基于DNS查询行为的Bot检测

提出一种基于DNS查询行为的检测方法。根据Bot的自动运行特性,从DNS查询的角度对主机中的进程进行初步过滤,缩小检测范围;分析Bot与其他进程的DNS反应行为模式的异同,构建Bot-DNS检测模型,在此基础上判断可疑进程是否为Bot。实验结果表明,该方法能够检测出处于生命周期早期阶段的Bot,且检测过程与Bot采用的协议结构无关,具有较好的检测效果。

DNS查询原理与实验

DNS是因特网上主机之间相互通信的基础,它提供了一个域名和IP地址之间的映射关系。这篇文章介绍了DNS的工作原理,使用nslookup程序探究了在WIFI共享大师环境下、SNNU无线上网环境下和PPPOE拨号上网环境下DNS的A类查询结果并与在浏览器访问百度时的DNS查询结果作以比较,总结了这几种情况下查询的异同。

DNS查询会暴露用户网页访问历史

如果你认为域名查询只会显示网站访问记录，而不会显示页面访问历史，那你就大错特错了!德国博士后研究员多米尼克·赫尔曼发表论文指出，用户与DNS之间的交互存在暴露的风险，使用递归名称服务器追踪行为会带来真正的隐私风险。DNS会将网址转换成IP地址，自然会显示用户访问的网站。

构建立体化DNS安全防护体系

2023年6月~7月,教育网运行正常,未发现影响严重的安全事件。在安全投诉事件方面,近期收到多起针对递归DNS查询服务器的拒绝服务攻击投诉。攻击者伪造大量递归查询请求,并把查询数据包里的源发IP伪造成递归查询服务器同子网内的IP。由于这些伪造的IP请求与递归查询服务器在同一广播域,递归查询服务器在返回查询结果时需要使用ARP协议确认子网IP对应的端口信息。但因为IP是伪造的,这些ARP查询请求得不到回应,进而大大增加递归查询服务器的系统负担,造成拒绝服务攻击。

DNS服务中的Internet访问行为测量研究

借助于中国互联网络信息中心负责管理的国家顶级域名系统资源,对当前CN顶级域名DNS服务请求进行了宏观测量和分析。研究发现,CN国家域名整体查询频度特征服从类Zipf’s分布,递归服务器域名查询量遵从广延指数分布,即CN国家域名的DNS服务请求具有整体集中分布的特征和域名查询模式的时间局部特征。这些关于国家域名服务的整体认识和全局性描述对于深入了解我国国家域名系统的整体运行状况,科学认识我国宏观网络发展特征具有重要意义。

利用熵检测DNS异常

利用DNS查询数据中出现的查询类型作为随机条件计算熵值,根据熵值的突发性变化,检测DNS查询中是否出现异常。利用该算法对2009年5月19日发生大面积断网事件时的DNS查询原始数据进行分析,证明这种方法可以及时检测到DNS查询中的异常情况的发生,并具有较好的检测效果。

Windows 2003 DNS服务器存根区域详解

Windows 2003的DNS服务器中新增了一个区域类型即存根区域，目的就是为了加强DNS查询的质量和效率。利用存根区域使父域DNS服务器劝态及时地掌握它的子域的权威服务器列表，及时提供给DNS查询使用。本文就存根区域的工作原理、使用和配置方法给予较详细的解释。

配置DNS转发器

转发器是网络上的域名系统（DNS）服务器，用来将公司客户端的外部DNS查询转发给该网络外的DNS服务器。也可使用“条件转发器”按照特定域名转发查询。使用转发器可管理网络外的名称解析（例如Internet上的名称），并改进网络中的计算机名称解析效率。

MR-CLOPE: A Map Reduce based transactional clustering algorithm for DNS query log analysis

DNS(domain name system) query log analysis has been a popular research topic in recent years. CLOPE, the represented transactional clustering algorithm, could be readily used for DNS query log mining. However, the algorithm is inefficient when processing large scale data. The MR-CLOPE algorithm is proposed, which is an extension and improvement on CLOPE based on Map Reduce. Different from the previous parallel clustering method, a two-stage Map Reduce implementation framework is proposed. Each of the stage is implemented by one kind Map Reduce task. In the first stage, the DNS query logs are divided into multiple splits and the CLOPE algorithm is executed on each split. The second stage usually tends to iterate many times to merge the small clusters into bigger satisfactory ones. In these two stages, a novel partition process is designed to randomly spread out original sub clusters, which will be moved and merged in the map phrase of the second phase according to the defined merge criteria. In such way, the advantage of the original CLOPE algorithm is kept and its disadvantages are dealt with in the proposed framework to achieve more excellent clustering performance. The experiment results show that MR-CLOPE is not only faster but also has better clustering quality on DNS query logs compared with CLOPE.

配置DNS负载均衡

DNS负载均衡技术是在DNS服务器中为同一个主机名配置多个IP地址，在应答DNS查询时，DNS服务器对每个查询将以DNS文件中主机记录的IP地址按顺序返回不同的解析结果，将客户端的访问引导到不同的机器上去，使得不同的客户端访问不同的服务器，从而达到负载均衡的目的。本文是笔者配置DNS负载均衡的操作过程。

基于Counting Bloom Filter的DNS异常检测

鉴于失败的DNS查询(failed DNS query)能提供恶意网络活动的证据,以DNS查询失败的数据为切入口,提出一种轻量级的基于Counting Bloom Filter的DNS异常检测方法。该方法使用带语义特征的可逆哈希函数对被查询的域名及发起查询的IP进行快速的聚类和还原。实验结果证明该方法能以较少的空间占用和较快的计算速度有效识别出DNS流量中的异常,适用于僵尸网络、分布式拒绝服务(DDoS)攻击等异常检测的前期筛选和后期验证。

保护DNS服务器十大技巧

1．使用DNS转发器 DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力．把查询请求从DNS服务器转给转发器，从DNS转发器的更大DNS高速缓存中受益。

多点测量Internet路由器级拓扑

随着Internet的快速发展,人们越来越关注对Internet拓扑结构的测量。本文分析了采用公共traceroute服务器进行拓扑测量的局限性,给出了一个等价于在ISP内多点测量Internet路由器级拓扑的三层体系结构,并采用一个统一的三层框架结构来部署和维护相应的系统,特别侧重于系统布置实施和维护的灵活性。通过二阶段随机选择确定探测目标来增强探测过程的弱感知性。采用按需发送每跳所需报文数量、集中进行DNS查询等方法,降低了网络负载,提高了探测性能。通过实践从功能角度评估了测量系统。

子网探测技术研究

"网络拓扑发现"的主要目的是探测出一个网络的拓扑结构和其中的关键设备等重要信息,子网探测技术是该项目一个重要的研究内容,也是其中的一个难点问题。本文对子网探测技术进行了深入研究,给出了4种子网划分探测方法和2种子网规模探测方法,并给出了它们的基本原理和实现方法,最后总结了这些方法的优缺点并提出了进一步的研究方向。

IMS双域名方案研究

在IMS实际部署中,全业务运营商通常建设一套IMS网络同时为固网用户和移动用户服务,而固网用户和移动用户使用不同的域名,带来了IMS网络需要支持2种域名用户接入,以及不同IMS网络之间的互通的问题。文中对IMS双域名问题进行了详细分析,利用I-SBC的信令编辑、S-CSCF主叫分源和被叫分析技术、DNS智能查询以及一号通业务等主要技术,研究设计了一种可行的IMS双域名解决方案,支持2种域名用户接入,使用指定域名和不同网络互通,解决了IMS双域名问题,并得到商用验证。

CNNIC助力中国IPv6过渡进程

CNNIC部署域名安全系统,并对我国域名体系IPv6进行升级改造。目前,CNNIC已完成全球19个节点建设,计划扩展至30个节点;每日DNS查询约15亿次,其中IPv6查询约占10%。

CERNET省域网后备域名系统的设计与实现

DNS提供INTERNET中域名到IP地址的映射及转换,是INTERNET/Intranet网络资源访问不可缺少的基础服务.现行的DNS系统主要的服务过程中,依赖于对根域名等上层域名服务系统信息的访问,在CERNET省域网络内使用时缺乏一定的灵活性.针对CERNET省域网络内DNS服务的具体问题提出并设计了省域网后备域名系统.

网站制作的Web前端开发设计相关研究

我国互联网产业规模不断扩大,在经济全球化背景下呈现出更强的竞争优势,市场上对网站制作的需求度与日俱增,为了推动产业长久、高水平发展,应在摸索市场规律、了解市场需求基础上积极引进新理念和新技术到实处,切实提升网站制作水平。网站制作涉及诸多内容,传统网站设计以静态内容为主,为用户提供信息浏览阅读服务。而在新时期网站制作中要充分考虑到用户和界面交互性要求,坚持用户为中心原则,积极推动Web前端开发设计,以便于呈现交互性更强的界面,丰富用户的使用体验。综合分析研究新时期网站制作相关要求,了解Web前端开发相关技术和优势,依据实际需要合理化开发设计,以便于提升Web前端开发设计合理性。

VOIP接入网关在IMS网络中的容灾保护机制

随着运营商对3G网络建设力度的加大,IMS已经取代了传统程控交换机和软交换,成为3G网络的核心交换设备。本文详细阐述了7302ISAM-V语音接入网关在IMS网络发生故障或操作维护时对在运行业务的容灾保护机制。

硬件

问：Linux如何管理DNS服务器端口？答：BIND是最著名的DNS服务器之一。由于DNS查询通常由系统自动完成．所以其53端口不方便更改．但可以指定在哪个IP地址进行监听。