保障网络安全，为远程教育提速

基于互联网中频发的DNS安全事件,有多种方法来减少威胁,如为．com和．net域名部署DNS安全扩展协议（DNSSEC）,防止互联网的域名系统（DNS）受到“中间人”和缓存投毒攻击。     

面向用户感知的移动互联网缓存加速系统研究

针对上海电信移动网提升用户网站访问速度体验的要求,从用户HTTP(超文本传输协议)访问目的地址分布、源站拨测和用户感知APP数据分析的三个维度,论证在移动核心网中部署Web Cache(互联网缓存加速)系统必要性。对比分析从策略路由引流和DNS(域名系统)+HTTP重定向两种缓存方式的缓存效果、扩展性,然后指出:在移动网单独建设DNS+HTTP重定向缓存加速系统方案更加合理。     

电信DNS系统安全分析

DNS（域名系统）作为互联网的基础设施,在互联网服务中占据着越来越重要的地位。保障DNS系统的安全运行对运营商来说具有极其重要的意义。本文主要介绍了DNS系统面临的主要安全问题和相应的安全防护方案。     

配置和管理DNS经验集

限制名字服务器递归查询功能 关闭递归查询可以使名字服务器进入被动模式,它再向外部的DNS发送查询请求时,只会回答自己授权域的查询请求,而不会缓存任何外部的数据,所以不可能遭受缓存中毒攻击,但是这样做也有负面的效果,那就是降低了DNS的域名解析速度和效率。     

电信 DNS 系统安全分析

DNS(域名系统)作为互联网的基础设施,在互联网服务中占据着越来越重要的地位.保障 DNS 系统的安全运行对运营商来说具有极其重要的意义.本文主要介绍了 DNS 系统面临的主要安全问题和相应的安全防护方案     

DNSSec技术发展及应用展望

DNSSec技术背景 作为互联网基础公共设施之一的域名服务系统,其安全性一直没有得到有效保障。DNS系统自身存在软件漏洞,并且经常遭到如域名劫持、缓存中毒、DDoS（分布式拒绝服务）等攻击,导致整个或部分网络的瘫痪。域名系统受攻击事件层出不穷,近年更是呈愈演愈烈之势。     

大型运营商DNS智能解析关键技术及方案

主要分析了DNS智能解析的原理与优点、运营商DNS智能解析的实现,对涉及的关键技术包括缓存设备与递归设备智能解析技术、缓存视图、智能递归服务器调度进行了研究与分析,根据大型运营商的网络智能化特点,分析并提出了DNS智能解析优化的技术方案,可为运营商DNS的优化发展、建设提供参考.     

一种基于客户感知的DNS一键应急系统

域名服务是一种互联网应用层资源的寻址服务,能够使用户更方便地访问互联网,而不用去记住IP地址,域名解析服务是其他互联网络应用服务的基础。当DNS系统发生故障时,通过人工方式来进行DNS切换,工作效率低、时间长,势必会影响用户体验。基于此,特开发一套DNS一键应急系统。可在DNS服务器故障或单节点故障时,一键式对选择的DNS缓存设备下发应急操作,快速恢复DNS业务,保证客户感知和满意度,避免大面积投诉发生。     

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议（DNSSEC）在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构--拟态DNS（Mimic DNS,M-DNS）--保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.     

基于神经网络的DNS隐蔽信道检测

分析了目前对域名系统(Domain Name System,DNS)隐蔽信道的各种检测方法和DNS隐蔽信道报文与DNS常规报文之间的区别,针对目前的检测方法需要手动设定大量特征和需要区分查询与应答报文的不足,提出了基于卷积神经网络和基于长短期记忆神经网络的两种检测方法.通过对真实校园网DNS流量与黑客工具产生的DNS隐...     

DNS隐私保护安全性分析

DNS服务已经深入互联网的各个角落。最初,DNS数据包被设计成未加密的形式传输于互联网上,然而这种设计并不安全,攻击者可以截获并分析DNS数据包来损害互联网用户的安全和隐私。在解决这些问题的同时,Google和CloudFlare等大型供应商采取了将DNS查找进行加密的方案,如DNS over Https(DoH)和DNS over TLS(DoT)。因此,研究在利用DNS over Https(DoH)加密技术后,供应商能否保护用户免受基于流量分析的监控和审查。首先利用LSTM技术和DoH流量的数据包大小创建分类器,其次在开放环境和封闭环境下分别测试分类器,最后通过分析DoH业务讨论如何选择性地阻止DoH攻击。     

Circumventing security toolbars and phishing filters via rogue wireless access points

One of the solutions that has been widely used by naive users to protect against phishing attacks is security toolbars or phishing filters in web browsers. The present study proposes a new attack to bypass security toolbars and phishing filters via local DNS poisoning without the need of an infection vector. A rogue wireless access point (AP) is set up, poisoned DNS cache entries are used to forge the results provided to security toolbars, and thus misleading information is displayed to the victim. Although there are several studies that demonstrate DNS poisoning attacks, none to our best knowledge investigate whether such attacks can circumvent security toolbars or phishing filters. Five well‐known security toolbars and three reputable browser built‐in phishing filters are scrutinized, and none of them detect the attack. So ineptly, security toolbars provide the victim with false confirmative indicators that the phishing site is legitimate. Copyright © 2009 John Wiley & Sons, Ltd.     

基于Linux平台的DNS服务器容错

在互联网中客户端都是采用域名的方式访问站点,域名到IP地址的映射由DNS域名解析服务器完成,一旦DNS域名解析服务器发生故障,将直接导致网站无法访问.LINUX是继UNIX功能的一种集安全性和高稳定性一体的开源和免费的操作系统.使用LINUX操作系统构建DNS域名解析服务器,通过使用区域传输来构建辅助DNS,能加强互联网站点的域名解析的安全性和容错功能.     

DNS安全问题及解决方案

DNS是Intemet重要的基础设施,除基本的域名服务外,DNS在负载均衡、移动IP等方面也有着重要的应用.本文分析了DNS服务及应用所面临的安全问题,重点探讨了DNS体系结构的弱点,提出相关建议.     

我国互联网域名系统的安全问题

域名系统面临的安全威胁和风险不断加大,安全事件增多主要是缺乏有效的监管和相应的更积极的技术手段和措施。因此,转变对互联网非传统安全问题的认识．充分研究域名系统面临的新情况、新问题和新威胁,切实增强保障域名系统安全的责任感和紧迫感,是保证我国互联网稳定发展的前提。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

大规模灾难性DNS安全事件智能防护系统设计研究

随着互联网业务的快速发展,基于域名解析的应用问题层出不穷,DNS作为互联网最重要的基础服务,其安全隐患也日益突出,本文设计了一种大规模灾难性DNS安全事件智能防护系统,通过建立大型容灾数据库,实现单个及大规模域名解析故障时,及时恢复业务,同时通过数据库中海量数据的分析,建立疑似攻击源自动发现和处置机制,系统可实现大幅提升DNS解析正确率、安全性及投诉处理效率.     

Internet infrastructure security: a taxonomy

The pervasive and ubiquitous nature of the Internet coupled with growing concerns about cyber terrorism demand immediate solutions for securing the Internet infrastructure. So far, the research in Internet security primarily focused on. securing the information rather than securing the infrastructure itself. Given the prevailing threat situation, there is a compelling need to develop architectures, algorithms, and protocols to realize a dependable Internet infrastructure. In order to achieve this goal, the first and foremost step is to develop a comprehensive understanding of the security threats and existing solutions. This article attempts to fulfill this important step by providing a taxonomy of security attacks, which are classified into four main categories: DNS hacking, routing table poisoning, packet mistreatment, and denial-of-service attacks. The article discusses the existing solutions for each of these categories, and also outlines a methodology for developing secure protocols.     

DNS缓存投毒攻击原理与防御策略

DNS is one of the most important basic infrastructures of the Internet, attacks on which will prevent the Internet from working properly. Therefore, its security is receiving great concern. This paper analyzes the principles of both traditional and novel （Kaminsky） DNS cache poisoning, presents attack samples and describes the whole attack process in detail. After verifying the potential harm of DNS cache poisoning, the paper gives out several defense strategies.