Kaminsky攻击及其异常行为分析
发布时间:2021-07-10 08:32
Kaminsky攻击是一种远程DNS投毒攻击,攻击成功后解析域名子域的请求都被引导到伪造的权威域名服务器上,危害极大。通过模拟攻击实验并分析攻击特征提出一种新的针对Kaminsky攻击的异常行为分析方法,该方法先提取DNS报文中时间、IP、DNS中Flags和Transaction ID等信息,然后使用滑动窗口对DNS Transaction ID去重之后计算相同IP地址条件下Transaction ID的条件熵,最后用改进的CUSUM算法分析条件熵时间序列以检测攻击时间。此外,调取检测出的攻击时间内的数据,相同IP地址条件下Transaction ID的条件熵可以追溯到投毒目标权威域名服务器的IP地址。将攻击流量与正常流量混合作为分析样本,通过调整攻击代码参数模拟不同攻击模式,结果表明该方法不仅时间复杂度小,而且有较低的误检率、漏报率和较高的检测率,是一种有效的检测和分析手段。
【文章来源】:计算机科学. 2020,47(S2)北大核心CSCD
【文章页数】:6 页
【部分图文】:
DNS查询解析过程
DNS报文结构
投毒成功后,此时使用该本地域名服务器的正常用户如果请求解析example.com域名的子域名,都会被引导到伪造的NS记录上去。攻击过程如图3所示。Kaminsky攻击虽然绕过了一级域名的TTL约束,但是还受以下几个条件约束[9-10]。
【参考文献】:
期刊论文
[1]SDN环境下基于条件熵的DDoS攻击检测研究[J]. 舒远仲,梅梦喆,黄文强,汪丽娟. 无线互联科技. 2016(05)
[2]Kaminsky域名系统缓存投毒防御策略研究[J]. 许成喜,胡荣贵,施凡,张岩庆. 计算机工程. 2013(01)
[3]DNS缓存投毒攻击原理与防御策略[J]. 靳冲,郝志宇,吴志刚. 中国通信. 2009(04)
[4]基于源目的IP地址对数据库的防范DDos攻击策略[J]. 孙知信,李清东. 软件学报. 2007(10)
本文编号:3275569
【文章来源】:计算机科学. 2020,47(S2)北大核心CSCD
【文章页数】:6 页
【部分图文】:
DNS查询解析过程
DNS报文结构
投毒成功后,此时使用该本地域名服务器的正常用户如果请求解析example.com域名的子域名,都会被引导到伪造的NS记录上去。攻击过程如图3所示。Kaminsky攻击虽然绕过了一级域名的TTL约束,但是还受以下几个条件约束[9-10]。
【参考文献】:
期刊论文
[1]SDN环境下基于条件熵的DDoS攻击检测研究[J]. 舒远仲,梅梦喆,黄文强,汪丽娟. 无线互联科技. 2016(05)
[2]Kaminsky域名系统缓存投毒防御策略研究[J]. 许成喜,胡荣贵,施凡,张岩庆. 计算机工程. 2013(01)
[3]DNS缓存投毒攻击原理与防御策略[J]. 靳冲,郝志宇,吴志刚. 中国通信. 2009(04)
[4]基于源目的IP地址对数据库的防范DDos攻击策略[J]. 孙知信,李清东. 软件学报. 2007(10)
本文编号:3275569
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3275569.html
