Kaminsky攻擊是一種遠(yuǎn)程DNS投毒攻擊,攻擊成功后解析域名子域的請(qǐng)求都被引導(dǎo)到偽造的權(quán)威域名服務(wù)器上,危害極大。通過(guò)模擬攻擊實(shí)驗(yàn)并分析攻擊特征提出一種新的針對(duì)Kaminsky攻擊的異常行為分析方法,該方法先提取DNS報(bào)文中時(shí)間、IP、DNS中Flags和Transaction ID等信息,然后使用滑動(dòng)窗口對(duì)DNS Transaction ID去重之后計(jì)算相同IP地址條件下Transaction ID的條件熵,最后用改進(jìn)的CUSUM算法分析條件熵時(shí)間序列以檢測(cè)攻擊時(shí)間。此外,調(diào)取檢測(cè)出的攻擊時(shí)間內(nèi)的數(shù)據(jù),相同IP地址條件下Transaction ID的條件熵可以追溯到投毒目標(biāo)權(quán)威域名服務(wù)器的IP地址。將攻擊流量與正常流量混合作為分析樣本,通過(guò)調(diào)整攻擊代碼參數(shù)模擬不同攻擊模式,結(jié)果表明該方法不僅時(shí)間復(fù)雜度小,而且有較低的誤檢率、漏報(bào)率和較高的檢測(cè)率,是一種有效的檢測(cè)和分析手段。 

【文章來(lái)源】：計(jì)算機(jī)科學(xué). 2020,47(S2)北大核心CSCD

【文章頁(yè)數(shù)】：6 頁(yè)

【部分圖文】：

DNS查詢(xún)解析過(guò)程

DNS報(bào)文結(jié)構(gòu)

投毒成功后,此時(shí)使用該本地域名服務(wù)器的正常用戶(hù)如果請(qǐng)求解析example.com域名的子域名,都會(huì)被引導(dǎo)到偽造的NS記錄上去。攻擊過(guò)程如圖3所示。Kaminsky攻擊雖然繞過(guò)了一級(jí)域名的TTL約束,但是還受以下幾個(gè)條件約束[9-10]。

【參考文獻(xiàn)】：
期刊論文
[1]SDN環(huán)境下基于條件熵的DDoS攻擊檢測(cè)研究[J]. 舒遠(yuǎn)仲,梅夢(mèng)喆,黃文強(qiáng),汪麗娟.  無(wú)線互聯(lián)科技. 2016(05)
[2]Kaminsky域名系統(tǒng)緩存投毒防御策略研究[J]. 許成喜,胡榮貴,施凡,張巖慶.  計(jì)算機(jī)工程. 2013(01)
[3]DNS緩存投毒攻擊原理與防御策略[J]. 靳沖,郝志宇,吳志剛.  中國(guó)通信. 2009(04)
[4]基于源目的IP地址對(duì)數(shù)據(jù)庫(kù)的防范DDos攻擊策略[J]. 孫知信,李清東.  軟件學(xué)報(bào). 2007(10)



本文編號(hào)：3275569