DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变,域名系统（domain namesystem,DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性,一旦受到攻击会造成严重的后果,因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击,包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS(distributed denial of service)攻击、DNS反射放大攻击、恶意DGA域名;然后,从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结;接着,从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术;最后,对未来的研究方向进行了展望。     

基于多层级限速的DNS安全防护技术应用

针对DNS系统常见的攻击类型进行了分析,结合各类攻击手段对DNS系统安全防护几种典型技术进行了总结,同时结合运营商网络的情况,提出了一种基于多层级限速的DNS系统安全防护技术和解决方案,能有效解决传统DNS系统存在的安全防护能力不足的问题,有效地抵御现网针对DNS系统的DDoS流量攻击,对于今后DNS系统的安全防护功能的提升以及DNS系统的建设具有较好的指导和参考意义。     

基于统计分析和流量控制的DNS分布式拒绝服务攻击的检测及防御

DNS(Domain Name System)是目前大部分网络应用的基础,对DNS服务器的分布式拒绝服务攻击(Distributed Denial of Service简称DDoS攻击)将影响整个Internet的正常运转,目前对这种攻击还没有彻底的防范策略.本文提出了一种基于网络流量状态统计的攻击检测方案及基于流量牵引和tc流量控制的攻击包过滤方法,有效提高了DNS服务器的安全性和抗攻击性.此检测手段和过滤方法已经在实际应用中得到验证,取得明显的效果.     

DNS攻击检测与防御技术研究

作为分布式数据库系统,DNS可以用来管理主机名字和地址信息,以便为人们更好应用网络提供支持。但是,由于设计缺陷的存在,DNS较容易受到攻击,继而给网络安全埋下了隐患。而采用先进的技术进行DNS攻击的检测和防御,则可以进一步确保网络的安全。因此,基于这种认识,文章对DNS攻击检测和防御技术进行研究,以便为关注这一话题的人们提供参考。     

基于DNS的杠杆攻击的原理研究与防护

DNS是互联网的基础,为互联网服务提供基本支撑,其安全问题对运营商有举足轻重的影响。随着信息网络安全的发展,互联网出现了一种新的分布式拒绝服务攻击方式:DNS杠杆攻击,这种攻击能利用DNS协议的漏洞产生大量虚假通信,对互联网构成重大威胁。文中给出了杠杆攻击基于的协议和造成的主要危害,研究了DNS杠杆攻击的原理,并提出防火墙、BCP38、DNS惩罚机制、RRL等4种防护策略。     

基于统计分析和流量控制的DNS分布式拒绝服务攻击的检测及防御

DNS（Domain Name System）是目前大部分网络应用的基础,对ONS服务器的分布式拒绝服务攻击（Distributed Denial of Service简称DDoS攻击）将影响整个Internet的正常运转,目前对这种攻击还没有彻底的防范策略。本文提出了一种基于网络流量状态统计的攻击检测方案及基于流量牵引和tc流量控制的攻击包过滤方法,有效提高了DNS服务器的安全性和抗攻击性。此检测手段和过滤方法已经在实际应用中得到验证,取得明显的效果。     

分布式DNS反射DDoS攻击原理与防范

DDo S攻击近年来日益严重,其中DNS反射攻击成为不可忽视的重要攻击方法,本文对DNS反射攻击的原理及特点进行了深入分析,并就DNS反射攻击的防范提出了应对策略。     

DNS欺骗攻击的检测与防御

DNS在为Internet的正常运行提供可靠保障的同时也遭受来自网络的欺骗攻击威胁,DNS攻击具有隐秘性强、打击面大、攻击效果明显的特点。文章分析了DNS系统解析流程、DNS欺骗攻击原理和分类,并列出常见的欺骗攻击方式,提出不同检测方法,讨论了针对DNS欺骗攻击的防范策略,对提高DNS抗欺骗攻击能力具有明显效果。     

基于机器学习建模的XSS攻击防范检测

为了解决网络流量中跨站脚本攻击频发且攻击危害性高的问题,研究了基于机器学习算法建模的跨站脚本检测技术,从复杂的网络流量数据中发掘跨网站脚本(Cross-Site Scripting,XSS)攻击,然后结合专家经验和安全业务知识对数据进行打标学习,并采用机器学习技术训练算法模型,实现了对XSS攻击的自动化和智能检测功能....     

基于OpenFlow与sFlow的DDoS攻击防御方法

分布式拒绝服务(DDoS)攻击是目前比较流行的网络攻击,其破坏力大并且难以防范追踪,对互联网安全造成了极大的威胁。针对此问题提出了一种基于OpenFlow与sFlow的入侵检测方法,通过sFlow采样技术实时检测网络流量,依据网络正常流量设定流量阈值,并通过对超过阈值的异常流量进行攻击检测、判断攻击流,最终使用OpenFlow协议阻断攻击源。该方法可以在几秒内自动检测、处理多种DDoS攻击。实验结果表明,与现有方案对比,该方法能够实时检测并阻止DDoS攻击,有效降低网络资源消耗。     

基于流量强度的DDoS攻击源追踪快速算法

DDoS攻击以其破坏力大、易实施、难检测、难追踪等特点,而成为网络攻击中难处理的问题之一。攻击源追踪技术是阻断攻击源、追踪相关责任、提供法律证据的必要手段。基于网络拓扑理论和路由器流量特性原理以及可编程式路由器的体系结构,提出了一种追踪DDoS攻击源的分布式快速算法,该算法可以准确、协调、高效地判断路由器的数据流量值,受害者可以根据流量强度推断出恶意攻击数据流的来源,从而快速追溯和定位DDoS攻击源。     

一种新的分布式DDoS攻击防御体系

Internet技术的发展和应用,给人们的生产和生活带来了很多便捷,但随之出现的网络安全问题,也成为日益严重的社会问题。针对网络中存在的DDoS攻击进行研究,以分布式并行系统的思想为基础,建立了一种新型DDoS攻击的安全防御体系。该体系通过不同组件间的相互协调、合作,实现了对DDoS攻击的分析及其防御。在对DDoS的攻击流量进行分析的过程中,以数据挖掘的模糊关联规则的方法进行分析,并实现了对攻击源的定位,有效地避免了攻击造成进一步的危害。     

基于IPFIX的DNS异常行为检测方法

提出了一种基于IPFIX（IP数据流信息输出）网络流量数据准确检测可疑和异常DNS、识别DNS流量放大攻击行为的算法。该算法已在清华大学校园网实际部署运行,能够有效检测到校园网内部DNS的异常行为并发送告警信息,从而及时控制攻击行为,实现异常流量的及时监测和预警。     

Box counting–based multifractal analysis of network to detect Domain Name Server attack

Domain Name Server (DNS) is a type of server used to maintain and process the IP addresses of all the domains in the Internet. It works by responding with corresponding IP addresses when a client requests with a domain name. The DNS can be attacked by redirecting all the incoming traffic to a fake server by returning fake IP address when requested by a client. In this work, a novel work has been employed to detect DNS attack using box‐counting method (BCM)–based multifractal analysis. A set of network features are selected and rules are created using CISCO's Flowspec model, and those features are analysed using BCM technique to find the attack in the network traffic. To the best of our knowledge, this is the first work that implements Flowspec‐based monitoring of DNS attack using fractal analysis.     

DNS‐Class: immediate classification of IP flows using DNS

Nowadays we see a tremendous growth of the Internet, especially in terms of the amont of data being transmitted and new network protocols being introduced. This poses a challenge for network administrators, who need adequate tools for network management. Recent findings show that DNS can contribute valuable information on IP flows and improve traffic visibility in a computer network. In this paper, we apply these findings on DNS to propose a novel traffic classification algorithm with interesting features. We experimentally show that the information carried in domain names and port numbers is sufficient for immediate classification of a highly significant portion of the traffic. We present DNS‐Class: an innovative, fast and reliable flow‐based traffic classification algorithm, which on average yields 99.8% of true positives and < 0.1% of false positives on real traffic traces. The algorithm can work as a major element of a modular system in a cascade architecture. Additionally, we provide an analysis on how various network protocols depend on DNS in terms of flows, packets and bytes. We release the complete source code implementing the presented system as open source. Copyright © 2014 John Wiley & Sons, Ltd.     

多线ISP链路出口的边界网设计

根据中山大学校园网边界网的实际情况,阐述在多线ISP链路出口环境下的路由选择、源网络地址转换、精细化流量管理、逆向代理及基于边界系统的智能域名解析等技术,从而提出一种合理的大规模校园网多线ISP链路出口解决方案。     

基于PROBE的DDOS攻击检测分析

分布式拒绝服务(DDOS)攻击是目前严重威胁网络安全和影响网站服务质量的一种攻击手段DDOS攻击就是利用多个分布式攻击源向攻击对象发送超出攻击目标处理能力的海量数据包,来消耗可用系统和带宽资源,从而导致网络服务瘫痪的一种攻击.目前有很多方法检测和防御DDOS攻击,传统的检测和防范措施是基于特征匹配的检测往往要求有一定的先验知识难以区分突发正常流量与DDOS攻击.本文通过介绍PROBE技术来检测应对DDOS攻击,并探究了PROBE在DDOS攻击检测中的应用策略.     

基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

基于地域通信网流量攻击方法的仿真研究

地域通信网中各节点之间的正常通信是保障作战胜利的关键,由于地域通信网中各节点间的连接多采用无线链路,可以使用流量攻击的方法对链路进行攻击,使各节点通信中断。在分析流量控制和拥塞控制的基础上,结合OPNET仿真软件建立网络模型,通过仿真研究验证了流量攻击法可以有效地使地域通信网通信中断,达到攻击的目的。     

基于策略的DNS及其配置

DNS(domain name system,域名系统)主要用来提供域名与IP地址相互映射的网络服务。以某大学城双出口网络中DNS为应用实例,介绍了一种基于BIND9技术的策略DNS配置方法。对于同一域名的查询请求,DNS可根据其客户端源IP地址不同,返回不同的解析结果。