本公開涉及減少針對動態生成的下一安全(NSEC)記錄的拒絕服務(DoS)攻擊。域名系統(DNS)代理(602)通過對用戶數據報協議(UDP)DNS請求(620)回復(626)空白的或預定的資源記錄,該資源記錄設置有截斷位以指示該記錄太大而無法放在單個UDP分組有效載荷中,進而強迫客戶機(600)經由傳輸控制協議(TCP)傳輸DNS查詢,從而防止偽造的IP地址。在該DNS規范中,客戶機必須經由TCP重新傳輸該DNS請求。在收到(634)經由TCP重新傳輸的請求后,DNS代理生成(640)虛構的鄰居地址和簽名的NSEC記錄并將該記錄傳輸(642)給客戶機。因此,該DNS代理不必浪費資源來為經UDP來自偽造IP地址的請求生成和加密記錄。
【技術實現步驟摘要】
【國外來華專利技術】用于減少對下一安全記錄的拒絕服務攻擊的系統和方法相關申請本申請要求在2013年5月15日提交的、名稱為“SystemsandMethodsForReducingDenialOfServiceAttacksAgainstDynamicallyGeneratedNextSecureRecords”的美國非臨時申請No.13/895279的權益和優先權,通過引用將該美國非臨時申請全部包含于此,以用于各種目的。
本申請總的涉及數據通信網絡。本申請尤其涉及用于減少針對動態生成的下一安全(NSEC,nextsecure)域名系統(DNS)記錄的拒絕服務(DoS)攻擊的系統和方法。
技術介紹
域名系統(DNS)是用于連接到網絡(例如互聯網)的計算機或服務的層次化分布式命名系統,并且其將人類可讀且易于記憶的名稱與互聯網協議(IP)地址相關聯。客戶計算裝置可將對于指定域名(例如,www.example.com)的IP地址的請求傳輸給頂級或根名稱服務器,后者可以以維護關于.com域的地址列表的名稱服務器的標識來進行回復。客戶機可傳輸請求給該名稱服務器,該名稱服務器可以以維護關于example.com域的列表的名稱服務器的地址來進行回復。該過程可以不斷地重復,直到客戶機收到所請求的子域的地址為止。惡意的攻擊者可以攔截這些請求和/或響應,并且以偽造的或欺詐性的地址進行回復。例如,攻擊者可以攔截來自客戶機的對www.clientbank.com的地址的請求,并且可以回復寄載偽造的該銀行登錄頁面的服務器的IP地址。當客戶機用戶嘗試登錄到他們的銀行帳戶時,攻擊者可以捕獲帳號和密碼。為了防止這樣的攻擊,已經使用DNS安全擴展(DNSSEC,DNSSecurityExtensions)規范來增強DNS規范。可以對DNS響應進行數字簽名,其中簽名是通過使用非對稱加密算法加密該響應或響應的一部分而計算出的。為了解密并驗證從名稱服務器(例如,對于www.clientbank.com的名稱服務器)接收的簽名,客戶機可以從父名稱服務器(例如,對于clienbank.com的名稱服務器)獲取該名稱服務器的對應公開密鑰。該密鑰也可以是經該父名稱服務器簽名的,并且客戶機可以從祖父名稱服務器(例如,對于.com域的名稱服務器)獲取該父名稱服務器的公開密鑰。相應地,可以從頂級或根域到子域的名稱服務器建立信任鏈,每個名稱服務器為在層次中位于其下方的名稱服務器進行擔保。在該DNS規范中,如果客戶機請求不存在的子域(例如,non-existent-server.example.com)的地址,則權威名稱服務器以空白資源記錄進行回復。由于記錄的DNSSEC簽名是該記錄的加密副本,所以這意味著沒有什么要簽名的,并且相應地該響應不能被信任。為了提供可簽名的響應,DNSSEC規范指示名稱服務器應該回復下一安全(NSEC)記錄,其標識在所請求的不存在記錄之前和之后的現有記錄。相應地,響應于對non-existent-server.example.com的查詢,名稱服務器可以回復簽名的NSEC記錄,該記錄標識在前的mail.example.com和在后的www.example.com。如上文所討論的,客戶機可以驗證該簽名,并且因為mail和www是連續的記錄且關于non-existent-server(不存在的服務器)的記錄本該位于它們之間,客戶機隱含地識別所請求的non-existent-server并不存在。然而,通過提供域中前一個和下一個服務器的名稱,惡意的攻擊者可很容易地通過“遍歷”地址樹來獲取該域中每個服務器的地址:攻擊者首先請求here-is-a-fake-server-name.example.com(偽造服務器)的地址,然后會收到實際的服務器ftp.example.com和mail.example.com的名稱。接著,攻擊者請求mail-00000001.example.com,就可以收到實際服務器mail.example.com和www.example.com的名稱。相應地,通過包含每個收到的名稱的略微遞增或遞減的版本,攻擊者可確定該域中每個實際服務器的名稱(并因此經由額外的DNS請求確定其地址),接著可以將這些名稱作為其他攻擊的目標。為了抵御這種樹遍歷,名稱服務器可以對于標識所請求的服務器的不存在的鄰居的NSEC記錄生成偽服務器名稱。例如,響應于對fake-server-name-b.example.com的請求,名稱服務器可以回復簽名的NSEC記錄,該記錄標識虛構的“在前”服務器fake-server-name-a和虛構的“在后”服務器fake-server-name-c。客戶機可以驗證該簽名并且信任該響應,而且沒有任何額外信息被透露。然而,盡管創建對于無效服務器名稱的DNS請求則非常容易,但動態生成虛構鄰居名稱并對記錄進行數字簽名可能消耗大量處理器資源。因此,惡意的攻擊者可以通過下面的方式容易地執行針對名稱服務器的拒絕服務(DenialofService,DoS)攻擊:發出很多對于不存在的服務器的地址的請求,占用名稱服務器并阻止其能對合法的客戶機請求進行快速響應。為了隱藏攻擊者并防止過濾,攻擊者可對于請求使用偽造的IP地址。這是可能的,因為大部分DNS查詢都是經由不可靠的、無連接的、無狀態的或非同步的協議,例如用戶數據報協議(UDP)來傳輸的,其缺少在發送者和接收者之間的握手或同步過程。
技術實現思路
為了削弱惡意攻擊者執行這樣的拒絕服務攻擊的能力,名稱服務器可以通過強迫客戶機經由可靠的或面向連接的協議,例如傳輸控制協議(TCP),傳輸DNS查詢來防止偽造的IP地址。因為請求者必須與名稱服務器執行握手過程,所以名稱服務器會知道該請求者的地址,這允許在拒絕服務嘗試的情況下進行過濾或速率限制。名稱服務器可以通過向無連接的或UDPDNS請求回復空白的或預定的資源記錄來強迫客戶機使用面向連接的協議或TCP,該空白的或預定的資源記錄設置有截斷位以指示該記錄太大而無法放在單個UDP分組有效載荷中。在該DNS規范下,客戶機必須經由TCP重新傳輸DNS請求。在收到經由TCP重新傳輸的請求后,名稱服務器可生成虛構的鄰居地址和簽名的NSEC記錄并將該記錄傳輸給客戶機。因此,該名稱服務器不必浪費時間和處理器周期來為經由UDP來自偽造IP地址的請求生成和加密記錄或記錄的部分或者與記錄或記錄的部分對應的哈希以生成簽名。另外,在許多實施例中,上述DoS防止算法可以由在客戶機和一個或多個名稱服務器之間部署的名稱服務器代理來執行。這樣做可以給本身不支持DNSSEC的服務器提供DNSSEC能力。一方面,本公開涉及用于減少針對動態生成的下一安全(NSEC)記錄的拒絕服務(DoS)攻擊的方法。該方法包括通過由第一計算裝置執行的域名系統(DNS)代理接收來自客戶機的解析由第二計算裝置執行的服務器所寄載的域名或針對由該服務器維護的DNS資源記錄的第一用戶數據報協議(UDP)請求。該方法還包括由所述DNS代理向所述服務器傳輸解析所述域名的第二請求或對于所述資源記錄的第二請求。該方法還包括由所述DNS代理接收來自所述服務器的對第二請求的響應,該響應指示名稱錯誤或者指示不存在對應的資源本文檔來自技高網...
【技術保護點】
一種用于減少針對動態生成的下一安全(NSEC)記錄的拒絕服務(DoS)攻擊的方法,包括:通過由第一計算裝置執行的域名系統(DNS)代理接收來自客戶機的對于由第二計算裝置執行的服務器所維護的DNS資源記錄的第一用戶數據報協議(UDP)請求;由所述DNS代理向所述服務器傳輸對于所述DNS資源記錄的第二請求;由所述DNS代理從所述服務器接收對所述第二請求的響應,所述響應指示名稱錯誤或者不存在對應的資源記錄;以及響應于收到指示名稱錯誤或者不存在對應的資源記錄的所述對第二請求的響應,由所述DNS代理向所述客戶機傳輸對所述第一請求的設置有截斷位的預定響應。
【技術特征摘要】
【國外來華專利技術】2013.05.15 US 13/8952791.一種用于減少針對動態生成的下一安全(NSEC)記錄的拒絕服務(DoS)攻擊的方法,包括:通過由第一計算裝置執行的域名系統(DNS)代理接收來自客戶機的對于由第二計算裝置執行的服務器所維護的DNS資源記錄的第一請求,所述第一請求是經由用戶數據報協議(UDP)傳輸的;由所述DNS代理向所述服務器傳輸對于所述DNS資源記錄的第二請求;由所述DNS代理從所述服務器接收并緩存對所述第二請求的響應,所述響應指示名稱錯誤或者不存在對應的資源記錄;響應于收到指示名稱錯誤或者不存在對應的資源記錄的所述對第二請求的響應,由所述DNS代理向所述客戶機傳輸設置有截斷位的預定響應,該預定響應不同于從所述服務器接收的響應,其包括空白DNS資源記錄或由于UDP有效載荷限制而被截斷的虛構資源記錄;由所述DNS代理接收來自所述客戶機或第二客戶機的其中一個對同一DNS資源記錄的第二UDP請求;以及由所述DNS代理響應于確定緩存中存在與該第二UDP請求對應的響應,以所述設置有截斷位的預定響應對所述第二UDP請求進行響應。2.根據權利要求1所述的方法,還包括:由所述DNS代理接收來自所述客戶機的對于所述DNS資源記錄的第一請求的重新傳輸,該重新傳輸的第一請求是經由傳輸控制協議(TCP)傳輸的;由所述DNS代理響應于收到該經由TCP重新傳輸的第一請求來生成認證的NSEC記錄,該認證的NSEC記錄將所述DNS資源記錄標識為不存在;以及由所述DNS代理經由TCP向所述客戶機傳輸所述認證的NSEC記錄。3.根據權利要求2所述的方法,還包括在所述客戶機和所述DNS代理之間經由TCP建立傳輸層連接。4.根據權利要求2所述的方法,其中生成所述認證的NSEC記錄包括生成標識所請求的DNS資源記錄的虛構近鄰的NSEC響應。5.根據權利要求2所述的方法,還包括由所述DNS代理緩存所生成的將所述DNS資源記錄標識為不存在的認證的NSEC記錄。6.根據權利要求5所述的方法,還包括:由所述DNS代理經由TCP接收來自第二客戶機的對于所述DNS資源記錄的第三請求;由所述DNS代理在緩存中識別所述認證的NSEC記錄;以及由所述DNS代理經由TCP向所述第二客戶機傳輸所述認證的NSEC記錄。7.根據權利要求1所述的方法,還包括:由所述DNS代理確定在該代理的DNS緩存中不存在所述DNS資源記錄;以及其中向所述服務器傳輸所述第二請求是響應于所述確定而執行的。8.根據權利要求1所述的方法,其中所述服務器不支持域名系統安全擴展(DNSSEC)。9.根據權利要求1所述的方法,其中收到對第一請求的設置有截斷位的預定響應使得所...
【專利技術屬性】
技術研發人員:M·姆提安,
申請(專利權)人:思杰系統有限公司,
類型:發明
國別省市:美國;US
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。