多校区校园网一体化DNS网络架构研究

高校多校区一体化管理中,校区间人员流动频繁,如何保证学校师生在不同校区获得一致的上网体验成为一个难题。除了加快建设多活数据中心,实现重要信息系统的容灾备份体系之外,网络基础设施服务域名系统(Domain Name System,DNS)的一体化部署也面临新挑战。以河海大学南京校区和常州校区为例,通过多活容灾网络架构等技术手段部署一体化智能DNS服务,有效解决网络拥塞和信息系统访问瓶颈的问题,同时提升DNS管理的便捷性和服务的安全可靠性,对相关应用场景具有一定参考价值。

基于RF-RNN模型的DNS隐蔽信道检测方法

为提高检测隐蔽信道的灵敏度,提出一种基于随机森林(Random Forest,RF)和循环神经网络(Recurrent Neural Network,RNN)的域名系统(Domain Name System,DNS)隐蔽信道检测方法。该方法采用域名检测作为主要手段,使用RF模型对域名进行分类,通过深度学习方法挖掘更高阶的特征表示。实验结果表明,与单一模型相比,该方法在检测准确性和健壮性方面均取得了显著提升。

基于智能DNS与反向代理实现Web应用系统IPv6网络部署与IPv4网络安全加固

基于下一代互联网核心技术IPv6具有地址空间足够大、安全性更高、服务质量更好、支持终端设备移动等特性,高校的信息化发展在逐步推进IPv6网络部署与信息系统的IPv6网络应用。然而,在高校推进应用系统的IPv6网络部署访问过程中,仍然存在部分底层网络设备不支持IPv6协议、安全设备无法做到全面管控等问题。为尽可能不改变当前学校网络架构,不影响当前学校应用系统的IPv4网络访问,提出了基于智能DNS与反向代理设备实现高校Web应用系统IPv6网络部署与访问的技术方法。该技术方法具有实现原理简单、稳定性强、安全性高、易维护等特性,通过联动部署,实现了学校应用系统的IPv6网络访问与IPv4访问安全加固,为高校校园网IPv6网络应用部署提供了参考实践。

基于图注意力网络的DNS隐蔽信道检测

域名系统(Domain Name System,DNS)隐蔽信道在高级持续性威胁(Advanced Persistent Threat,APT)攻击中呈频发态势,对网络空间安全具有潜在威胁。文章提出基于域名语义表示(Domain Semantic Representation,DSR)和图注意力网络(Graph Attention Network,GAT)的DNS隐蔽信道检测方法DSR-GAT,将域名级别的DNS隐蔽信道检测转化为一种无向图的节点分类任务。首先基于域名的相关性采用无向图构建域名图(Domain Graph,DG);然后利用域名的文本数据属性,采用一维卷积神经网络提取的语义表示作为DG节点的特征表示;最后通过图注意力网络的消息传播机制及多头自注意力机制,增强每个域名的特征表示。在公开数据集与基于真实APT样本Glimpse的自建数据集上进行实验,实验结果表明,文章提出的DSR-GAT方法检测效果较好,在解决上述问题的同时降低了漏报率,在一定程度上减小了安全风险。

基于SSDP和DNS-SD协议的双栈主机发现方法及其安全分析

随着全球互联网IPv4地址分配耗尽,IPv6开始加速推广和部署。双栈技术允许设备同时启用IPv4和IPv6栈,这意味着用户暴露了双倍的安全风险。尽管现有的工作可实现对部分双栈服务器的识别和测量,但仍存在以下问题。首先,双栈主机识别需要对主机服务进行深层协议识别,然而这种方式会消耗过高的扫描资源。其次,实际的网络服务提供商有可能在分布式主机上提供一致的服务,使得通过服务指纹进行双栈主机判别的准确性难以保证。针对此问题,利用局域网服务发现协议将主机服务与IP地址绑定的协议特性,提出了基于SSDP和DNS-SD协议的双栈主机发现方法:在IPv4网络环境下,通过SSDP诱导目标主机主动向构建的IPv6服务器发送请求,然后从服务器日志中提取IPv6地址;或通过DNS-SD协议枚举目标主机的服务列表及其对应的AAAA记录,获取目标主机IPv6地址,实现双栈地址对的发现。该方法直接从IPv4主机获取其IPv6地址,确保了发现的双栈主机的准确性,同时,在发现过程中只需要针对特定协议构造请求数据包,极大地节约了扫描资源。基于该方法,对全球IPv4网络意外暴露的SSDP主机和DNS-SD主机进行了测量,共收集到158000个不重复的IPv6地址,其中55000个为拥有全球可达IPv6地址的双栈主机地址对。与现有工作将测量目标聚焦于双栈服务器不同,该方法主要针对终端用户和客户端设备,构建了迄今为止尚未探索过的活跃IPv6设备独特集合及双栈主机地址对集合。通过对获取的IPv6地址编址类型的分析,随机生成已成为当前IPv6地址分配的主要方式,这一方式大大降低了IPv6主机被扫描发现的可能性。特别地,通过对双栈主机的开放端口和服务测量,发现双栈主机在不同协议栈上的安全策略差异:IPv6栈上暴露了更多高风险服务,扩大了主机的攻击面。研究结果表明,IPv6地址空间遍历扫描的不可行性缓解了IPv6的安全风险,但错误的网络配置大幅增加了这些高风险的IPv6主机被发现的可能性,用户应该重新审视双栈主机上的IPv6安全策略。

一种通过DNS实施零信任身份认证的方法设计与实现

随着网络攻击的不断演变,以传统的身份认证方式应对当下的安全威胁已经开始变得力不从心。文章介绍一种基于DNS实现零信任安全认证的方法,在零信任安全模式下,所有用户都被视为潜在攻击者,必须通过严格的身份认证才能获得访问权限。基于DNS的身份认证方法技术是较为新兴的技术方案,在国内关于DNS与零信任安全模式融合尚处于空白,能够有效抵御暴力扫描、DDoS攻击、域名劫持、DNS欺骗等多种攻击手段。通过研究针对DNS的零信任部署能够有效提高防护手段,降低在企业场景下来自内部与外部各类攻击的风险。

DNSSEC与DNS安全防范研究

DNS已成为互联网重要的基础服务,但它存在着严重的安全漏洞,近年来针对这些安全漏洞的DNS网络攻击给互联网带来了巨大的损失。本文介绍了DNS的工作原理,阐述了其面临的安全风险,对提高DNS系统安全性作了分析,并就基于DNSSEC的DNS安全解决方法进行了探讨。

基于智能DNS的校园网多出口实现

根据福建船政学院校园网的实际情况,提出了基于WinMyDNS智能解析系统的智能DNS方案,有效地实现了对来自公网和教育网用户的智能DNS解析,解决了公网访问校园网速度慢甚至有时无法访问这一困扰网络管理员的问题。

多出口校园网智能DNS解析中宕机检测技术的应用

根据福建船政学院校园网智能DNS解析系统的实际情况,提出了宕机检测的技术方案,有效地实现对多条线路的自动检测.当一条线路无法访问时,自动把域名解析到正常的线路,有效解决了由于线路问题,导致客户无法访问的问题.

建立安全可靠的DNS系统

ＤＮＳ是重要的网络应用程序。借助于新版的ＢＩＮＤ８．２，可以建立更灵活、更可靠、更安全的校园网域名服务体系。本文介绍了ＤＮＳ校园网使用中的主要功能和实现方法。

基于DNS Blocklist的反垃圾邮件系统的设计与实现

垃圾邮件浪费网络资源、干扰个人通讯、威胁着网络安全,甚至存在着盗用资源和散布谣言等问题,因此引起了全社会的广泛关注。但针对迅速增长的垃圾邮件,国内还缺乏相应的主动的控制机制。笔者研制了一个基于DNSBlocklist的过滤系统,该系统通过采用DNS技术、Openrelay测试技术以及基于策略的分级过滤规则技术实现了在整个教育网内的垃圾邮件过滤。用户可以根据需要,选择相应的过滤规则,有效地屏蔽已知来源的垃圾邮件。该文介绍了系统的结构和主要实现技术。

DNS权威名字服务器性能与安全性的研究

与根域名服务器等顶级域相比,本地的权威名字服务器更易于发生设备故障和遭受恶意攻击。阐述了权威名字服务器的现状并实现了一个新型DNS测量工具DNSAuth来自动获取权威名字服务器的信息。实验着重分析了权威名字服务器的分布、地理位置及其对性能和安全性的影响,按照五个有代表性的属性,对中国Top100网站的权威名字服务器进行了量化评估,实验结果表明只有32%的权威名字服务器具有较好的性能和安全性。

大规模网络中Internet蠕虫主动防治技术研究——利用DNS服务抑制蠕虫传播

Internet蠕虫爆发后,在大规模网络中,由于易感主机和被感染主机数量很多,构成了良好的蠕虫生存环境。实践证明常用的路由封堵、控制策略只在蠕虫爆发初期有效,在长时间的封堵后,网络中仍然存在大量被感染主机,这些主机不停活动,攻击其它易感主机。文章提出利用DNS服务疏导被感染主机访问告警服务器的方法,及时通知被感染主机的使用者对本机采取相应处理措施,从而达到在网管人员和用户共同配合下迅速消灭蠕虫的效果。该文详细给出了利用DNS服务针对网络中被感染主机进行疏导的系统设计与实现。通过对清华大学校园网实施后的数据统计分析,证明这种方法是快速有效的。

Handle-DNS名字服务系统的设计与实现

文章主要讨论了一种新的名字服务体系Handle-DNS的理论设计与具体实现。主要阐述了包括Handle-DNS基本理论、Handle-DNS系统架构、Handle-DNS实施方案、以及Handle-DNS系统实现等方面的内容,并最后简单分析了构建Handle-DNS系统的意义和研究前景。

分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值(TTL)智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。

基于策略DNS和HTTP Proxy的多宿主网络服务部署的研究

针对目前常用的多宿主网络服务部署方法中存在的由于ISP网络地址集的变化或DNS配置等因素会造成服务访问路由不可达的不足,提出了一种基于策略DNS与HTTP Proxy在多宿主网络中服务的部署策略,在各ISP出口安装HTTP Proxy服务器,配合策略DNS服务进行联合部署。从理论上对该策略进行了分析,并对部署方法进行了详细阐述。通过实例分析及效果测量,证实了在不改变网络拓扑、基本不增加投入的情况下,通过该策略可大幅度提高校园网或企业网信息资源服务的互联网用户访问速度和访问质量,并解决了传统方式中路由不可达的问题。

校园网智能DNS配置实践与日志分析

根据校园网普遍多出口的现状和服务器访问存在网络瓶颈的现实,利用bind9提供的view视图进行了DNS配置,对DNS的常见攻击手法进行了防范,利用Linux命令对DNS的日志进行了分析。

基于DNS的ENUM技术及其应用研究

文章阐述了计算机网络资源寻址定位技术,提出ENUM技术是计算机网络资源寻址定位技术的一种,ENUM技术的研究和使用推广对于下一步网络应用的发展,尤其是对于电话网和数据通信网之间的基于VoIP通讯应用的融合具有十分重要的意义。此外,文章还简单分析了ENUM的技术要点和解析流程,重点设计了一套实验系统用来探讨ENUM技术和运行框架,并比较ENUM和现有典型目录服务系统之间的关系,分析并指出了此项技术在应用中面临的问题,结合当前的研究状况给出了发展建议和前景展望。

交换式以太网中的ARP与DNS欺骗技术分析

利用TCP/IP协议缺陷进行欺骗攻击是目前网络中常出现的攻击方法,通过与网络监听的结合,攻击者能在不被察觉的情况下实现对被攻击者通信数据的截获并篡改,给当今网络通信安全带来了严重威胁。本文分析了在交换式以太网中利用ARP欺骗突破交换网络对数据监听的限制,成为“中间人”截获DNS报文,进而伪造DNS报文进行DNS欺骗的技术,并给出基于WinPcap的实现。