DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变,域名系统（domain namesystem,DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性,一旦受到攻击会造成严重的后果,因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击,包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS(distributed denial of service)攻击、DNS反射放大攻击、恶意DGA域名;然后,从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结;接着,从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术;最后,对未来的研究方向进行了展望。     

DNS安全机制的研究

探讨域名服务系统中存在的安全问题及其可能造成的危害，并讨论了一种通过对现有的ＤＮＳ的扩展来实现ＤＮＳ安全和公钥解配的方案，以及怎样从现有的ＤＮＳ过渡到安全ＤＮＳ，两者的兼容性。     

分布式DNS反射DDoS攻击原理与防范

DDo S攻击近年来日益严重,其中DNS反射攻击成为不可忽视的重要攻击方法,本文对DNS反射攻击的原理及特点进行了深入分析,并就DNS反射攻击的防范提出了应对策略。     

基于DNS的杠杆攻击的原理研究与防护

DNS是互联网的基础,为互联网服务提供基本支撑,其安全问题对运营商有举足轻重的影响。随着信息网络安全的发展,互联网出现了一种新的分布式拒绝服务攻击方式:DNS杠杆攻击,这种攻击能利用DNS协议的漏洞产生大量虚假通信,对互联网构成重大威胁。文中给出了杠杆攻击基于的协议和造成的主要危害,研究了DNS杠杆攻击的原理,并提出防火墙、BCP38、DNS惩罚机制、RRL等4种防护策略。     

DNS安全防护探讨

本文主要介绍了DNS的定义、分类、解析过程和查询模式,并针对目前DNS所面临的安全形势,提出了加固DNS安全防护的措施。     

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议（DNSSEC）在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构--拟态DNS（Mimic DNS,M-DNS）--保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.     

让DNS安全工作

伴随着Internet技术的迅猛发展,越来越多的单位或个人开始利用网站来宣传自我、展示形象,与此同时,人们对站点域名的防护也越来越看重。负责站点域名解析任务的DNS服务器,由于“树大招风”,特别容易成为黑客攻击的重点对象;一旦遭遇攻击,单位或个人将无法访问自己的站点,造成站点用户的流失,从而带来经济损失。作为网络运维人员,掌握必要的安全防范措施,解决DNS安全工作问题就显得尤为重要。     

DNS攻击检测与防御技术研究

作为分布式数据库系统,DNS可以用来管理主机名字和地址信息,以便为人们更好应用网络提供支持。但是,由于设计缺陷的存在,DNS较容易受到攻击,继而给网络安全埋下了隐患。而采用先进的技术进行DNS攻击的检测和防御,则可以进一步确保网络的安全。因此,基于这种认识,文章对DNS攻击检测和防御技术进行研究,以便为关注这一话题的人们提供参考。     

内外网DNS(BIND)配置与安全

基于BIND的DNS服务在因特网和内部网络上得到了广泛的应用,而不正确的配置将导致网络服务的失败或造成安全隐患,该文旨在对这些问题进行讨论,并给出基本解决方案。     

DNS缓存投毒攻击原理与防御策略

DNS is one of the most important basic infrastructures of the Internet, attacks on which will prevent the Internet from working properly. Therefore, its security is receiving great concern. This paper analyzes the principles of both traditional and novel （Kaminsky） DNS cache poisoning, presents attack samples and describes the whole attack process in detail. After verifying the potential harm of DNS cache poisoning, the paper gives out several defense strategies.     

DNS安全问题及解决方案

DNS是Intemet重要的基础设施,除基本的域名服务外,DNS在负载均衡、移动IP等方面也有着重要的应用.本文分析了DNS服务及应用所面临的安全问题,重点探讨了DNS体系结构的弱点,提出相关建议.     

DNS安全漏洞以及防范策略研究

域名系统(DNS)服务在Internet服务中占据着非常重要的地位，但在最初设计DNS时却没有考虑它的安全问题，导致系统存在很多安全漏洞。针对它的安全脆弱性，文章对当前DNS遭受的网络攻击进行了深入分析，提出并剖析了一系列当前采用的安全防范措施；重点探讨了DNS安全扩展(DNSSEC)的安全防范思想、工作原理，并通过实例对它的工作流程进行具体分析，然后对DNSSEC做了性能评价，提出相关建议。最后在总结全文的基础上对DNS安全研究提出展望。     

一种DNS DDoS攻击行为的分析及其应对措施

随着互联网业务的迅猛发展,网络安全问题也越来越突出。对一种针对DNS系统的危害巨大DDoS攻击行为进行了分析,并研究探讨有效的DDoS流量自动抑制系统设计、部署方案。     

DNS隐私保护安全性分析

DNS服务已经深入互联网的各个角落。最初,DNS数据包被设计成未加密的形式传输于互联网上,然而这种设计并不安全,攻击者可以截获并分析DNS数据包来损害互联网用户的安全和隐私。在解决这些问题的同时,Google和CloudFlare等大型供应商采取了将DNS查找进行加密的方案,如DNS over Https(DoH)和DNS over TLS(DoT)。因此,研究在利用DNS over Https(DoH)加密技术后,供应商能否保护用户免受基于流量分析的监控和审查。首先利用LSTM技术和DoH流量的数据包大小创建分类器,其次在开放环境和封闭环境下分别测试分类器,最后通过分析DoH业务讨论如何选择性地阻止DoH攻击。     

ENUM的安全性和隐私保护问题探讨

电子号码(ENUM)是因特网工程任务组(IETF)中“电话号码映射”工作组提出的一项网络新技术,它把符合E.164标准的电话号码作为用户通信的入口,采用域名服务(DNS)技术和运行框架提供基于电话号码的通用目录服务。DNS是一种开放系统,给ENUM的安全性和隐私保护带来隐患。文中简要介绍ENUM技术及其发展现状,着重分析和探讨了ENUM中存在的安全性和隐私保护问题,并对ENUM中所用的安全协议做了比较。     

基于统计分析和流量控制的DNS分布式拒绝服务攻击的检测及防御

DNS(Domain Name System)是目前大部分网络应用的基础,对DNS服务器的分布式拒绝服务攻击(Distributed Denial of Service简称DDoS攻击)将影响整个Internet的正常运转,目前对这种攻击还没有彻底的防范策略.本文提出了一种基于网络流量状态统计的攻击检测方案及基于流量牵引和tc流量控制的攻击包过滤方法,有效提高了DNS服务器的安全性和抗攻击性.此检测手段和过滤方法已经在实际应用中得到验证,取得明显的效果.     

基于Linux平台的DNS服务器容错

在互联网中客户端都是采用域名的方式访问站点,域名到IP地址的映射由DNS域名解析服务器完成,一旦DNS域名解析服务器发生故障,将直接导致网站无法访问.LINUX是继UNIX功能的一种集安全性和高稳定性一体的开源和免费的操作系统.使用LINUX操作系统构建DNS域名解析服务器,通过使用区域传输来构建辅助DNS,能加强互联网站点的域名解析的安全性和容错功能.     

我国互联网域名系统的安全问题

域名系统面临的安全威胁和风险不断加大,安全事件增多主要是缺乏有效的监管和相应的更积极的技术手段和措施。因此,转变对互联网非传统安全问题的认识．充分研究域名系统面临的新情况、新问题和新威胁,切实增强保障域名系统安全的责任感和紧迫感,是保证我国互联网稳定发展的前提。     

分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值（TTL）智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。