分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值（TTL）智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。     

DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变，域名系统（domain name system，DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性，一旦受到攻击会造成严重的后果，因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击，包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS（distributed denial of service）攻击、DNS 反射放大攻击、恶意 DGA 域名；然后，从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结；接着，从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术；最后，对未来的研究方向进行了展望。     

DNS欺骗攻击的检测与防御

DNS在为Internet的正常运行提供可靠保障的同时也遭受来自网络的欺骗攻击威胁,DNS攻击具有隐秘性强、打击面大、攻击效果明显的特点。文章分析了DNS系统解析流程、DNS欺骗攻击原理和分类,并列出常见的欺骗攻击方式,提出不同检测方法,讨论了针对DNS欺骗攻击的防范策略,对提高DNS抗欺骗攻击能力具有明显效果。     

基于多层级限速的DNS安全防护技术应用

针对DNS系统常见的攻击类型进行了分析,结合各类攻击手段对DNS系统安全防护几种典型技术进行了总结,同时结合运营商网络的情况,提出了一种基于多层级限速的DNS系统安全防护技术和解决方案,能有效解决传统DNS系统存在的安全防护能力不足的问题,有效地抵御现网针对DNS系统的DDoS流量攻击,对于今后DNS系统的安全防护功能的提升以及DNS系统的建设具有较好的指导和参考意义。     

基于DNS的杠杆攻击的原理研究与防护

DNS是互联网的基础,为互联网服务提供基本支撑,其安全问题对运营商有举足轻重的影响。随着信息网络安全的发展,互联网出现了一种新的分布式拒绝服务攻击方式:DNS杠杆攻击,这种攻击能利用DNS协议的漏洞产生大量虚假通信,对互联网构成重大威胁。文中给出了杠杆攻击基于的协议和造成的主要危害,研究了DNS杠杆攻击的原理,并提出防火墙、BCP38、DNS惩罚机制、RRL等4种防护策略。     

DNS攻击检测与防御技术研究

作为分布式数据库系统,DNS可以用来管理主机名字和地址信息,以便为人们更好应用网络提供支持。但是,由于设计缺陷的存在,DNS较容易受到攻击,继而给网络安全埋下了隐患。而采用先进的技术进行DNS攻击的检测和防御,则可以进一步确保网络的安全。因此,基于这种认识,文章对DNS攻击检测和防御技术进行研究,以便为关注这一话题的人们提供参考。     

超大异常流量攻击的防御思路探讨

提出了应对超大异常流量攻击的防御思路,该思路中将防御策略分为短期策略和长期策略。短期措施主要在现有异常流量防护措施的基础上,进一步提升对超大异常流量攻击的防护能力;而长期策略试图从虚假源地址过滤、开放服务的协议方面进行改进。随着可利用的DNS、NTP等公共服务器资源将逐步减少,攻击者将转为挖掘新的可用于流量反射放大的应用协议。由于以"反射、放大流量"为特性的超大异常流量攻击仍将保持发展,对它的安全防御仍有待在实践中检验和不断完善。     

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议（DNSSEC）在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构--拟态DNS（Mimic DNS,M-DNS）--保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.     

基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

基于统计分析和流量控制的DNS分布式拒绝服务攻击的检测及防御

DNS(Domain Name System)是目前大部分网络应用的基础,对DNS服务器的分布式拒绝服务攻击(Distributed Denial of Service简称DDoS攻击)将影响整个Internet的正常运转,目前对这种攻击还没有彻底的防范策略.本文提出了一种基于网络流量状态统计的攻击检测方案及基于流量牵引和tc流量控制的攻击包过滤方法,有效提高了DNS服务器的安全性和抗攻击性.此检测手段和过滤方法已经在实际应用中得到验证,取得明显的效果.     

基于DNS攻击的安全分析及其防范

DNS服务是一项基础网络的服务，它的主要作用是完成IP地址和域名的转换。它的安全性至关重要。本文分析了DNS的脆弱性，并提出了其防范DNS攻击的策略。     

互联网DNS安全剖析

首先指出了互联网DNS系统面临的各类安全性风险,就常见安全风险进行了简要分析。进而,详细研究了DNS安全防护的实施措施,还建议尝试对DNS系统管理机制进行合理改进,以提高对各种攻击行为的防御效果,望引起重视。     

基于统计分析和流量控制的DNS分布式拒绝服务攻击的检测及防御

DNS（Domain Name System）是目前大部分网络应用的基础,对ONS服务器的分布式拒绝服务攻击（Distributed Denial of Service简称DDoS攻击）将影响整个Internet的正常运转,目前对这种攻击还没有彻底的防范策略。本文提出了一种基于网络流量状态统计的攻击检测方案及基于流量牵引和tc流量控制的攻击包过滤方法,有效提高了DNS服务器的安全性和抗攻击性。此检测手段和过滤方法已经在实际应用中得到验证,取得明显的效果。     

保障网络安全，为远程教育提速

基于互联网中频发的DNS安全事件,有多种方法来减少威胁,如为．com和．net域名部署DNS安全扩展协议（DNSSEC）,防止互联网的域名系统（DNS）受到“中间人”和缓存投毒攻击。     

给用户完整DDI解决方案

近年来,DNS攻击事件频发,而传统安全产品在DNS防护方面又经常失效,这让DNS安全问题成为一道难题。该如何保护DNS？内置安全优于外接安全,Infoblox给我们提供了新的解决思路。作为一家DDI市场的领先公司,Infoblox独具优势,能够了解多数公司组织所面临的挑战,并尝试应对互联网以及相关DNS与DHCP服务不断变化的态势。     

铁通广东分公司DNS负载均衡记——F5负载均衡功能，提高系统性能和高可用性

项目背景：铁通广东分公司的DNS服务器为长江以南地区铗通用户作域名解析服务,峰值的连接数为50万个。1）单台DNS服务器存在单点故障及负载瓶颈,一旦出现故障或者超过服务器的处理能力,将影响客户的访问。2）Internet上的任何主机都可以向DNS服务器发送请求,DNS服务器都会进行应答,这不仅可能让他人滥用DNS服务器,而且黑客也会利用地址欺骗攻击DNS服务器。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

预防缓存中毒的DNS报文校验方案

域名系统安全是互联网技术的热点之一。近一段时期,由DNS缓存中毒引起的安全案例时有发生,严重影响了互联网的安全性和可靠性。深入分析了缓存中毒的实现机理,提出了一套面向局域网的DNS报文合法性校验方案。新方案中所设计的逆向校验算法,在不必修改DNS协议的前提下,增强了对DNS报文合法性的鉴别能力,改变了底层局域网络只能依靠上层服务器可靠性来预防缓存中毒攻击的被动局面。     

域名系统高可用性方案设计与实现

DNS系统是互联网重要的基础设施,一旦因软硬件故障、遭受攻击、负载过重等原因变得不可用,将导致用此DNS系统的用户无法访问所有互联网上的域名,从而使网络基本处于瘫痪状态。对DNS系统的安全防护应从物理安全、主机安全、网络安全、应用及数据安全、威胁防护五个方面进行考虑,应对DNS系统通过负载均衡等技术进行高可用性设计。     

WindowsDNS服务器远程栈溢出漏洞的应用研究

文章介绍了系统安全漏洞和针对系统安全漏洞攻击的基本实现原理,通过对具体漏洞的分析,提出了Windows系统中基于DNS服务远程栈缓冲区溢出攻击的具体实现方法,同时也给出了针对系统安全漏洞的一些防御和避免措施。