漏洞频现,STARTTLS 加密机制为何应该尽量避免? (blog.apnic.net)
本文分析了电子邮件加密机制 STARTTLS 的安全隐患。研究发现,STARTTLS 存在许多漏洞,例如命令注入和响应注入,攻击者可以利用这些漏洞窃取用户凭证或伪造邮件内容。因此,文章建议邮件服务运营商应优先考虑使用直接 TLS 连接(也称为隐式 TLS),并考虑完全禁用明文和 STARTTLS 连接方式,以提高电子邮件通信的安全性。
深入探索 XDP:全面增强的 DNS 服务 (blog.apnic.net)
本文深入探讨了如何使用 XDP (eXpress Data Path) 来增强 DNS 服务。作者首先回顾了之前的文章中介绍的 XDP 限速查询功能,该功能可以增强在用户空间运行的 DNS 服务以应对 DoS 攻击。随后,文章进一步探讨了在 XDP 中实现 DNS Cookies 的方法,以允许列入白名单的返回请求者绕过限速。最后,文章讨论了在 BPF 中实现 EDNS(0) 填充的原理,以展示 XDP 如何全面增强 DNS 功能。
超越缓冲膨胀:端到端拥塞控制无法避免延迟峰值 (blog.apnic.net)
本文讨论了互联网端到端拥塞控制方法(如TCP和QUIC)的一个局限性:即使在最佳情况下,当网络链路容量发生变化时,这些方法也无法避免延迟峰值。作者通过数学模型证明,即使消除了缓冲膨胀,网络拥塞仍然会导致延迟。文章还探讨了几种解决延迟峰值的方案,包括预测容量变化、降低链路利用率、区分对待不同流量以及链路多样化。
解读SpaceX星链计划的FCC文件 (blog.apnic.net)
本文分析了SpaceX公司提交给美国联邦通信委员会(FCC)的有关星链计划的文件,揭秘了星链计划的卫星轨道、频率、波束设计等技术细节,以及SpaceX与竞争对手和天文机构之间的博弈。作者详细解读了星链计划的FCC申请文件,包括其卫星和地面终端的授权申请,以及SpaceX为应对各种挑战提出的修改和解决方案。
域名解析漏洞:普遍性、持久性与危害 (blog.apnic.net)
本文分析了域名系统(DNS)中的域名解析漏洞问题,指出其普遍性、持久性和潜在危害。文章解释了域名解析漏洞的成因,包括域名服务器不可达、配置错误以及解析路径无效等,并通过对.BIZ域名和Conficker蠕虫案例的分析,揭示了域名解析漏洞带来的安全风险。研究发现,域名解析漏洞会导致域名解析时间显著增加,甚至影响主流域名,需要引起重视并寻求解决方案。
NAT环境下Wi-Fi网络中的非路径TCP劫持 (blog.apnic.net)
本文揭示了路由器NAT映射处理中的一个安全漏洞,攻击者可以利用该漏洞绕过TCP的内置随机化,从而实现对Wi-Fi TCP流量的劫持。研究测试了来自30个不同制造商的67个主流路由器,发现其中52个路由器容易受到这种攻击。文章还提出了三种缓解措施:随机端口分配、反向路径验证和TCP窗口检查。
BGP 安全监管是否即将到来? (blog.apnic.net)
本文讨论了美国联邦通信委员会 (FCC) 关于边界网关协议 (BGP) 安全的最新草案,该草案暗示了 FCC 监管 BGP 安全的意图。文章指出,互联网协会 (ISOC) 和全球网络联盟 (GCA) 对此表示担忧,认为监管可能会减缓行业发展,并导致竞争紧张和碎片化。 然而,文章也承认互联网安全面临的风险,以及政府干预的可能性。 作者最后鼓励读者阅读 FCC 报告和 ISOC/GCA 的回应,并发表自己的看法。
从传输协议的角度看星链 (blog.apnic.net)
本文分析了互联网传输协议TCP与星链服务特性之间的交互。星链作为一种低地球轨道卫星服务,与地球同步卫星相比,延迟更低,但信号质量变化更大。文章探讨了星链信号传输中的动态信道速率控制、卫星切换和信号干扰等因素对TCP性能的影响,并比较了CUBIC和BBR两种拥塞控制算法在星链环境下的表现,最后提出了针对星链进行TCP协议优化的思路。