DNS安全防护技术研究综述

DNS为互联网应用提供名字解析服务,是互联网的重要基础服务设施.近年发生的互联网安全事件表明DNS正面临严峻的安全威胁.DNS的安全脆弱性主要包括:协议设计脆弱性、技术实现脆弱性和体系结构脆弱性.针对上述脆弱性,对DNS协议设计、系统实现、检测监控和去中心化等方面的最新研究成果进行了归纳和总结,并且对未来可能的热点研究方向进行了展望.

互联网DNS安全研究现状与挑战

域名系统为互联网的应用提供域名与IP地址的相互转换服务,是互联网的重要基础设施。DNS的安全是互联网稳定运行的保障,也是互联网安全研究的重要内容。现有研究主要通过设计增强协议、监测机制和使用方法来提高DNS系统的安全防护能力,但近期的DNS攻击事件表明,DNS安全依然存在很多极具挑战性的问题没有解决。从安全增强、行为监测和隐私保护等方面对现有成果和挑战问题进行了总结和讨论。

DNSSEC与DNS安全防范研究

DNS已成为互联网重要的基础服务,但它存在着严重的安全漏洞,近年来针对这些安全漏洞的DNS网络攻击给互联网带来了巨大的损失。本文介绍了DNS的工作原理,阐述了其面临的安全风险,对提高DNS系统安全性作了分析,并就基于DNSSEC的DNS安全解决方法进行了探讨。

基于多信任机制DNS安全扩展的设计与研究

在委托信任链机制及公钥密码体制的基础上,提出一种可供选择的DNSSEC实施方案,对不同的信任机制进行深入分析和研究,提出了综合运用基于对称密钥密码体制、基于PKI以及授权认证等方式的DNSSEC实施方案,以满足安全域名查询的效率要求和广泛区域的差别性。

DNS安全分析及对策

随着Internet技术及应用的深入发展,整个社会、各个行业的运行及个人生活势必将越来越依赖于Internet。因此,网络安全日益受到人们的关注。DNS是Internet上的一项基础服务,DNS安全是整个Internet安全中的重要一环。本文就DNS安全作了较为全面的分析,综合了一些解决方案,对建设安全的DNS系统具有一定的指导意义。

基于群组层次分析法的DNS安全状态多级评估

提出一种基于群组层次分析法的多级评估体系,全面考察当下主流的DNSSEC、恶意域名过滤等DNS安全策略以及系统容灾部署方式、配置界面容错性等指标对于DNS系统安全性的影响,具备监测项广泛的优点。基于群组层次分析法,设置各级指标的权重系数,得到量化的安全状态综合指标,有效评估以不同形式搭建的DNS系统的安全状态。以某电力公司DNS系统改造实例说明该方法的应用过程及评估结果,为DNS服务相关的改造项目提供可行性论证。

基于零信任安全理念的SDP应用场景DNS安全防护技术研究

零信任安全理念,打破了旧式边界防护思维,从传统的以网络为中心转变为以身份为中心进行最小权限访问控制,默认不信任网络内部和外部的任何人/设备/网络,持续监控可疑用户活动。软件定义边界(Software-Defined-Perimeter,SDP)SDP作为零信任技术的最佳实践,是目前较为普及的公网访问内网的安全技术。随着5G移动网络商用,企业团队协作、管理细化及业务扩展,不少大、中型企业办公选择了移动办公模式,在当下疫情影响情况下更具意义。因此在SDP应用中研究如何确保DNS安全,保护内网资产免泄漏,防止经由DNS发起的攻击行为,是亟待解决的问题。SDP技术是新兴技术,在该应用场景下关于DNS的攻击防范基本处于空白,针对DDos攻击、域名劫持、DNS欺骗等多种攻击手段,无显著有效的技术手段,因此,需通过研究针对零信任SDP有效的防护手段,降低新技术场景下DNS攻击的风险。

基于DNS攻击的安全防范策略

域名系统(DNS)服务在Internet服务中占据着非常重要的地位,但也存在很多安全漏洞。作者在文中介绍了DNS经常遭受的攻击类型,讨论了事务签名、域名服务器自身安全、DNS安全扩展(DNSSEC)等防范策略。

基于DNS攻击的安全分析及其防范

DNS服务是一项基础网络的服务,它的主要作用是完成IP地址和域名的转换。它的安全性至关重要。本文分析了DNS的脆弱性,并提出了其防范DNS攻击的策略。

DNS协议分析与安全检测

DNS是Internet上解决网上机器命名的一种系统。在Internet上,当一台主机要访问另外一台主机时,必须首先获知其地址,这就是DNS所要解决的问题。在对DNS的报文格式详细分析的基础上,研究了DNS服务及应用所面临的安全问题及存在的漏洞,最后提出了一些防范措施和相关建议。

基于DNS安全防范的探讨

域名系统(DNS)服务是Internet的一项基础服务,其安全问题具有举足轻重的地位。本文分析了DNS服务所面临的安全问题,并提出了相关的防范策略。

DNS服务器浅谈

在网络建设中,一个稳定、安全的DNS系统是网络正常、高效运行的保障。DNS(域名服务系统)实现了IP地址与域名之间的相互映射。以DNS服务器为核心,介绍DNS的工作原理,阐述了DNS安全问题及防范措施。

基于区块链和DNSSEC的身份认证模型

身份认证是网络安全的重要组成部分,当前身份认证技术通过PKI体系为服务端颁发证书实现,应用广泛,但存在对CA依赖较强、存在密钥泄露和单点失败等风险.本文基于区块链和DNSSEC技术,提出了一种新的身份认证模型,支持不依赖CA的服务端和用户端的双向身份认证,同时改进了用户证书,实现了对用户设备的授权管理,在安全性和灵活性方面具有一定优势.本文首先简要介绍了身份认证技术研究现状,随后详细描述了身份认证模型整体架构、工作流程和主要功能,最后对该模型进行了分析并提出了应用实例.

DNSSEC技术介绍与分析

DNS已经成为现代互联网核心服务之一,为互联网用户提供了极大的方便,但同时也存在诸多安全问题。就DNS协议的工作原理分析DNS存在的主要安全问题。介绍DNSSEC技术的基本原理及其实现方法,并分析其在应用过程中可能存在的问题,同时对DNSSEC部署后的前景进行展望。

在DNSSEC下保障顶级域名解析托管服务稳定迁移的操作机制

基于顶级域解析服务托管平台迁移部署实践,重点研究分析了在DNSSEC环境下,为避免发生域名系统安全扩展(DNSSEC,DNS security extension)信任链及解析服务中断、域名NS记录不一致等安全问题,如何在密钥轮转、DS和NS记录变更、数据更新等环节中实现新旧服务托管商及互联网数字分配机构(IANA,internet assigned numbers authority)之间进行解析服务平台的迁移,并对平台迁移操作的关键点进行了详细分析,提出了在解析托管服务迁移过程中能够保证业务连续性的迁移机制。

基于DNS的杠杆攻击的原理研究与防护

DNS是互联网的基础,为互联网服务提供基本支撑,其安全问题对运营商有举足轻重的影响。随着信息网络安全的发展,互联网出现了一种新的分布式拒绝服务攻击方式:DNS杠杆攻击,这种攻击能利用DNS协议的漏洞产生大量虚假通信,对互联网构成重大威胁。文中给出了杠杆攻击基于的协议和造成的主要危害,研究了DNS杠杆攻击的原理,并提出防火墙、BCP38、DNS惩罚机制、RRL等4种防护策略。

校园网智能DNS配置实践与日志分析

根据校园网普遍多出口的现状和服务器访问存在网络瓶颈的现实,利用bind9提供的view视图进行了DNS配置,对DNS的常见攻击手法进行了防范,利用Linux命令对DNS的日志进行了分析。

一种RFID网络安全解决方案

RFID网络的安全问题正受到人们普遍关注,针对RFID网络的DNS架构基础,文章通过对现有DNS安全扩展协议(DNSSEC)的安全防范思想和工作原理进行研究,提出一种基于DNS安全扩展的RFID网络安全解决方案。

Zeroconf网络的安全性分析及改进

分析并指出Zeroconf(Zero configuration)网络易受到DNS欺骗攻击,提出并实现了一种增强其安全性的改进策略。该策略通过DNSSEC对Zeroconf网络中DNS消息收发提供权限认证和信息完整性检查,同时针对Zeroconf网络无中心、自组织的特点,改进DNSSEC原有的公钥分配和管理机制以适应其特性。实验结果证实该策略提高了Zeroconf网络的安全性。

一种基于椭圆曲线加密算法解决物联网网络安全和效率问题的设计

为应对物联网在日趋增大的应用中所出现的网络安全问题,尤其是以ONS查询中所存在的安全威胁为主要的EPCglobal网络安全问题,满足物联网网络系统的稳定性和高效性需求,设计了一种基于椭圆曲线加密算法解决物联网EPCglobal网络安全的协议,包含将椭圆曲线加密算法应用于ONS查询中,并将DNSSec运用于ONS服务之中。整个协议设计充分利用了椭圆曲线加密算法的安全性与高效性。最后以实例验证了协议的可行性。