我们也来聊聊IDN

Introduction   文中首先对IDN的历史和研究进行了回顾,并从近日有关IDN的博客入手,利用DNS派的流量数据,使用轻量级的方法,对目前网络中的“形近异义”的IDN域名进行了测量研究,并对IDN域名目前在网络中的用途进行分析。研究发现,1)Alex »

以大站的名义:专注地下产业的网络基础设施

【历史更新记录】 2017-01-10 原始版本 2017-01-16 补充了对服务器IP地址同源性的分析,此处分析指向性较弱,仅为完备性考虑 概述 在奇虎网络安全研究院(netlab@360.cn),我们建立了一个基于DNS的异常流量监测系统,每天会检出若干异常流量以及对应的域 »

关于 mirai 僵尸网络控制主机的数据分析

之前的文章中已经提及,我们的僵尸网络跟踪系统对mirai僵尸网络控制主机做了持续跟踪,并且在文章的结尾处,依据跟踪结果排除了僵尸网络操作者位于北京时区的可能。在这篇文章中,我们将进一步分析mirai僵尸网络的控制主机的行为和特征。之前文章链接如下: http://blog.net »

DNS中的“无效Rdata”

所谓Rdata是指在DNS记录中与类型相关的数据部分。比如对于DNS的A记录中的IPv4地址或者MX记录中的主机名及其优先级。 在分析DNS的数据过程中,常常能见到各种不同种类的怪异的Rdata。我们把不能有效反应域名和rdata的对应关系的数据称为“无效Rdata”。对这些无效 »

Conficker域名被滥用情况分析

根据对conficker域名的跟踪,我们发现conficker的域名存在明显的滥用。主要表现为浏览器访问conficker域名后,会跳转到广告页面(既有正常业务,也有赌博/色情等灰色业务),有时候还会存在一些垃圾软件(比如虚假的杀毒软件)的推广等。 由于conficker的DGA »