(1992-),男,博士生,主要研究领域为域名系统,区块链
(1979-),男,博士,副教授,CCF高级会员,主要研究领域为互联网基础设施安全,网络拓扑测量,未来网络体系
(1973-),女,博士,教授,博士生导师,CCF专业会员,主要研究领域为网络信息安全, 信息内容安全
(1960-),男,博士,教授,博士生导师,CCF会士,主要研究领域为网络信息安全, 信息内容安全
域名系统(domain name system, DNS)测量研究是深入理解DNS的重要研究方式. 从组件、结构、流量、安全4个方面对近30年 (1992–2019) 的DNS测量研究工作梳理出18个主题. 首先, 介绍组件测量, 组件有解析器和权威服务器两种, 解析器测量包括公共解析器、开放解析器、解析器缓存、解析器选择策略4个主题, 权威服务器包括性能、任播部署、托管、误配置4个主题. 其次, 阐述结构测量, 包括桩解析器与解析器的依赖结构、解析器间依赖结构、域名解析依赖结构3个主题. 然后, 描述流量测量, 包括查询流量特征、异常根查询流量、流量拦截共3个主题. 最后综述了安全测量, 包括DNSSEC代价与隐患、DNSSEC部署进展、加密DNS部署、恶意域名检测4个主题.
Domain name system (DNS) measurement research is an important way to understand DNS. This paper reviews the DNS measurement work during 1992 and 2019 on 18 topics from four aspects of components, structure, traffic, and security. Firstly, in the aspect of components, the four resolver-related topics are on public resolver, open resolver, resolver caching, and resolver selection policy; the four authoritative-server-related topics are on performance, anycast deployment, hosting, and misconfigurations. Secondly, in the aspect of structure, there are three topics: the dependency structure between stub resolvers and resolvers, the dependency structure of resolvers, and the dependency structure of domain name resolution. Then, in the aspect of traffic, there are three topics: query traffic characteristics, abnormal root query traffic, and traffic interception. Moreover, in the aspect of security, there are four topics: DNSSEC cost and risk, DNSSEC deployment, DNS encryption deployment, and malicious domain name detection. Finally, future research topics are discussed.
域名系统 (domain name system, DNS)是提供域名解析服务的关键互联网基础设施, 常用于将域名翻译成IP地址. DNS随着互联网的演化不断发展, 规模不断扩大, 根服务器从原有13个部署点扩展为1 000多个[
DNS测量的研究意义在于: (1) 观察DNS中各组件运行情况, 有助于日常维护工作, 例如权威服务器的性能随时间变化状况[
在DNS运行的30多年间, 学术界和工业界累计发表了数百篇DNS测量文献, 文献[
DNSmeasurement research topics
DNS测量研究主题示意图
DNS中的组件按功能可分为2类: 权威服务器和解析器(又称缓存解析器或递归服务器), 桩解析器(又称用户或终端主机)是DNS的用户. 桩解析器向解析器发起递归查询后, 等待解析器的应答; 解析器收到查询后, 向各级权威服务器发送迭代查询, 得到的权威应答后缓存并回复桩解析器; 权威服务器负责响应查询, 回复权威应答或子域权威服务器索引. 针对解析器的测量研究关注规模、时延、应答行为、缓存机制和选择机制等方面; 针对权威服务器的测量研究侧重关注性能情况、部署情况、数据有效性和一致性.
规模、时延: 公共解析器(public DNS resolver), 又称第三方解析器(third-party DNS resolver), 是由云服务商、内容服务商、安全服务商等商业公司部署的对外提供开放域名递归解析服务的服务器. 2010年前后, 公共解析器的用户在短时间内快速增长, 但与ISP解析器相比部署覆盖度仍显不足, 且解析时延偏高. 文献[
规模: 开放解析器(open DNS resolver)是指对外提供开放域名解析的服务器. 公共解析器是它的子集, 仅特指因商业行为主动提供域名解析服务的行为. 当前互联网中绝大部分的开放解析器是由于错误配置、管理不当或被恶意操纵而对外提供域名解析服务, 其数量庞大, 生命周期短, 解析结果存在较大安全隐患. 文献[
应答行为、生命周期: 文献[
与缓存时间的关系: 缓存命中率受域名资源记录的缓存时间(TTL值)影响. 文献[
与查询类型的关系: 文献[
否定应答缓存: 文献[
检测方法: 缓存滥用是指违反DNS规范延长资源记录缓存时间的行为, 也称为缓存延期. 总结已有测量DNS缓存滥用行为的测量文献[
Comparison of detection methods for cache abuse
缓存滥用行为的检测方法对比
测量方法 | 类别 | 文献列表 | 可检测的缓存滥用对象 | |
解析器 | 用户(桩解析器和应用程序) | |||
基于用户流量检测 | 被动测量 | [ |
- | Y |
基于服务端流量检测 | 被动测量 | [ |
Y | Y |
验证解析器缓存检测 | 主动测量 | [ |
Y | - |
滥用行为测量: 文献[
热度估算: 利用解析器缓存估算域名热度, 即通过测量域名在解析器缓存中的存在时间, 估算使用该域名的用户规模, 是一种服务无关、协议无关且不泄露用户隐私的通用测量估算方法, 由文献[
Measurement method for estimating domain name heat with the resolver's cache
利用解析器缓存估算域名热度的测量方法示意
时延估算: 文献[
丢包率估算: 文献[
Measurement method for estimating the delay between any host using the resolver's cache
利用解析器缓存估算任意主机间时延的测量方法示意
时延偏好: DNS规范要求“解析器迭代查询时从权威服务器列表中选择认为最优的目标发起查询”(RFC2182[
次优选择: 次优选择行为指解析器在未能选择时延最低的权威服务器发起查询. 文献[
权威服务器性能测量研究分为2类: (1) 测量权威服务器性能随时间波动状况; (2) 测量不同地理位置用户感知的权威服务器性能差异.
时间波动: 文献[
地理差异: 文献[
性能、可用性、稳定性: F根于2002年率先使用跨地域任播部署方案, 随后两年内C、K、M根也实施任播部署. 文献[
抗DDoS攻击: 文献[
任播节点发现: 文献[
DNS托管服务商在全球范围内部署DNS权威服务器为域名权威提供安全经济的域名解析服务.
同步效率: 文献[
服务器共享: 托管服务的流行使权威服务器逐渐向少数服务商集中. 文献[
攻击影响: 文献[
区数据误配置: 文献[
软件误配置: 文献[
综上, 组件测量研究主题多样,
A comparison of related workinDNS compoment measurement
DNS组件测量相关工作比较
节序号、主题
|
文献 | 观测点类型 | 观测点数量 | 主被动 | ◆平台
|
实验时间
|
数据公开 | 关键结论 |
注: C为客户端、R为解析器、A为权威服务器, *X-Y为X与Y信道中靠近*的一侧, ※表示论文发表时间 | ||||||||
2.1 公共
|
[ |
C | 104 | 主 | - | 2011–2012
|
否 | 公共解析器的平均解析时延是ISP解析器的2倍 |
[ |
C | 106 | 主 | ◆PlanetLab | ※2011
|
否 | 观测点与公共解析器的平均距离比ISP解析器远1000 km | |
2.2 开放
|
[ |
C | - | 主 | - | 2014–2015 | 否 | 数百万开放解析器存在拦截篡改、重定向等恶意行为 |
[ |
C | 104 | 主 | - | 2015–2017 | 否 | 97%开放解析器存在至少1种缓存注入漏洞 | |
2.3.1
|
[ |
R*-A | - | 被 | - | 2001–2002
|
否 | TTL值超过10min时, 增加TTL值只能少量提升的缓存命中率 |
[ |
A | - | 被 | ★tcpdump | 2009(7天) | 否 | TTL大幅降低不会显著增加本地查询量. | |
[ |
C | 104 | 主 | ◆RIPE Atlas | — | 否 | 12.07%的解析器不支持否定应答缓存 | |
2.3.2
|
[ |
*C-R | - | 被 | - | 2011–2012
|
否 | 13.7%的TCP连接使用过期解析结果 |
[ |
A | - | 被 | - | 2003 | 否 | 14%解析器存在缓存滥用行为 | |
[ |
C | 102 | 主 | ◆PlanetLab | 2012–2013
|
是 | 81%解析器存在缓存滥用行为 | |
2.3.3 利用
|
[ |
C | - | 主 | - | 2003
|
否 | 本地局域网内估算域名
|
2.4
|
[ |
*R-A | - | 被 | ★NeTraMet | 2003
|
否 | 不同解析器的选择策略迥异, BIND基于RTT选择, DJBDNS均匀选择 WindowsDNS随机选择 |
[ |
C, A | 104 | 混 | ◆RIPE Atlas
|
2017 | 是 | 绝大多数解析器倾向于将低时延作为选择策略的依据 | |
2.5
|
[ |
*R-A | - | 被 | ★NeTraMet | 2000–2001 | 否 | 测量网络内的用户偏好使用A根和F根 |
[ |
C | 102 | 主 | ★dnsperf
|
2002
|
否 | 递归解析过程中查询根服务器和顶级域服务器耗时共占整个递归解析耗时的60% | |
[ |
A, R-*A | - | 混 | ★CAIDA skitter | 2002 | 是 | 全球根服务器地理分布不均, 欧洲和亚洲根性能不足, 美洲根性能过剩 | |
[ |
R | 104 | 主 | - | ※2013 | 否 | 非洲和南美查询根服务器时延远高于欧洲和北美地区 | |
2.7 托管
|
[ |
C, R | 103 | 主 | ◆PlanetLab
|
2018 | 是 | DNS托管服务商的数据更新时延小于1 min |
[ |
A | - | 被 | - | 2013–2018 | 否 | 91%–93%二级域至少与其它1个二级域共享权威服务器 | |
[ |
C | - | 主 | ◆OpenIntel | 2016 | 否 | DDoS攻击令用户改变DNS托管服务商 | |
2.6
|
[ |
A | - | 被 | ★tcpdump | 2006
|
是 | 52%C根用户, 35%F根用户, 29%C根用户查询被引导至最近任播根 |
[ |
C | 102 | 主 | ◆PlanetLab | 2004 (20天)) | 否 | 37%–80%用户查询被引导至最近任播根 | |
[ |
C, A | 104 | 混 | ◆RIPEAtlas
|
2013–2017 | 是 | DDoS攻击中, 吸收攻击流量的任播根丢包率最高达95%, 保护其它任播根仅有1%丢包率 | |
[ |
C, R | 105 | 注 | ◆Netalyzr
|
2011–2012 | 否 | 提出一种枚举任播服务中所有部署点的方法, 该方法可枚举93%的F任播根 | |
2.8
|
[ |
A, *R-A | - | 混 | ●ISC reverse zone data | 2003 (16天) | 是 | 存在跛脚授权、冗余不足、循环依赖3种误配置的区占15%, 15%, 2% |
[ |
R | - | 被 | - | 2009 (15天) | 否 | 1.7%的二级域权威服务器是孤儿服务器 |
DNS组件间的依赖关系形成3类依赖结构, 如
Threekinds of dependency structures of DNS components
DNS组件间形成的3种依赖结构
解析器簇结构(
负载隐藏问题: 解析器簇规模对权威服务器不可见, 导致服务点无法准确预估负载. 如
"Hidden load problem" and "originator problem" caused by resolver cluster
解析器簇结构引发的“负载隐藏”问题和“发起人识别”问题
发起人识别问题: 桩解析器位置对权威服务器不可见, 导致桩解析器未被引导至最优服务点. 如
通过使解析器在DNS查询中附加桩解析器IP地址的/16或/24前缀后(edns-client-subnet, ECS)[
部分网络服务商仅在本地部署转发器, 将域名解析委托给上游的解析器. 随着域名解析任务被多级委托, 解析器之间形成复杂的依赖结构, 如
Thedependency structureofresolvers
解析器依赖结构示意图
解析器间依赖: 文献[
解析器池: 解析器池由一组共享缓存但各自独立提供服务的解析器组成, 见
传递依赖风险: 域名之间通过授权 (NS) 和别名 (CNAME) 产生依赖关系. 当被依赖的域名不安全时, 威胁将会传递给依赖它的域名, 称为传递依赖风险. 文献[
域外依赖: 文献[
综上, DNS结构测量工作发现了依赖结构中蕴含的负面效应.
A comparison of relatedwork inDNS structure measurement
DNS结构测量相关工作比较
节序号、主题
|
文献 | 观测点
|
观测点
|
主被动 | ◆平台
|
实验时间
|
数据
|
关键结论 |
注: C为客户端、R为解析器、A为权威服务器, *X-Y为X与Y信道中靠近*的一侧, ※表示论文发表时间 | ||||||||
3.1
|
[ |
C, R | 107 | 主 | - | 2011
|
否 | 90%的解析器簇仅覆盖1%桩解析器, 最大簇包含12.9万桩解析器 |
3.2
|
[ |
R, *C-R | - | 混 | - | 2007 | 否 | 1500万开放解析器中, 96.4%只转发解析器依赖58万递归解析器 |
3.3
|
[ |
C | - | 主 | - | 2004 | 否 | 1/3域名的权威服务器中存在已知漏洞 |
[ |
C | - | 主 | ●ODP
|
2009 | 是 | 使域名解析不可用所需的最小权威服务器平均值为2.34 |
流量测量通常以被动测量的方式获取原生状态下的DNS流量, 以展示DNS的当前运行状态. 本节将DNS流量测量工作分为3类: (1) 流量统计特征分析; (2) 异常根流量分析; (3)流量拦截现象.
重头长尾特征: 查询类型、域名热度、解析器查询频率等指标符合Pareto/Zipf分布规律
(1) 文献[
(2) 文献[
(3) 文献[
(4) 文献[
异常根流量主要包括3类: (1) 无效查询, 根给出否定应答的查询; (2) 冗余查询, 过度重复的查询, 对根造成负担; (3) 幽灵查询, 在根改变IP地址后, 旧IP地址仍意外收到的查询. 一个查询可同时符合上述3类特征. 结合文献[
无效查询分类: 无效查询造成根否定应答的原因包括以下3类, 见
无效查询占比: 文献[
Statistitcs on invalid query types on the root
根上无效查询类型统计(%)
类别 | 无效查询类型(描述) | [ |
[ |
[ |
[ |
查询类型未定义 | Unused query class (未定义查询网络类型) | - | 0.024 | - | 0.1 |
Unused query type (未定义查询记录类型) | - | 2.15 | - | - | |
查询内容无效 | A-for-A (查询IP地址的IP地址) | 12.0–18.7 | 7.03 | ~7 | 2.7 |
Invalid char (查询中存在无效字符) | - | 1.94 | - | 0.1 | |
Invalid TLD (查询未授权顶级域) | 19.6–29.7 | 12.5 | 15–20 | 22 | |
RFC 1918 related A?(查询私有IP地址的域名) | 0.03–3.6 | 1.61 | 1–3 | 0.4 | |
TCP/IP头部字段错误 | RFC 1918 related(查询报文使用私有IP地址做源地址) | 2.0–11.5 | 1.61 | 1–3 | - |
Source Port Zero (查询报文端口号为0) | <0.1 | - | - | - |
无效查询成因: 综合相关文献推测无效查询成因如下: (1) 文献[
冗余查询是指name、type、class字段相同的查询. 根据TXID字段是否也相同可进一步分为两类. 文献[
软件缺陷: 文献[
网络配置不当: 文献[
恶意扫描攻击: 文献[
幽灵查询: 根服务器切换IP地址后, 旧IP地址仍意外收到的查询. 出于部署任播根节点的需求, D根于2013年1月3日切换IP地址, 并为保证服务平稳过渡, 在4个月过渡期内保证新旧IP地址都提供服务. 文献[
DNS流量拦截行为普遍存在, 相关测量研究发现许多地区的网络中存在该现象[
综上, 流量测量工作通常以被动测量的方式发现DNS实际运行中的规律及问题.
A comparison of related work in DNS traffic measurement
DNS流量测量相关工作比较
节序号、主题
|
文献 | 观测点
|
观测点
|
主被动 | ◆平台
|
实验时间
|
数据
|
关键结论 |
注: C为客户端、R为解析器、A为权威服务器, *X-Y为X与Y信道中靠近*的一侧, ※表示论文发表时间 | ||||||||
4.2.1 根无效
|
[ |
*R-A | 102 | 被 | ●SIE | 2012
|
是 | 根服务器的99%无效查询时无效
|
[ |
A | 102 | 被 | ●DITL | 2006–2008 | 是 | 根服务器收到的98%查询都
|
|
[ |
A | - | 被 | - | 2002
|
否 | 绝大多数私有IP地址动态更新源来自MS OS 2000和XP | |
[ |
A | - | 被 | - | 2013–2014
|
否 | A根和J根上对i2p顶级域查询占4.6%. | |
4.2.2 根冗余
|
[ |
A | - | 被 | ★tcpdump | 2001
|
否 | F根上冗余流量最高达85% |
[ |
A | - | 被 | ★tcpdump | 2002
|
否 | 网络中间盒丢弃来自根的应答, 导致对根的重复查询 | |
[ |
R-*A | - | 被 | - | 1991
|
否 | 根的查询量是必要查询量的61倍 | |
4.2.3 根幽灵
|
[ |
A | - | 被 | ★tcpdump | 2013 | 否 | F根切换IP地址后, 原根服务器
|
4.3
|
[ |
C | 103 | 主 | ◆RIPE Atlas | 2014 | 否 | 结合Hostname.bind, Traceroute, BGP信息发现10个拦截根查询的伪装根 |
本节从测量的角度综述DNS安全协议的部署可行性、展示DNS安全协议的部署应用状况、阐述识别恶意域名的检测技术. 本节将安全测量工作分4类: (1) 分析DNSSEC的代价与隐患; (2) 展示DNSSEC的部署现状; (3) 分析加密DNS的应用现状; (4) 阐述测量识别恶意域名的方法.
DNSSEC[
性能代价: 文献[
放大攻击隐患: 攻击者利用DNSSEC长应答报文实施分布式反射拒绝服务攻击. 文献[
DNSSEC的部署依赖于各级权威服务器、解析器以及网络中间盒 (middle-box, 如防火墙或NAT设备)制造商和运营商之间协作. 本节首先介绍了DNSSEC在多个方面的部署进展, 而后介绍了DNSSEC渐进部署带来的信任孤岛问题和DNSSEC误配置带来的问题.
权威服务器部署进展: DNSSEC于2005年10月开始在国家顶级域se部署, 2010年6月开始在通用顶级域org部署, 同年7月在根上部署[
解析器部署进展: 文献[
中间盒部署进展: DNSSEC应答报文可能超过以太网最大传输单元, 此时若中间盒不能正确传输IP分片将导致解析失败. 文献[
信任孤岛: DNSSEC依赖自根向下建立的认证链提供安全防护, 因父区未部署DNSSEC导致已部署DNSSEC但无法认证的子区称为DNSSEC信任孤岛. 文献[
DNSSEC误配置: 文献[
文献[
恶意域名是指攻击发起者和攻击执行者间用于建立隐秘信道的域名. 文献[
基于域名注册行为检测: 通过发现域名注册行为的异常, 例如使用可疑注册服务商、高频率批量注册等行为识别恶意域名. 文献[
基于域名查询量变化检测: 恶意域名的注册时间与首次使用时间间隔比正常域名的间隔更短. 文献[
基于权威服务器特征检测: 权威服务器的IP地址特征可以作为检测恶意域名的依据. 文献[
计算域名信誉值检测: 文献[
综上, 针对DNS安全的测量研究既可用于评估安全协议实施的效果, 也可作为保障DNS安全的技术手段. 测量DNSSEC发现存在部署进展迟缓的问题, 部署迟缓的原因主要有两个, 其一是部署带来运维上的复杂性和对硬件性能的更高要求; 另一个原因是部署会带来新的安全问题. 测量DoT、DoH等加密DNS技术发现, 支持加密DNS的解析器数量高速增长, 且部署加密DNS的解析器通常得到更好的维护, 解析失败率远低于平均值. 测量技术也是保护DNS安全的重要手段, 通过测量域名的注册行为、查询量变化、生命周期等特征, 检测实施恶意行为的域名, 为后续的安全应对措施提供支撑.
A comparison of related work in DNS securitymeasurement
DNS安全测量研究工作比较
节序号、主题
|
文献 | 观测点
|
观测点
|
主被动 | ◆平台
|
实验时间
|
数据
|
关键结论 |
注: C为客户端、R为解析器、A为权威服务器, *X-Y为X与Y信道中靠近*的一侧, ※表示论文发表时间 | ||||||||
5.1
|
[ |
A | - | 被 | ★tcpreply | 2005 | 否 | K根部署DNSSEC后, CPU/内存/带宽的负载增长5%/5%/10% |
[ |
C | - | 主 | - | 2012–2014 | 是 | DNSSEC用于反射攻击时, 流量放大倍率为50–179 | |
5.2
|
[ |
C | 105 | 主 | - | ※2013
|
否 | 2.6%解析器完全部署DNSSEC, 97%解析器不完全部署DNSSEC |
[ |
C | - | 注 | ◆OpenIntel | 2015–2016
|
是 | 31%的二级域和12%解析器部署了DNSSEC | |
[ |
C | - | 主 | - | 2017 (10天) | 否 | 超过640万二级域部署DNSSEC | |
[ |
C | - | 主 | ◆OpenIntel | 2015–2016
|
是 | 前20域名注册服务运营商中支持DNSSEC有关资源记录
|
|
[ |
C | - | 主 | - | 2016 (7月) | 否 | 90%顶级域、1.66%二级域部署DNSSEC | |
5.3 加密DNS
|
[ |
C
|
105 | 混 | ★Zmap
|
2017–2019 | 是 | 测量全网发现1500个提供DoT的IP地址, 大型公共解析器服务商, 如Cloudflare、CleanBrowsing等
|
5.4 恶意
|
[ |
*R-A | - | 被 | ★Notos | 2009 (68天) | 否 | 综合BGP、AS、WHOIS等信息判断恶意域名, 准确率96.8% |
[ |
C, A | 102 | 混 | ◆PlanetLab | 2011 (30天) | 否 | 55%恶意域名在注册1天后被用于
|
|
[ |
A | - | 被 | - | 2012 (8月) | 否 | 50%恶意域名的生命周期小于3个月 |
DNS测量研究未来仍将会是网络测量领域内的重要研究方向, 其原因在于DNS作为关键互联网基础设施是不可替代的, DNS技术和生态将持续演进, 并将持续支撑未来的网络应用服务. 下面对未来DNS测量领域内值得进一步研究的工作进行探讨.
(1) DNS测量评估标准化
DNS测量领域一直存在一个具有挑战性的难题, 即如何根据不同场景提出标准化的测量方法和评估方法. 解决这个问题有利于相关研究成果的比较和分享. 目前ICANN等组织尝试建立DNS测量方法与评估标准, 工作[
(2) IDN (internationalized domain name)应用测量
IDN将域名表达形式从ASCII字符扩展至更多语种, 例如阿拉伯文字符、中文字符甚至是emoji表情字符. IDN相关标准在2002年就已经制定, 但IDN域名的注册近几年才开始成为趋势. 对于象形文字, IDN域名的应用过程中存在同型异义词攻击, 即利用字符的视觉相似性实施欺骗攻击, 文献[
(3) DNS服务整合 (consolidation) 测量
云服务的兴起使DNS服务逐渐向云端迁移. 一方面, 大量域名的托管使得域名解析集中到少数云服务商所控制的服务器上. 文献[
DNS作为互联网中最复杂生态系统之一, 其经过30多年的发展后已经庞大到几乎无法被全面地观察, 每个研究只能以管中窥豹的方式洞察某一细分主题下的“信息碎片”, 全面掌握DNS的现状离不开一幅完整“地图”, 本文通过对DNS测量工作进行综述尝试勾勒和描绘这幅地图.
https://root-servers.org]]>
https://www.verisign.com/assets/domain-name-report-Q12020.pdf]]>
https://www.statdns.com/rfc]]>
10.1145/637201.637204]]]>
10.1007/978-3-642-36516-4_15]]]>
10.1145/3131365.3131366]]]>
10.1145/2815675.2815683]]]>
http://www.kb.cert.org/vuls/id/800113]]>
https://www.icann.org/en/system/files/files/rssac-023-04nov16-en.pdf]]>
10.17487/RFC4033]]]>
10.17487/RFC7858]]]>
10.17487/RFC8484]]]>
http://www.jos.org.cn/1000-9825/6046.htm]]>
http://www.jos.org.cn/1000-9825/6046.htm]]>
10.1109/ICCS45141.2019.9065354]]]>
王垚, 胡铭曾, 李斌, 闫伯儒. 域名系统安全研究综述. 通信学报, 2007, 28(9): 91–103.
Wang Y, Hu MZ, Li B, Yin BR. Survey on domain name system security. Journal on Communications, 2007, 28(9): 91–103 (in Chinese with English abstract). [doi: 10.3321/j.issn: 1000-436x.2007.09.015]
胡宁, 邓文平, 姚苏. 互联网DNS安全研究现状与挑战. 网络与信息安全学报, 2017, 3(3): 13–21.
Hu N, Deng WP, Su Y. Issues and challenges of internet DNS security. Chinese Journal of Network and Information Security, 2017, 3(3): 13–21 (in Chinese with English abstract). [doi: 10.11959/j.issn.2096-109x.2017.00154]
10.1145/2398776.2398831]]]>
https://aqualab.cs.northwestern.edu/projects/edgescope-sharing-the-view-from-a-distributed-internet-telescope]]>
10.1109/INFCOMW.2012.6193491]]]>
10.1145/1879141.1879144]]]>
https://archive.nanog.org/sites/default/files/tue.lightning3.open_resolver.mauch_.pdf]]>
10.1109/INFOCOM.2017.8057202]]]>
Jung J, Sit E, Balakrishnan H, Morris R. DNS performance and the effectiveness of caching. IEEE/ACM Transactions on Networking, 2002, 10(5): 589–603. [doi: 10.1109/TNET.2002.803905]
10.1109/INFCOMW.2011.5928919]]]>
Gao HY, Yegneswaran V, Chen Y, Porras P, Ghosh S, Jiang J, Duan HX. An empirical reexamination of global DNS behavior. ACM SIGCOMM Computer Communication Review, 2013, 43(4): 267–278. [doi: 10.1145/2534169.2486018]
10.1109/SAINT.2012.26]]]>
Callahan T, Allman M, Rabinovich M. On modern DNS behavior and properties. ACM SIGCOMM Computer Communication Review, 2013, 43(3): 7–15. [doi: 10.1145/2500098.2500100]
10.1145/3143361.3143375]]]>
10.1145/3342280.3342338]]]>
10.1145/2504730.2504734]]]>
Shue CA, Kalafut AJ, Allman M, Taylor CR. On building inexpensive network capabilities. ACM SIGCOMM Computer Communication Review, 2012, 42(2): 72–79. [doi: 10.1145/2185376.2185386]
10.1145/1028788.1028792]]]>
10.1145/948205.948216]]]>
10.1007/978-3-540-68914-0_2]]]>
Ma XB, Zhang JJ, Li ZH, Li JF, Tao J, Guan XH, Lui JCS, Towsley D. Accurate DNS query characteristics estimation via active probing. Journal of Network and Computer Applications, 2015, 47: 72–84. [doi: 10.1016/j.jnca.2014.09.016]
10.1145/637201.637203]]]>
10.1109/INFOCOM.2008.15]]]>
10.1007/978-3-642-00975-4_6]]]>
10.17487/RFC2182]]]>
10.1007/978-3-540-24668-8_15]]]>
Yu YD, Wessels D, Larson M, Zhang LX. Authority server selection in DNS caching resolvers. ACM SIGCOMM Computer Communication Review, 2012, 42(2): 80–86. [doi: 10.1145/3310165.3310175]
http://mawi.wide.ad.jp/mawi/dnsprobe]]>
http://www.caida.org/cgi-bin/dns_perf/main.pl]]>
http://larbin.sourceforge.net]]>
10.1007/978-3-540-71617-4_13]]]>
10.1109/ICCCN.2006.286248]]]>
https://developers.planet.com/devtrial/]]>
10.1145/2987443.2987446]]]>
https://atlas.ripe.net]]>
10.1109/CATCH.2009.28]]]>
10.1109/INFCOM.2013.6566965]]]>
10.1145/1879141.1879173]]]>
https://www.as112.net]]>
10.1109/INFOCOM.2019.8737568]]]>
Abhishta A, van Rijswijk-Deij R, Nieuwenhuis LJM. Measuring the impact of a successful DDoS attack on the customer behaviour of managed DNS service providers. ACM SIGCOMM Computer Communication Review, 2019, 48(5): 70–76. [doi: 10.1145/3310165.3310175]
Rijswijk-Deij RV, Jonker M, Sperotto A, Pras A. A high-performance, scalable infrastructure for large-scale active DNS measurements. IEEE Journal on Selected Areas in Communications, 2016, 34(6): 1877–1888. [doi: 10.1109/JSAC.2016.2558918]
https://openintel.nl]]>
Pappas V, Xu ZG, Lu SW, Massey D, Terzis A, Zhang LX. Impact of configuration errors on DNS robustness. ACM SIGCOMM Computer Communication Review, 2004, 34(4): 319–330. [doi: 10.1145/1030194.1015503]
Kalafut AJ, Shue CA, Gupta M. Touring DNS open houses for trends and configurations. IEEE/ACM Transactions on Networking, 2011, 19(6): 1666–1675. [doi: 10.1109/TNET.2011.2130537]
10.1109/INFCOM.2010.5462270]]]>
10.1145/1879141.1879182]]]>
10.1145/2987443.2987477]]]>
https://www.dnsdb.info]]>
https://scans.io/study/sonar.fdns]]>
10.1109/ICDCS.1998.679729]]]>
Rabinovich M, Spatscheck O. Web caching and replication. SIGMOD Record, 2003, 32(4): 107–108.
10.1145/2488388.2488397]]]>
10.1109/INFCOM.2001.916678]]]>
10.17487/RFC7871]]]>
Chen FF, Sitaraman RK, Torres M. End-user mapping: Next generation request routing for content delivery. ACM SIGCOMM Computer Communication Review, 2015, 45(4): 167–181. [doi: 10.1145/2829988.2787500]
10.1145/1879141.1879156]]]>
http://dns.measurement-factory.com/surveys/201010. [2020-07-04].]]>
http://www.odp.org]]>
10.1109/ICC.2019.8761698]]]>
Deccio C, Sedayao J, Kant K, Mohapatra P. Quantifying dns namespace influence. Computer Networks, 2012, 56(2): 780–794. [doi: 10.1016/j.comnet.2011.11.005]
10.1109/ICC.2018.8422602]]]>
10.1145/1028788.1028790]]]>
Castro S, Wessels D, Fomenkov M, Claffy K. A day at the root of the internet. ACM SIGCOMM Computer Communication Review, 2008, 38(5): 41–46. [doi: 10.1145/1452335.1452341]
10.1007/978-3-642-12365-8_1]]]>
http://data.iana.org/TLD/tlds-alpha-by-domain.txt]]>
10.1109/GLOCOM.2001.965864]]]>
https://www.dns-oarc.net/oarc/data/ditl/2017]]>
10.1109/WIAPP.2003.1210282]]]>
10.1145/2934872.2960423]]]>
Danzig PB, Obraczka K, Kumar A. An analysis of wide-area name server traffic: A study of the Internet Domain Name System. ACM SIGCOMM Computer Communication Review, 1992, 22(4): 281–292. [doi: 10.1145/144191.144301]
10.1145/2504730.2504772]]]>
10.1145/2663716.2663750]]]>
10.1145/2663716.2663720]]]>
10.1007/978-3-319-30505-9_21]]]>
10.1109/CNSM.2010.5691275]]]>
10.1145/3278532.3278544]]]>
10.1109/CISS.2006.286699]]]>
10.14722/NDSS.2014.23233]]]>
10.1145/2663716.2663731]]]>
https://www.dnssec-deployment.org/history/timeline]]>
http://dns.measurement-factory.com/surveys/201010/dns_survey_2010.pdf]]>
https://www.internetsociety.org/wp-content/uploads/2017/08/ISOC-State-of-DNSSEC-Deployment-2016-v1.pdf]]>
10.1007/978-3-319-48965-0_43]]]>
10.23919/TMA.2017.8002913]]]>
http://stats.research.icann.org/dns/tld_report]]>
10.1109/INFCOMW.2013.6562861]]]>
10.1145/1452520.1452548]]]>
Yang H, Osterweil E, Massey D, Lu SW, Zhang LX. Deploying cryptography in Internet-scale systems: A case study on DNSSEC. IEEE Transactions on Dependable and Secure Computing, 2011, 8(5): 656–669. [doi: 10.1109/TDSC.2010.10]
10.1145/3131365.3131373]]]>
Adrichem NLM, Blenn N, Lúa AR, Wang X, Wasif M, Fatturrahman F, Kuipers FA. A measurement study of DNSSEC misconfigurations. Security Informatics, 2015, 4(1): 8. [doi: 10.1186/S13388-015-0023-Y]
https://dnscensus2013.neocities.org]]>
10.1145/3355369.3355580]]]>
10.1145/2504730.2504753]]]>
10.1145/2987443.2987463]]]>
10.1145/2068816.2068842]]]>
https://www.farsightsecurity.com/solutions/security-information-exchange]]>
10.1007/978-3-642-00975-4_22]]]>
http://www.jos.org.cn/1000-9825/5186.htm]]>
http://www.jos.org.cn/1000-9825/5186.htm]]>
https://ithi.research.icann.org/about.html]]>
Casalicchio E, Caselli M, Coletta A. Measuring the global domain name system. IEEE Network, 2013, 27(1): 25–31. [doi: 10.1109/MNET.2013.6423188]
10.1109/DSN.2018.00072]]]>