特拉维夫大学 | POPS:基于历史数据的DNS缓存投毒攻击缓解措施
💡
原文中文,约5200字,阅读约需13分钟。
📝
内容提要
本文介绍了一种名为POPS的系统,旨在防范四种DNS缓存投毒攻击。通过将UDP上的DNS请求转换为TCP,并结合检测模块和TC标志,POPS显著提升了安全性。实验结果表明,其在真实网络环境中具有较低的假阳性率。
🎯
关键要点
- POPS系统旨在防范四种DNS缓存投毒攻击。
- 通过将UDP上的DNS请求转换为TCP,POPS显著提升了安全性。
- POPS包括一个使用三个规则的检测模块和一个使用DNS头的TC标志的缓解模块。
- DNS缓存投毒攻击通过向解析器注入虚假信息来实现,导致用户被重定向到恶意网站。
- POPS的检测模块设计了三种规则来识别不同类型的DNS缓存投毒攻击。
- 实验结果表明,POPS在真实网络环境中具有较低的假阳性率。
- POPS的缓解模块通过设置TC标志来确保解析器与真实服务器的通信。
- POPS在良性流量和恶意流量交织的情况下保持低假阳性率,证明其有效性。
❓
延伸问答
POPS系统是如何防范DNS缓存投毒攻击的?
POPS系统通过将UDP上的DNS请求转换为TCP,并结合检测模块和TC标志来防范DNS缓存投毒攻击。
POPS的检测模块使用了哪些规则?
POPS的检测模块设计了三种规则,分别针对TXID/Port的过度猜测、分片攻击和越界行为。
DNS缓存投毒攻击的基本原理是什么?
DNS缓存投毒攻击通过向解析器注入虚假信息,使其返回恶意IP地址,从而将用户重定向到恶意网站。
POPS在实验中表现如何?
实验结果表明,POPS在真实网络环境中具有较低的假阳性率,能够有效识别良性流量和恶意流量。
POPS的缓解模块是如何工作的?
POPS的缓解模块通过设置TC标志,将可疑的DNS响应转发到TCP,从而确保解析器与真实服务器的通信。
POPS系统的假阳性率有多低?
在实验中,POPS在良性数据上仅取得约2%的假阳性率,证明其在复杂流量环境中的有效性。
➡️
