Author Archives: Duan Haixin

.xxx域名在icann讨论被美国一票否决的案例

对于有人前几天提到的“.xxx域名在icann讨论被美国一票否决的case”,我也简单考证了一下。 首先解释一下,”.XXX”这种域名不是任何国家的ccTLD, ccTLD都是两个字母(管理政策由这个国家制定)。尽管XXX是三个字母,但它也不是普通的gTLD(如.com, .net,它们的管理政策由ICANN制定),它叫sTLD(Sponsored TLD,由赞助它的公司或community来制定管理政策)。

Posted in 历史和人物, 技术与文化, 网络安全 | Comments Off on .xxx域名在icann讨论被美国一票否决的案例

伊拉克域名IQ被美国删除的背后以及早期的根域名管理

2014年6月24日的《人民日报》上说:“目前美国掌握着全球互联网13台域名根服务器中的10台。理论上,只要在根服务器上屏蔽该国家域名,就能让这个国家的国家顶级域名网站在网络上瞬间“消失”。在这个意义上,美国具有全球独一无二的制网权,有能力威慑他国的网络边疆和网络主权。譬如,伊拉克战争期间,在美国政府授意下,伊拉克顶级域名“.iq”的申请和解析工作被终止,所有网址以“.iq”为后缀的网站从互联网蒸发。 ”[1]类似的说法也出现在一些严肃的学术文章中[8]。 对于美国停止伊拉克域名解析的问题,我出于好奇搜了一下这一事件的背景。以下内容来自IANA的报告[2](IANA一直负责根域名管理,现在是ICANN的一个部门):

Posted in 历史和人物, 技术与文化, 杂文, 科技论文, 网络安全 | Comments Off on 伊拉克域名IQ被美国删除的背后以及早期的根域名管理

当HTTPS遇到CDN: 授权服务中的认证实例

内容分发网络(CDN)和HTTPS是当前互联网中广泛使用的Web技术,目前对这两种技术的研究是相互独立的,本文把这两种技术结合在一起进行了系统性的研究。我们调研了世界20个主流的CDN服务提供商和10,721个使用HTTPS的热门网站,揭示出当前HTTPS在CDN部署中的许多问题,比如无效证书、共享私钥(Private Key)、无视撤销的证书、CDN后端不安全的通信等等。有些问题只是操作问题,但是有些问题源于多方授权服务中,HTTPS的端到端特性和CDN中间人特性之间产生了冲突。 为解决这一HTTPS在CDN服务中的授权问题,我们提出并实现了一个基于DANE的轻量级的解决方案,DANE(DNS-based Authentication of Named Entities)是IETF 制定的标准以完善Web 网站的PKI信任模型。我们的实现表明,在CDN环境下实现安全、高效的HTTPS通信是可行的,同时也希望推进CDN和安全领域中进一步的研究,希望有更加有效的解决方案。 我们的研究受到工业界的广泛关注,目前Akamai、CloudFlare、Amazon、Incapsula等公司已经积极地联系我们,CloudFlare 公司在得到我们论文后很快推出了更加安全的服务 Strict SSL 论文发表于国际顶级学术会议IEEE Symposium on Security and Privacy 2014 , 论文全文下载(PDF)

Posted in 科技论文, 网络安全 | Comments Off on 当HTTPS遇到CDN: 授权服务中的认证实例

针对关键互联网基础设施的 APT攻击与防御

这是在首届BCTF论坛(2014年5月4日,南京)上的一次报告,主要覆盖以下内容: 关键互联网基础设施与攻击案例 • 我们关于CII的若干研究 – 针对路由系统的LDoS攻击 – DNS一致性及依赖性分析 – PKI及银行网站HTTPS部署测量 – CDN中的HTTPS 问题 • 关于防范的探讨 报告讲稿下载

Posted in 网络安全 | Comments Off on 针对关键互联网基础设施的 APT攻击与防御

APT Attacks against Critical Internet Infrastructure

This is a talk in BCTF Forum in Nanjing, 2041/05/04. The topics covered in this talk: What is Critical Internet Infrastructure (CII) Case study of APT attacks against CII Our research on CII attacks LDOS on BGP DNS cache pollution … Continue reading

Posted in Lectures | Comments Off on APT Attacks against Critical Internet Infrastructure

When HTTPS Meets CDN: A Case of Authentication in Delegated Service

To appear in IEEE Symposium on Security and Privacy(2014) Content Delivery Network (CDN) and Hypertext Transfer Protocol Secure (HTTPS) are two popular but inde- pendent web technologies, each of which has been well studied individually and independently. This paper provides … Continue reading

Posted in Papers | Comments Off on When HTTPS Meets CDN: A Case of Authentication in Delegated Service

手机上的网络诊断神器:Netalyzr for Android

Netalyzr for Android是一款深受好评的免费(且没广告)网络调试诊断工具——Netalyzr的Android版。它能够对你关心的网络连接的许多特性进行准确测量分析,比如重要的网络服务是否被运营商封锁、HTTP缓存和代理行为是否正确、DNS服务的抗攻击性、地址转换(NAT)设备的检测、网络延迟和带宽的测量等。它能够根据测量结果生成一份详细的报告并标记出可能的问题。这里是一份真实网络中的测试报告:http://netalyzr.icsi.berkeley.edu/restore/id=example-session,你可以对它的测试有直观的认识。 为了完成整个测试过程,Netalyzr需要网络相关的权限,地理位置定位权限(可以禁用)和关闭其它应用的权限(可以提高测量准确性;当然您也可以禁用这个功能)。如果您的设备已经开放root权限,软件会请求使用root权限来完成IP traceroutes测试。 Netalyzr不仅仅是一款调试工具——它也是对互联网的边缘网络健康状况进行全面测量研究的基础软件。Netalyzr是由位于美国加州大学伯克利的国际计算机科学研究所(ICSI)研发。如果您运行Netalyzr并帮助我们推广,对于提高我们的研究质量有很大帮助。谢谢! 如果你能访问Google Play Store,可以直接安装:https://play.google.com/store/apps/details?id=edu.berkeley.icsi.netalyzr.android 如果你无法访问Google Play Store,可以下载Apk文件自己安装: http://www.icsi.berkeley.edu/~narseo/netalyzr_bin/Netalyzr.apk 我们正在把它上传到国内Android 应用商店,不久后您也许可以直接从那里安装。 您可以在Netalyzr的网站上找到更多的相关信息,http://www.netalyzr.icsi.berkeley.edu。 关键词:Netalyzr、网络测试、测量、调试、Netalyzer、分析、连通性、性能、带宽、延迟、Buffer Bloat、代理缓存、HTTP、DNS、UPnP、端口过滤、协议、WIFI、移动

Posted in 网络安全 | Comments Off on 手机上的网络诊断神器:Netalyzr for Android

Measuring Query Latency of Top Level DNS Servers

Published in PAM 2013 Abstract We surveyed the latency of upper DNS hierarchy from 19593 vantage points around the world to investigate the impact of uneven distribution of top level DNS servers on end-user latency. Our findings included: 1) generally … Continue reading

Posted in Papers | Comments Off on Measuring Query Latency of Top Level DNS Servers

幽灵域名(Ghost Domain Name):删除了但仍可以解析

作者:江健,梁锦津,李康,李军,段海新,吴建平 这篇论文发表在NDSS 2012上。 摘要:恶意的黑客经常注册一些域名来开展恶意行为:钓鱼、僵尸网络、代码恶意传播等,目前防止这种攻击的措施之一是从上级DNS服务器中把这些恶意域名删掉。然而,本论文证明:这种措施不足以把这个恶意域名从网络上删掉,因为现有DNS 标准和实现中的一个问题,使得这种恶意域名可以在被删除后在解析服务器的缓存中长期存活。经过测试,我们发现多个流行的DNS 软件(包括BIND)和DNS 解析服务(比如OpenDNS)都可能被攻击。我们对分布在世界161个国家或地区的19,045个开放解析的DNS 服务器进行了实验,在域名被删除、并且TTL过期之后的一个星期,仍有70%以上的服务器可以解析这种被删掉的域名。 论文最后分析了针对这种攻击的防范方法。 Download: Full paper(PDF)   Slides(PDF) 目前,如何解决这一问题,仍然存在一些争论。因为这不是一个软件实现的漏洞,而是协议设计本身的问题,长期以来一直存在。尽管目前没有发现攻击者利用这一技术进行攻击,但是正如我们论文中的实验所证实,大规模的利用是可行的。我们将和DNS领域的一些专家和IETF工作组一起商讨进一步的应对方案。 来自工业界的反馈: 公共安全漏洞库增加了一个新的条目: CVE-2012-1033 ISC (负责BIND软件开发维护的非盈利组织)发布了一个安全公告: Ghost Domain Names: Revoked Yet Still Resolvable 论文引用(Bibtex): @InProceedings{ ghostdomain2012,          author = {Jian Jiang and Jinjin Liang and Kang … Continue reading

Posted in 科技论文, 网络安全 | Comments Off on 幽灵域名(Ghost Domain Name):删除了但仍可以解析

所有父亲问所有父亲_李承鹏_新浪博客

所有父亲问所有父亲_李承鹏_新浪博客. 明天的太阳升起,就是父亲节,温暖有力。阳光照在脸上,我是世上最不堪的父亲。 关注我微博的朋友知道,酷爱网球的珂仔八岁起开始接受专业训练,很苦很快乐,他不喜欢奥数,却要当纳达尔这样的球星。他没进入体制内,我们自己付钱请教练训练。这种模式一年要花十万左右,所以我努力写作……直到李娜夺冠后,一家成都企业愿意成为珂仔的赞助商,让他代言“绿色种子计划”。我征求了儿子的意见,他开心地在地板上打滚。大家想必能懂,这对一个小屁孩的励志,并不比五道杠更差……

Posted in 时事评论 | Comments Off on 所有父亲问所有父亲_李承鹏_新浪博客