智能DNS系统建设

DNS系统作为宽带用户上网必须的基础服务,一旦DNS出现故障,会导致互联网上很多应用无法正常进行.本文主要研究如何建设智能DNS系统以实现对地址的智能解析、对互联网流量的智能引导,提高互联网出口本地化率.     

运营商DNS服务器优化解决方案

上海西默采用先进的技术理念突破了多项技术难点,灵活地将路由负载均衡,西默DNS技术应用到DNS优化中可以为运营商网络中心节省昂贵的四层交换机和SUN服务器的投资,使用西默智能DNS服务器来做网通的DNS服务器,大幅度降低了设备投资,并有效地提高了IP网络中的DNS服务能力和稳定性。     

CERNET省域网后备域名系统的设计与实现

DNS提供INTERNET中域名到IP地址的映射及转换,是INTERNET/Intranet网络资源访问不可缺少的基础服务.现行的DNS系统主要的服务过程中,依赖于对根域名等上层域名服务系统信息的访问,在CERNET省域网络内使用时缺乏一定的灵活性.针对CERNET省域网络内DNS服务的具体问题提出并设计了省域网后备域名系统.     

基于Microsoft网络的DNS命名结构设计策略研究

AD是Microsoft网络中的一项重要服务和网络管理的重要工具，是当今计算机网络的主流技术。正确的设计DNS系统结构是规划基于AD网络的重要前提。在系统分析DNS系统的基础上，总结归纳了DNS命名结构的4个设计策略：单一DNS结构；子域；单独的同名DNS结构；单独的DNS结构。同时针对这4种设计策略提出了一些观点和意见。     

关于提升DNS系统性能及实施差异化服务的策略探讨

就目前IP网络运营商DNS系统存在的一些主要问题,重点探讨如何利用技术手段提升DNS系统性能,在DNS系统实施差异化服务的策略以及结合DNS系统对垃圾邮件进行的限制等的扩展应用。相关方法和结论对提升DNS的维护水平和IP网络服务质量具有现实指导意义。     

高效管理DNS服务器

DNS系统用于命名组织到域层次结构中的计算机和网络服务,它主要应用于Internet等TCP／IP网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与之相关的其他信息。DNS服务器是非常关键的互联网基础设施,高效管理及使用DNS服务器,是网络管理员面临的一个重要问题。本专题将详细介绍如何通过相关配置和技术,来高效管理Linux下的DNS服务器。     

在RedHat8.0下建立安全化的DNS服务器

1引言 DNS服务作为互联网中的一项基本服务,起着不可取代的作用.多种网络操作系统都带有DNS功能,以笔者之见,Windows2000的DNS配置比较简单,UNIX LINUX的配置比较复杂,但效率比较高.下面我将侧重安全方面谈谈笔者的经验,不足之处请各位读者指教.     

大规模灾难性DNS安全事件智能防护系统设计研究

随着互联网业务的快速发展,基于域名解析的应用问题层出不穷,DNS作为互联网最重要的基础服务,其安全隐患也日益突出,本文设计了一种大规模灾难性DNS安全事件智能防护系统,通过建立大型容灾数据库,实现单个及大规模域名解析故障时,及时恢复业务,同时通过数据库中海量数据的分析,建立疑似攻击源自动发现和处置机制,系统可实现大幅提升DNS解析正确率、安全性及投诉处理效率.     

DNS安全漏洞以及防范策略研究

域名系统(DNS)服务在Internet服务中占据着非常重要的地位，但在最初设计DNS时却没有考虑它的安全问题，导致系统存在很多安全漏洞。针对它的安全脆弱性，文章对当前DNS遭受的网络攻击进行了深入分析，提出并剖析了一系列当前采用的安全防范措施；重点探讨了DNS安全扩展(DNSSEC)的安全防范思想、工作原理，并通过实例对它的工作流程进行具体分析，然后对DNSSEC做了性能评价，提出相关建议。最后在总结全文的基础上对DNS安全研究提出展望。     

基于云的域名解析服务模型

针对现行域名解析系统存在各种性能和安全上的问题(例如,查询延迟、更新延迟、易受DoS攻击等),提出了一种新型的、可增量部署的、和现行DNS兼容的、具有更好性能的域名解析服务模型。此服务模型基于云技术,利用云及其网络架构来发布DNS记录,响应用户的域名解析请求,提供域名解析服务。在此服务模型中,云的节点服务器实现了域名解析器和权威域名服务器的功能,域名的权威DNS记录被发布到各节点服务器,DNS查询结果直接由节点服务器返回给用户(现行的DNS则需要访问多级域名服务器来完成对域名解析器中未缓存的DNS记录的解析)。理论分析和实验证明,此服务模型与现行的各种域名解析服务相比,其DNS查询延迟、更新延迟、故障应变能力、可靠性等各方面性能都有显著提高。     

预防缓存中毒的DNS报文校验方案

域名系统安全是互联网技术的热点之一。近一段时期,由DNS缓存中毒引起的安全案例时有发生,严重影响了互联网的安全性和可靠性。深入分析了缓存中毒的实现机理,提出了一套面向局域网的DNS报文合法性校验方案。新方案中所设计的逆向校验算法,在不必修改DNS协议的前提下,增强了对DNS报文合法性的鉴别能力,改变了底层局域网络只能依靠上层服务器可靠性来预防缓存中毒攻击的被动局面。     

基于Linux平台的DNS服务器容错

在互联网中客户端都是采用域名的方式访问站点,域名到IP地址的映射由DNS域名解析服务器完成,一旦DNS域名解析服务器发生故障,将直接导致网站无法访问.LINUX是继UNIX功能的一种集安全性和高稳定性一体的开源和免费的操作系统.使用LINUX操作系统构建DNS域名解析服务器,通过使用区域传输来构建辅助DNS,能加强互联网站点的域名解析的安全性和容错功能.     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

域名系统的部署及安全性分析与建议

针对传统DNS结构可能存在的问题,为应对分布式拒绝服务攻击行为,提出了基于AnyCast的DNS部署方式,以进一步提高DNS的可靠性和性能。从DNS服务技术层面和域名注册业务流程等环节对域名系统进行了安全性分析,并提出了一些安全性建议。     

DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变,域名系统（domain namesystem,DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性,一旦受到攻击会造成严重的后果,因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击,包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS(distributed denial of service)攻击、DNS反射放大攻击、恶意DGA域名;然后,从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结;接着,从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术;最后,对未来的研究方向进行了展望。     

我国互联网域名系统的安全问题

域名系统面临的安全威胁和风险不断加大,安全事件增多主要是缺乏有效的监管和相应的更积极的技术手段和措施。因此,转变对互联网非传统安全问题的认识．充分研究域名系统面临的新情况、新问题和新威胁,切实增强保障域名系统安全的责任感和紧迫感,是保证我国互联网稳定发展的前提。     

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议（DNSSEC）在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构--拟态DNS（Mimic DNS,M-DNS）--保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.     

Circumventing security toolbars and phishing filters via rogue wireless access points

One of the solutions that has been widely used by naive users to protect against phishing attacks is security toolbars or phishing filters in web browsers. The present study proposes a new attack to bypass security toolbars and phishing filters via local DNS poisoning without the need of an infection vector. A rogue wireless access point (AP) is set up, poisoned DNS cache entries are used to forge the results provided to security toolbars, and thus misleading information is displayed to the victim. Although there are several studies that demonstrate DNS poisoning attacks, none to our best knowledge investigate whether such attacks can circumvent security toolbars or phishing filters. Five well‐known security toolbars and three reputable browser built‐in phishing filters are scrutinized, and none of them detect the attack. So ineptly, security toolbars provide the victim with false confirmative indicators that the phishing site is legitimate. Copyright © 2009 John Wiley & Sons, Ltd.     

基于DNS攻击的安全分析及其防范

DNS服务是一项基础网络的服务，它的主要作用是完成IP地址和域名的转换。它的安全性至关重要。本文分析了DNS的脆弱性，并提出了其防范DNS攻击的策略。