DNS安全漏洞以及防范策略研究

域名系统(DNS)服务在Internet服务中占据着非常重要的地位，但在最初设计DNS时却没有考虑它的安全问题，导致系统存在很多安全漏洞。针对它的安全脆弱性，文章对当前DNS遭受的网络攻击进行了深入分析，提出并剖析了一系列当前采用的安全防范措施；重点探讨了DNS安全扩展(DNSSEC)的安全防范思想、工作原理，并通过实例对它的工作流程进行具体分析，然后对DNSSEC做了性能评价，提出相关建议。最后在总结全文的基础上对DNS安全研究提出展望。     

Windows 2000的DHCP和DNS

本文首先扼要描述了Windows 2000环境下的网络特性，较详细地介绍了它的DHCP和DNS特性和服务，同时简要说明了如何在Windows 2000下设置并使用这些服务。     

您的DNS够安全、够智能吗？

DNS服务器的安全问题，已经成为影响网络安全、稳定的一个重要因素，对DNS的安全加固并实现智能化，以适应当前的互联网环境显得迫在眉睫。那么，我们就先分析一下常见的针对DNS服务常见的攻击方式。     

DNS安全防护探讨

本文主要介绍了DNS的定义、分类、解析过程和查询模式，并针对目前DNS所面临的安全形势，提出了加固DNS安全防护的措施。     

高效管理DNS服务器

DNS系统用于命名组织到域层次结构中的计算机和网络服务,它主要应用于Internet等TCP／IP网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与之相关的其他信息。DNS服务器是非常关键的互联网基础设施,高效管理及使用DNS服务器,是网络管理员面临的一个重要问题。本专题将详细介绍如何通过相关配置和技术,来高效管理Linux下的DNS服务器。     

DNS安全问题及解决方案

DNS是Intemet重要的基础设施,除基本的域名服务外,DNS在负载均衡、移动IP等方面也有着重要的应用.本文分析了DNS服务及应用所面临的安全问题,重点探讨了DNS体系结构的弱点,提出相关建议.     

在企业网中如何设置DNS

DNS是Internet/Intrant提供的最基本、使用最广泛的服务之一,是许多其它服务如www、mail、ftp等的基础,它是一种用于解决地址对应问题的一种方法。本文阐述了DNS的基本概念、城名解析的工作原理及DNS服务器的类型,并根据自己的实际经验以Linux系统为例,重点对在企业中如何设置DNS进行了深入探讨。     

互联网运营商DNS架构的安全加固

1引言 DNS（域名系统）是很多重要服务的基础,它充当着互联网上的黄页角色。由于提供的是公共服务,它的地址必须向公众公开,而且相对固定,不会经常发生地址变更从而影响用户的服务,因此具有目标大、易受攻击的特点。     

给用户完整DDI解决方案

近年来,DNS攻击事件频发,而传统安全产品在DNS防护方面又经常失效,这让DNS安全问题成为一道难题。该如何保护DNS？内置安全优于外接安全,Infoblox给我们提供了新的解决思路。作为一家DDI市场的领先公司,Infoblox独具优势,能够了解多数公司组织所面临的挑战,并尝试应对互联网以及相关DNS与DHCP服务不断变化的态势。     

基于域名的恶意行为检测技术

文章首先对域名恶意行为进行简述;然后从域名恶意行为生成机制、相似性、跳变性和互通性四个维度介绍现有的基于域名的恶意行为安全检测技术;之后从DNS流量检测系统和基于DNS数据挖据技术两个维度介绍现有的检测系统;最后展望了恶意域名检测的发展方向。     

预防缓存中毒的DNS报文校验方案

域名系统安全是互联网技术的热点之一。近一段时期,由DNS缓存中毒引起的安全案例时有发生,严重影响了互联网的安全性和可靠性。深入分析了缓存中毒的实现机理,提出了一套面向局域网的DNS报文合法性校验方案。新方案中所设计的逆向校验算法,在不必修改DNS协议的前提下,增强了对DNS报文合法性的鉴别能力,改变了底层局域网络只能依靠上层服务器可靠性来预防缓存中毒攻击的被动局面。     

基于Microsoft网络的DNS命名结构设计策略研究

AD是Microsoft网络中的一项重要服务和网络管理的重要工具，是当今计算机网络的主流技术。正确的设计DNS系统结构是规划基于AD网络的重要前提。在系统分析DNS系统的基础上，总结归纳了DNS命名结构的4个设计策略：单一DNS结构；子域；单独的同名DNS结构；单独的DNS结构。同时针对这4种设计策略提出了一些观点和意见。     

基于DNS协议的隐蔽信道研究

隐蔽信道能够以危害系统安全策略的方式传输信息,目前,基于网络协议的隐蔽信道研究已成为热点。域名系统协议（Domain Name System,DNS）用于将主机名字和IP地址之间的转换,是双向协议,互联网正常运行离不开DNS协议,因此可以基于DNS协议建立隐蔽信道。文中首先介绍隐蔽信道、DNS隐蔽信道的概念和原理,搭建DNS隐蔽信道系统,然后演示了DNS隧道工具的使用方法,最后针对现有的DNS隐蔽信道工具提出了几点改进措施,使DNS隐蔽信道数据传输更加高效。     

基于Linux平台的DNS服务器容错

在互联网中客户端都是采用域名的方式访问站点,域名到IP地址的映射由DNS域名解析服务器完成,一旦DNS域名解析服务器发生故障,将直接导致网站无法访问.LINUX是继UNIX功能的一种集安全性和高稳定性一体的开源和免费的操作系统.使用LINUX操作系统构建DNS域名解析服务器,通过使用区域传输来构建辅助DNS,能加强互联网站点的域名解析的安全性和容错功能.     

DNS隐私保护安全性分析

DNS服务已经深入互联网的各个角落。最初,DNS数据包被设计成未加密的形式传输于互联网上,然而这种设计并不安全,攻击者可以截获并分析DNS数据包来损害互联网用户的安全和隐私。在解决这些问题的同时,Google和CloudFlare等大型供应商采取了将DNS查找进行加密的方案,如DNS over Https(DoH)和DNS over TLS(DoT)。因此,研究在利用DNS over Https(DoH)加密技术后,供应商能否保护用户免受基于流量分析的监控和审查。首先利用LSTM技术和DoH流量的数据包大小创建分类器,其次在开放环境和封闭环境下分别测试分类器,最后通过分析DoH业务讨论如何选择性地阻止DoH攻击。     

Big Data Architecture for Scalable and Trustful DNS based on Sharded DAG Blockchain

Internet applications remain exposed to pervasive Domain Name System (DNS)–based threats. Blockchain technologies provide a new way for tackling DNS vulnerability issues, and have been highlighted recently. However, traditional blockchain is still not well suited for big data applications such as DNS, because the performance of blockchain consensus greatly limits its practical adoption. In this paper, we present DagGridLedger, a sharded directed acyclic graph (DAG) blockchain that provides scalable big data architecture for trustful DNS management. To achieve this goal, DagGridLedger proposes a radical new architecture that combines blockchain sharding and DAG techniques on the DNS resolver side, thereby making it a promising solution to enhance the security and stability of large-scale DNS system. To be specific, DagGridLedger provides a blockchain structure targeting DNS application, which employs a high-performance DAG consensus algorithm named DagGrid. DagGrid consensus realizes a multi-DNS negotiation mechanism through block sharding in generating a block. With an improved asynchronous leaderless Byzantine consensus, DagGrid implements total order determination, which guarantees the trustful DNS management. Further experiments verified the performance of DagGridLedger as well as the applicability of the proposed blockchain architecture in traditional DNS. To this end, DagGridLedger consistently achieves a big data architecture for secure DNS record management, with a novel shared DAG consensus designed for high throughput. This makes DagGridLedger a promising architecture for highly secure and efficient DNS solution.

     

基于策略的DNS及其配置

DNS(domain name system,域名系统)主要用来提供域名与IP地址相互映射的网络服务。以某大学城双出口网络中DNS为应用实例,介绍了一种基于BIND9技术的策略DNS配置方法。对于同一域名的查询请求,DNS可根据其客户端源IP地址不同,返回不同的解析结果。     

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议（DNSSEC）在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构--拟态DNS（Mimic DNS,M-DNS）--保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

一种基于DNAT技术的DNS重定向改进方案

DNS重定向是基于DNS欺骗实现的一种数据流重定向技术。文中首先总结了几种不同形式的DNS欺骗技术,重点分析了现有DNS重定向技术的实现方式及其所存在的缺陷:一是会直接暴露监测主机的IP地址;二是不能同时监测多个域名。然后介绍了NAT和DNAT的技术原理,并基于DNAT技术给出了一种针对现有DNS重定向技术实现缺陷的改进方案。最后给出了改进方案在Linux上的实现方法,对方案改进前后进行了对比,证明了改进方案的优越性。