DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变,域名系统（domain namesystem,DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性,一旦受到攻击会造成严重的后果,因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击,包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS(distributed denial of service)攻击、DNS反射放大攻击、恶意DGA域名;然后,从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结;接着,从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术;最后,对未来的研究方向进行了展望。     

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议（DNSSEC）在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构--拟态DNS（Mimic DNS,M-DNS）--保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.     

DNS欺骗攻击的检测与防御

DNS在为Internet的正常运行提供可靠保障的同时也遭受来自网络的欺骗攻击威胁,DNS攻击具有隐秘性强、打击面大、攻击效果明显的特点。文章分析了DNS系统解析流程、DNS欺骗攻击原理和分类,并列出常见的欺骗攻击方式,提出不同检测方法,讨论了针对DNS欺骗攻击的防范策略,对提高DNS抗欺骗攻击能力具有明显效果。     

基于多层级限速的DNS安全防护技术应用

针对DNS系统常见的攻击类型进行了分析,结合各类攻击手段对DNS系统安全防护几种典型技术进行了总结,同时结合运营商网络的情况,提出了一种基于多层级限速的DNS系统安全防护技术和解决方案,能有效解决传统DNS系统存在的安全防护能力不足的问题,有效地抵御现网针对DNS系统的DDoS流量攻击,对于今后DNS系统的安全防护功能的提升以及DNS系统的建设具有较好的指导和参考意义。     

SSL-Webmail中间人监测技术研究

SSL协议是实现网络通信安全的关键协议之一,对信息的传输起到了认证和加密的作用,绝大多数电子邮箱都采用此技术传输信息,但其并非毫无漏洞。文中首先介绍SSL协议和HTTP协议,然后介绍了SSL欺骗,即SSL中间人攻击的原理,再结合DNS欺骗原理,重点分析了SSL中间人攻击的实现过程,并且分析了一种基于有限状态自动机的模式匹配算法的解析数据的方法,最后提出了基本的防范方法。     

基于有限状态机的DNS隐蔽通信模型

DNS(domain name system)作为互联网基础设施的重要组成部分,其数据一般不会被防火墙等网络安全防御设备拦截。以DNS协议为载体的隐蔽信道具有较强的穿透性和隐蔽性,已然成为攻击者惯用的命令控制和数据回传手段。现有研究中缺乏对真实APT(advanced persistent threat)攻击中DNS隐蔽信道的检测技术或方法,且提取的特征不够全面。为深入分析攻击流量和行为特征,基于有限状态机对真实APT攻击中DNS隐蔽通信建模,剖析了APT攻击场景下DNS隐蔽信道的构建机理,详细阐述了其数据交互过程,通过总结和分析DNS隐蔽通信机制,基于有限状态机建立通信模型,提出通信过程中存在关闭、连接、命令查询、命令传输等7种状态,控制消息和数据消息等不同类型消息的传输将触发状态迁移。利用泄露的Glimpse工具模拟真实APT攻击下DNS隐蔽通信,结合Helminth等恶意样本实验验证了模型的适用性和合理性,为人工提取特征提供了充分的依据。     

大规模灾难性DNS安全事件智能防护系统设计研究

随着互联网业务的快速发展,基于域名解析的应用问题层出不穷,DNS作为互联网最重要的基础服务,其安全隐患也日益突出,本文设计了一种大规模灾难性DNS安全事件智能防护系统,通过建立大型容灾数据库,实现单个及大规模域名解析故障时,及时恢复业务,同时通过数据库中海量数据的分析,建立疑似攻击源自动发现和处置机制,系统可实现大幅提升DNS解析正确率、安全性及投诉处理效率.     

DNS攻击检测与防御技术研究

作为分布式数据库系统,DNS可以用来管理主机名字和地址信息,以便为人们更好应用网络提供支持。但是,由于设计缺陷的存在,DNS较容易受到攻击,继而给网络安全埋下了隐患。而采用先进的技术进行DNS攻击的检测和防御,则可以进一步确保网络的安全。因此,基于这种认识,文章对DNS攻击检测和防御技术进行研究,以便为关注这一话题的人们提供参考。     

分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值（TTL）智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。     

基于DNS协议的隐蔽信道研究

隐蔽信道能够以危害系统安全策略的方式传输信息,目前,基于网络协议的隐蔽信道研究已成为热点。域名系统协议（Domain Name System,DNS）用于将主机名字和IP地址之间的转换,是双向协议,互联网正常运行离不开DNS协议,因此可以基于DNS协议建立隐蔽信道。文中首先介绍隐蔽信道、DNS隐蔽信道的概念和原理,搭建DNS隐蔽信道系统,然后演示了DNS隧道工具的使用方法,最后针对现有的DNS隐蔽信道工具提出了几点改进措施,使DNS隐蔽信道数据传输更加高效。     

域名系统高可用性方案设计与实现

DNS系统是互联网重要的基础设施,一旦因软硬件故障、遭受攻击、负载过重等原因变得不可用,将导致用此DNS系统的用户无法访问所有互联网上的域名,从而使网络基本处于瘫痪状态。对DNS系统的安全防护应从物理安全、主机安全、网络安全、应用及数据安全、威胁防护五个方面进行考虑,应对DNS系统通过负载均衡等技术进行高可用性设计。     

给用户完整DDI解决方案

近年来,DNS攻击事件频发,而传统安全产品在DNS防护方面又经常失效,这让DNS安全问题成为一道难题。该如何保护DNS？内置安全优于外接安全,Infoblox给我们提供了新的解决思路。作为一家DDI市场的领先公司,Infoblox独具优势,能够了解多数公司组织所面临的挑战,并尝试应对互联网以及相关DNS与DHCP服务不断变化的态势。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

美大面积断网凸显建立域名解析高水平联动协调机制的重要性

互联网域名系统(DNS)是确保互联网安全稳定运行的逻辑基础设施,但也因其重要性和脆弱性一直是安全攻击的重灾区。近年来,针对域名系统的攻击时有发生,且形式日趋多样化,最近发生的由物联网设备发起的针对Dyn的攻击而导致美国大面积断网就是最新例证。为有效应对类似问题,防止大面积断网事件在中国发生,政府应加强统筹协调,建立涵盖所有相关域名服务机构的高水平联动协调机制。本文从安全意识、体制机制、服务改进、软硬件研发等多个方面提出应对建议。当然,长期而言,DNS协议的改进才是最根本的应对措施,中国互联网社群在这一领域大有可为。     

分布式DNS反射DDoS攻击原理与防范

DDo S攻击近年来日益严重,其中DNS反射攻击成为不可忽视的重要攻击方法,本文对DNS反射攻击的原理及特点进行了深入分析,并就DNS反射攻击的防范提出了应对策略。     

互联网域名系统管理新机制的研究

域名系统(DNS)既是互联网的基础业务,又是互联网基础设施的重要组成部分。随着IP技术向电信领域的渗透,一些电信业务也越来越依赖于DNS系统。而现有DNS体系实际上是由美国间接控制的,存在一定的安全隐患。因此新型DNS系统的研究已经开始受到重视,本文提出了一种与现行DNS系统兼容的、新型的互联网域名解析体系,以期提高DNS系统的安全性。     

互联网DNS负载分担的技术探讨

DNS是互联网重要的组成部分，文章通过比较Anycasl和4层交换机两种不同的DNS负载分担方式，对电信运营商如何组建安全、稳定的DNS系统提供了有实际意义的参考意见。     

DNS隐私保护安全性分析

DNS服务已经深入互联网的各个角落。最初,DNS数据包被设计成未加密的形式传输于互联网上,然而这种设计并不安全,攻击者可以截获并分析DNS数据包来损害互联网用户的安全和隐私。在解决这些问题的同时,Google和CloudFlare等大型供应商采取了将DNS查找进行加密的方案,如DNS over Https(DoH)和DNS over TLS(DoT)。因此,研究在利用DNS over Https(DoH)加密技术后,供应商能否保护用户免受基于流量分析的监控和审查。首先利用LSTM技术和DoH流量的数据包大小创建分类器,其次在开放环境和封闭环境下分别测试分类器,最后通过分析DoH业务讨论如何选择性地阻止DoH攻击。     

基于DNS攻击的安全分析及其防范

DNS服务是一项基础网络的服务，它的主要作用是完成IP地址和域名的转换。它的安全性至关重要。本文分析了DNS的脆弱性，并提出了其防范DNS攻击的策略。     

互联网DNS安全剖析

首先指出了互联网DNS系统面临的各类安全性风险,就常见安全风险进行了简要分析。进而,详细研究了DNS安全防护的实施措施,还建议尝试对DNS系统管理机制进行合理改进,以提高对各种攻击行为的防御效果,望引起重视。