodellen er in gebruik waren. We presenteerden daarom in eerste instantie een abstract tijdens de workshop DNS and Internet Naming Research Directions 2016, georganiseerd door de ISI/USC in Marina del Rey, Californië, direct na de IMC 2016. (Zie onze vorige blog voor meer informatie.)

Sindsdien hebben we dit abstract uitgewerkt tot een paper, getiteld Domain names abuse and TLDs: from monetization towards mitigation. De paper geeft een beknopt overzicht van de bedrijfsmodellen die malafide partijen momenteel toepassen om het DNS te misbruiken, en de sporen die deze modellen achterlaten in onze datasets. Dit is niet alleen nuttig voor ons SIDN Labs-team, dat deze informatie kan gebruiken bij het ontwerpen van nieuwe veiligheidsoplossingen, maar ook voor andere onderzoekers en registry’s die geïnteresseerd zijn in het ontwikkelen van hun eigen oplossingen.

Wij presenteren onze paper tijdens de 3rd IEEE/IFIP Workshop on Security for Emerging Distributed Network Technologies (DISSECT), die op dezelfde locatie wordt gehouden als het IFIP/IEEE International Symposium on Integrated Network Management (IM 2017). De 2 evenementen vinden plaats in mei 2017, in Lissabon, Portugal. Wij nodigen je uit om de post-print versie van onze paper te lezen en ontvangen graag je feedback.

Uit het abstract:

Achter domeinnamen zitten lucratieve (en ingenieuze) bedrijfsmodellen verscholen die misbruik maken van de DNS-namespace en deze op allerlei manieren ten gelde maken. Veel onderzoeksvoorstellen hebben betrekking op het inperken van dit misbruik. Hoewel de voorgestelde onderzoeken waardevol zijn en leiden tot innovatie, hebben zij slechts betrekking op beperkte datasets en geeft geen ervan een overzicht van de diverse soorten DNS-misbruik. In deze paper heffen wij deze beperkingen op door middel van een case study naar één topleveldomein (TLD) beheerder (.nl) met verschillende longitudinale datasets. We bespreken vervolgens acht bedrijfsmodellen die bij misbruik van het DNS worden toegepast, met de bijbehorende vormen van tegeldemaking. Tevens gaan wij in op de mogelijkheden voor TLD beheerders om deze datasets te gebruiken voor het signaleren van dergelijke vormen van misbruik.

Reacties

  • zondag 17 juni 2018

    Nieuws

    Het groene slotje biedt geen garanties. Maar wat dan wel?

    Thumb-https

    Hoe laat je zien dat jouw website wel betrouwbaar is?

    Lees meer
  • vrijdag 26 april 2019

    Weblog

    De privacy van het DNS verhogen met QNAME minimisation

    Thumb-personal-data

    De querynaam minimaliseren

    Lees meer
  • dinsdag 30 oktober 2018

    Nieuws

    SIDN en NBIP werken samen aan DDoS-onderzoek

    NBIP-thumbnail

    Presentatie van het onderzoek op 19 november in Utrecht

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.