电信DNS系统安全分析

DNS（域名系统）作为互联网的基础设施,在互联网服务中占据着越来越重要的地位。保障DNS系统的安全运行对运营商来说具有极其重要的意义。本文主要介绍了DNS系统面临的主要安全问题和相应的安全防护方案。     

互联网域名系统安全管理的现状及研究进展

互联网域名系统（简称DNS）为全球互联网的正确运行提供了关键性的基础服务,今天已经成为互联网重要的基础设施。因此,对互联网核心基础设施DNS的安全管理研究对于确保全球互联网稳定、提高互联网性能具有十分重要的意义。文章详细介绍了互联网域名系统和安全管理的现状,然后探讨了目前面临的主要问题及其研究进展。     

基于Linux智能DNS系统的研究和实现

域名解析系统DNS（Domain Name System）是互联网的一项核心服务,用于将域名和IP地址相互映射,使用户不用专门记忆网站的IP,通过域名就可以方便地访问互联网。文中主要介绍了在Linux系统下使用BIND9建立智能DNS系统,来实现安全、高效、低成本的域名解析服务。在此基础上,结合企业具体情况,研究实现了域名镜像、双主DNS、链路健康探测等功能。最后对动态DNS探测、多数据中心的DNS体系实现进行了展望。     

一键切换DNS 上网快如飞

大家知道DNS（Domain Name System）能将域名（Domain Name）转换成与网络地址（IP Address），当你用浏览器访问某网址（例如www．X．com）时，需要先连上DNS服务器得到其对应的IP（例如102．11．10．1），然后才能打开网页，默认情况下DNS都是由电信、联通等网络运营商提供的，你无需手动设置即可使用，但是这些自动绑定的DNS要么很慢、要么就是被劫持，有时还出故障使很多网站无法浏览，就是因为域名解析出了问题，此时你就需要更改DNS了，推荐使用ChrisPC Switch来更改，该软件内建了34组免费的DNS服务器，只要你选定一组即可一键切换DNS，实现快速上网，访问被封锁网站、提高浏览速度及安全性。     

DNS攻击检测与安全防护研究综述

随着传统互联网逐渐向“互联网+”演变,域名系统（domain namesystem,DNS）从基础的地址解析向全面感知、可靠传输等新模式不断扩展。新场景下的DNS由于功能的多样性和覆盖领域的广泛性,一旦受到攻击会造成严重的后果,因此DNS攻击检测与安全防护方面的研究持续进行并越来越受到重视。首先介绍了几种常见的DNS攻击,包括DNS欺骗攻击、DNS隐蔽信道攻击、DNS DDoS(distributed denial of service)攻击、DNS反射放大攻击、恶意DGA域名;然后,从机器学习的角度出发对这些攻击的检测技术进行了系统性的分析和总结;接着,从DNS去中心化、DNS加密认证、DNS解析限制3个方面详细介绍了DNS的安全防护技术;最后,对未来的研究方向进行了展望。     

基于DNS协议的隐蔽信道研究

隐蔽信道能够以危害系统安全策略的方式传输信息,目前,基于网络协议的隐蔽信道研究已成为热点。域名系统协议（Domain Name System,DNS）用于将主机名字和IP地址之间的转换,是双向协议,互联网正常运行离不开DNS协议,因此可以基于DNS协议建立隐蔽信道。文中首先介绍隐蔽信道、DNS隐蔽信道的概念和原理,搭建DNS隐蔽信道系统,然后演示了DNS隧道工具的使用方法,最后针对现有的DNS隐蔽信道工具提出了几点改进措施,使DNS隐蔽信道数据传输更加高效。     

IPv6网络域名解析服务探讨与实现

一 域名系统（DNS）概述 1．域名与域名构成 通常情况下,人们都是用域名在互联网上用来寻找网站．相当于主机的门牌号码,是互联网上的重要标识。计算机采用的是数字寻址机制,每一台主机都对应一个IP地址,每一个IP地址由一连串的数字组成,如202.123．101．1。人们为了方便记忆就用域名来代替这些数字来寻找主机,如yoursite．com。     

互联网域名系统管理新机制的研究

域名系统(DNS)既是互联网的基础业务,又是互联网基础设施的重要组成部分。随着IP技术向电信领域的渗透,一些电信业务也越来越依赖于DNS系统。而现有DNS体系实际上是由美国间接控制的,存在一定的安全隐患。因此新型DNS系统的研究已经开始受到重视,本文提出了一种与现行DNS系统兼容的、新型的互联网域名解析体系,以期提高DNS系统的安全性。     

DNS服务器也需智能化

上海西默智能DNS服务器是一款专用的DNS解析服务器，整个系统由DNS服务器（硬件）＋嵌入式DNS软件系统组成。可以提供域名管理、域名查询统计、监控及报警、无限ISP区域设置．多用户管理、操作日志等功能；采用硬件防火墙的硬件体系，系统软件采用嵌入式操作系统．自带完备的防火墙功能；用户操作界面采用中文Web管理界面，简单易用。     

组合型智能DNS系统在电信运营中的应用探讨

随着互联网的快速发展,传统DNS难以达到运营商运营管理、定制化需求的应用,于是智能DNS应运而生。本文基于对目前各大运营商所倡导的智能DNS进行分析研究,提出互联网自动拨测系统与智能DNS系统组合起来的新型应用,以实现智能DNS功能的扩展。     

基于DNS的杠杆攻击的原理研究与防护

DNS是互联网的基础,为互联网服务提供基本支撑,其安全问题对运营商有举足轻重的影响。随着信息网络安全的发展,互联网出现了一种新的分布式拒绝服务攻击方式:DNS杠杆攻击,这种攻击能利用DNS协议的漏洞产生大量虚假通信,对互联网构成重大威胁。文中给出了杠杆攻击基于的协议和造成的主要危害,研究了DNS杠杆攻击的原理,并提出防火墙、BCP38、DNS惩罚机制、RRL等4种防护策略。     

运营商动态

新浪加入中国电信安全上网行动针对中国电信宽带用户家用路由器DNS配置遭劫持问题，中国电信网络安全团队（SOC）启动了主动提醒和自助修复工作,这项行动得到了国内多家著名互联网公司的鼎力支持，继腾讯、阿里巴巴和百度之后，新浪于11月11日也宣布加入中国电信维护网民安全上网权益活动。如果用户的DNS被恶意篡改，在访问新浪邮箱时就会看到警示页面，用户可按照页面提示进行操作，修复被篡改的配置。（人民邮电报）     

智能DNS系统建设

DNS系统作为宽带用户上网必须的基础服务,一旦DNS出现故障,会导致互联网上很多应用无法正常进行.本文主要研究如何建设智能DNS系统以实现对地址的智能解析、对互联网流量的智能引导,提高互联网出口本地化率.     

互联网站点实现来自不同ISP用户的快速访问——智能DNS解决方案

目前中国有中国电信、网通、移动、联通、铁通等ISP（互联网服务提供者），由于各ISP通信网络互联的成本、地域及其他因素，各ISP用户访问位于其他ISP的互联网站点速度较慢且不稳定，严重影响了用户体验和互联网发展。目前各大网站都通过各种办法解决这个问题，如托管于BGP机房、使用两套域名等。文中阐述了一个切实可行且成本相对较低的解决方案，即在各重要ISP建立网站镜像，并通过建立智能DNS（域名服务），引导用户访问速度最快的网站镜像的方案；重点描述实现智能DNS的方法。     

DNS隐私保护安全性分析

DNS服务已经深入互联网的各个角落。最初,DNS数据包被设计成未加密的形式传输于互联网上,然而这种设计并不安全,攻击者可以截获并分析DNS数据包来损害互联网用户的安全和隐私。在解决这些问题的同时,Google和CloudFlare等大型供应商采取了将DNS查找进行加密的方案,如DNS over Https(DoH)和DNS over TLS(DoT)。因此,研究在利用DNS over Https(DoH)加密技术后,供应商能否保护用户免受基于流量分析的监控和审查。首先利用LSTM技术和DoH流量的数据包大小创建分类器,其次在开放环境和封闭环境下分别测试分类器,最后通过分析DoH业务讨论如何选择性地阻止DoH攻击。     

Anycast技术在运营商DNS中的应用

引言 DNS（Domain Name System,域名系统）所提供的域名服务是全球互联网巾一项极其基础的“黄页”服务,它提供了将名字与IP地址相互关联的功能。一方面极大地方便了人们对应用服务器地址的记忆,另一方面从技术上使服务器IP地址的迁移和变更成为可能。不仅如此,在DNS服务基础上开发出增值业务应用,如错域转发、多站点服务等早已形成成熟的模型。     

基于Linux平台的DNS服务器容错

在互联网中客户端都是采用域名的方式访问站点,域名到IP地址的映射由DNS域名解析服务器完成,一旦DNS域名解析服务器发生故障,将直接导致网站无法访问.LINUX是继UNIX功能的一种集安全性和高稳定性一体的开源和免费的操作系统.使用LINUX操作系统构建DNS域名解析服务器,通过使用区域传输来构建辅助DNS,能加强互联网站点的域名解析的安全性和容错功能.     

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议（DNSSEC）在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构--拟态DNS（Mimic DNS,M-DNS）--保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.     

域名系统技术升级三大趋势

<正>DNS是域名系统(Domain Name System)的缩写,相当于互联网的导航系统。DNS系统作为应用访问的“入口”,链接着终端和应用两端。随着信息技术和网络技术的飞速发展,互联网基础设施层和应用层技术持续演进,DNS的两端已经发生了极大的变化。一方面,终端的数量正在快速增长,终端的类型日益丰富,各种类型、海量的终端均需要通过DNS这一“入口”链接到网络中实现数据的访问交互,进而催生了域名技术的升级,推动DNS向下一代DNS全面升级;另一方面,     

一种基于客户感知的DNS一键应急系统

域名服务是一种互联网应用层资源的寻址服务,能够使用户更方便地访问互联网,而不用去记住IP地址,域名解析服务是其他互联网络应用服务的基础。当DNS系统发生故障时,通过人工方式来进行DNS切换,工作效率低、时间长,势必会影响用户体验。基于此,特开发一套DNS一键应急系统。可在DNS服务器故障或单节点故障时,一键式对选择的DNS缓存设备下发应急操作,快速恢复DNS业务,保证客户感知和满意度,避免大面积投诉发生。