19、测量 DNSSEC 验证的发生率

于 2025-10-27 14:01:58 发布
阅读量39 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 被动与主动测量探秘 文章标签: DNSSEC 域名系统安全扩展 客户端验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/beta5/article/details/154715526

测量 DNSSEC 验证的发生率

1. 引言

原始的域名系统(DNS)规范没有提供任何安全措施来防止伪造域名。由于 DNS 严重依赖 UDP 消息,攻击者可以发送欺骗性的 DNS 响应。为了减轻 DNS 欺骗,发送者目前在不破坏消息格式的情况下将随机熵编码到 DNS 消息中,但这仍无法完全阻止攻击。

为了使 DNS 欺骗不可行,人们提出了加密 DNS 协议扩展,其中最著名的是 DNSSEC。DNSSEC 利用公钥密码学对公共 DNS 数据进行签名和验证。不过,DNSSEC 的部署也带来了一些副作用,例如增加了名称服务器和验证解析器的 CPU 和网络负载,使分布式拒绝服务攻击更有效,还限制了政府和 ISP 进行合法的 DNS 重定向。

本文的贡献是提出一种测量客户端 DNSSEC 验证发生率的方法,并对这种测量进行实际分析。我们选择统计客户端数量,因为从这个指标可以推断出受 DNSSEC 保护的用户数量。

2. 方法

我们设置了一个 DNS 区域 verteiltesysteme.net,对其进行签名并在.net 区域中添加了 DS 记录。该区域中有两个域名返回 A 记录,sigok 具有有效签名,sigfail 具有占位符签名(语法正确但验证失败)。我们使用两种测试类型:脚本测试和隐藏测试。

2.1 脚本测试

基于 Web 的脚本测试使用客户端 JavaScript 从 sigfail 域名加载图像。如果图像加载成功,说明解析器未验证 DNSSEC 签名;如果加载失败,脚本会尝试从 sigok 域名加载图像,以排除其他错误源。如果第二个图像加载成功,则解析器正确验证了 DNSSEC 签名;如果

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
Isolated and Exhausted:Attacking Operating Systems via Site Isolation in the Browser论文阅读笔记
weixin_46355597的博客
03-17 483
自学笔记
【2021-09-22 修订】【梳理】计算机网络:自顶向下方法 第二章 应用层(docx)
热门推荐
COFACTOR
10-17 1万+
计算机网络 知 识 梳 理 (第一版) 建议先修课程:数据结构。 配套教材: Computer Networking - A Top Down Approach, 7th edition James F. Kurose, Keith W. Ross 参考书目: 1、计算机网络(第7版) 谢希仁 编著 高等教育出版社 链接:https://pan.baidu.com/s/1MeSnQtQi8PYlzjFv-8RLLA 提取码:0000 二 应用层 2.1 网络应用背后的原理 现代网络应用程序常用的
Linux 时间一致性环境NTP/Chrony服务器部署配置
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
10-22 5953
背景 生产环境中,一个业务系统往往涉及几十台甚至上百台主机或云主机构成,有些管理系统对整个环境时间一致性由强要求,即使没有,保证环境中时间的一致性,有利于业务交互时时间匹配,保证事务的一致性,甚至环境中的监控系统,也需要监测时间一致性,保证数据上报正常。 ntp架构 下图来源网络,在前端管理节点上部署ntp服务器,且采取主备模式,局域网的ntp服务器先于外网ntp同步完成,局域网内再同本地ntp服务器同步时间。实际环境中,可借助类似架构,两个管理节点可以用HAproxy+keepalive做Heartbea
【论文精读】《DNS放大的另一面:从Internet核心追踪DDoS Attack生态系统》
weixin_43894455的博客
10-20 1420
论文精读笔记
Who Is Answering My Quries:Understanding and Characterizing Interception of the DNS Resolution Path
didiaola4003的博客
11-04 848
目录 摘要 1 介绍 2 危险模型和机制 2.1领域解析过程 2.2威胁模型 2.3潜在的拦截器 3 方法和数据集 3.1 概述 3.2 方法 3.3 优势点 3.4 数据集 3.5 道德 4 TCP DNS拦截分析(全球) 4.1 范围和规模 4.2 AS级别的特征 4.3 研究结果总结 5 TCP/UDP DNS拦截...
对于主(1,2面)面经的回答
2303_79132118的博客
04-15 480
而Android虚拟机,最初是Dalvik虚拟机,后来演变成了Android Runtime (ART),它也是为了实现跨硬件平台运行Android应用而设计的,主要支持Java或Kotlin等语言编写的代码,但在实现上做了专门针对移动设备优化的处理。在这个阶段,不仅要确定View的最终尺寸,还要考虑子View的尺寸,对于那些有多层嵌套结构的ViewGroup而言,合理地测量每个子View是非常关键的,这样才能确保布局显示的合理性。需要注意的是,在使用Handler时,我们要特别关注内存泄露的问题。
关于 (杂)面经的回答
2303_79132118的博客
04-01 979
进程(Process)进程是操作系统中资源分配的基本单位。每个进程都有独立的内存空间和系统资源,比如文件句柄、网络连接等。进程是一个正在执行的程序实例,它包含了程序代码、数据、堆栈和一些处理器状态信息。线程(Thread)线程是进程中的一个执行单元,是CPU调度和执行的基本单位。一个进程可以包含多个线程,这些线程共享进程的内存空间和资源。线程有自己的寄存器状态和栈,但它们共享进程的代码段、数据段和其他资源。用户点击按钮触发了一系列事件,从系统捕获点击事件,到视图处理,再到执行点击监听器中的逻辑。
dnssecjava:适用于Java的DNSSEC验证存根解析器
05-07
用于Java的DNSSEC验证存根解析器。 该库可以安全使用吗? 也许。 到目前为止,尚未对代码进行审核,因此绝对没有保证。 其余部分当前取决于您的用例:肯定响应正确的证明应该可以安全使用。 大多数NXDOMAIN / NO...
DNSSEC验证器「DNSSEC Validator」-crx插件
03-08
DNSSEC Validator是Web浏览器的附加组件,它使您可以在浏览器窗口当前显示的页面地址中检查DNSSEC DNS记录中域名的存在和有效性。 该检查的结果使用颜色键和信息文本显示在页面的地址栏中。 重要的! 该附加组件通过...
DNSSEC验证器需求草案概览
由于这个标题表示这是一份正在起草的标准文档草案,我们可以推断文档将涉及DNSSEC(DNS Security Extensions)验证器的需求。DNSSEC是一个用来为DNS(Domain Name System)添加数字签名的协议,它帮助抵御欺骗攻击,...
Java DNSSEC验证存根解析器dnssecjava特性及使用注意事项
资源摘要信息:"dnssecjava是一个专门为Java语言开发的DNSSEC验证存根解析器库,它允许Java应用程序对DNSSEC域名系统安全扩展)进行安全验证DNSSEC通过添加数字签名来验证DNS响应的真实性,从而保护用户免受DNS...
光子器件逆向设计挑战集:基于Python的拓扑优化基准测试与制造约束应用
12-10
该模块集成了一系列光子逆向设计的基准测试问题,基于有限差分频域仿真工具构建,并通过统一接口封装了散射参数与电磁场计算功能。自动微分框架为梯度求解提供了支持。此基准集旨在评估各类拓扑优化方法在光子器件设计中的性能,涵盖波导分束器、模式转换器、弯曲结构及波分复用器等典型集成光学元件。相关代码已在考虑实际工艺约束的条件下,用于可制造光子器件的逆向设计研究。具体操作指南请参阅文档说明。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
基于分布式模型预测控制DMPC的多智能体点对点过渡轨迹生成研究(Matlab代码实现)
12-10
基于分布式模型预测控制DMPC的多智能体点对点过渡轨迹生成研究(Matlab代码实现)
编译原理课程综合实验项目_基于CMake构建的跨平台编译器前端实现_包含词法分析语法分析语义分析等核心模块_支持MacOS系统环境并可通过标准输入进行多阶段测试_用于深入理解编译器.zip
12-10
编译原理课程综合实验项目_基于CMake构建的跨平台编译器前端实现_包含词法分析语法分析语义分析等核心模块_支持MacOS系统环境并可通过标准输入进行多阶段测试_用于深入理解编译器.zip
带开环升压转换器和逆变器的太阳能光伏系统-Solar PV System with Open-Loop Boost Converter and Inverter-MATLAB
最新发布
12-10
带开环升压转换器和逆变器的太阳能光伏系统 太阳能光伏系统驱动开环升压转换器和SPWM逆变器提供波形稳定、设计简单的交流电的模型 Simulink模型展示了一个完整的基于太阳能光伏的直流到交流电力转换系统,该系统由简单、透明、易于理解的模块构建而成。该系统从配置为提供真实直流输出电压的光伏阵列开始,然后由开环DC-DC升压转换器进行处理。升压转换器将光伏电压提高到适合为单相全桥逆变器供电的稳定直流链路电平。 逆变器使用正弦PWM(SPWM)开关来产生干净的交流输出波形,使该模型成为研究直流-交流转换基本操作的理想选择。该设计避免了闭环和MPPT的复杂性,使用户能够专注于光伏接口、升压转换和逆变器开关的核心概念。 此模型包含的主要功能: •太阳能光伏阵列在标准条件下产生~200V电压 •具有固定占空比操作的开环升压转换器 •直流链路电容器,用于平滑和稳定转换器输出 •单相全桥SPWM逆变器 •交流负载,用于观察实际输出行为 •显示光伏电压、升压输出、直流链路电压、逆变器交流波形和负载电流的组织良好的范围 •完全可编辑的结构,适合分析、实验和扩展 该模型旨在为太阳能直流-交流转换提供一个干净高效的仿真框架。布局简单明了,允许用户快速了解信号流,检查各个阶段,并根据需要修改参数。 系统架构有意保持模块化,因此可以轻松扩展,例如通过添加MPPT、动态负载行为、闭环升压控制或并网逆变器概念。该模型为进一步开发或整合到更大的可再生能源模拟中奠定了坚实的基础。
基于改进粒子群算法的多无人机协同航迹规划(Matlab代码实现)
12-10
基于改进粒子群算法的多无人机协同航迹规划(Matlab代码实现)
西北工业大学计算机学院2022年编译原理课程实验项目_基于C或Java等高级编程语言实现一个完整的编译器前端与后端系统_包含词法分析器语法分析器语义分析器中间代码生成器代码优化.zip
12-10
西北工业大学计算机学院2022年编译原理课程实验项目_基于C或Java等高级编程语言实现一个完整的编译器前端与后端系统_包含词法分析器语法分析器语义分析器中间代码生成器代码优化.zip
多微电网含多微电网租赁共享储能的配电网博弈优化调度(Matlab代码实现)
12-10
【多微电网】含多微电网租赁共享储能的配电网博弈优化调度(Matlab代码实现)
杭电编译原理实验课项目_一个简易的编译器前端实现专注于从源代码到中间表示的转换过程涵盖词法分析语法分析及部分语义处理支持以符号作为输入结束标志已完成词法分析器模块.zip
12-10
杭电编译原理实验课项目_一个简易的编译器前端实现专注于从源代码到中间表示的转换过程涵盖词法分析语法分析及部分语义处理支持以符号作为输入结束标志已完成词法分析器模块.zip
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值