本發明專利技術公開了一種基于DNS報文深度解析的緩存中毒檢測方法及裝置,能夠及時探測DNS緩存投毒攻擊的發生,并告警;而且,DNS緩存中毒以后,能準確報告DNS服務器緩存中網絡域名地址的變化,使DNS服務器運維人員能及時更正DNS服務器中的錯誤網絡域名地址。
【技術實現步驟摘要】
本專利技術屬于計算機網絡安全
,涉及一種基于DNS報文深度解析的緩存中毒檢測方法及裝置。
技術介紹
在計算機網絡通信中,主機之間需要知道通信對端的IP地址才能夠通過IP網絡與對方進行通信。然而32位的IPv4地址(IPv6地址為128位)對于通信參與者來說是不容易記憶的。因此,更為直觀的域名(如www.google.com.hk)被廣泛采用以解決IP地址難以記憶的問題。然而網絡通信是基于IP協議來運轉的,通過域名并不能直接找到要訪問的主機。因此主機需要將用戶輸入的域名轉換為IP地址,這個過程被稱為域名解析。為了完成域名解析,需要域名系統(DomainNameSystem,DNS)來配合,其是一種用于TCP/IP應用程序的分布式數據庫,提供域名與IP地址之間的轉換。通過域名系統,用戶進行某些應用時,可以直接使用便于記憶的且有意義的域名,而由網絡中的DNS服務器將域名解析為正確的IP地址然后返回給用戶的主機。域名服務器,是指保存有該網絡中所有主機的域名和對應IP地址,并具有將域名轉換為IP地址功能的服務器。域名解析過程是指當某一個應用進程需要將主機名解析為IP地址時,該應用進程就成為域名系DNS的一個客戶,并把待解析的域名放在DNS請求報文中發給域名服務器,域名服務器在查找域名后將對應的IP地址放在回答報文中返回給客戶機應用進程。DNS遞歸服務器是DNS解析系統中的重要設備,DNS遞歸服務器根據緩存中的域名地址信息,對終端用戶發起的DNS查詢進行響應。目前,對DNS系統的攻擊方式主要有以下幾種方式:第一種攻擊方式是流量型拒絕服務攻擊。例如基于用戶數據包協議(UDP,UserDatagramProtocol)流(flood)、基于傳輸控制協議(TCP,TransmissionControlProtocol)flood、DNS請求flood,或拼(PING)flood等。該種方式下的攻擊的典型特征是消耗掉DNS服務器的資源,使其不能及時響應正常的DNS解析請求。其中,資源的消耗包括對服務器CPU、網絡資源等的消耗。第二種攻擊方式是異常請求訪問攻擊。例如超長域名請求、異常域名請求等。該種方式下的攻擊的特點是通過發掘DNS服務器的漏洞,通過偽造特定的請求報文,導致DNS服務器軟件工作異常而退出或崩潰而無法啟動,達到影響DNS服務器正常工作的目的。第三種攻擊方式是DNS劫持攻擊。例如DNS緩存“投毒”、篡改授權域內容、ARP欺騙劫持授權域等。該種方式下的攻擊的特點是通過直接篡改解析記錄或在解析記錄傳遞過程中篡改其內容或搶先應答,從而達到影響解析結果的目的。第四種攻擊方式是攻擊者利用DNS進行攻擊。例如攻擊者控制僵尸機群采用被攻擊主機的IP地址偽裝成被攻擊主機發送域名解析請求,大量的域名解析請求被DNS服務器遞歸查詢解析后,DNS服務器發送響應給被攻擊者,大量的響應數據包從不同的DNS服務器傳回構成了分布式拒絕服務(DDoS,DistributedDenialofService)攻擊。其中,對于上述DNS劫持攻擊,當DNS緩存投毒攻擊者給DNS遞歸服務器注入非法網絡域名地址信息,DNS遞歸服務器接受了這個非法域名地址,以后響應的域名請求將會被轉移至非法網址。
技術實現思路
本專利技術的目的是提供一種基于DNS報文深度解析的緩存中毒檢測方法及裝置,能夠及時探測DNS緩存投毒攻擊的發生,并告警;而且,DNS緩存中毒以后,能準確報告DNS服務器緩存中網絡域名地址的變化,使DNS服務器運維人員能及時更正DNS服務器中的錯誤網絡域名地址。為實現上述目的,本專利技術采用的技術方案是:一種基于DNS報文深度解析的緩存中毒檢測方法,包括以下步驟:1)分別獲得鏡像的DNS遞歸服務器與DNS權威服務器間的DNS流量1以及DNS遞歸服務器與DNS終端用戶間的DNS流量2;2)解析DNS流量1中的DNS應答報文中的網絡域名地址信息,并對其進行統計,如果在設定的統計周期內某個域名的響應次數超過了設定的閾值,則確定存在DNS投毒攻擊;解析DNS流量2中的DNS應答報文,當其中的域名信息與用戶配置的域名一致,但檢測到存儲的網絡域名地址信息與接收到的DNS應答報文中的網絡域名地址信息不一致時,則確定存在DNS中毒。進一步地,上述方法還包括在確定存在DNS中毒時,發送DNS中毒告警信息,所述DNS中毒告警信息中包含變化前后的網絡域名地址信息比對。進一步地,采用雙緩存存儲進行統計的DNS應答報文中的網絡域名地址信息,當前統計周期結束時,下一周期的域名地址信息存儲到另外的緩存中。一種基于DNS報文深度解析的緩存中毒檢測裝置,包括DNS報文分析器,所述DNS報文分析器用于接收鏡像的DNS遞歸服務器與DNS權威服務器間以及DNS遞歸服務器與DNS終端用戶間的DNS流量,解析相應的DNS應答報文中的網絡域名信息,將其保存到DNS報文分析器內存中并對其進行統計分析,根據統計分析結果確定是否存在緩存中毒。進一步地,上述裝置還包括交換機,所述交換機用于將終端用戶與DNS遞歸服務器間及DNS遞歸服務器與DNS權威服務器間的DNS應答報文鏡像到DNS報文分析器。進一步地,所述DNS報文分析器通過分析DNS應答報文的IP及端口信息區分出DNS遞歸服務器與DNS權威服務器及DNS遞歸服務器與DNS終端用戶間的兩種不同DNS流量。進一步地,所述DNS報文分析器解析DNS遞歸服務與DNS權威服務器間的DNS應答報文中的網絡域名地址信息,將其保存到DNS報文分析器內存中并進行統計,如果在設定的統計周期內某個域名的響應次數超過了設定的閾值,則確定存在DNS投毒攻擊。進一步地,所述DNS報文分析器解析DNS遞歸服務器與DNS終端用戶間DNS應答報文中的網絡域名地址信息,當接收到的DNS應答報文中的域名與用戶配置的域名一致,但檢測到DNS報文分析器內存中存儲的網絡域名地址信息與接收到的DNS應答報文中的網絡域名地址信息不一致時,則確定存在DNS中毒。進一步地,所述DNS報文分析器在確定存在DNS中毒時發送DNS中毒告警信息,所述DNS中毒告警信息中包含變化前后的網絡域名地址信息比對。進一步地,所述DNS報文分析器采用雙緩存策略存儲網絡域名地址信息,當前統計周期結束時,下一周期的網絡域名地址信息存儲到另外的緩存中。采用以上方案,可實現以下優點:1)當DNS投毒攻擊發生時,能及時發現DNS投毒攻擊。2)可根據告警信息,檢查DNS緩存中的域名地址信息是否正確,并及時進行更正。3)如果DN本文檔來自技高網...
【技術保護點】
一種基于DNS報文深度解析的緩存中毒檢測方法,包括以下步驟:1)分別獲得鏡像的DNS遞歸服務器與DNS權威服務器間的DNS流量1以及DNS遞歸服務器與DNS終端用戶間的DNS流量2;2)解析DNS流量1中的DNS應答報文中的網絡域名地址信息,并對其進行統計,如果在設定的統計周期內某個域名的響應次數超過了設定的閾值,則確定存在DNS投毒攻擊;解析DNS流量2中的DNS應答報文,當其中的域名信息與用戶配置的域名一致,但檢測到存儲的網絡域名地址信息與接收到的DNS應答報文中的網絡域名地址信息不一致時,則確定存在DNS中毒。
【技術特征摘要】
1.一種基于DNS報文深度解析的緩存中毒檢測方法,包括以下步驟:
1)分別獲得鏡像的DNS遞歸服務器與DNS權威服務器間的DNS流量1以及DNS遞歸服
務器與DNS終端用戶間的DNS流量2;
2)解析DNS流量1中的DNS應答報文中的網絡域名地址信息,并對其進行統計,如果在
設定的統計周期內某個域名的響應次數超過了設定的閾值,則確定存在DNS投毒攻擊;解析
DNS流量2中的DNS應答報文,當其中的域名信息與用戶配置的域名一致,但檢測到存儲的
網絡域名地址信息與接收到的DNS應答報文中的網絡域名地址信息不一致時,則確定存在DNS
中毒。
2.如權利要求1所述的基于DNS報文深度解析的緩存中毒檢測方法,其特征在于,還包括
在確定存在DNS中毒時,發送DNS中毒告警信息,所述DNS中毒告警信息中包含變化前后
的網絡域名地址信息比對。
3.如權利要求1所述的基于DNS報文深度解析的緩存中毒檢測方法,其特征在于,采用雙
緩存存儲進行統計的DNS應答報文中的網絡域名地址信息,當前統計周期結束時,下一周期
的域名地址信息存儲到另外的緩存中。
4.一種基于DNS報文深度解析的緩存中毒檢測裝置,包括DNS報文分析器,所述DNS報
文分析器用于接收鏡像的DNS遞歸服務器與DNS權威服務器間以及DNS遞歸服務器與DNS
終端用戶間的DNS流量,解析相應的DNS應答報文中的網絡域名信息,將其保存到DNS報
文分析器內存中并對其進行統計分析,根據統計分析結果確定是否存在緩存中毒。
5.如權利要求4所述的基于DNS...
【專利技術屬性】
技術研發人員:李曉東,李洪濤,張恒,張鵬,孫才,姜濤,
申請(專利權)人:中國互聯網絡信息中心,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。