Monthly Archives: February 2012

幽灵域名(Ghost Domain Name):删除了但仍可以解析

作者:江健,梁锦津,李康,李军,段海新,吴建平 这篇论文发表在NDSS 2012上。 摘要:恶意的黑客经常注册一些域名来开展恶意行为:钓鱼、僵尸网络、代码恶意传播等,目前防止这种攻击的措施之一是从上级DNS服务器中把这些恶意域名删掉。然而,本论文证明:这种措施不足以把这个恶意域名从网络上删掉,因为现有DNS 标准和实现中的一个问题,使得这种恶意域名可以在被删除后在解析服务器的缓存中长期存活。经过测试,我们发现多个流行的DNS 软件(包括BIND)和DNS 解析服务(比如OpenDNS)都可能被攻击。我们对分布在世界161个国家或地区的19,045个开放解析的DNS 服务器进行了实验,在域名被删除、并且TTL过期之后的一个星期,仍有70%以上的服务器可以解析这种被删掉的域名。 论文最后分析了针对这种攻击的防范方法。 Download: Full paper(PDF)   Slides(PDF) 目前,如何解决这一问题,仍然存在一些争论。因为这不是一个软件实现的漏洞,而是协议设计本身的问题,长期以来一直存在。尽管目前没有发现攻击者利用这一技术进行攻击,但是正如我们论文中的实验所证实,大规模的利用是可行的。我们将和DNS领域的一些专家和IETF工作组一起商讨进一步的应对方案。 来自工业界的反馈: 公共安全漏洞库增加了一个新的条目: CVE-2012-1033 ISC (负责BIND软件开发维护的非盈利组织)发布了一个安全公告: Ghost Domain Names: Revoked Yet Still Resolvable 论文引用(Bibtex): @InProceedings{ ghostdomain2012,          author = {Jian Jiang and Jinjin Liang and Kang … Continue reading

Posted in 科技论文, 网络安全 | Comments Off on 幽灵域名(Ghost Domain Name):删除了但仍可以解析