论文摘要
域名系统(DNS)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人们更方便的访问互联网。然而DNS协议本身在设计时并没有充分的考虑到其安全性。近年来,DNS逐渐成为网络安全的热点和黑客攻击的重点,攻击形式以缓存毒化攻击居多,尤其是Kaminsky攻击最为突出。基于DNS在因特网中的重要性以及严峻的DNS安全形势,研究和设计新的可行的DNS毒化攻击解决方案则是本文的意义所在。本论文首先介绍DNS相关基础知识;通过研究一般DNS递归解析的过程,阐述了DNS缓存毒化攻击,尤其是Kaminsky攻击的原理;之后介绍现行缓存毒化攻击的防御方法的原理,并简单介绍了DNSSEC的原理和其部署现状。本论文针对现行防御方法的不足提出了两种独创的缓存毒化攻击防御思路,对比分析了在采用和未采用防御方案情况下,缓存DNS对毒化攻击的防御能力。采用防御方案的第一种思路是采用两次解析确认,该方法将毒化攻击难度大大提升;第二种思路是限制响应匹配次数,遏制攻击者的攻击能力。通过比较和评估,本论文折中选择了有限次匹配方法进行设计,并对防御系统进行了实验验证。本论文针对在现行毒化攻击防御方法中采用被动增加DNS数据包信息量来提高对缓存毒化攻击的不足,提出了具备预警机制的防御思路和两种防御方案,设计实现了其中一种防御方案的防御程序,并通过实验验证了其有效性。
论文目录
摘要ABSTRACT第一章 引言1.1 课题背景及意义1.2 现状研究1.3 课题研究内容1.4 论文结构第二章 DNS基础2.1 域名及资源记录2.2 DNS协议简介2.3 DNS系统结构2.4 DNS服务器分类2.5 DNS查询类型2.6 DNS软件2.7 本章小结第三章 问题的提出3.1 DNS缓存毒化攻击原理分析3.1.1 典型DNS查询过程3.1.2 DNS缓存毒化攻击原理3.1.3 Kaminsky的攻击原理3.2 现有防御方法3.2.1 查询源端口号随机化3.2.2 流水号随机化3.2.3 域名大小写随机化3.2.4 多个备选授权DNS3.3 DNSSEC简介与现状3.3.1 DNSSEC的产生背景3.3.2 DNSSEC的原理3.3.3 DNSSEC部署的现状3.4 本章小结第四章 防御方法的提出4.1 防御方法的思路4.1.1 系统的预警机制4.1.2 防御方案一4.1.3 防御方案二4.2 现有方法和新方案的效能比对分析4.2.1 未采用防御系统的情况4.2.2 采用防御方案一的情况4.2.3 采用防御方案二的情况4.3 本章小结第五章 基于Netfilter的防御系统的设计与实现5.1 防御系统设计5.1.1 总体结构5.1.2 数据包监控模块5.1.3 数据包信息处理模块5.1.4 攻击识别模块5.2 防御系统实现5.2.1 IPTables的设定queue库'>5.2.2 Netfilterqueue库5.2.3 数据结构定义5.2.4 校验和的计算5.2.5 域名的压缩及解压缩5.2.6 DNS数据包的构造5.3 防御系统的验证5.3.1 搭建测试用DNS5.3.2 验证过程5.4 本章小结第六章 结束语6.1 工作总结6.2 问题展望参考文献致谢攻读学位期间发表的学术论文
相关论文文献
标签:域名系统论文; 缓存服务器论文; 攻击论文; 预警论文;
