CN105939347B - 防御域名攻击的方法及装置 - Google Patents
防御域名攻击的方法及装置 Download PDFInfo
- Publication number
- CN105939347B CN105939347B CN201610297054.8A CN201610297054A CN105939347B CN 105939347 B CN105939347 B CN 105939347B CN 201610297054 A CN201610297054 A CN 201610297054A CN 105939347 B CN105939347 B CN 105939347B
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- dns client
- request
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种防御域名攻击的方法及装置,该方法包括:当接收到DNS客户端发送至源DNS服务器的第一域名解析请求时,确定白名单中是否存在所述第一域名解析请求对应的资源记录;如果白名单中不存在所述第一域名解析请求对应的资源记录,则对所述DNS客户端进行验证;如果所述DNS客户端没有验证通过,则对所述DNS客户端发送的第一域名解析请求进行防御。本申请有效防御了DNS客户端发起的域名攻击,并且避免了正常的域名解析请求因为在DNS缓存的缓存表项中没有存在对应的资源记录而被丢弃,提升了用户的体验。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种防御域名攻击的方法及装置。
背景技术
目前,域名攻击采用的方法是向被攻击的DNS服务器发送大量域名解析请求,被攻击的DNS服务器在接收到域名解析请求时在本地缓存中查找是否有该域名解析请求对应的资源记录,如果本地缓存中查找是否有该域名解析请求对应的资源记录,可递归向上一层服务器去查找,这种域名攻击可使DNS服务器由于负载过大而瘫痪掉。
现有技术中,DNS服务器的DNS缓存在本地缓存中没有查找到域名解析请求对应的资源记录时,会直接丢弃该域名解析请求,从而保证不将进行DNS攻击的域名解析请求发送至DNS服务器。现有技术可导致部分正常的域名解析请求因为在DNS缓存的缓存表项中没有存在对应的资源记录而被丢弃,进而导致用户体验很差。
发明内容
本申请提供一种防御域名攻击的方法及装置,以解决现有防御域名攻击的技术方案所导致的上述问题。
第一方面,提供一种防御域名攻击的方法,应用在防护设备中,包括:
当接收到DNS客户端发送至源DNS服务器的第一域名解析请求时,确定白名单中是否存在所述第一域名解析请求对应的资源记录;
如果白名单中不存在所述第一域名解析请求对应的资源记录,则对所述DNS客户端进行验证;
如果所述DNS客户端没有验证通过,则对所述DNS客户端发送的第一域名解析请求进行防御。
第二方面,提供一种防御域名攻击的装置,应用在防护设备上,所述装置包括:
第一确定模块,用于当接收到DNS客户端发送至源DNS服务器的第一域名解析请求时,确定白名单中是否存在所述第一域名解析请求对应的资源记录;
验证模块,用于如果所述第一确定模块确定所述白名单中不存在所述第一域名解析请求对应的资源记录,则对所述DNS客户端进行验证;
防御模块,用于如果所述验证模块确定所述DNS客户端没有验证通过,则对所述DNS客户端发送的第一域名解析请求进行防御。
本申请的防护设备在确定白名单中没有接收到的域名解析请求对应的资源记录时,可对DNS客户端进行验证,如果DNS客户端验证通过,则将域名解析请求发送至源DNS服务器进行解析,而如果DNS客户端没有验证通过,则对DNS客户端发送的域名解析请求进行防御,有效防御了DNS客户端发起的域名攻击,并且避免了正常的域名解析请求因为在DNS缓存的缓存表项中没有存在对应的资源记录而被丢弃,提升了用户的体验。
附图说明
图1A是本申请一种实施例中防御域名攻击的方法流程图;
图1B是本申请一种实施例中防御域名攻击的方法的应用场景示意图;
图2A是本申请一种实施例中对DNS客户端进行验证的方法流程图;
图2B是本申请一种实施例中对DNS客户端进行验证的验证消息示意图;
图3是本申请一种实施例中再一防御域名攻击的方法流程图;
图4是本申请一种实施例中防御域名攻击的装置示意图;
图5是本申请一种实施例中又一防御域名攻击的装置示意图;
图6是本申请一种实施例中防御域名攻击的装置所在硬件设备的硬件示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1A,是本申请一种实施例中防御域名攻击的方法流程图,该方法应用于防护设备,例如防护墙设备上或者DNS服务器上,包括以下步骤:
步骤101,当接收到DNS客户端发送至源DNS服务器的第一域名解析请求时,确定白名单中是否存在第一域名解析请求对应的资源记录。
在一实施例中,防护设备中设置有一个白名单,用于记录每个域名解析请求对应的资源记录。
在一实施例中,资源记录可包括该防护设备验证通过的DNS客户端及对应的地址信息(如源IP地址信息),以及DNS客户端请求的域名。
步骤102,如果白名单中不存在第一域名解析请求对应的资源记录,则对DNS客户端进行验证,如果DNS客户端没有验证通过,则执行步骤103。
在一实施例中,步骤102的详细描述可参见图2A,这里不再详述。
在一实施例中,如果DNS客户端没有验证通过,则说明DNS客户端不是合法客户端,执行步骤103,如果DNS客户端验证通过,则说明DNS客户端是合法客户端,可向源DNS服务器发送域名解析请求,以对DNS客户端发送的域名解析请求进行域名解析。
步骤103,对DNS客户端发送的第一域名解析请求进行防御。
在一实施例中,对DNS客户端发送的第一域名解析请求进行防御可以为直接丢弃DNS客户端发送的第一域名解析请求;在又一实施例中,对DNS客户端发送的第一域名解析请求进行防御可以为向DNS客户端返回一个拒绝解析消息。
参见图1B,DNS客户端110(其中,DNS客户端可以为普通用户使用的电脑等终端设备)可通过防护设备120向源DNS服务器130发送域名解析请求,防护设备120内可设置一个白名单,白名单用于记录每个域名解析请求对应的资源记录,资源记录可包括该防护设备验证通过的DNS客户端及对应的地址信息(如源IP地址信息),以及DNS客户端请求的域名。防护设备120接收到DNS客户端110发送的域名解析请求后,可查询白名单,确定白名单中是否记录有DNS客户端110的IP地址以及域名解析请求所请求解析的域名,如果白名单中没有对应的资源记录,则防护设备可通过向DNS客户端110发送验证消息来验证DNS客户端110是否合法,验证消息中可携带预设DNS服务器140的标识信息,指示DNS客户端110向预设DNS服务器140发送域名解析请求,通过确定DNS客户端110是否向预设DNS服务器140发送域名解析请求可以验证DNS客户端是否为合法客户端,并在确定DNS客户端110不是合法客户端时,对DNS客户端110发送的第一域名解析请求进行防御。
在一实施例中,对DNS客户端进行验证,可包括:
向DNS客户端发送验证消息,其中,验证消息中携带有预设DNS服务器的标识信息;
确定是否接收到DNS客户端发送至预设DNS服务器的第二域名解析请求;
如果没有接收到DNS客户端发送至预设DNS服务器的第二域名解析请求,则确定DNS客户端没有验证通过;
如果接收到DNS客户端发送至预设DNS服务器的第二域名解析请求,则确定DNS客户端验证通过。通过生成一个验证消息可以快速验证DNS客户端是否为合法客户端,进而可以实现防护设备将合法客户端发送的域名解析请求转发至源DNS服务器进行解析,对不合法的客户端发送的域名解析请求进行防御,有效防御了针对源DNS服务器的域名攻击。
在一实施例中,方法还可包括:
如果DNS客户端验证通过,则将DNS客户端及第一域名解析请求所请求的域名对应的资源记录添加至白名单中。通过将DNS客户端及第一域名解析请求所请求的域名对应的资源记录添加至白名单中,在该资源记录没有老化时,在下次接收到该DNS客户端的请求时,可以不对DNS客户端进行验证,提高了域名解析的效率,优化了用户体验。
在一实施例中,方法还可包括:
如果DNS客户端验证通过,则更改第二域名解析请求的目的IP地址为源DNS服务器的目的IP地址,并发送第二域名解析请求至目的IP地址;
接收源DNS服务器根据第二域名解析请求返回的响应消息;
更改响应消息中的源IP地址为预设DNS服务器的IP地址;
将更改源IP地址之后的响应消息转发至DNS客户端。通过将通过验证的DNS客户端的域名解析请求转发至源DNS客户端,可使DNS客户端获得正确的域名解析结果。
在一实施例中,向DNS客户端发送验证消息,可包括:
生成验证消息;
向DNS客户端发送验证消息。
在一实施例中,生成验证消息,可包括:
根据域名解析请求,生成一个验证消息;
将验证消息中的递归查询字段的值设置为0;
在所述验证消息中的权威资源记录中设置所述预设DNS服务器的服务器名称,并且设置所述权威资源记录的类型为NS,设置所述权威资源记录的TTL为0。
在所述验证消息的额外资源记录中设置所述预设DNS服务器的IP地址,并且设置所述额外资源记录的类型为A,设置所述额外资源记录的TTL为0。通过设置验证消息中的DNS Flags标记中的RA字段的值设置为0,可以指示DNS客户端进行迭代查询;通过将验证消息中的权威资源记录中设置认证的预设DNS服务器的服务器名称可以使得DNS客户端向该预设DNS服务器发送域名解析请求,通过设置权威资源记录的生存时间值设置为0,可以防止DNS客户端后续继续向预设DNS服务器发送域名解析请求;通过在验证消息的额外资源记录(Additional records)中设置上述虚假权威服务器的IP地址,资源记录类型是A,用于让客户端根据上述名称查找到对应的IP地址,也就是认证虚假权威服务器的IP地址,TTL设置为0表示这条记录不做缓存。
在一实施例中,方法还可包括:
确定白名单中是否有超过预设老化时间的资源记录;
如果白名单中有超过预设老化时间的资源记录,则将超过预设老化时间的资源记录从白名单中删除。通过设置预设老化时间,并将超过预设老化时间的资源记录从白名单中删除,可以减轻防护设备的接入负担。
结合图1A的实施例可知,本申请的防护设备在确定白名单中没有接收到的域名解析请求对应的资源记录时,可对DNS客户端进行验证,如果DNS客户端验证通过,则将域名解析请求发送至源DNS服务器进行解析,而如果DNS客户端没有验证通过,则对DNS客户端发送的域名解析请求进行防御,有效防御了DNS客户端发起的域名攻击,并且避免了正常的域名解析请求因为在DNS缓存的缓存表项中没有存在对应的资源记录而被丢弃,提升了用户的体验。
参见图2A,是本申请一种实施例中对DNS客户端进行验证的方法流程图,图2B是本申请一种实施例中对DNS客户端进行验证的验证消息示意图;如图2A所示,对DNS客户端进行验证的方法包括以下步骤:
步骤201,将DNS客户端及其所请求解析的域名添加至验证检索表。
在一实施例中,防护设备在发送验证消息之前,可按照DNS客户端的IP地址及所请求的域名添加至验证检索表,以便在发送验证消息之后跟踪验证结果。
在一实施例中,验证检索表用于记录防护设备所验证的DNS客户端及该DNS客户端请求解析的域名。例如,参见图2B,DNS客户端的源IP地址为10.1.1.1,所请求解析的域名为www.abcd.com,则在防护设备确定该域名解析请求不在白名单中,需要对DNS客户端进行验证时,可首先在验证检索表中添加一条“源IP地址为10.1.1.1,请求解析的域名为www.abcd.com”的检索条目。
步骤202,向DNS客户端发送验证消息。
在一实施例中,验证消息中携带有预设DNS服务器的标识信息。
参见图2B,防护设备可根据域名解析请求生成一个验证消息,由于该验证消息为验证DNS客户端是否是合法客户端的消息,因此消息中没有answer字段。在权威资源记录(Authoritative nameservers)中,设置该预设DNS服务器的服务器名称ns1.abcd.com,并且设置资源的类型为NS,用于让DNS客户端去查找预设DNS服务器的服务器,TTL设置为0表示这条记录不做缓存。在额外资源记录中,设置该预设DNS服务器的IP地址为2.2.2.2,设置额外资源记录的类型为A,用于让DNS客户端根据上述服务器名称查找对应的IP地址,也就是预设DNS服务器的IP地址,TTL设置为0表示不缓存这条额外资源记录,进而防止DNS客户端后续继续向预设DNS服务器发送域名解析请求。为了指示DNS客户端进行迭代查询,将验证消息中的DNS Flags标记中的RA字段的值设置为0,表示源DNS服务器暂时不支持递归查询。
步骤203,确定是否接收到DNS客户端发送至预设DNS服务器的第二域名解析请求,如果没有接收到第二域名解析请求,则执行步骤204,否则执行步骤205。
在一实施例中,当防护设备接收到DNS客户端发送域名解析请求时,可根据DNS客户端的IP地址以及所请求的域名在验证检索表中查询,如果在验证检索表中查询到与域名解析请求对应的验证检索记录,则确定该域名检索请求为DNS客户端根据验证消息返回的第二域名解析请求。例如,如果防护设备接收到一条“源IP地址为10.1.1.1,请求解析的域名为www.abcd.com发送至2.2.2.2”的域名解析请求时,即可在验证检索表中查询,如果验证检索表中有“源IP地址为10.1.1.1,请求解析的域名为www.abcd.com”的检索条目,则说明接收到第二域名解析请求,否则说明没有接收到第二域名解析请求。
步骤204,确定DNS客户端没有验证通过。
步骤205,确定DNS客户端验证通过,删除验证检索表中对应的检索条目。
本实施例中,防护设备通过生成一个验证消息可以验证DNS客户端是否为合法客户端,可以实现防护设备将合法客户端发送的域名解析请求转发至源DNS服务器进行解析,对不合法的客户端发送的域名解析请求进行防御,有效防御了针对源DNS服务器的域名攻击。
参见图3,是本申请一种实施例中再一防御域名攻击的方法流程图,该方法应用在防护设备中,包括以下步骤:
步骤301,当接收到DNS客户端发送至源DNS服务器的第一域名解析请求时,确定白名单中是否存在第一域名解析请求对应的资源记录,如果白名单中存在第一域名解析请求对应的资源记录,则执行步骤309,否则执行步骤302。
步骤302,对DNS客户端进行验证,如果验证通过执行步骤303,如果没有验证通过,则执行步骤308。
步骤302的详细描述可参见图2A实施例的描述,这里不再赘述。
步骤303,将DNS客户端及第一域名解析请求所请求的域名对应的资源记录添加至白名单中。
在一实施例中,为了减轻防护设备的接入负担,可对白名单中的资源记录设置预设老化时间,并在确定白名单中有超过预设老化时间的资源记录时,将超过预设老化时间的资源记录从白名单中删除。
步骤304,更改第二域名解析请求的目的IP地址为源DNS服务器的目的IP地址,并发送第二域名解析请求至目的IP地址;
步骤305,接收源DNS服务器根据第二域名解析请求返回的响应消息;
步骤306,更改响应消息中的源IP地址为预设DNS服务器的IP地址;
步骤307,将响应消息转发至DNS客户端。
步骤308,对DNS客户端发送的第一域名解析请求进行防御。
步骤309,将第一域名解析请求转发至源DNS服务器。
步骤310,接收到源DNS服务器返回的响应消息后,将响应消息转发至DNS客户端。
本实施例中,防护设备在确定白名单中没有接收到的域名解析请求对应的资源记录时,可对DNS客户端进行验证,如果DNS客户端验证通过,则将域名解析请求发送至源DNS服务器进行解析,而如果DNS客户端没有验证通过,则对DNS客户端发送的域名解析请求进行防御,有效防御了DNS客户端发起的域名攻击,并且避免了正常的域名解析请求因为在DNS缓存的缓存表项中没有存在对应的资源记录而被丢弃,提升了用户的体验。
参见图4,是本申请一种实施例中防御域名攻击的装置示意图,该装置应用于防护设备上,该装置包括:
第一确定模块410,用于当接收到DNS客户端发送至源DNS服务器的第一域名解析请求时,确定白名单中是否存在第一域名解析请求对应的资源记录;
验证模块420,用于如果第一确定模块410确定白名单中不存在第一域名解析请求对应的资源记录,则对DNS客户端进行验证;
防御模块430,用于如果验证模块420确定DNS客户端没有验证通过,则对DNS客户端发送的第一域名解析请求进行防御。
参见图5,是本申请一种实施例中又一防御域名攻击的装置示意图,在图4实施例的基础上,在一实施例中,验证模块420可包括:
发送单元421,用于向DNS客户端发送验证消息,其中,验证消息中携带有预设DNS服务器的标识信息;
第一确定单元422,用于确定是否接收到DNS客户端根据发送单元421发送的验证消息发送至预设DNS服务器的第二域名解析请求;
第二确定单元423,用于如果第一确定单元422确定没有接收到DNS客户端发送至预设DNS服务器的第二域名解析请求,则确定DNS客户端没有验证通过;
第三确定单元424,用于如果第一确定单元422确定接收到DNS客户端发送至预设DNS服务器的第二域名解析请求,则确定DNS客户端验证通过。
在一实施例中,装置还可包括:
添加模块440,用于如果第三确定单元424确定DNS客户端验证通过,则将DNS客户端及第一域名解析请求所请求的域名对应的资源记录添加至白名单中。
在一实施例中,装置还可包括:
第一转发模块450,用于如果第三确定单元确定DNS客户端验证通过,则更改第二域名解析请求的目的IP地址为源DNS服务器的目的IP地址,并发送第二域名解析请求至目的IP地址;
接收模块460,用于接收源DNS服务器根据第一转发模块450转发的第二域名解析请求返回的响应消息;
地址更改模块470,用于更改接收模块460接收到的响应消息中的源IP地址为预设DNS服务器的IP地址;
第二转发模块480,用于将地址更改模块470更改源IP地址之后的响应消息转发至DNS客户端。
在一实施例中,发送单元421可包括:
生成子单元4211,用于生成验证消息;
发送子单元4212,用于向DNS客户端发送生成子单元生成的验证消息。
在一实施例中,生成子单元4211包括:
回复子单元42111,用于根据域名解析请求,生成一个验证消息;
递归设置子单元42112,用于将验证消息中的递归查询字段的值设置为0;
权威资源设置子单元42113,用于在所述验证消息中的权威资源记录中设置所述预设DNS服务器的服务器名称,并且设置所述权威资源记录的类型为NS,设置所述权威资源记录的TTL为0。
额外资源设置子单元42114,用于在所述验证消息的额外资源记录中设置所述预设DNS服务器的IP地址,并且设置所述额外资源记录的类型为A,设置所述额外资源记录的TTL为0。
在一实施例中,装置还可包括:
第三确定模块490,用于确定白名单中是否有超过预设老化时间的资源记录;
删除模块500,用于如果第三确定模块490确定白名单中有超过预设老化时间的资源记录,则将超过预设老化时间的资源记录从白名单中删除。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
参见图6,是本申请一种实施例中防御域名攻击的装置所在硬件设备的硬件示意图。
本申请防御域名攻击的装置的实施例可以应用在防护设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图6所示,是本申请一种实施例中防御域名攻击的装置所在硬件设备的硬件示意图,除了图6所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该装置的实际功能,还可以包括其他硬件,对此不再赘述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (14)
1.一种防御域名攻击的方法,应用在防护设备上,其特征在于,所述方法包括:
当接收到DNS客户端发送至源DNS服务器的第一域名解析请求时,确定白名单中是否存在所述第一域名解析请求对应的资源记录;
如果白名单中不存在所述第一域名解析请求对应的资源记录,则对所述DNS客户端进行验证;
如果所述DNS客户端没有验证通过,则对所述DNS客户端发送的第一域名解析请求进行防御;
其中,所述对所述DNS客户端进行验证,包括:
将DNS客户端及其请求解析的域名生成验证检索记录并添加至验证检索表中;
向所述DNS客户端发送验证消息,其中,所述验证消息中携带有预设DNS服务器的标识信息;
确定是否接收到所述DNS客户端发送至所述预设DNS服务器的第二域名解析请求,其中,所述第二域名解析请求为可在所述验证检索表中查询到所述验证检索记录的域名检索请求;
如果没有接收到所述DNS客户端发送至所述预设DNS服务器的第二域名解析请求,则确定所述DNS客户端没有验证通过;
如果接收到所述DNS客户端发送至所述预设DNS服务器的第二域名解析请求,则确定所述DNS客户端验证通过。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述DNS客户端验证通过,则将所述DNS客户端及所述第一域名解析请求所请求的域名对应的资源记录添加至所述白名单中。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述DNS客户端验证通过,则更改所述第二域名解析请求的目的IP地址为所述源DNS服务器的目的IP地址,并发送所述第二域名解析请求至所述目的IP地址;
接收所述源DNS服务器根据所述第二域名解析请求返回的响应消息;
更改所述响应消息中的源IP地址为预设DNS服务器的IP地址;
将更改源IP地址之后的所述响应消息转发至所述DNS客户端。
4.根据权利要求1所述的方法,其特征在于,所述向所述DNS客户端发送所述验证消息,包括:
生成所述验证消息;
向所述DNS客户端发送所述验证消息。
5.根据权利要求4所述的方法,其特征在于,所述生成所述验证消息,包括:
根据所述域名解析请求,生成一个验证消息;
将所述验证消息中的递归查询字段的值设置为0;
在所述验证消息中的权威资源记录中设置所述预设DNS服务器的服务器名称,并且设置所述权威资源记录的类型为NS,设置所述权威资源记录的TTL为0;
在所述验证消息的额外资源记录中设置所述预设DNS服务器的IP地址,并且设置所述额外资源记录的类型为A,设置所述额外资源记录的TTL为0。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述白名单中是否有超过预设老化时间的资源记录;
如果所述白名单中有超过预设老化时间的资源记录,则将所述超过预设老化时间的资源记录从所述白名单中删除。
7.一种防御域名攻击的装置,应用在防护设备上,其特征在于,所述装置包括:
第一确定模块,用于当接收到DNS客户端发送至源DNS服务器的第一域名解析请求时,确定白名单中是否存在所述第一域名解析请求对应的资源记录;
验证模块,用于如果所述第一确定模块确定所述白名单中不存在所述第一域名解析请求对应的资源记录,则对所述DNS客户端进行验证;
防御模块,用于如果所述验证模块确定所述DNS客户端没有验证通过,则对所述DNS客户端发送的第一域名解析请求进行防御;
其中,所述验证模块包括:
添加单元,将DNS客户端及其请求解析的域名生成验证检索记录并添加至验证检索表中;
发送单元,用于向所述DNS客户端发送所述验证消息,其中,所述验证消息中携带有预设DNS服务器的标识信息;
第一确定单元,用于确定是否接收到所述DNS客户端根据所述发送单元发送的所述验证消息发送至所述预设DNS服务器的第二域名解析请求,其中,所述第二域名解析请求为可在所述验证检索表中查询到所述验证检索记录的域名检索请求;
第二确定单元,用于如果所述第一确定单元确定没有接收到所述DNS客户端发送至所述预设DNS服务器的第二域名解析请求,则确定所述DNS客户端没有验证通过;
第三确定单元,用于如果所述第一确定单元确定接收到所述DNS客户端发送至所述预设DNS服务器的第二域名解析请求,则确定所述DNS客户端验证通过。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
添加模块,用于如果所述第三确定单元确定所述DNS客户端验证通过,则将所述DNS客户端及所述第一域名解析请求所请求的域名对应的资源记录添加至所述白名单中。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一转发模块,用于如果所述第三确定单元确定所述DNS客户端验证通过,则更改所述第二域名解析请求的目的IP地址为所述源DNS服务器的目的IP地址,并发送所述第二域名解析请求至所述目的IP地址;
接收模块,用于接收所述源DNS服务器根据所述第一转发模块转发的所述第二域名解析请求返回的响应消息;
地址更改模块,用于更改所述接收模块接收到的所述响应消息中的源IP地址为预设DNS服务器的IP地址;
第二转发模块,用于将所述地址更改模块更改源IP地址之后的所述响应消息转发至所述DNS客户端。
10.根据权利要求7所述的装置,其特征在于,所述发送单元包括:
生成子单元,用于生成所述验证消息;
发送子单元,用于向所述DNS客户端发送所述生成子单元生成的所述验证消息。
11.根据权利要求10所述的装置,其特征在于,所述生成子单元包括:
回复子单元,用于根据所述域名解析请求,生成一个验证消息;
递归设置子单元,用于将所述验证消息中的递归查询字段的值设置为0;
权威资源设置子单元,用于在所述验证消息中的权威资源记录中设置所述预设DNS服务器的服务器名称,并且设置所述权威资源记录的类型为NS,设置所述权威资源记录的TTL为0;
额外资源设置子单元,用于在所述验证消息的额外资源记录中设置所述预设DNS服务器的IP地址,并且设置所述额外资源记录的类型为A,设置所述额外资源记录的TTL为0。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第三确定模块,用于确定所述白名单中是否有超过预设老化时间的资源记录;
删除模块,用于如果所述第三确定模块确定所述白名单中有超过预设老化时间的资源记录,则将所述超过预设老化时间的资源记录从所述白名单中删除。
13.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为实现如权利要求1-6中任一项所述的方法。
14.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-6中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610297054.8A CN105939347B (zh) | 2016-05-05 | 2016-05-05 | 防御域名攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610297054.8A CN105939347B (zh) | 2016-05-05 | 2016-05-05 | 防御域名攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105939347A CN105939347A (zh) | 2016-09-14 |
| CN105939347B true CN105939347B (zh) | 2019-08-06 |
Family
ID=57152603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610297054.8A Active CN105939347B (zh) | 2016-05-05 | 2016-05-05 | 防御域名攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105939347B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11012467B2 (en) | 2017-01-27 | 2021-05-18 | Level 3 Communications, Llc | System and method for scrubbing DNS in a telecommunications network to mitigate attacks |
| CN109391600B (zh) * | 2017-08-10 | 2021-08-13 | 东软集团股份有限公司 | 分布式拒绝服务攻击防护方法、装置、***、介质及设备 |
| CN110445743A (zh) * | 2018-05-02 | 2019-11-12 | 福建天晴数码有限公司 | 一种检测服务端非法请求的方法和*** |
| CN108769284B (zh) * | 2018-05-04 | 2022-02-18 | 网宿科技股份有限公司 | 一种域名解析方法、服务器及*** |
| CN111901319A (zh) * | 2020-07-16 | 2020-11-06 | 广州大学 | 一种客户端dns缓存验证方法、***、装置及介质 |
| CN112235437B (zh) * | 2020-10-30 | 2023-08-15 | 腾讯科技(深圳)有限公司 | 防御恶意添加解析域名的方法、装置、设备及存储介质 |
| CN113556342A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 一种dns缓存服务器前缀变化攻击防护方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
| CN101321055A (zh) * | 2008-06-28 | 2008-12-10 | 华为技术有限公司 | 一种攻击防范方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6907525B2 (en) * | 2001-08-14 | 2005-06-14 | Riverhead Networks Inc. | Protecting against spoofed DNS messages |
-
2016
- 2016-05-05 CN CN201610297054.8A patent/CN105939347B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
| CN101321055A (zh) * | 2008-06-28 | 2008-12-10 | 华为技术有限公司 | 一种攻击防范方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105939347A (zh) | 2016-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105939347B (zh) | 防御域名攻击的方法及装置 | |
| Liu et al. | All your dns records point to us: Understanding the security threats of dangling dns records | |
| US9300623B1 (en) | Domain name system cache integrity check | |
| US8800044B2 (en) | Storing and accessing threat information for use in predictive modeling in a network security service | |
| CN105939337B (zh) | Dns缓存投毒的防护方法及装置 | |
| CN102790809B (zh) | 域名***解析方法、装置及客户端 | |
| CN102769529B (zh) | Dnssec签名服务器 | |
| Schomp et al. | Assessing DNS vulnerability to record injection | |
| CN112272164B (zh) | 报文处理方法及装置 | |
| Perdisci et al. | WSEC DNS: Protecting recursive DNS resolvers from poisoning attacks | |
| CN107222492A (zh) | 一种dns防攻击方法、设备和*** | |
| US9591030B1 (en) | Lock-free updates to a domain name blacklist | |
| CN108632221B (zh) | 定位内网中的受控主机的方法、设备及*** | |
| WO2014048746A1 (en) | Device, system and method for reducing attacks on dns | |
| CN111064804B (zh) | 网络访问方法和装置 | |
| JPWO2016189843A1 (ja) | セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体 | |
| CN113507475B (zh) | 跨域访问方法和装置 | |
| CN109450858A (zh) | 资源请求的方法、装置、设备及存储介质 | |
| JP2017534110A (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
| CN106302384A (zh) | Dns报文处理方法及装置 | |
| US9264399B1 (en) | Lock-free updates to a domain name blacklist | |
| CN105592083A (zh) | 终端利用令牌访问服务器的方法和装置 | |
| CN103747005A (zh) | Dns缓存投毒的防护方法和设备 | |
| US11658995B1 (en) | Methods for dynamically mitigating network attacks and devices thereof | |
| KR101626405B1 (ko) | 동적 주소 변환을 이용한 서버 보안 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |