Kaminsky域名系统缓存投毒防御策略研究

当前缓存域名系统(DNS)服务器无法抵抗持续的Kaminsky DNS缓存投毒攻击。为此,提出一种基于应答报文检查的防御策略。应用概率学理论分析Kaminsky投毒成功概率与投毒持续时间的内在联系,通过报文检查策略抑制投毒成功概率随时间的积累效应,达到防御持续Kaminsky投毒的目的。利用概率模型检查工具PRISM进行仿真实验,结果证明该策略可以使攻击难度提高3 600倍以上。

DNS缓存投毒攻击原理与防御策略

DNS是Internet最重要的基础设施之一,若遭受攻击将影响Internet的正常运转,因而其安全性备受关注。本文分析了传统以及新型(Kaminsky)DNS缓存投毒(Cache Poisoning)攻击的原理,给出攻击实例,详细描述了攻击流程,验证了DNS缓存投毒攻击潜在的危害性,并提出若干防御策略。

一种基于拟态安全防御的DNS框架设计

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议(DNSSEC)在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构——拟态DNS(Mimic DNS,M-DNS)——保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.

无线移动Ad Hoc网络的安全研究

Ad Hoc网络有其自身优于其他网络的特点,但是这些特点不可避免的导致了它抵抗攻击的脆弱性,故安全性的研究成为Ad Hoc网络发展迫切解决的问题。在Ad Hoc网络中网络威胁和急待解决的问题,从网络的每层即网络应用层、传输层、网络层、数据链路层、物理层来分析关注Ad Hoc网络的安全性问题,给出每层中可能出现的安全威胁,以及对安全问题给出一定的解决方案。

基于关键信息基础设施DNS的欺骗攻防研究与实践

随着网络安全法的颁布实施,在网络强国的战略部署下,关键信息基础设施防护成为了研究热点,尤其是作为最基础的信息基础设施DNS。本文针对DNS欺骗攻击中的缓存投毒问题,进行了原理分析,提出了此类问题发生的四个必要条件,并在具备条件的情况下,通过模拟实验进行了结果验证,最后从检测、应急和防护的思路方面为有关机构给出安全措施。

典型的DNS威胁与防御技术研究

DNS是互联网中最重要的基础设施,但由于其自身设计缺陷,针对其安全漏洞的网络攻击事件层出不穷。本文介绍了DNS协议基础框架和其存在的安全漏洞,讨论了基于这些漏洞实现的典型攻击方式,包括反射放大攻击,DNS劫持,缓存投毒攻击,DNS隧道等,在分析攻击实现原理和危害的基础上,给出了相应的抗攻击方法和建议。