Category Archives: 科技论文

通过检测路由循环发现路由泄露(SecureComm 2015, Oct. 26-29)

黎松,段海新,王之梁,李星 摘要: 路由泄露(Route leaks)对域间路由是严重的安全问题,近年来各种规模的路由泄露事故给网络运营者造成了愈来越多的麻烦。路由泄露可以导致流量被重定向到管理者或用户不希望经过的网络,从而带来中间人攻击的风险。不像其他前缀劫持(Prefix Hijacking)攻击(攻击者对外宣告伪造的路由),路由泄露都是真实合法的,只是破坏了BGP邻居之间的路由政策(Routing Policy) 。由于路由政策通常都是保密的,因此检测互联网上的路由泄露是个挑战性的问题。我们在本文中揭示了路由循环和路由泄露之间的联系,发现有些路由泄露会导致路由循环,因此通过检测路由循环可以识别路由泄露。我们通过理论分析证实了这一推测,并且进而提出了一种检测机制,可以检测泄露的路由和作恶的自治系统(AS)。我们的检测机制不要求知道路由政策,只需被动的监控BGP路由,这种轻量级的方法比较容易部署。评估结果证实,我们的机制每天可以检测互联网大量的路由泄露。 关键词: AS relationship, Routing policies, Route leaks, Routing loops, Identification PDF Download

Posted in 科技论文, 网络安全 | Tagged , , | Comments Off on 通过检测路由循环发现路由泄露(SecureComm 2015, Oct. 26-29)

伊拉克域名IQ被美国删除的背后以及早期的根域名管理

2014年6月24日的《人民日报》上说:“目前美国掌握着全球互联网13台域名根服务器中的10台。理论上,只要在根服务器上屏蔽该国家域名,就能让这个国家的国家顶级域名网站在网络上瞬间“消失”。在这个意义上,美国具有全球独一无二的制网权,有能力威慑他国的网络边疆和网络主权。譬如,伊拉克战争期间,在美国政府授意下,伊拉克顶级域名“.iq”的申请和解析工作被终止,所有网址以“.iq”为后缀的网站从互联网蒸发。 ”[1]类似的说法也出现在一些严肃的学术文章中[8]。 对于美国停止伊拉克域名解析的问题,我出于好奇搜了一下这一事件的背景。以下内容来自IANA的报告[2](IANA一直负责根域名管理,现在是ICANN的一个部门):

Posted in 历史和人物, 技术与文化, 杂文, 科技论文, 网络安全 | Comments Off on 伊拉克域名IQ被美国删除的背后以及早期的根域名管理

当HTTPS遇到CDN: 授权服务中的认证实例

内容分发网络(CDN)和HTTPS是当前互联网中广泛使用的Web技术,目前对这两种技术的研究是相互独立的,本文把这两种技术结合在一起进行了系统性的研究。我们调研了世界20个主流的CDN服务提供商和10,721个使用HTTPS的热门网站,揭示出当前HTTPS在CDN部署中的许多问题,比如无效证书、共享私钥(Private Key)、无视撤销的证书、CDN后端不安全的通信等等。有些问题只是操作问题,但是有些问题源于多方授权服务中,HTTPS的端到端特性和CDN中间人特性之间产生了冲突。 为解决这一HTTPS在CDN服务中的授权问题,我们提出并实现了一个基于DANE的轻量级的解决方案,DANE(DNS-based Authentication of Named Entities)是IETF 制定的标准以完善Web 网站的PKI信任模型。我们的实现表明,在CDN环境下实现安全、高效的HTTPS通信是可行的,同时也希望推进CDN和安全领域中进一步的研究,希望有更加有效的解决方案。 我们的研究受到工业界的广泛关注,目前Akamai、CloudFlare、Amazon、Incapsula等公司已经积极地联系我们,CloudFlare 公司在得到我们论文后很快推出了更加安全的服务 Strict SSL 论文发表于国际顶级学术会议IEEE Symposium on Security and Privacy 2014 , 论文全文下载(PDF)

Posted in 科技论文, 网络安全 | Comments Off on 当HTTPS遇到CDN: 授权服务中的认证实例

幽灵域名(Ghost Domain Name):删除了但仍可以解析

作者:江健,梁锦津,李康,李军,段海新,吴建平 这篇论文发表在NDSS 2012上。 摘要:恶意的黑客经常注册一些域名来开展恶意行为:钓鱼、僵尸网络、代码恶意传播等,目前防止这种攻击的措施之一是从上级DNS服务器中把这些恶意域名删掉。然而,本论文证明:这种措施不足以把这个恶意域名从网络上删掉,因为现有DNS 标准和实现中的一个问题,使得这种恶意域名可以在被删除后在解析服务器的缓存中长期存活。经过测试,我们发现多个流行的DNS 软件(包括BIND)和DNS 解析服务(比如OpenDNS)都可能被攻击。我们对分布在世界161个国家或地区的19,045个开放解析的DNS 服务器进行了实验,在域名被删除、并且TTL过期之后的一个星期,仍有70%以上的服务器可以解析这种被删掉的域名。 论文最后分析了针对这种攻击的防范方法。 Download: Full paper(PDF)   Slides(PDF) 目前,如何解决这一问题,仍然存在一些争论。因为这不是一个软件实现的漏洞,而是协议设计本身的问题,长期以来一直存在。尽管目前没有发现攻击者利用这一技术进行攻击,但是正如我们论文中的实验所证实,大规模的利用是可行的。我们将和DNS领域的一些专家和IETF工作组一起商讨进一步的应对方案。 来自工业界的反馈: 公共安全漏洞库增加了一个新的条目: CVE-2012-1033 ISC (负责BIND软件开发维护的非盈利组织)发布了一个安全公告: Ghost Domain Names: Revoked Yet Still Resolvable 论文引用(Bibtex): @InProceedings{ ghostdomain2012,          author = {Jian Jiang and Jinjin Liang and Kang … Continue reading

Posted in 科技论文, 网络安全 | Comments Off on 幽灵域名(Ghost Domain Name):删除了但仍可以解析