Kaminsky攻擊是一種遠(yuǎn)程DNS投毒攻擊,攻擊成功后解析域名子域的請求都被引導(dǎo)到偽造的權(quán)威域名服務(wù)器上,危害極大。通過模擬攻擊實驗并分析攻擊特征提出一種新的針對Kaminsky攻擊的異常行為分析方法,該方法先提取DNS報文中時間、IP、DNS中Flags和Transaction ID等信息,然后使用滑動窗口對DNS Transaction ID去重之后計算相同IP地址條件下Transaction ID的條件熵,最后用改進(jìn)的CUSUM算法分析條件熵時間序列以檢測攻擊時間。此外,調(diào)取檢測出的攻擊時間內(nèi)的數(shù)據(jù),相同IP地址條件下Transaction ID的條件熵可以追溯到投毒目標(biāo)權(quán)威域名服務(wù)器的IP地址。將攻擊流量與正常流量混合作為分析樣本,通過調(diào)整攻擊代碼參數(shù)模擬不同攻擊模式,結(jié)果表明該方法不僅時間復(fù)雜度小,而且有較低的誤檢率、漏報率和較高的檢測率,是一種有效的檢測和分析手段。 

【文章來源】：計算機(jī)科學(xué). 2020,47(S2)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

DNS查詢解析過程

DNS報文結(jié)構(gòu)

投毒成功后,此時使用該本地域名服務(wù)器的正常用戶如果請求解析example.com域名的子域名,都會被引導(dǎo)到偽造的NS記錄上去。攻擊過程如圖3所示。Kaminsky攻擊雖然繞過了一級域名的TTL約束,但是還受以下幾個條件約束[9-10]。

【參考文獻(xiàn)】：
期刊論文
[1]SDN環(huán)境下基于條件熵的DDoS攻擊檢測研究[J]. 舒遠(yuǎn)仲,梅夢喆,黃文強,汪麗娟.  無線互聯(lián)科技. 2016(05)
[2]Kaminsky域名系統(tǒng)緩存投毒防御策略研究[J]. 許成喜,胡榮貴,施凡,張巖慶.  計算機(jī)工程. 2013(01)
[3]DNS緩存投毒攻擊原理與防御策略[J]. 靳沖,郝志宇,吳志剛.  中國通信. 2009(04)
[4]基于源目的IP地址對數(shù)據(jù)庫的防范DDos攻擊策略[J]. 孫知信,李清東.  軟件學(xué)報. 2007(10)



本文編號：3275569