DNS实时监控统计系统的设计方案

当前域名服务系统(DNS)安全的监控统计中,存在查询日志操作影响DNS性能及异常处理滞后的问题.为此,文中提出一种多层次构架的实时监控统计系统(DRMSS)的设计方案.首先利用BSD包过滤器(BPF)过滤DNS服务报文数据,然后通过内存缓存机制存储和实时处理监控统计信息.实验结果表明,DRMSS能对多种域名服务器应用软件进行实时监控处理及数据统计整合,显著提高了域名监控统计的服务性能,增强域名服务的安全性.     

浅谈DNS的安全与防护

DNS作为Internet的重要组成组分,其安全性日益受到人们的关注。本文在阐述DNS所面临的安全威胁基础上,以我校的域名服务系统为例,提出了一种外部安全防护体系和内部安全防护策略相结合的DNS安全防范方法。     

基于隐私保护技术的DNS通信协议

 域名系统（DNS）是互联网基础服务,是互联网访问的重要入口,域名隐私保护是DNS安全的研究热点。提出了一种基于用户数据报协议（UDP）的DNS传输中用户隐私保护的加密方法：DNSDEA（DNS data encryption algorithm）。该方法采用PKI加密体系与DNS协议相融合,不仅解决了域名隐私保护问题,而且与传统DNS体系相兼容,保持了DNS系统的简单、高效的技术特点。与当前的DNS加密方法相比,DNSDEA提高了任务并行的并行化粒度,降低了加密情况下DNS查询的延时。     

一种利用域名系统支持主机移动的路由协议

当网络主机改变网络接入点时。传统的TEP／IP协议无法正常运作。这是由于IP地址的双重作用(既是主机的名也指明主机当前的网络位置)引起的，支持主机移动的网络协议SHMUD(Supporting Host Mobility Using DNS)用域名作为主机名。保留主机IP地址指示其当前网络位置的作用，解决了这一问题，SHMUD以域名服务系统作为它的位置目录，在每个移动主机可能访问的网络中安装移动代理，当移动主机从一个网络移动到另一个网络。并通过DHCP服务器获得了当地网络的一个IP地址后。向它的归属代理(Home Agent)发送登记请求，归属代理根据该移动主机的请求通知DNS服务器。DNS服务器就更新该移动主机的域名—地址映射。这样网络中其它主机利用域名与该移动主机通信时就可以直接将IP报发往该移动主机的当前IP地址了，在移动主机改变网络接入点的过程中，可能与其它主机正在进行通信。为保证通信不被中断(称为平滑越区)。SHMUD提出了一种新的机制以实现主机的平滑越区。此外，SHMUD还提供必要的安全措施使各个移动代理和DNS服务器不受网络攻击。最后，给出了SHMUD的原型系统和性能分析，与其它支持主机移动的路由方案如Mobile-IP相比，SHMUD实现了路径优化、资源的分布式管理、平滑越区以及身份验证等。此外，它只需要在移动主机可能访问的网络中安装移动代理，并在移动主机上安装必要的软件即可运行，不必进行大规模的软件升级，因此较适于在因特网中推广。     

园区网智能DNS服务器的构建

互联网规模日益壮大,用户对网络的要求越来越高,而互联网的绝大多数应用都依赖于域名解析服务DNS．随着更多的校园网采用除教育网外的第二和第三出口,对DNS服务提出了更高的要求．因此,构建安全稳定、健壮高效的园区网DNS服务器成为多出口园区网稳定运行的关键．文章基于linux和bind9给出了实现安全高效的智能DNS的关键技术及配置策略。     

浅析常用网络服务所面临的安全威胁

本文介绍和分析了当前FTP文件传输服务、Telnet、WWW服务、电子邮件、新闻组、DNS服务、网络管理服务、网络文件服务等网络服务所面临的安全威胁。     

基于PlanetLab平台的校园网DNS服务性能测试方法

随着Internet的发展,DNS服务越来越重要,其性能直接影响互连网应用的访问速度.本文基于PlanetLab平台,研究了校园网DNS服务的分布式测试技术.利用遍布全球的1000多个PlanetLab节点对DNS服务进行性能测试,以得到真实Internet环境下的校园网DNS服务测试结果,用于调整DNS服务策略,提高基础服务能力.本文研究了PlanetLab平台构件的远程部署方法,提出了一种基于PlanetLab平台的DNS slice构件的分布式部署方法.根据PlanetLab平台接口开发标准,开发了slice构件模块,通过设定测试目标地址、测试点数量、发送频率、持续时间、测试协议(IPv4或IPv6)等参数,对DNS服务器进行了全球范围的分布式测试.     

浅谈DNS安全防范

域名系统(Domain Name System,DNS)作为互联网最基本的服务,是所有互联网应用的基础,在网站运行和维护中起着至关重要的作用.但其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足,现在越来越受到黑客的关注和攻击,使得DNS系统面临非常严重的安全威胁.21世纪以来,DNS安全事件时有发生.比如2009年暴风影音“519”事件、2010年百度域名劫持事件等.由此可见,DNS服务已成为互联网安全的一个重大隐患,如何寻求安全有效的解决方案是当今DNS研究亟待解决的问题.     

基于开源软件的DNS查询日志分析系统

域名系统(domain name system,DNS)是互联网的核心基础服务,服务的健壮性和安全性非常重要.针对高等学校的DNS配置中存在的问题,提出了一个基于开源软件的DNS查询日志分析系统,给出构建DNS集群自动化部署的方案,利用开源工具监控DNS的配置信息和运行状态,并利用大数据分析工具结合少量的编程生成查询日志的可视化图表.实际运用后表明,该系统通过横向扩展可应对每日上亿条数据的实时分析要求.DNS服务整体架构清晰,安全性提高,用户的上网日志可实时统计展示,为分析DNS服务的运行状态、攻击预警、网络性能调优等方面提供了帮助.     

双栈环境下的DNS可靠性增强方法

通过分析域名系统(DNS)服务侧和用户侧存在的可靠性问题及其原因,提出一种IPv4/IPv6双栈环境下的DNS可靠性增强方法.该方法根据双栈环境的特点,使用IPv6协议的地址自动配置机制,为用户终端无感知地自动配置DNSv6服务器,通过增加DNS配置的冗余来提高DNS服务的可靠性,并且采用实证分析的方法验证了该方法在DNS服务侧和用户侧的可行性.实验结果表明,该方法可以在DNSv4服务器故障的情况下,使用增加的DNSv6服务器来正常解析,从而有效提高DNS服务的可靠性;在性能方面,该方法的平均解析时间在无缓存情况下比校园网DNSv4服务器增加约12%,但比公共DNSv4服务器降低约33.6%.     

电信运营商DNS系统安全体系的构建

DNS是十分重要的Internet基础设施,对互联网服务至关重要,如何保障DNS系统的安全,对于运营商而言,迫在眉睫。在分析DNS系统面临风险的基础上,从3个阶段、4个层次的角度给出了DNS系统安全体系构建的思路。     

DNS实时监控统计系统的设计

分析当前DNS系统安全在服务监控统计方面的进展及问题,设计一种多层次构架的实时监控统计系统DRMSS,其利用BPF机制过滤DNS服务报文数据,通过缓存机制存储和处理监控统计信息,并结合Iptables应用。该系统具有广泛的适应性,能对多种域名服务器服务实现实时监控处理及数据统计整合。实验表明,DRMSS显著提高了域名监控统计的服务性能,增强了域名服务的安全性。     

基于主动测量的CN权威镜像选址效果评估

 域名服务器(DNS)镜像技术是提升DNS 系统安全性、稳定性和解析性能的重要方法。以CN 镜像服务器的实测数据为例, 采用主动测量法, 主动向被探测的网络或者对象发送特定的数据包, 根据响应时间和应答数据包分析研究对象的网络特征, 以此评估CN 权威服务器的选址效果。结果显示, 镜像技术使全球各地都能提供较好的CN 解析服务, 虽然服务效果存在地理上的差异性, 但与CN 节点的部署实际情况相符。该效果评估方法能够为节点部署提供可靠的决策依据, 有助于DNS 节点高效有序的规划建设。     

基于安全可靠的DNS系统构建

【目的】研究如何将策略路由技术应用到DNS系统的构建上,提出一种构建安全可靠的DNS系统的方法。【方法】从网络安全构架、系统安全和BIND安全等多方面,系统阐述如何增强DNS的安全可靠性,并将策略路由技术应用到DNS的构建上。【结果】提出一种构建安全可靠DNS系统的方法,在国际互联网双出口的网络环境下,策略路由技术由网络中的路由器和DNS服务器协同完成,可实现出口链路冗余及优化访问路径、DNS解析业务冗余等功能。【结论】该方法可以解决DNS系统面临的安全威胁,提高DNS系统的可靠性,特别是策略路由技术的应用,在保证可靠性的基础上还优化了网络性能。     

网络安全现状与趋势探讨

从互联网骨干网络、根域名服务器及用户方面所面临的威胁概要地分析了当前计算机网络安全的现状和趋势 ,就进一步提高网络安全性的若干问题进行了探讨     

基于透明代理的域名系统隐患分析与防御策略

域名系统现有机制无法对域名解析请求和应答的信息来源进行有效确认,使得攻击者能够伪造数据对域名系统进行攻击,该文在对域名系统安全隐患分析的基础上,提出了一种透明代理的安全组件,不需改变现有域名系统的架构与通信机制,实现了对域名解析请求和应答信息的鉴别与过滤。该透明代理运行在2种工作模式即选择性重查询模式和安全标签查询模式,能够根据安全要求和风险水平在2种模式之间进行动态切换。仿真分析表明:这种架构使得攻击域名系统的成功率大为降低,明显提高了系统安全性,同时对系统平均查询时间和网络吞吐率影响较小。     

浅析SYN FLOOD攻击原理及其防御

SYN FLOOD攻击是当前最流行的DDOS攻击方式之一。本文在介绍基本概念基础上,分析了其攻击原理,并提出了防御SYN FLOOD攻击的相应措施。     

基于真实IPv6地址环境下的安全DNS系统设计

网络的安全保证变得日趋重要,在下一代互联网上这种要求更为迫切.以真实IPv6地址接入技术为平台,结合PK I的证书分发机制对密钥的分发实现安全便捷的管理,利用密钥机制对DNS全程数据通信进行签名加密保护进而可以实现下一代互联网络体系结构中DNS系统的安全,包括安全的域名更新、安全的域名查询以及抵御常见的DNS攻击.     

基于多Agent的网络管理系统设计

针对传统的基于SNMP协议的网络管理系统的不足 ,结合MobileAgent技术的优点 ,提出了一种基于多Agent的网络管理系统框架 ,并具有分析了该框架中各模块的功能以及相互协作流程 .还对该系统进行了安全性方面的讨论     

Windows Server中DNS的层次结构和名称解析的实现

首先介绍了DNS（Domain Name System）的重要性及其维护和常见故障的排除方法,然后从DNS的公共层次结构入手,通过引入根域,顶级域和子域的概念,系统分析了DNS工作原理;通过实例详细分析了DNS名称解析的实现过程。