亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于dns報(bào)文深度解析的緩存中毒檢測(cè)方法及裝置的制造方法

文檔序號(hào):10473694閱讀:209來(lái)源:國(guó)知局
一種基于dns報(bào)文深度解析的緩存中毒檢測(cè)方法及裝置的制造方法
【專利摘要】本發(fā)明公開了一種基于DNS報(bào)文深度解析的緩存中毒檢測(cè)方法及裝置,能夠及時(shí)探測(cè)DNS緩存投毒攻擊的發(fā)生,并告警;而且,DNS緩存中毒以后,能準(zhǔn)確報(bào)告DNS服務(wù)器緩存中網(wǎng)絡(luò)域名地址的變化,使DNS服務(wù)器運(yùn)維人員能及時(shí)更正DNS服務(wù)器中的錯(cuò)誤網(wǎng)絡(luò)域名地址。
【專利說(shuō)明】
一種基于DNS報(bào)文深度解析的緩存中毒檢測(cè)方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,涉及一種基于DNS報(bào)文深度解析的緩存中毒檢測(cè)方法及裝置。
【背景技術(shù)】
[0002]在計(jì)算機(jī)網(wǎng)絡(luò)通信中,主機(jī)之間需要知道通信對(duì)端的IP地址才能夠通過(guò)IP網(wǎng)絡(luò)與對(duì)方進(jìn)行通信。然而32位的IPv4地址(IPv6地址為128位)對(duì)于通信參與者來(lái)說(shuō)是不容易記憶的。因此,更為直觀的域名(如WWW.google.com.hk)被廣泛采用以解決IP地址難以記憶的問(wèn)題。然而網(wǎng)絡(luò)通信是基于IP協(xié)議來(lái)運(yùn)轉(zhuǎn)的,通過(guò)域名并不能直接找到要訪問(wèn)的主機(jī)。因此主機(jī)需要將用戶輸入的域名轉(zhuǎn)換為IP地址,這個(gè)過(guò)程被稱為域名解析。
[0003]為了完成域名解析,需要域名系統(tǒng)(Domain Name System,DNS)來(lái)配合,其是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫(kù),提供域名與IP地址之間的轉(zhuǎn)換。通過(guò)域名系統(tǒng),用戶進(jìn)行某些應(yīng)用時(shí),可以直接使用便于記憶的且有意義的域名,而由網(wǎng)絡(luò)中的DNS服務(wù)器將域名解析為正確的IP地址然后返回給用戶的主機(jī)。域名服務(wù)器,是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP地址,并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。域名解析過(guò)程是指當(dāng)某一個(gè)應(yīng)用進(jìn)程需要將主機(jī)名解析為IP地址時(shí),該應(yīng)用進(jìn)程就成為域名系DNS的一個(gè)客戶,并把待解析的域名放在DNS請(qǐng)求報(bào)文中發(fā)給域名服務(wù)器,域名服務(wù)器在查找域名后將對(duì)應(yīng)的IP地址放在回答報(bào)文中返回給客戶機(jī)應(yīng)用進(jìn)程。DNS遞歸服務(wù)器是DNS解析系統(tǒng)中的重要設(shè)備,DNS遞歸服務(wù)器根據(jù)緩存中的域名地址信息,對(duì)終端用戶發(fā)起的DNS查詢進(jìn)行響應(yīng)。
[0004]目前,對(duì)DNS系統(tǒng)的攻擊方式主要有以下幾種方式:
[0005]第一種攻擊方式是流量型拒絕服務(wù)攻擊。例如基于用戶數(shù)據(jù)包協(xié)議(UDP,UserDatagram Protocol)流(flood)、基于傳輸控制協(xié)議(TCP,Transmi ss 1n ControlProtocol) flood、DNS請(qǐng)求flood,或拼(PING) flood等。該種方式下的攻擊的典型特征是消耗掉DNS服務(wù)器的資源,使其不能及時(shí)響應(yīng)正常的DNS解析請(qǐng)求。其中,資源的消耗包括對(duì)服務(wù)器CPU、網(wǎng)絡(luò)資源等的消耗。
[0006]第二種攻擊方式是異常請(qǐng)求訪問(wèn)攻擊。例如超長(zhǎng)域名請(qǐng)求、異常域名請(qǐng)求等。該種方式下的攻擊的特點(diǎn)是通過(guò)發(fā)掘DNS服務(wù)器的漏洞,通過(guò)偽造特定的請(qǐng)求報(bào)文,導(dǎo)致DNS月艮務(wù)器軟件工作異常而退出或崩潰而無(wú)法啟動(dòng),達(dá)到影響DNS服務(wù)器正常工作的目的。
[0007]第三種攻擊方式是DNS劫持攻擊。例如DNS緩存“投毒”、篡改授權(quán)域內(nèi)容、ARP欺騙劫持授權(quán)域等。該種方式下的攻擊的特點(diǎn)是通過(guò)直接篡改解析記錄或在解析記錄傳遞過(guò)程中篡改其內(nèi)容或搶先應(yīng)答,從而達(dá)到影響解析結(jié)果的目的。
[0008]第四種攻擊方式是攻擊者利用DNS進(jìn)行攻擊。例如攻擊者控制僵尸機(jī)群采用被攻擊主機(jī)的IP地址偽裝成被攻擊主機(jī)發(fā)送域名解析請(qǐng)求,大量的域名解析請(qǐng)求被DNS服務(wù)器遞歸查詢解析后,DNS服務(wù)器發(fā)送響應(yīng)給被攻擊者,大量的響應(yīng)數(shù)據(jù)包從不同的DNS服務(wù)器傳回構(gòu)成了分布式拒絕服務(wù)(DDoS,Distributed Denial of Service)攻擊。
[0009]其中,對(duì)于上述DNS劫持攻擊,當(dāng)DNS緩存投毒攻擊者給DNS遞歸服務(wù)器注入非法網(wǎng)絡(luò)域名地址信息,DNS遞歸服務(wù)器接受了這個(gè)非法域名地址,以后響應(yīng)的域名請(qǐng)求將會(huì)被轉(zhuǎn)移至非法網(wǎng)址。

【發(fā)明內(nèi)容】

[0010]本發(fā)明的目的是提供一種基于DNS報(bào)文深度解析的緩存中毒檢測(cè)方法及裝置,能夠及時(shí)探測(cè)DNS緩存投毒攻擊的發(fā)生,并告警;而且,DNS緩存中毒以后,能準(zhǔn)確報(bào)告DNS服務(wù)器緩存中網(wǎng)絡(luò)域名地址的變化,使DNS服務(wù)器運(yùn)維人員能及時(shí)更正DNS服務(wù)器中的錯(cuò)誤網(wǎng)絡(luò)域名地址。
[0011 ]為實(shí)現(xiàn)上述目的,本發(fā)明采用的技術(shù)方案是:
[0012]一種基于DNS報(bào)文深度解析的緩存中毒檢測(cè)方法,包括以下步驟:
[0013]I)分別獲得鏡像的DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間的DNS流量I以及DNS遞歸服務(wù)器與DNS終端用戶間的DNS流量2;
[0014]2)解析DNS流量I中的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息,并對(duì)其進(jìn)行統(tǒng)計(jì),如果在設(shè)定的統(tǒng)計(jì)周期內(nèi)某個(gè)域名的響應(yīng)次數(shù)超過(guò)了設(shè)定的閾值,則確定存在DNS投毒攻擊;解析DNS流量2中的DNS應(yīng)答報(bào)文,當(dāng)其中的域名信息與用戶配置的域名一致,但檢測(cè)到存儲(chǔ)的網(wǎng)絡(luò)域名地址信息與接收到的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息不一致時(shí),則確定存在DNS中毒。
[0015]進(jìn)一步地,上述方法還包括在確定存在DNS中毒時(shí),發(fā)送DNS中毒告警信息,所述DNS中毒告警信息中包含變化前后的網(wǎng)絡(luò)域名地址信息比對(duì)。
[0016]進(jìn)一步地,采用雙緩存存儲(chǔ)進(jìn)行統(tǒng)計(jì)的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息,當(dāng)前統(tǒng)計(jì)周期結(jié)束時(shí),下一周期的域名地址信息存儲(chǔ)到另外的緩存中。
[0017]一種基于DNS報(bào)文深度解析的緩存中毒檢測(cè)裝置,包括DNS報(bào)文分析器,所述DNS報(bào)文分析器用于接收鏡像的DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間以及DNS遞歸服務(wù)器與DNS終端用戶間的DNS流量,解析相應(yīng)的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名信息,將其保存到DNS報(bào)文分析器內(nèi)存中并對(duì)其進(jìn)行統(tǒng)計(jì)分析,根據(jù)統(tǒng)計(jì)分析結(jié)果確定是否存在緩存中毒。
[0018]進(jìn)一步地,上述裝置還包括交換機(jī),所述交換機(jī)用于將終端用戶與DNS遞歸服務(wù)器間及DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間的DNS應(yīng)答報(bào)文鏡像到DNS報(bào)文分析器。
[0019]進(jìn)一步地,所述DNS報(bào)文分析器通過(guò)分析DNS應(yīng)答報(bào)文的IP及端口信息區(qū)分出DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器及DNS遞歸服務(wù)器與DNS終端用戶間的兩種不同DNS流量。
[0020]進(jìn)一步地,所述DNS報(bào)文分析器解析DNS遞歸服務(wù)與DNS權(quán)威服務(wù)器間的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息,將其保存到DNS報(bào)文分析器內(nèi)存中并進(jìn)行統(tǒng)計(jì),如果在設(shè)定的統(tǒng)計(jì)周期內(nèi)某個(gè)域名的響應(yīng)次數(shù)超過(guò)了設(shè)定的閾值,則確定存在DNS投毒攻擊。
[0021 ] 進(jìn)一步地,所述DNS報(bào)文分析器解析DNS遞歸服務(wù)器與DNS終端用戶間DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息,當(dāng)接收到的DNS應(yīng)答報(bào)文中的域名與用戶配置的域名一致,但檢測(cè)至IjDNS報(bào)文分析器內(nèi)存中存儲(chǔ)的網(wǎng)絡(luò)域名地址信息與接收到的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息不一致時(shí),則確定存在DNS中毒。
[0022]進(jìn)一步地,所述DNS報(bào)文分析器在確定存在DNS中毒時(shí)發(fā)送DNS中毒告警信息,所述DNS中毒告警信息中包含變化前后的網(wǎng)絡(luò)域名地址信息比對(duì)。
[0023]進(jìn)一步地,所述DNS報(bào)文分析器采用雙緩存策略存儲(chǔ)網(wǎng)絡(luò)域名地址信息,當(dāng)前統(tǒng)計(jì)周期結(jié)束時(shí),下一周期的網(wǎng)絡(luò)域名地址信息存儲(chǔ)到另外的緩存中。
[0024]采用以上方案,可實(shí)現(xiàn)以下優(yōu)點(diǎn):
[0025]I)當(dāng)DNS投毒攻擊發(fā)生時(shí),能及時(shí)發(fā)現(xiàn)DNS投毒攻擊。2)可根據(jù)告警信息,檢查DNS緩存中的域名地址信息是否正確,并及時(shí)進(jìn)行更正。3)如果DNS緩存確實(shí)中毒,該方法能準(zhǔn)確報(bào)告被篡改的網(wǎng)絡(luò)域名地址信息,并向DNS運(yùn)維人員報(bào)告。4)DNS運(yùn)維人員可跟據(jù)告警信息,及時(shí)恢復(fù)緩存中正確的網(wǎng)絡(luò)域名地址信息。
【附圖說(shuō)明】
[0026]圖1顯示本發(fā)明DNS緩存中毒檢測(cè)裝置架構(gòu)。
[0027]圖2顯示本發(fā)明DNS緩存中毒檢測(cè)流程。
【具體實(shí)施方式】
[0028]本發(fā)明DNS緩存中毒檢測(cè)裝置在網(wǎng)絡(luò)中的部署如圖1所示,DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間以及DNS遞歸服務(wù)器與DNS終端用戶間的DNS流量通過(guò)交換機(jī)鏡像到DNS報(bào)文分析器進(jìn)行DNS緩存中毒檢測(cè)。
[0029]本實(shí)施例的DNS緩存中毒檢測(cè)流程如圖2所示。其步驟描述如下:
[0030]對(duì)于DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器:
[0031 ] I )DNS報(bào)文分析器接收鏡像的DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間DNS流量。
[0032]2)DNS報(bào)文分析器解析DNS應(yīng)答報(bào)文中網(wǎng)絡(luò)域名地址信息,并將其保存到DNS報(bào)文分析器內(nèi)存中,并對(duì)該域名響應(yīng)次數(shù)進(jìn)行統(tǒng)計(jì)。
[0033]3)當(dāng)統(tǒng)計(jì)周期(如I分鐘)結(jié)束時(shí),如果統(tǒng)計(jì)到的DNS域名應(yīng)答次數(shù)超過(guò)規(guī)定閾值(如100次)時(shí),發(fā)出DNS投毒告警。
[0034]同時(shí),對(duì)于DNS遞歸服務(wù)器與DNS終端用戶:
[0035]I )DNS報(bào)文分析器接收鏡像的DNS遞歸服務(wù)器與DNS終端用戶間DNS應(yīng)答報(bào)文。
[0036]2)DNS報(bào)文分析器解析DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息。
[0037]3)當(dāng)接收到的DNS應(yīng)答報(bào)文中的域名與用戶配置的域名一致時(shí)(如果用戶沒(méi)有配置該域名,則不對(duì)該域名進(jìn)行緩存中毒檢測(cè)),檢測(cè)DNS報(bào)文分析器內(nèi)存中存儲(chǔ)的網(wǎng)絡(luò)域名地址信息與接收到的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息是否一致,如果網(wǎng)絡(luò)域名地址信息不一致,當(dāng)前統(tǒng)計(jì)周期(I分鐘)結(jié)束時(shí),發(fā)送DNS緩存中毒告警信息,告警信息中包含變化前后的網(wǎng)絡(luò)域名地址信息比對(duì)。
[0038]其中,DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間以及DNS遞歸服務(wù)器與DNS終端用戶間的DNS緩存中毒檢測(cè)是并行實(shí)現(xiàn)的。
[0039]DNS報(bào)文分析器采用雙緩存策略,存儲(chǔ)域名地址信息。當(dāng)前統(tǒng)計(jì)周期結(jié)束時(shí),下一周期的域名地址信息存儲(chǔ)到另外的緩存中,既做到DNS報(bào)文的實(shí)時(shí)分析,也不會(huì)影響告警功會(huì)K。
[0040]利用本發(fā)明實(shí)現(xiàn)了:
[0041 ] I)DNS報(bào)文分析器解析所有收到的DNS應(yīng)答報(bào)文,在設(shè)定的時(shí)間間隔內(nèi)(I分鐘)根據(jù)收到的應(yīng)答報(bào)文中網(wǎng)絡(luò)域名信息,對(duì)網(wǎng)絡(luò)域名應(yīng)答次數(shù)進(jìn)行統(tǒng)計(jì)。當(dāng)網(wǎng)絡(luò)域名的應(yīng)答次數(shù)超出設(shè)定閾值(100次)時(shí),發(fā)出DNS投毒告警??捎行岣邎?bào)警的準(zhǔn)確度。
[0042]2)DNS報(bào)文分析器可針對(duì)用戶關(guān)心的域名,記錄其應(yīng)答報(bào)文內(nèi)容的變化,如果域名地址信息發(fā)生變化時(shí),發(fā)出DNS緩存中毒告警??杉皶r(shí)發(fā)現(xiàn)DNS緩存中毒,避免錯(cuò)誤信息的進(jìn)一步擴(kuò)散。
【主權(quán)項(xiàng)】
1.一種基于DNS報(bào)文深度解析的緩存中毒檢測(cè)方法,包括以下步驟: 1)分別獲得鏡像的DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間的DNS流量I以及DNS遞歸服務(wù)器與DNS終端用戶間的DNS流量2; 2)解析DNS流量I中的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息,并對(duì)其進(jìn)行統(tǒng)計(jì),如果在設(shè)定的統(tǒng)計(jì)周期內(nèi)某個(gè)域名的響應(yīng)次數(shù)超過(guò)了設(shè)定的閾值,則確定存在DNS投毒攻擊;解析DNS流量2中的DNS應(yīng)答報(bào)文,當(dāng)其中的域名信息與用戶配置的域名一致,但檢測(cè)到存儲(chǔ)的網(wǎng)絡(luò)域名地址信息與接收到的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息不一致時(shí),則確定存在DNS中毒。2.如權(quán)利要求1所述的基于DNS報(bào)文深度解析的緩存中毒檢測(cè)方法,其特征在于,還包括在確定存在DNS中毒時(shí),發(fā)送DNS中毒告警信息,所述DNS中毒告警信息中包含變化前后的網(wǎng)絡(luò)域名地址信息比對(duì)。3.如權(quán)利要求1所述的基于DNS報(bào)文深度解析的緩存中毒檢測(cè)方法,其特征在于,采用雙緩存存儲(chǔ)進(jìn)行統(tǒng)計(jì)的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息,當(dāng)前統(tǒng)計(jì)周期結(jié)束時(shí),下一周期的域名地址信息存儲(chǔ)到另外的緩存中。4.一種基于DNS報(bào)文深度解析的緩存中毒檢測(cè)裝置,包括DNS報(bào)文分析器,所述DNS報(bào)文分析器用于接收鏡像的DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間以及DNS遞歸服務(wù)器與DNS終端用戶間的DNS流量,解析相應(yīng)的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名信息,將其保存到DNS報(bào)文分析器內(nèi)存中并對(duì)其進(jìn)行統(tǒng)計(jì)分析,根據(jù)統(tǒng)計(jì)分析結(jié)果確定是否存在緩存中毒。5.如權(quán)利要求4所述的基于DNS報(bào)文深度解析的緩存中毒檢測(cè)裝置,其特征在于,還包括交換機(jī),所述交換機(jī)用于將終端用戶與DNS遞歸服務(wù)器間及DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器間的DNS應(yīng)答報(bào)文鏡像到DNS報(bào)文分析器。6.如權(quán)利要求4所述的基于DNS報(bào)文深度解析的緩存中毒檢測(cè)裝置,其特征在于,所述DNS報(bào)文分析器通過(guò)分析DNS應(yīng)答報(bào)文的IP及端口信息區(qū)分出DNS遞歸服務(wù)器與DNS權(quán)威服務(wù)器及DNS遞歸服務(wù)器與DNS終端用戶間的兩種不同DNS流量。7.如權(quán)利要求4所述的基于DNS報(bào)文深度解析的緩存中毒檢測(cè)裝置,其特征在于,所述DNS報(bào)文分析器解析DNS遞歸服務(wù)與DNS權(quán)威服務(wù)器間的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息,將其保存到DNS報(bào)文分析器內(nèi)存中并進(jìn)行統(tǒng)計(jì),如果在設(shè)定的統(tǒng)計(jì)周期內(nèi)某個(gè)域名的響應(yīng)次數(shù)超過(guò)了設(shè)定的閾值,則確定存在DNS投毒攻擊。8.如權(quán)利要求4所述的基于DNS報(bào)文深度解析的緩存中毒檢測(cè)裝置,其特征在于,所述DNS報(bào)文分析器解析DNS遞歸服務(wù)器與DNS終端用戶間DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息,當(dāng)接收到的DNS應(yīng)答報(bào)文中的域名與用戶配置的域名一致,但檢測(cè)到DNS報(bào)文分析器內(nèi)存中存儲(chǔ)的網(wǎng)絡(luò)域名地址信息與接收到的DNS應(yīng)答報(bào)文中的網(wǎng)絡(luò)域名地址信息不一致時(shí),則確定存在DNS中毒。9.如權(quán)利要求4所述的基于DNS報(bào)文深度解析的緩存中毒檢測(cè)裝置,其特征在于,所述DNS報(bào)文分析器采用雙緩存策略存儲(chǔ)網(wǎng)絡(luò)域名地址信息,當(dāng)前統(tǒng)計(jì)周期結(jié)束時(shí),下一周期的網(wǎng)絡(luò)域名地址信息存儲(chǔ)到另外的緩存中。
【文檔編號(hào)】H04L12/24GK105827599SQ201610140358
【公開日】2016年8月3日
【申請(qǐng)日】2016年3月11日
【發(fā)明人】李曉東, 李洪濤, 張恒, 張鵬, 孫才, 姜濤
【申請(qǐng)人】中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1