《DNS技术研究与应用结题汇报报告.ppt

* 全是字 太难看 check 具体内容见申报书 具体内容见申报书 Ipv6 DNS没技术 * * * * GPRS IMS 合一页 标题以及check 具体内容见申报书 具体内容见申报书 具体内容见申报书 * 对于缓存和迭代功能，哪个部分的CPU占用率大； 1台：分离：1200QPS（30%，1000QPS占用25%），合设：1000QPS（30%，缓存占了25%,迭代占了5%,缓存和迭代5:1的CPU利用率） 分离和合设QPS差别越大（迭代占的CPU越大），分离越有优势。业务量越大（缓存服务器越多），分离越有优势。 分离：缓存服务器的CPU（缓存+FORWARD）、 缓存和迭代不同的性能，哪种架构更早需要升级4 减少一定量的出网迭代查询，多少量5 Sortlist和cutlist性能 总体结论是什么？ * * * * 不好，看看怎么改 个性化需求、集团要求IDC与DNS相关、安全功能、增值业务、策略服务器 红的都改掉 * 两页合一页 丢了一页 缓存命中率80%-90% 缓存维持用户状态为1，迭代维持用户状态至少为3 两页合一页 丢了一页 一台DNS服务器预计20万元 全是字 * 缓存命中率80%-90% 缓存维持用户状态为1，迭代维持用户状态至少为3 缓存命中率80%-90% 缓存维持用户状态为1，迭代维持用户状态至少为3 一年多前，安全研究员Dan Kaminsky披露DNS存在严重漏洞曾经轰动了整个IT世界。由于Kaminsky的发现，在过去一年多里，为了加强DNS安全所做的工作已经超过了前十年的总和。何谓Kaminsky漏洞？实质上是DNS协议的一个安全漏洞，利用的是DNS响应包additional region的信息。举例而言：为缓存为攻击IP，需要向dns cache server发送解析请求发送，而dns cache server向授权DNS发送请求。攻击者fake了授权DNS的回复包，以便可能的污染缓存。这里的问题是，等候在dns cache server的请求包如何可信接收来自fake的回复包，主要难点是transaction id握手。因为dns cache server向授权DNS发送请求时使用的transaction id对于远程攻击者是不可知的，需要进行(2^16)guess。这个fake要成功有三个约束：(1)TTL约束： 不能够已经在dns cache server的缓存中(2) guess约束：transaction id能够成功guess(3) window time约束：fake包比real server()返回包快其中race window time是非常重要的约束，导致了flooding packets低的guess率。特别是加上TTL约束，使得攻击可用的时间成非连续的跃迁模式，因而，缓存中毒成功率较低，攻击风险相对小得多。Kaminsky主要技术是bypass TTL的约束，将攻击成为一种高成功率的漏洞攻击，引起业界震动。而且，kaminsky并不只是中毒一个域名，而是成为被攻击域名的faked name server(伪造的授权服务器)，从而具有最大的危害性。Dan Kaminsky注意到缓存中毒成功中的一个关键问题是如何绕过TTL约束。什么域名不存在TTL约束呢？主动访问不存在的随机化域名，这种域名在dns cache server没有缓存，从而不存在TTL约束。但访问不存在的域名不能够有多少价值，因为需要缓存的是存在的域名才有价值。Kaminsky注意到了additional region的可利用性。因为additional region有ns的glue记录，即使是查询不存在的域名，也会返回这些additional region记录，并且是能够缓存在dns cache server的。从而，Kaminsky把焦点转移到了将不存在域名与additonal region漏洞的结合。从而推出exloit方法：攻击者在查询随机化的域名同时针对性伪造ns的IP包返回。这种攻击尽管仍然受window time约束和guess约束，但由于有足够大的可用的连续攻击时间，使得guess的低概率在足够多次的重复攻击下成为高可能(经验测试是10秒左右可缓存中毒成功)。 * * IDC的货添进去 1. p44/ 方案一页，测试一页 * 写2页 * 标题修改 The definition of values appropriate to the TTL field in STD 13 is not as clear as it could be, with respect to how many significant bits exist, and whether th