Cloud Strife:减轻域验证证书的安全风险

因其弹性资源分配（如存储、带宽和IP地址）等特点,Amazon Web Service（AWS）和Microsoft Azure等laaS架构的云平台被普通使用。然而,本文发现,互联网中存在大量的stale DNS域名（如过去曾在云端部署服务,但目前停止了服务,该IP地址已经被释放回云平台）,这些DNS记录仍然指向了云平台中的可分配IP地址。攻击者可以向云平台申请并分配到这些IP地址,从而相当于获取了该DNS域名的控制权（Domain Takeover）。因此,攻击者可以利用分配到的IP来通过互联网中的一些基于域名的验证系统,如基于域名验证的SSL证书颁发机制,甚至可以进行钓鱼、收发邮件或者通过该域名分发恶意代码等（当第三方从该域名下加载如JS脚本等代码时）。本文进一步从时间和花销上,分析了这种获取DNS域名指向的云端IP的实际可行性。在极端条件下,攻击者可以在70秒之内就申请到云端IP并完成攻击。这时间远低于普通的DNS记录TTL值,因而这种攻击可以发生在正常的云端服务迁移过程中（IP被临时释放）,使此安全问题导致的攻击面更为广泛。随之,本文提出上述Domaln Take问题的解决方案,即将该域名的已有验证加入到新的验证过程中（在新申请证书时,基于申请过的证书进行认证）。同时,也针对域名所有者和云平台管理员提供了安全建议。     

顶层DNS服务器延迟测量问题

域名系统(the domain name system,DNS)是互联网的重要基础设施,DNS可以为大部分互联网应用提供域名和IP地址的转换服务。也是为何DNS延迟问题成为影响互联网终端用户体验的一种关键因素。作为一种分层结构树形系统,DNS是一种分布式数据库组成。在分层结构顶部是根目录和一些顶级域名(TLD),例     

《中国域名服务安全状况与态势分析报告》发布

2012年12月,中国互联网络信息中心(CNNIC)与国家域名安全联盟(以下简称联盟)在京联合发布2012年《中国域名服务安全状况与态势分析报告》(以下简称报告),这也是国家域名安全联盟自2012年3月成立后交出的首个报告。报告对我国互联网提供重要基础域名解析服务的根域名系统、顶级权威域名系统、二级及以下权威域名系统和递归域名系统为对象,从底层操作系统和DNS软件到上层的域名服务架构,以及服务器     

DNS欺骗攻击及其防护研究

DNS是计算机用户访问网站使用的域名地址解析系统。DNS欺骗则是攻击者常见的攻击手段。从DNS的服务工作过程入手,分析了DNS的欺骗原理,探讨了防止DNS欺骗攻击的技术方法。     

Linux平台下校园网DNS服务的设计与实现

校园网络建设的主要目的是充分利用校内外的网络资源建设自已丰富的网络应用,从而为学校的教学、科研和管理等工作提供一个良好的基础支撑平台。DNS服务负责域名和IP地址之间的解析工作,它是校园网服务系统中的一项重要组成部分。实践中对Linux下DNS系统进行具体的分析与设计,开发建立一套完整的DNS服务系统,从而使DNS服务在校园网中得到具体有效的应用。     

DNS实时监控系统的设计与实现

目前,复旦大学共有5台DNS服务器分布于四校区,其中两台作为复旦域名名称服务器（Name Server）,同时提供其他域名的递归解析服务。因此,DNS服务直接关系到两方面内容：1．公众访问复旦大学相关站点的质量：2．校园网用户的网络访问质量。     

Fast Flux技术已被黑客滥用

ICANN旗下的通用域名支持组织（Generic Names Supporting Organization,后文简称GNSO）发布了一份121页的报告,讨论了Fast Flux技术目前被黑客和其他网络犯罪者滥用的现状,     

DNS拒绝服务攻击与对策

正面对各种形式攻击对DNS服务构成的威胁,要确保校园网DNS服务的安全可靠运行,需要从基础架构开始进行全面的考虑。DNS是互联网最关键的基础设施之一,它最主要的功能是将域名与IP地址进行映射。随着互联网应用的发展,DNS被赋予越来越多的职责。然而,由于DNS协议设计之初并没有足够的安全考虑,协议缺陷、实现和配置缺陷等一系列问题一直以来都威胁着DNS的安全运行。2008年,Dan Kaminsky提出的一种DNS缓存中毒攻击方法引起学术和企业界对DNS安全的广泛关注,时至今日绝大多数DNS服务器都已实现了源端口随     

安全从“根”上做起

域名系统DNS是互联网最基本也最核心的服务内容。13台DNS根域名服务器为全球25亿网络用户提供名称解析、电子邮件、文本消息、支持互联网功能的语音以及其他关键业务服务。在互联网络日益渗透到我们学习和生活各个层面的今天,DNS的安全不再只是一个技术问题,而是关系到每一个网民的切身利益,确保"网络空间健康发展"的关键环节。总结以往DNS出现的诸多安全事件,可以清楚地看到,相较于技术发展,管理是明显的"短板"。全球域名管理和安全     

混合加密机制降低计算复杂度

DNS协议存在的安全问题DNS是一个分布式的域名解析系统,它通过缓存技术、树状分层授权结构实现域名与IP地址及邮件服务等的相互转换,但DNS服务与域名解析服务器之间采用无连接的UDP协议,无法确认数据来源及是否被篡改,存在较大的安全隐患,使得DNS服务器经常遭受各种攻击。     

混合加密机制降低计算复杂度

DNS协议存在的安全问题 DNS是一个分布式的域名解析系统,它通过缓存技术、树状分层授权结构实现域名与IP地址及邮件服务等的相互转换,但DNS服务与域名解析服务器之间采用无连接的UDP协议,无法确认数据来源及是否被篡改,存在较大的安全隐患,使得DNS服务器经常遭受各种攻击。     

互联网上的社区守望者

美国西北大学研究者开发出一种新式的网络早期预警系统（Network Early Warninz System,后文简称NEWS）,该系统可以实时地检测互联网性能。当前的监控系统能够尝试发现网络异常并定位网络故障点,但是不能确定终端用户是否感受到了相同的问题。另一方面,大量的互联网终端用户其实是最好的互联网是否能正常工作的信息来源。共享用户使用互联网体验的高层信息能够建立一个有效和准确的互联网状态实时预报系统。     

Kaminsky Bug：DNSSEC的机遇？

IETF的DNS扩展工作组（DNSExtensionsworkinggroup。后文简称dnsext）最近就如何解决Kaminsky漏洞（Kaminsky在2008年早些时候公布的可以进行DNSCachePoison攻击的漏洞）展开了激烈辩论。在Minneapolis最近举行的IETF工作会议上,一些工作组成员认为应该立刻采取措施解决该漏洞,因为在现实中已经出现了利用该漏洞的攻击,来自Comcast公司的代表指出自8月份漏洞公布以来该公司已经发现大量的CachePoisong攻击尝试,     

互联网测量新招迭出

不久前,在韩国首尔国立大学召开了第十届“被动和主动测量会议”（Passive and Active Measurement conference．后文简称PAM2009）,为互联网测量工作提供了一个成果展示和讨论的论坛,也为互联网的网管们提供了不少实用的技术。     

校园DNS服务器设置新招

作为省重点中学，我校在1999年建成了自己的校园网。为了强化校园网应用功能，让更多的人了解学校的教育教学情况，我们组建了自己的校园网站，并申请了IP地址和域名（www.ywez.net）。但一个IP地址供Web服务器使用后，就无法再建域名服务器，只能请ISP解释域名，非常不方便。查阅了相关资料后，笔者发现在同一台服务器上可以提供Web、DNS等多种服务，经测试运行正常。具体实现步骤如下：一、创建DNS服务器首先要注意的是：在只有一个IP地址的情况下，要求Web服务、DNS服务共用一台服务器，我们必须在创建好DNS服务器后，将其IP…     

域名过滤器的研究应用

DNS服务的设计初衷是为了完成域名和地址的对应转换,但是在中大型的企业内部网络结构中,为了减少垃圾流量,有时候并不需要对所有的域名都进行解析,而是希望服务器能够有选择、有限制地对客户端的域名查询做出反应。在DNS条件转发技术的基础上,本文提出了域名过滤器概念并进行了一些初步的研究工作。     

ACM开源

ACM最近正式推出了ACM的旗舰杂志Communications of the ACM（后文简称CACM）的发布网站,提供开源的服务。     

域名解析服务器(DNS)在局域网中的应用

在网络中实际上是用IP地址来标识每一台计算机，由于IP难于记忆和使用，所以用ONS(Domain Name System)系统来自动完成域名到IP地址的转换工作，这样用户就可以利用便于记忆的域名来访问网络。对DNS的工作原理进行了分析探讨，并给出了一个在Turbo Linux 6．0系统上建立DNS服务器承担网络内部域名解析工作的应用实例。     

DNSSEC部署：山雨欲来风满楼

2010年5月5日,ICANN宣布已在13个根域服务器上部署DNSSEC（DNS Security Extensions,DNS安全扩展）,让业界感到非常突然。DNSSEC作为解决现有DNS体系数据安全性的一个方案,业界认为其部署和实施存在较大的闲难和协议缺陷。该项工作的加速实施,可能的原因是近期很多知名网站,例如Twitter、Facebook、百度等,包括一些银行网站被成功实施域名劫持攻击,影响巨大。另一个可能原因是来自美国商务部的压力。     

基于私有云集群部署开源智能DNS的创新与实践

本文以私有云集群部署开源智能DNS,结合互联网反向代理系统,有效解决了传统单机DNS存在的域名解析服务瓶颈和单点故障问题,并通过DNS和Squid反向代理的联动,优化了内网用户及学校网站的互联网访问速度。该系统已稳定使用多年,用户从互联网访问学校网站的速度得到明显提升,利用Freebsd Bind9多视图(View)的智能DNS解析机制,有效引导了内网用户网页访问量的合理分流,基本实现了不同运营商出口网络流量的负载均衡,提升了学校互联网出口带宽的使用效益。