积分商城

最新搜索: PL2303 altium Designer 20 电路设计与仿真从入门到精通 常用LOGO标识 microBUCK 入门教程 canopen
您现在的位置是:首页 > 技术资料 > 一种基于拟态安全防御的DNS框架设计
推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

一种基于拟态安全防御的DNS框架设计

更新时间:2019-12-24 12:51:55 大小:2M 上传用户:zhiyao6查看TA发布的资源 标签:DNS框架 下载积分:1分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

目前针对DNS服务器的恶意攻击频发,如DNS缓存投毒攻击,而DNS安全拓展协议(DNSSEC)在大规模部署时仍面临许多难题.本文提出一种简单易部署的,具有入侵容忍能力的主动防御架构——拟态DNS(Mimic DNS,M-DNS)——保证DNS安全.该架构由选调器和包含多个异构DNS服务器的服务器池组成.首先选调器动态选取若干服务器并行处理请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应.实验仿真表明,相比当前传统架构,M-DNS可以降低缓存投毒攻击成功率约10个数量级.


部分文件列表

文件名 大小
一种基于拟态安全防御的DNS框架设计.pdf 2M

【关注视频号领20积分】   【关注公众号立即送20积分】

部分页面预览

(完整内容请下载后查看)
11 期  
ꢀ  
ꢀ  
ꢀ  
Vol.45ꢀ No.11  
Nov.ꢀ 2017  
2017 11 月  
ACTA ELECTRONICA SINICA  
一种基于拟态安全防御的  
DNS 框架设计  
王禛鹏扈红超程国振  
国家数字交换系统工程技术研究中心DSC河南郑州 450003)  
ꢀ ꢀ 目前针对 DNS 服务器的恶意攻击频发DNS 缓存投毒攻击DNS 安全拓展协议NSSEC在大规  
模部署时仍面临许多难题本文提出一种简单易部署的具有入侵容忍能力的主动防御架构拟态 DNimic  
DNS,M⁃DNS保证 DNS 安全该架构由选调器和包含多个异构 DNS 服务器的服务器池组成首先选调器动态选取  
若干服务器并行处理请求然后对各服务器的处理结果采用投票机制决定最终的有效响应实验仿真表明相比当前  
传统架构,M⁃DNS 可以降低缓存投毒攻击成功率约 10 个数量级.  
关键词ꢀ DNS; DNS 缓存投毒攻击拟态安全防御动态异构冗余  
中图分类号ꢀ TP393ꢀ ꢀ ꢀ 文献标识码ꢀ Aꢀ ꢀ ꢀ 文章编号ꢀ 0372⁃2112 (2017)11⁃2705⁃10  
电子学报 URLhttp/ / ww.ejournal.org.cnꢀ  
DOI: 10.396 .issn.0372⁃2112.2017.11.018  
A DNS Architecture Based on  
Mimic Security Defense  
WANG Zhen⁃peng,HU Hong⁃chao,CHENG Guo⁃zhen  
National Digital Switching System Engineering & Technological R&D CenterZhengzhouHenan 450003,China)  
Abstract:ꢀ A simple and practical approach is required immediately to safeguard the Domain Name System DNS)  
because there are increasing attacks on DNS such as DNS cache poisoningand various problems when deploying Domain  
Name System Security Extensions DNSSECon a large scalen this paperwe present Mimic DNS M⁃DNSa non⁃  
intrusivetolerant and proactive security architectureto deal with itM⁃DNS is comprised of a scheduler and a server pool  
which consists of several heterogeneous DNS servers.The scheduler dynamically schedules the DNS servers to handle the re⁃  
quests in parallel and adopts the vote results from the majority of the servers to determine valid responses.Simulation results  
demonstrate that compared with current traditional frameworksapproximating 10 orders of magnitude reduction in cache poi⁃  
soning attack probability is acquired when employing M⁃DNS.  
Key words:ꢀ DNSDNS cache poisoning attackmimic security defensedynamic heterogeneous redundancy  
软件系统其不可避免地存在未知漏洞和后门易受攻  
1ꢀ 引言  
.2016 11 国家信息安全漏洞共享平台网站  
ꢀ ꢀ 当前,DNSomain Name System作为互联网最重  
要的基础设施之一[1] 维护着域名体系和 IP 地址空间  
的相互映射关系其重要性不言而喻然而作为复杂的  
发布安全公告 指出 BIND 存在 个高危漏洞国家互  
联网应急中心公布的015 年中国互联网网络安全报  
指出了针对 DNS 服务器的多起攻击行为NS 的  
收稿日期: 2016⁃10⁃28;修回日期: 2016⁃12⁃06;责任编辑蓝红杰  
基金项目国家自然科学基金青年基金o.61309020,No.61602509国家自然科学基金创新群体项目o.61521003国家重点研发计划项目  
网络空间拟态防御技术机制研究o.2016YFB0800100, No.2016YFB0800101)  
关于 ISC BIND 存在多个拒绝服务高危漏洞的安全公告,http/ / ww.cnvd.org.cebinfhow / 3809,2016.  
② 2015 年中国互联网网络安全报告,http/ / ww.cert.org.cn / publish / main / upload / Fil015annualreport.pdf,2016,04ư  
ꢀ ꢀ ꢀ ꢀ ꢀ ꢀ 报  
2017 年  
2706  
安全形式不容乐观.  
DNS 存服务器 称作递归服务ecursive  
Name Server,后文简写为 RNS设于用户和权威服务器  
uthoritative Name Server,后文简写为 ANS之间采用  
缓存机制提升整体服务效率然而由于 DNS 协议的简  
单认证模式和irst Answer Wins原则使其易受缓存投  
毒攻( DNS cache poisoning其是新型投毒攻击  
Kaminsky ,使得 DNS 安全问题成为研究热点.  
现有防御方案主要分为三类一类是加密认证其  
中典型代表就是 DNS 安全拓展协议 DNSSEC,由于会引  
入信锚问 [2] 以 及 分 片 攻 击[3,4] 和 放 大 攻 击 问  
面位于后端虽然呈现为一种有状态维护的功能易受  
攻击但是对于外部用户不可见现了态隐藏”  
tate⁃masking无法从外部对其实施有效攻击.  
2ư 3ꢀ M⁃DNS 系统的安全分析  
尤其是 RNS 的迭代查询会放大上述问题[5] 使得  
DNSSEC 部署进展缓慢中国域名服务安全状况与  
态势分析报告 2015》 后文简称为报告数据显示,  
M⁃DNS 的异构冗余性增加了攻击者漏洞挖掘的成  
而动态性则增加了攻击者系统探测时的不确定  
DNSSEC RNS 中的部署率仅为 0ư 9%;第二类是异常  
检测如文献6,7] 利用攻击前后 IP 熵值的变化实现  
检测然而异常检测本身易引入用户伪装入侵检测”  
问题[8] 且防御方法较为被动第三类是增加 DNS 报文  
的信息熵使攻击者更难猜中真实报文如端口号随  
[15,16] 并且破坏了系统突破时的连续性[17] 这些特性  
也使得系统具备良好的入侵容忍能力即使是超出了  
拟态防御边界的情况半数以上执行体被攻击当前  
被攻击的执行体在下一个周期可能变为非活跃状态,  
从而无法起到作用当然对于半数以上执行体已被攻  
击成功的周期,M⁃DNS 可能无法提供可靠的服务对此  
可以通过缩短切换周期的方式降低攻击者攻击的有  
效时间以及产生影响的时间.  
机化技术在域名前添加随机字符串的 WSEC DNS[9]  
区别域名大小写的 0x20⁃bit[10] 还有通过空间上多个查  
[11,12] 或时间上多次查询[13,14] 增加整体的信息熵.  
本文针对 RNS 的工作特点提出了拟态 DNS 服务  
M⁃DNS)的安全架构该架构基于拟态安全防御的  
动态异构冗余模型ynamic Heterogeneous Redundancy,  
DHR利用多个服务器多次查询后文称之为预缓存  
机制以及动态调度策略来增加整体的随机性可以有  
效防御 DNS 缓存投毒攻击和未知漏洞后门.  
2ư 4ꢀ M⁃DNS 的可行性分析  
动态异构冗余模型有以下前提假设:(1)系统输入  
输出一一对应;(2) 正常情况下异构执行体对同一输  
入有同一输出所以下面对 M⁃DNS 应用该模型时的问  
题进行解决说明.  
2ꢀ M⁃DNS 架构  
(1)系统输入输出一一对应问题某些大型互联网  
公司或在内容分发网络中为实现负载均衡可能将一  
个域名对应为多个 IP.例如对某个域名的查询可能返  
IP,IP,IPIP,IP,IP对此可以将这 IP  
视作一个集合从而满足域名到 IP 地址集的一一对应.  
(2)正常情况下一致输出问题NS 之间缓存内容  
不一致有两种可能的原因[11] 其一就是一个域名对应  
IP 的情况其二是 DNS 的缓存机制造成的对此可  
2ư 1ꢀ 系统架构  
如图 所示,M⁃DNS 架构由 DNS 池和选调器组成,  
DNS 池由若干运行不同 DNS 软件的服务器构成选调  
器由数据平面和控制平面组成其中前者完成数据分  
流功能后者负责执行体选择和判决由选调模块判决  
模块以及 DNS 服务器状态信息组成具体地选调模块  
根据服务器状态信息动态选取若干作为活跃集并向  
选调器数据平面下达分流指令选调器判决模块对收到  
的各个执行体的应答响应进行综合处理将判决结果  
作为最终响应返回数据平面并更新服务器状态信息.  
2ư 2ꢀ M⁃DNS 选调器的安全防护  
D.Kaminsky.Ithe end of the cache as we know it http/ / ww.blackhat.  
com / presentationh⁃jp⁃0h⁃jp⁃08⁃KaminsklackHat⁃Japan⁃08⁃Kaminsky⁃  
DNS08⁃BlackOps.pdf  
Security Bulletin: DNSSEC Amplification DDoS, https/ / ww. akamai.  
选调器作为 M⁃DNS 的核心组件且位于系统的最  
前端易受攻击本文采用控制与转发分离的原则保  
障选调器安全其中数据平面位于选调器前端可以设  
计为一种无状态的硬件转发功采用 NetFPGA⁃  
com / cultimediocumenttate⁃of⁃the⁃internenssec⁃amplification⁃ddos⁃  
security⁃bulletin.pdf,2016ư  
中国域名服务安全状况与态势分析报告 2015ttp/ / wwnnic/  
gywm / xwzdxw / 2010160020160225366132699889ư pdf,2016ư  
NetFPGA⁃10G Project. https/ / ithub. com / NetFPGA / NetFPGA⁃publi/  
10G 可编程板卡实现使得攻击者难以攻击而控制平  
wiki.  

相关下载

全部评论(0)

暂无评论
评论赚积分>>

上传资源 上传优质资源有赏金

热门标签

更多>>

最新上传

  • 打赏
  • 30日榜单

热门下载

推荐下载

本站上的所有资源均为源于网上收集或者由用户自行上传,仅供学习和研究使用,无任何商业目的,版权归原作如有侵权,请 来信指出,本站将立即改正。

ICP许可证号:京ICP证070360号     21IC电子网 2000- 版权所有

京ICP备11013301号

京公网安备 11010802024343号