防护性DNS服务关键技术研究综述

域名系统(domain name system,DNS)作为互联网资源的名字标识服务,提供了从域名到IP地址的查询转换功能,是用户访问互联网应用的入口,也是用户侧安全威胁感知与防御的关键点。用户侧常见的DNS滥用及相关安全威胁有:网络钓鱼、域名不良应用、恶意软件以及利用DNS进行攻击等。防护性DNS(protective DNS,PDNS)服务是一种利用DNS协议和架构的网络安全防护技术,通过对DNS查询进行威胁检测与处置,能够从源头上阻止用户对网络钓鱼网站、不良网站、恶意软件的访问。目前学界对PDNS服务还缺少系统的介绍与研究。对PDNS已有研究工作、应用现状及架构与功能进行系统梳理,对PDNS所涉及的关键技术进行系统综述,主要包括域名威胁处置技术、DNS异常检测技术、威胁情报管理技术和数据存储管理技术,分析PDNS目前面临的问题与挑战,并对PDNS未来发展趋势与研究方向提出了展望。

多校区校园网一体化DNS网络架构研究

高校多校区一体化管理中,校区间人员流动频繁,如何保证学校师生在不同校区获得一致的上网体验成为一个难题。除了加快建设多活数据中心,实现重要信息系统的容灾备份体系之外,网络基础设施服务域名系统(Domain Name System,DNS)的一体化部署也面临新挑战。以河海大学南京校区和常州校区为例,通过多活容灾网络架构等技术手段部署一体化智能DNS服务,有效解决网络拥塞和信息系统访问瓶颈的问题,同时提升DNS管理的便捷性和服务的安全可靠性,对相关应用场景具有一定参考价值。

The Impact of Domain Name Server(DNS)over Hypertext Transfer Protocol Secure(HTTPS)on Cyber Security:Limitations,Challenges,and Detection Techniques

The DNS over HTTPS(Hypertext Transfer Protocol Secure)(DoH)is a new technology that encrypts DNS traffic,enhancing the privacy and security of end-users.However,the adoption of DoH is still facing several research challenges,such as ensuring security,compatibility,standardization,performance,privacy,and increasing user awareness.DoH significantly impacts network security,including better end-user privacy and security,challenges for network security professionals,increasing usage of encrypted malware communication,and difficulty adapting DNS-based security measures.Therefore,it is important to understand the impact of DoH on network security and develop newprivacy-preserving techniques to allowthe analysis of DoH traffic without compromising user privacy.This paper provides an in-depth analysis of the effects of DoH on cybersecurity.We discuss various techniques for detecting DoH tunneling and identify essential research challenges that need to be addressed in future security studies.Overall,this paper highlights the need for continued research and development to ensure the effectiveness of DoH as a tool for improving privacy and security.

基于RF-RNN模型的DNS隐蔽信道检测方法

为提高检测隐蔽信道的灵敏度,提出一种基于随机森林(Random Forest,RF)和循环神经网络(Recurrent Neural Network,RNN)的域名系统(Domain Name System,DNS)隐蔽信道检测方法。该方法采用域名检测作为主要手段,使用RF模型对域名进行分类,通过深度学习方法挖掘更高阶的特征表示。实验结果表明,与单一模型相比,该方法在检测准确性和健壮性方面均取得了显著提升。

DNS核心稳定训练结合局部针刺运动对脑卒中后偏瘫患者步行及姿势控制能力的影响

目的:探讨动态神经肌肉稳定技术(Dynamic Neuromuscular Stabilization,DNS)下的核心稳定训练结合局部针刺运动方案对脑卒中后偏瘫患者步行及姿势控制能力的影响。方法:选取2022年3月~2022年9月在郴州市第一人民医院就诊的脑卒中患者90例,按随机数字表分为对照组(n=45)和观察组(n=45),对照组采用常规康复训练,观察组在此基础上增加DNS核心稳定训练结合局部针刺运动疗法。治疗8周后,对比并分析治疗前后两组患者步态时空参数中步长、步速、步频参数;步态时相参数中双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、步行周期参数;脑卒中患者姿势控制量表(Posture assessment of stoke scale,PASS)量表、Tinnetti(Performance-Oriented Assessment of Mobility)量表及Fugl-Meyer下肢运动功能(FMA-LE)量表评分数据。结果:治疗后,两组步长、步速、步频参数、双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、Tinnetti评分、PASS评分及FMA评分均显著高于治疗前(P<0.05),步行周期显著低于治疗前(P<0.05),且观察组治疗后步长、步速、步频参数、双支撑相占步态周期百分比、患侧单支撑相占步态周期百分比、PASS评分、Tinnetti评分及FMALE评分均显著高于对照组(P<0.05),步行周期则低于对照组(P<0.05)。结论:DNS核心稳定训练结合局部针刺运动可提高脑卒中后偏瘫患者核心稳定及姿势控制能力,改善步行功能。

递归侧DNS安全研究与分析

因特网用户在访问网络应用前都需要通过DNS进行解析,DNS安全是保障网络正常运行的第1道门户,如果DNS的安全不能得到有效保证,即使网络其他系统安全防护措施级别再高,攻击者也可以通过攻击DNS系统使网络无法正常使用.目前DNS恶性事件仍有上升趋势,DNS攻击检测和防御技术的发展仍不能满足现实需求.从直接服务用户DNS请求的递归解析服务器视角出发,将DNS安全事件通过两种分类方法,全面梳理和总结DNS工作过程中面临的安全问题,包括由攻击或系统漏洞等引起各类安全事件,各类安全事件的具体检测方法,各类防御保护技术.在对各类安全事件、检测和防御保护技术总结的过程中,对相应典型方法的特点进行分析和对比,并对未来DNS安全领域的研究方向进行展望.

一种基于DNS的零信任增强认证系统设计

针对当前大量HTTPS应用复用证书存在安全风险问题,借鉴了零信任模型中安全策略动态授权的思路,提出了一种基于现有互联网基础设施DNS来扩展增强认证功能的方案,通过在现有DNS权威服务器上额外配置增强的认证信息来对HTTPS访问请求进行动态认证,从而能实时验证当前HTTPS证书的安全状态。该方案通过可信易得的DNS基础设施解决了当前普遍存在的HTTPS证书复用带来的安全问题,是一种灵活高效并且可扩展的零信任安全增强认证架构。

DNS的演进适应不断变化的互联网格局

DNS(域名系统)是当今互联网的重要组成部分。随着IPv4地址的耗尽和IPv6过渡期的延长,网络地址空间出现分裂,DNS名称空间现已是让互联网成为一个网络的决定性属性。然而,DNS并非一项僵化且一成不变的技术。在互联网的发展过程中,它发生了很大的变化,在此,让我们看看DNS在哪些方面发生了变化,哪些方面保持不变。

基于无监督学习的DNS隧道检测

文章利用局域网中DNS服务器的历史流量数据通过无监督训练生成DNS隧道检测模型,计算待检测流量数据所对应的特征向量与DNS隧道检测模型提供的正常流量矩阵之间的马氏距离,并基于马氏距离来进行DNS隧道异常识别。根据局域网中内部DNS服务器的历史流量数据进行DNS隧道检测模型的训练,从而使得训练后的DNS隧道检测模型适应于不同的网络环境,提高了对DNS隧道异常的识别精度,保证了DNS隧道检测的准确性。

基于智能DNS与反向代理实现Web应用系统IPv6网络部署与IPv4网络安全加固

基于下一代互联网核心技术IPv6具有地址空间足够大、安全性更高、服务质量更好、支持终端设备移动等特性,高校的信息化发展在逐步推进IPv6网络部署与信息系统的IPv6网络应用。然而,在高校推进应用系统的IPv6网络部署访问过程中,仍然存在部分底层网络设备不支持IPv6协议、安全设备无法做到全面管控等问题。为尽可能不改变当前学校网络架构,不影响当前学校应用系统的IPv4网络访问,提出了基于智能DNS与反向代理设备实现高校Web应用系统IPv6网络部署与访问的技术方法。该技术方法具有实现原理简单、稳定性强、安全性高、易维护等特性,通过联动部署,实现了学校应用系统的IPv6网络访问与IPv4访问安全加固,为高校校园网IPv6网络应用部署提供了参考实践。

递归-权威侧部署加密DNS协议的隐私收益评估方法及测量分析

加密DNS协议最初被设计用于保护用户和递归解析器之间(用户-递归侧)的DNS通信隐私。目前,加密DNS协议获得了广泛应用。然而,递归解析器和权威服务器之间(递归-权威侧)的DNS通信仍遭受着大量隐私威胁。历经4年的标准化进程,互联网工程任务组在2024年2月正式发布RFC 9539,提出可利用加密DNS协议来保障递归-权威侧的DNS通信隐私。聚焦于在递归-权威侧部署加密DNS协议所带来的隐私收益,提出评估互联网域名隐私收益的方法。针对243万个流行域名和4万个敏感域名,结合1058个顶级域名的区域文件,分析权威服务器所托管的域名数量,从而判定目标域名的隐私收益等级。测量结果表明,超过90%的域名可获得递归-权威侧部署加密DNS协议的隐私保护,但是6.28%的敏感域名无法从递归-权威侧部署加密DNS协议中获得隐私收益。此外,一些高流行度的域名也没有获得足够的隐私收益。相较于大型域名托管商,小型域名托管商可为域名提供更高的隐私收益。将域名部署于仅托管单个域名的权威服务器上会极大地损害递归-权威侧加密DNS协议的隐私保护效果,管理人员应重新审视域名托管服务。

基于AWX的DNS自动化运维管理探究

为提高企业IT系统的效率、可靠性及安全性,基于AWX的DNS自动化运维管理,研究AWX作为自动化工具在DNS管理中的应用,利用其功能简化DNS配置及部署,为IT基础设施的发展及创新提供参考。

基于终端DNS协议安全设计缺陷的代偿技术研究

针对DNS协议安全设计缺陷,文章对终端设备本地hosts缓存重定向技术、终端设备应用层DNS代理技术、操作系统内核驱动层DNS阻断技术进行了深入研究,提出了终端设备DNS协议安全设计缺陷代偿技术模型。该模型不仅能从终端设备操作系统底层拦截DNS域名解析请求数据包,还能联动威胁情报。经验证,它能在不影响用户正常体验的前提下对恶意域名进行准确识别和首包拦截,从而满足各行业的企、事业单位员工及供应链人员对终端设备的安全管理需求。

基于Linux环境的DNS实验设计与实现

高职院校以培养技术型人才为主要目标,在“计算机网络”等课程的教学过程中,项目驱动教学法能够突破传统方法的局限性,利用网络及虚拟化资源构建出科学的实验教学环境,更能激发学生的学习主动性和创造性。本文以设计、搭建学校域名解析服务器为出发点,介绍了域名服务器的基本概念,阐述了域名服务器工作原理及配置方法,通过实验完成在VMware仿真环境中运用Linux系统安装BIND服务以及DNS服务器的配置调试及测试过程。

基于VMware的智能DNS仿真实验系统设计与实现

智能DNS在实现内外网访问相同的内网Web服务器过程中具有重要意义,不仅提高了访问效率,提升了用户体验,也提高了访问的可靠性及增强了冗余功能。研究介绍了基于VMware的智能DNS仿真实验系统的设计与实现,包括网络架构部署、Web服务器应用、智能DNS应用及IPTABLES的NAT转换等主要功能,详细阐述了智能DNS仿真实验系统的分析、设计及研发过程,并使用网络拓扑结构图、关键代码命令分析等方法对智能DNS仿真实验系统的实现过程进行了详细的讲解。

CentOS系统下DNS服务器配置与实现

基于CentOS 8系统讲解了DNS服务器的作用,并介绍了DNS服务器的安装方法,以及配置和管理DNS服务器的具体步骤。

基于PKI的DNS安全防护研究

DNSSEC协议逐层数字签名的分层结构牵涉到复杂的多次手工滚动交换密钥,造成其在互联网上的实际部署率很低。基于PKI的DNS安全防护方案,开发了一个验证程序,基于私有云搭建测试环境进行仿真测试,针对DNS记录的数据响应延迟和存储消耗两个指标与DNSSEC方案进行比较,结果表明,采用CA证书的DNS防护方案能有效减少各层权威DNS服务器的存储开销并降低DNS解析响应延迟。

基于Promethus的分布式DNS性能测试和监测系统研究

域名解析服务是互联网访问和流量调度入口,因此域名系统(Domain Name System,DNS)性能直接影响用户访问体验。基于Promethus时序数据库,设计实现一种分布式域名系统响应性能自动化测试监测系统,使用该系统,不仅可对自研DNS系统进行多节点分布式DNS性能测试,而且可以时序化方式长时监测运行,并以可视化方式实时监测DNS服务性能。

智能DNS优缺点分析

文章介绍了普通DNS的意义和Linux下的配置方法,普通DNS与智能DNS的区别及智能DNS的配置情况,分析了智能DNS在地址解析过程中的优点和缺陷,提出了发挥智能DNS在地址解析及负载均衡使用中的优点,避免智能DNS缺陷的方法。

构建立体化DNS安全防护体系

2023年6月~7月,教育网运行正常,未发现影响严重的安全事件。在安全投诉事件方面,近期收到多起针对递归DNS查询服务器的拒绝服务攻击投诉。攻击者伪造大量递归查询请求,并把查询数据包里的源发IP伪造成递归查询服务器同子网内的IP。由于这些伪造的IP请求与递归查询服务器在同一广播域,递归查询服务器在返回查询结果时需要使用ARP协议确认子网IP对应的端口信息。但因为IP是伪造的,这些ARP查询请求得不到回应,进而大大增加递归查询服务器的系统负担,造成拒绝服务攻击。