CN103685168A - 一种dns递归服务器的查询请求服务方法 - Google Patents
一种dns递归服务器的查询请求服务方法 Download PDFInfo
- Publication number
- CN103685168A CN103685168A CN201210328266.XA CN201210328266A CN103685168A CN 103685168 A CN103685168 A CN 103685168A CN 201210328266 A CN201210328266 A CN 201210328266A CN 103685168 A CN103685168 A CN 103685168A
- Authority
- CN
- China
- Prior art keywords
- inquiry request
- credible
- server
- data packet
- response data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种DNS递归服务器的查询请求服务方法,属于网络技术领域。本方法为:1)将DNS递归服务器的缓存划分可信缓存区和不可信缓存区;2)递归服务器收到一查询请求后,在可信缓存区的资源记录中查找是否有匹配的资源;如果有,则将匹配资源记录返回给查询端;如果没有,则向权威服务器发起查询请求;3)递归服务器监测该查询请求的响应数据包到达率;4)如果响应数据包到达率超过可信门限,则递归服务器将该查询请求的响应数据包置于不可信缓存区;如果未超过该可信门限,则重新向权威服务器发起查询请求,将得到的DNS资源记录发送给查询端,并将其添加到可信缓存区。本发明减小了缓存中毒的可能性,保证了查询的效率。
Description
技术领域
本发明涉及一种DNS递归服务器的查询请求服务方法,属于计算机网络技术领域。
背景技术
互联网域名***(Domain Name System,DNS)的主要实体包括提供解析查询服务的递归服务器和提供权威应答服务的权威服务器。其查询过程如图1所示。具体步骤为:
1)当终端用户希望访问www.sina.com时,向递归服务器发送DNS查询请求消息;
2)如果递归服务器的缓存中完全没有该域名的相关信息(假设既没有com的权威服务器地址,也没有sina.com的权威服务器地址),递归服务器便需要向根服务器发起查询过程,从而获知com权威服务器的地址;
3)递归服务器接着向com权威服务器发送查询消息,于是获知到sina.com权威服务器的地址信息;
4)通过向sina.com权威服务器的继续查询,递归服务器最终获知了www.sina.com的地址;
5)递归服务器将查询所得到的资源记录返回给客户端,并将该记录存储在缓存中。当其他终端用户向该递归服务器查询www.sina.com时,递归服务器直接在缓存中查找匹配的资源记录就能进行及时响应。而终端用户也可以经由该地址信息访问对应网络资源。
在上述查询过程中,递归服务器向任何一个权威服务器发送查询消息后,如果对应的伪造响应数据包能够在正确响应数据包到达之前被递归服务器接收,且匹配了递归服务器发送出的查询数据包的UDP端口号和数据包ID,递归服务器就会把错误的权威资源记录缓存起来,从而造成缓存中毒。当后续用户查询该域名时,都被引导到错误或恶意的站点。
如何识别和避免递归服务器缓存不可信的或伪造的响应信息,以尽量减小DNS递归服务器缓存中毒的可能性是一亟待解决的技术问题。
发明内容
针对现有技术中存在的技术问题,本发明的目的在于提供一种DNS递归服务器的查询请求服务方法。本发明提出将DNS递归服务器的缓存划分成两个部分:可信缓存区和不可信缓存区。其中可信缓存区是通过正常查询而缓存的正确DNS资源记录;不可信缓存区是由于DNS递归服务器通过监测DNS流量对某些响应产生怀疑而对应的资源记录。可信缓存区的使用依照递归服务器通常使用缓存数据的规则,而不可信缓存区的数据不能直接用于回复客户端。只有当监测结果回落到递归服务器选择的可信门限以下,才对不可信缓存区的资源记录重新发起查询过程,并将对应的响应添加到可信缓存区。
本发明的技术方案为:
一种DNS递归服务器的查询请求服务方法,其步骤为:
1)将DNS递归服务器的缓存划分可信缓存区和不可信缓存区;其中,可信缓存区用于缓存可信的DNS资源记录,不可信缓存区是用于存储可疑查询请求对应的DNS资源记录;
2)递归服务器收到一查询请求后,在可信缓存区的资源记录中查找是否有匹配的资源;如果有,则将匹配资源记录返回给查询端;如果没有,则向权威服务器发起查询请求;
3)递归服务器监测该查询请求的响应数据包到达率;所述响应数据包到达率为设定时间长度内接收到的针对同一查询请求的响应数据包;
4)如果该查询请求的响应数据包到达率超过预设可信门限,则递归服务器将该查询请求的响应数据包置于不可信缓存区;如果该查询请求的响应数据包到达率未超过该预设可信门限,则重新向权威服务器发起查询请求,将得到的DNS资源记录发送给查询端,并将其作为一可信的DNS资源记录添加到可信缓存区。
进一步的,如果该查询请求的响应数据包到达率超过预设可信门限时,递归服务器收到其他查询端发出的与该查询请求相同的查询请求2,且该查询请求2的响应数据包到达率未超过该预设可信门限,则递归服务器针对该查询请求2向权威服务器发起查询请求。
进一步的,如果某查询请求的响应数据包到达率超过预设可信门限,则所述递归服务器通过根据该查询请求发送出去的查询消息中的目的IP地址,确定出缓存中毒攻击源。
进一步的,所述递归服务器实时监测查询请求的响应数据包到达率。
本发明具有如下特点:
1)通过划分缓存区域实现对不可信资源记录的隔离;
2)同一个查询请求的响应数据包到达率过大时,递归服务器认为有缓存中毒攻击发生,从而将接收到的响应判定为不可信;
3)通过把不可信缓存区中资源记录的重查结果填充到可信缓存区,保证了递归服务器通过使用缓存提高查询处理效率的目的。
与现有技术相比,本发明的积极效果为:
本发明通过将缓存区域划分可信缓存区和不可信缓存区,实现对不可信资源记录的隔离;从而避免递归服务器缓存不可信的或伪造的响应信息,减小了DNS递归服务器缓存中毒的可能性,保证了递归服务器查询处理的效率。
附图说明
图1为现有DNS查询流程图;
图2为本发明的方法流程图。
具体实施方式
本发明中递归服务器的处理流程如图2所示。
1)递归服务器收到一查询请求后,先在可信缓存的资源记录中查找是否有匹配的资源;递归服务器首先希望通过可信缓存的查询,将匹配响应尽快返回给用户,从而提高查询效率(在没有发现攻击情况下,所有查询到的结果都会保存到可信缓存中,比如图1例子中com的权威服务器地址、sina.com的权威服务器地址和www.sina.com的地址。当检测到攻击时,接收到的响应信息就存储到不可信区中。);如果没有,则向权威服务器发起查询请求,当该查询请求对应的响应数据包到达率超过预设的门限,就认为该缓存正遭受毒化攻击,中毒源就是递归服务器发送出去的查询消息的目的IP地址。比如当缓存中毒攻击源向递归服务器发送域名如xxx.yyy.cn的查询请求时,其未在可信缓存中找到对应资源记录的递归服务器随即向权威服务器发起查询过程;权威服务器的主要功能就是维护DNS数据。“响应数据包到达率”就是通过统计一定时间内接收到的针对同一查询请求的响应数据包。
2)为了对该递归服务器进行毒化,攻击源向递归服务器发送大批量的伪造响应消息,以期匹配递归服务器向权威服务器发送DNS查询消息的UDP端口号和数据包ID;
3)如果递归服务器通过同一个查询请求的响应数据包到达率判定该响应的不可信程度,那么如果响应数据包到达率超过预设门限后,递归服务器将接收到的匹配响应消息置于不可信缓存区(为对本发明技术方案进行清晰展示,本发明以同一个查询请求的响应数据包到达率判定该响应的不可信程度,但本发明也可以支持其他判定规则);
4)如果递归服务器此时接收到其他客户端发起的对应该毒化缓存的查询请求,且其他客户端发出的请求的对应响应回落到可信门限以下,则递归服务器不采用不可信缓存区中的数据,并重新向权威服务器发起查询过程予以回复;
5)直到递归服务器接收到的该查询请求的响应数据包到达率回落到可信门限以下,递归服务器认为攻击已经结束,于是重新发起查询过程,并将响应中的资源记录添加到可信区,以实现对后续查询的快速响应。比如:如有查询请求消息1、2,对应查询消息1,有大量伪造响应,对应查询消息2,还是有大量伪造响应,那么递归服务器就认为查询1和查询2都是伪造的查询,是毒化缓存所用,而不予以响应。但是如果这两个查询对应的响应在可信门限以下,那么递归服务器就认为这是个正常的查询,从而向权威服务器发起查询,然后将响应中的资源记录添加到可信区,以实现对后续查询的快速响应。
Claims (4)
1.一种DNS递归服务器的查询请求服务方法,其步骤为:
1)将DNS递归服务器的缓存划分可信缓存区和不可信缓存区;其中,可信缓存区用于缓存可信的DNS资源记录,不可信缓存区是用于存储可疑查询请求对应的DNS资源记录;
2)递归服务器收到一查询请求后,在可信缓存区的资源记录中查找是否有匹配的资源;如果有,则将匹配资源记录返回给查询端;如果没有,则向权威服务器发起查询请求;
3)递归服务器监测该查询请求的响应数据包到达率;所述响应数据包到达率为设定时间长度内接收到的针对同一查询请求的响应数据包;
4)如果该查询请求的响应数据包到达率超过预设可信门限,则递归服务器将该查询请求的响应数据包置于不可信缓存区;如果该查询请求的响应数据包到达率未超过该预设可信门限,则重新向权威服务器发起查询请求,将得到的DNS资源记录发送给查询端,并将其作为一可信的DNS资源记录添加到可信缓存区。
2.如权利要求1所述的方法,其特征在于如果该查询请求的响应数据包到达率超过预设可信门限时,递归服务器收到其他查询端发出的与该查询请求相同的查询请求2,且该查询请求2的响应数据包到达率未超过该预设可信门限,则递归服务器针对该查询请求2向权威服务器发起查询请求。
3.如权利要求1所述的方法,其特征在于如果某查询请求的响应数据包到达率超过预设可信门限,则所述递归服务器通过根据该查询请求发送出去的查询消息中的目的IP地址,确定出缓存中毒攻击源。
4.如权利要求1所述的方法,其特征在于所述递归服务器实时监测查询请求的响应数据包到达率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210328266.XA CN103685168B (zh) | 2012-09-07 | 2012-09-07 | 一种dns递归服务器的查询请求服务方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210328266.XA CN103685168B (zh) | 2012-09-07 | 2012-09-07 | 一种dns递归服务器的查询请求服务方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103685168A true CN103685168A (zh) | 2014-03-26 |
| CN103685168B CN103685168B (zh) | 2016-12-07 |
Family
ID=50321500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210328266.XA Active CN103685168B (zh) | 2012-09-07 | 2012-09-07 | 一种dns递归服务器的查询请求服务方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103685168B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144165A (zh) * | 2014-08-11 | 2014-11-12 | 互联网域名***北京市工程研究中心有限公司 | 一种抗dns死域攻击的缓存方法及*** |
| CN105827599A (zh) * | 2016-03-11 | 2016-08-03 | 中国互联网络信息中心 | 一种基于dns报文深度解析的缓存中毒检测方法及装置 |
| CN105939337A (zh) * | 2016-03-09 | 2016-09-14 | 杭州迪普科技有限公司 | Dns缓存投毒的防护方法及装置 |
| CN106561028A (zh) * | 2015-10-02 | 2017-04-12 | 高效Ip公司 | 隔离因特网协议地址 |
| CN105245630B (zh) * | 2015-09-25 | 2019-04-23 | 互联网域名***北京市工程研究中心有限公司 | 识别和防御dns servfail攻击的方法及装置 |
| WO2019165665A1 (zh) * | 2018-02-28 | 2019-09-06 | 网宿科技股份有限公司 | 一种域名解析方法、服务器及*** |
| CN111698345A (zh) * | 2020-06-10 | 2020-09-22 | 山东伏羲智库互联网研究院 | 域名查询方法、递归服务器和存储介质 |
| CN112543215A (zh) * | 2019-09-23 | 2021-03-23 | 北京国双科技有限公司 | 访问请求的处理方法、***、装置、存储介质和电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070250919A1 (en) * | 2005-11-10 | 2007-10-25 | Markmonitor Inc. | B2C Authentication System And Methods |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗*** |
| CN101505218A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| US20090319659A1 (en) * | 2006-12-28 | 2009-12-24 | Hiroshi Terasaki | Source detection device for detecting a source of sending a virus and/or a dns attack linked to an application, method thereof, and program thereof |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| JP2011049745A (ja) * | 2009-08-26 | 2011-03-10 | Toshiba Corp | Dnsキャッシュ・ポイズニング攻撃を防御する装置 |
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护*** |
| CN102404318A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| CN102624750A (zh) * | 2012-04-22 | 2012-08-01 | 吴兴利 | 抵御dns递归攻击的方法和*** |
-
2012
- 2012-09-07 CN CN201210328266.XA patent/CN103685168B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070250919A1 (en) * | 2005-11-10 | 2007-10-25 | Markmonitor Inc. | B2C Authentication System And Methods |
| US20090319659A1 (en) * | 2006-12-28 | 2009-12-24 | Hiroshi Terasaki | Source detection device for detecting a source of sending a virus and/or a dns attack linked to an application, method thereof, and program thereof |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗*** |
| CN101505218A (zh) * | 2009-03-18 | 2009-08-12 | 杭州华三通信技术有限公司 | 攻击报文的检测方法和装置 |
| JP2011049745A (ja) * | 2009-08-26 | 2011-03-10 | Toshiba Corp | Dnsキャッシュ・ポイズニング攻撃を防御する装置 |
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护*** |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN102404318A (zh) * | 2011-10-31 | 2012-04-04 | 杭州迪普科技有限公司 | 一种防范dns缓存攻击的方法及装置 |
| CN102624750A (zh) * | 2012-04-22 | 2012-08-01 | 吴兴利 | 抵御dns递归攻击的方法和*** |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144165A (zh) * | 2014-08-11 | 2014-11-12 | 互联网域名***北京市工程研究中心有限公司 | 一种抗dns死域攻击的缓存方法及*** |
| CN105245630B (zh) * | 2015-09-25 | 2019-04-23 | 互联网域名***北京市工程研究中心有限公司 | 识别和防御dns servfail攻击的方法及装置 |
| CN106561028A (zh) * | 2015-10-02 | 2017-04-12 | 高效Ip公司 | 隔离因特网协议地址 |
| CN105939337A (zh) * | 2016-03-09 | 2016-09-14 | 杭州迪普科技有限公司 | Dns缓存投毒的防护方法及装置 |
| US20170264590A1 (en) * | 2016-03-09 | 2017-09-14 | Hangzhou Dptech Technologies Co., Ltd. | Preventing dns cache poisoning |
| CN105939337B (zh) * | 2016-03-09 | 2019-08-06 | 杭州迪普科技股份有限公司 | Dns缓存投毒的防护方法及装置 |
| US10469532B2 (en) | 2016-03-09 | 2019-11-05 | Hangzhou Dptech Technologies Co., Ltd. | Preventing DNS cache poisoning |
| CN105827599A (zh) * | 2016-03-11 | 2016-08-03 | 中国互联网络信息中心 | 一种基于dns报文深度解析的缓存中毒检测方法及装置 |
| WO2019165665A1 (zh) * | 2018-02-28 | 2019-09-06 | 网宿科技股份有限公司 | 一种域名解析方法、服务器及*** |
| CN112543215A (zh) * | 2019-09-23 | 2021-03-23 | 北京国双科技有限公司 | 访问请求的处理方法、***、装置、存储介质和电子设备 |
| CN111698345A (zh) * | 2020-06-10 | 2020-09-22 | 山东伏羲智库互联网研究院 | 域名查询方法、递归服务器和存储介质 |
| CN111698345B (zh) * | 2020-06-10 | 2022-09-20 | 山东伏羲智库互联网研究院 | 域名查询方法、递归服务器和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103685168B (zh) | 2016-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103685168B (zh) | 一种dns递归服务器的查询请求服务方法 | |
| US9985927B2 (en) | Managing content delivery network service providers by a content broker | |
| US9787775B1 (en) | Point of presence management in request routing | |
| US9525659B1 (en) | Request routing utilizing point of presence load information | |
| CN112217916B (zh) | 一种新型的工业互联网标识解析递归服务器的缓存方法和*** | |
| US8676918B2 (en) | Point of presence management in request routing | |
| CN107872486B (zh) | 通信方法和装置 | |
| US9225613B2 (en) | Method for accessing content in networks and a corresponding system | |
| US8886750B1 (en) | Alias resource record sets | |
| US20120297478A1 (en) | Method and system for preventing dns cache poisoning | |
| CN103701957A (zh) | Dns递归方法及其*** | |
| CN111698345B (zh) | 域名查询方法、递归服务器和存储介质 | |
| CN109067936B (zh) | 一种域名解析的方法及装置 | |
| CN108337257B (zh) | 一种免认证访问方法和网关设备 | |
| CN106161667A (zh) | 一种域名解析方法及装置 | |
| CN103685584A (zh) | 一种基于隧道技术的反域名劫持方法和*** | |
| CN114205330A (zh) | 域名解析方法、域名解析装置、服务器以及存储介质 | |
| CN108632401B (zh) | 减少dns递归服务器上隐私泄漏的匿名查询方法及*** | |
| US20160197989A1 (en) | Managing traffic-overload on a server | |
| CN109995885B (zh) | 域名空间结构呈现方法、装置、设备及介质 | |
| EP2426894B1 (en) | System and method of processing DNS request and DNS reply | |
| KR101524733B1 (ko) | Ip 네트워크를 통해 웹사이트에 접속하는 단말기 및 단말기의 웹사이트 접속 시간 단축 방법 | |
| EP3151520B1 (en) | Quarantining an internet protocol address | |
| CN101674311B (zh) | 地址查询方法、网关或用户设备及服务器 | |
| CN111092966A (zh) | 域名***、域名访问方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210209 Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER Address before: 100190 No. four, 4 South Street, Haidian District, Beijing, Zhongguancun Patentee before: Computer Network Information Center, Chinese Academy of Sciences |
|
| TR01 | Transfer of patent right |