论文阅读：Measuring the Impact of a Successful DDoS Attack on the Customer Behaviour of

Measuring the Impact of a Successful DDoS Attack on the Customer Behaviour of Managed DNS Service Providers

• 研究背景
• 知识点
• 数据集
• 本文内容
• 实验内容
• 框架：捕获DNS服务提供商行为
• 定义
• 分析

研究背景

DNS受DDOS攻击影响很大，DNS服务商号称他们的DNS服务器能够抵挡DDOS攻击，真实情况下效果如何？

• NS1.com是国外一家提供专业的DNS域名解析服务商，除了付费的DNS域名解析外，还提供了免费的DNS域名解析套餐，免费额度为500k Queries 、50 Records 、1 Built-in Monitor 、1 Filter Chain 和NS1 API，基本上可以满足日常建站的需要了。
• Dyn：DNS域名解析服务商

问题：

1. 当DNS服务提供商受到了Ddos攻击后用户的行为如何？
2. 用户是否继续使用受DDOS攻击后的DNS服务提供商？
3. 若继续使用，他们的行为发生什么变化？

知识点

1. authoritative name servers ：直接能给出你query答案的server

数据集

OpenINTEL dataset:https://openintel.nl

覆盖60%的DNS域名空间

使用.com、.net、.org

NS1:2015.10.29 - 2016.6.5
Dyn：2016.4.4 - 2016.11.11
查看当天在其NS（记录是域名服务器记录）记录中使用Dyn / NS1名称服务器地址的所有域

• 独占：如果域在其NS记录中仅使用Dyn / NS1名称服务器地址，则该域被归类为独占。
• 非独占：如果域使用来自多个提供商（包括Dyn / NS1）的名称服务器地址，则该域被归类为非独占。

本文内容

• 定义框架来识别分析发生攻击前后MDNS及用户行为的变化（主要从独占和非独占两方面来定义相关参数分析）
• 数据来源：开源数据集+NS分析
• 发现独占在发生攻击后行为变化大，非独占变化小
• 多DNS服务提供商是个好策略

实验内容

框架：捕获DNS服务提供商行为

定义

1. 域行为（10个）：第n天使用NS1/Dyn域名数量、第n天使用NS1/Dyn独家域名数量、第n天使用NS1/Dyn非独占域名数量、在第n天从NS1 / Dyn的非独占用户转移到独占用户的域的总数、在第n天从NS1 / Dyn的独家用户转移到非独占用户的域的总数、在第n天成为NS1 / Dyn的新独家用户的新域的总数（在第n-1天没有使用NS1 / Dyn）、在第n天成为NS1 / Dyn的新非独家用户的新域的总数（在第n-1天没有使用NS1 / Dyn）、第n天使用NS1 / Dyn停止的独占域的总数、第n天使用NS1 / Dyn停止的非独占域的总数、第n天使用NS1 / Dyn停止的域的总数
   
   10天累积平均值（滤除噪声）：
   
2. 趋势、事件时期（分析的攻击日期之前的间隔、攻击日期之后的间隔）：研究了攻击前200天行为变化和20天活动期

分析

绘制时间序列图：

1. 2家MDNS Domain数量折线图
2. 2家独占与非独占数量折线图（对比drop & recovery措施）
3. 时间上绘制平均数
4. 对比攻击发生后备用MDNS选择图

发现

• 大量使用Dyn或NS1服务的MDNS客户在攻击发生后从独占切换到非独占使用
• 非独占用户的Dyn客户的行为没有发生重大变化
• 在风险管理方面，使用多个提供商是一个很好的策略

创新点

1. 开发了一个测量DNS服务提供商行为的框架
2. 利用此框架测量了受DDOS攻击的NS1和Dyn的行为
3. 展示了受到攻击后用户的行为有什么变化
4. 绝大多数用户会有替补DNS服务提供商