Passive DNS系统的实现与应用研究
发布时间:2017-05-22 20:22
本文关键词:Passive DNS系统的实现与应用研究,由笔耕文化传播整理发布。
【摘要】:域名系统(Domain Name System, DNS)提供域名和IP地址之间的翻译、电子邮件支持等多种服务,是互联网最为关键的基础设施之一。互联网中许多重要的应用都依赖于DNS解析服务,DNS解析的安全性直接关系到这些应用能否正常运转;反过来,互联网应用的部署和使用情况都会在DNS数据中有所体现,而互联网中的各类安全事件也往往会在DNS解析中留下蛛丝马迹。因此,DNS解析数据的收集和分析对互联网应用的运行现状、DNS自身安全乃至整个互联网的安全等方面的研究具有十分重要的意义。 本文设计并实现了一个基于骨干网DNS流量的被动(Passive)DNS数据库系统,数据主要来自CERNET和联通互联的DNS流量,对2014年1月到2014年3月采集的数据(约占120G,记录约达2亿条)进行统计和关联分析,并用异常分析的方法在这些数据集上提取出多种DNS相关的攻击。具体的说,本文工作主要包括以下三部分: (1)设计并实现了一个基于骨干网DNS流量的Passive DNS系统。该系统用于DNS流量采集和存储。本文结合当前现有的DNS数据采集系统的优缺点,摒弃在DNS服务器上采集数据的方案,设计并实现了骨干网环境下的Passive DNS系统,建立了DNS历史数据的库DNSDB。这种设计让DNSDB中的数据来源更加丰富,使得基于该数据集对互联网应用以及DNS服务的安全研究更综合全面。 (2)对DNSDB中的数据进行了大量的统计分析,对理解当前DNS解析服务器的行为和DNS的脆弱点有参考价值。本文一方面通过对DNS数据的关键特征进行统计分析,构建出了当前互联网应用的部署情况和DNS运行现状的宏观视图;另一方面通过对采集到的解析域名进行关联,从授权依赖和别名依赖两个方面对DNS的域依赖问题进行了深入的分析,并进一步讨论了造成域依赖问题的缘由以及缓解方法。 (3)针对几种常见的攻击及表现出来的DNS行为特征,设计了DNS异常提取的方法,并进行了案例分析。为了能够进一步发现互联网应用的部署以及DNS运行现状中的异常现象,本文根据DNS解析数据的统计分析结果以及常见攻击在DNS解析中所表现的特征,基于TTL、响应内容、每秒访问量次数、域名长度、域名级数、域名对应的IP地址个数、二级域名对应的子域名个数和IP地址对应的域名个数这八种特征量,初步设计了DNS解析异常行为的提取方法,并针对提取出来的异常数据从DDos、DNS劫持、Fast-flux、域名的特殊用法和异常响应这五个方面做进一步的统计和取证分析。
【关键词】:Passive DNS 安全测量 域名依赖 异常分析
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
- 摘要4-6
- ABSTRACT6-10
- 第一章 绪论10-13
- 1.1 研究背景10-11
- 1.2 研究内容及意义11-12
- 1.3 组织架构12-13
- 第二章 DNS基础、威胁和相关研究工作13-24
- 2.1 DNS的体系结构和工作原理13-18
- 2.1.1 DNS的起源与发展13
- 2.1.2 DNS的体系结构13-15
- 2.1.3 DNS数据类型及其用途15-16
- 2.1.4 DNS请求和响应包格式16-17
- 2.1.5 DNS域名解析过程17-18
- 2.2 DNS安全威胁18-21
- 2.2.1 针对DNS的DDos攻击19-20
- 2.2.2 DNS欺骗20-21
- 2.2.3 恶意域名21
- 2.2.4 DNS配置问题21
- 2.2.5 DNS系统漏洞21
- 2.3 PASSIVE DNS系统的研究现状21-23
- 2.4 本章小结23-24
- 第三章 基于骨干网环境的PASSIVE DNS系统设计与实现24-40
- 3.1 PASSIVE DNS系统的需求和挑战24-27
- 3.1.1 Passive DNS系统的研究现状总结24-25
- 3.1.2 系统需求25
- 3.1.3 系统挑战25-27
- 3.2 PASSIVE DNS系统设计与实现27-38
- 3.2.1 Passive DNS系统的架构27-29
- 3.2.2 DNS响应数据包采集29-31
- 3.2.3 分析服务器端实现31-35
- 3.2.4 DNS数据存储35-36
- 3.2.5 DNS数据的可视化管理36-38
- 3.3 性能评估38-39
- 3.4 本章小结39-40
- 第四章 PASSIVE DNS系统数据的统计与关联分析40-54
- 4.1 基础数据分析40-47
- 4.1.1 数据类型分布40-41
- 4.1.2 权威域名服务器41-42
- 4.1.3 TTL值分布42-44
- 4.1.4 IP地址与域名映射44-46
- 4.1.5 域名热点排名分析46-47
- 4.2 域名依赖分析47-52
- 4.2.1 NS依赖分析47-51
- 4.2.2 CNAME依赖分析51-52
- 4.3 本章小结52-54
- 第五章 PASSIVE DNS系统的异常数据分析54-66
- 5.1 异常域名解析的提取方法54-58
- 5.2 针对权威域名服务器的DDos攻击58-60
- 5.3 DNS劫持60-61
- 5.4 FAST-FLUX61-62
- 5.5 域名的特殊用法62-64
- 5.6 异常响应64-65
- 5.7 本章小结65-66
- 第六章 总结与展望66-68
- 6.1 研究总结66-67
- 6.2 下一步工作67-68
- 参考文献68-72
- 致谢72-73
- 作者攻读学位期间发表的学术论文目录73
【参考文献】
中国期刊全文数据库 前8条
1 华山;;Anycast技术在运营商DNS中的应用[J];电信技术;2009年09期
2 段海新;;DNSSEC原理、配置与部署[J];中国教育网络;2011年06期
3 邹福泰;章思宇;;百度域名何以被劫持?(一)[J];中国教育网络;2010年Z1期
4 王左利;魏亮;;揭秘5·19断网风暴[J];中国教育网络;2009年07期
5 江健;诸葛建伟;段海新;吴建平;;僵尸网络机理与防御技术[J];软件学报;2012年01期
6 张小妹;赵荣彩;单征;陈静;;基于DNS的拒绝服务攻击研究与防范[J];计算机工程与设计;2008年01期
7 章思宇;邹福泰;王鲁华;陈铭;;基于DNS的隐蔽通道流量检测[J];通信学报;2013年05期
8 靳冲;郝志宇;吴志刚;;DNS缓存投毒攻击原理与防御策略[J];中国通信;2009年04期
本文关键词:Passive DNS系统的实现与应用研究,由笔耕文化传播整理发布。
,本文编号:386800
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/386800.html
