返回
NULL字符欺骗DNS监控系统的研究.pdf

NULL字符欺骗DNS监控系统的研究.pdf

ID:54375067

大小:337.26 KB

页数:4页

时间:2020-05-01

NULL字符欺骗DNS监控系统的研究.pdf_第1页
NULL字符欺骗DNS监控系统的研究.pdf_第2页
NULL字符欺骗DNS监控系统的研究.pdf_第3页
NULL字符欺骗DNS监控系统的研究.pdf_第4页
资源描述:

《NULL字符欺骗DNS监控系统的研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、2012年第O4期Idoi:1039694issn1671-1122201204013NULL字符欺骗DNS监控系统的研究章思宇,王鲁华,邹福泰(1.上海交通大学信息安全工程学院,上海200240;2.国家计算机网络与信息安全管理中心,北京100017)摘要:DNS流量监测统计已广泛应用于互联网安全管理及研究。文章提出一种利用ⅡI字符欺骗DNS监控系统的方法,并实验验证了该方法利用的缺陷存在于Wireshark、Dmtop和Dsc流量分析软件,以及部分恶意代码沙盘分析系统及域名过滤设备中,并在隐藏恶意软件域名、DNS隐蔽通

2、信流量中得到应用。关键词:域名系统;网络监控;欺骗攻击;网络安全中图分类号:TP393.08文献标识码:A文章编号:1671—1122(2012)04—0047—04EvadingDNSMonitoringSystemwithNULLCharacterZHANGSi—yu。WANGLu—huaz.ZOUFu.tai(1.SchoolofinformationSecurity,ShanghaiJiao而University,Shanghai200240,China;2.NationalComputerNetworkandIn

3、formationSecurityAdministrationCenter,Beijing100017,China)Abstract:DNStraficmeasurementiswidelyusedinInternetsecuritymanagementandresearches.ThisarticleproposedflmethodtoevadeDNSmonitoringsystemwithNULLcharactercontainedindomainnames.Experimentsconfirmedthatthisvu

4、lnerabilityexistsintraficanalysissoftwaresuchasWireshark,DnstopandDsc,aswellasmultiplemalwaresandboxanalysissystemsanddomainfilteringdevices.ApplicationofthismethodinconcealingmaliciousdomainnamesandDNScovertchannelsisalsodiscussed.Keywords:DNS;networkmonitoring;s

5、poofingattack;networksecurity0引言DNS域名系统(DomainNameSystem,DNS)是互联网关键的基础设施之·,它是一个将域名与IP地址相互映射的全球分布的数据库。对DNS流量监控、日志和统计被广泛应用于互联网安全的研究中。过往的研究提出了被动DNS复制Ⅲ采集恶意域名记录的方法,以及利用DNS流量检测恶意网站域名、僵尸网络和网络隐蔽通道的算法。网络运营商和企业网络管理员也通过DNS域名过滤来屏蔽恶意网站、木马和僵尸网络控制服务器】。本文提出一种在域名中使用NULL字符以欺骗DNS监控系

6、统的方法,通过实验验证该方法能够在目前常用的DNS流量分析软件中伪造日志,达到隐藏恶意流量的目的。同时,该方法也能够绕过部分网关设备的域名屏蔽。1攻击原理RFC1035[4]规定了域名每个标签不超过63字节,域名总长不超过255字节。尽管标签可以含有任意8_hit值,但通常情况下,域名标签仅由英文字母(A—z,a—z)、数字(0-9)和连字符(“一”)构成,并且标签不以连字符开头或结尾,英文字母不区分大小写。这个LDH(LetterDigitHyphen)规则成为大多数人对域名字符构成的假设,而并没有注意到标准提到的域名标

7、签可使用任意8-hit值这一关键问题。RFC2181进一步明确了,DNS本身不对域名标签所含字节内容进行限制。域名、SOA、NS、MX、PTR、CNAME记录的值,都可以包含二进制字符串。文献【6】也验证了ISCBIND等常用的DNS服务器软件对二进制域名的支持。尽管RFC1123要求DNS软件支持无法转换为可打印格式的资源记录,内部存储不能使用文本格式。但是,由于符合LDH规则的域名只含有可打印字符,大多数程序对域名处理时往往使用普通的字符串处理函数(例如c语言中的strlen和stremp)。这些函数以NULL字符(A

8、SCII:OxO0)作为字符串结束的标志,—旦这样编写的程序遇到一个含有二进制数据的域●收稿时间:2012—03—05基金项目:国家242信息安全计划资助项目【2011A004]、信息网络安全公安部重点实验室开放课题【Cl1608】作者简介:章思宇(1989一),男,上海,硕士研究生,主要研究方向:DN

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。