亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

防御域名攻擊的方法及裝置的制造方法

文檔序號(hào):10578148閱讀:375來源:國知局
防御域名攻擊的方法及裝置的制造方法
【專利摘要】本申請(qǐng)?zhí)峁┮环N防御域名攻擊的方法及裝置,該方法包括:當(dāng)接收到DNS客戶端發(fā)送至源DNS服務(wù)器的第一域名解析請(qǐng)求時(shí),確定白名單中是否存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄;如果白名單中不存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,則對(duì)所述DNS客戶端進(jìn)行驗(yàn)證;如果所述DNS客戶端沒有驗(yàn)證通過,則對(duì)所述DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。本申請(qǐng)有效防御了DNS客戶端發(fā)起的域名攻擊,并且避免了正常的域名解析請(qǐng)求因?yàn)樵贒NS緩存的緩存表項(xiàng)中沒有存在對(duì)應(yīng)的資源記錄而被丟棄,提升了用戶的體驗(yàn)。
【專利說明】
防御域名攻擊的方法及裝置
技術(shù)領(lǐng)域
[0001]本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種防御域名攻擊的方法及裝置。
【背景技術(shù)】
[0002]目前,域名攻擊采用的方法是向被攻擊的DNS服務(wù)器發(fā)送大量域名解析請(qǐng)求,被攻擊的DNS服務(wù)器在接收到域名解析請(qǐng)求時(shí)在本地緩存中查找是否有該域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,如果本地緩存中查找是否有該域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,可遞歸向上一層服務(wù)器去查找,這種域名攻擊可使DNS服務(wù)器由于負(fù)載過大而癱瘓掉。
[0003]現(xiàn)有技術(shù)中,DNS服務(wù)器的DNS緩存在本地緩存中沒有查找到域名解析請(qǐng)求對(duì)應(yīng)的資源記錄時(shí),會(huì)直接丟棄該域名解析請(qǐng)求,從而保證不將進(jìn)行DNS攻擊的域名解析請(qǐng)求發(fā)送至DNS服務(wù)器?,F(xiàn)有技術(shù)可導(dǎo)致部分正常的域名解析請(qǐng)求因?yàn)樵贒NS緩存的緩存表項(xiàng)中沒有存在對(duì)應(yīng)的資源記錄而被丟棄,進(jìn)而導(dǎo)致用戶體驗(yàn)很差。

【發(fā)明內(nèi)容】

[0004]本申請(qǐng)?zhí)峁┮环N防御域名攻擊的方法及裝置,以解決現(xiàn)有防御域名攻擊的技術(shù)方案所導(dǎo)致的上述問題。
[0005]第一方面,提供一種防御域名攻擊的方法,應(yīng)用在防護(hù)設(shè)備中,包括:
[0006]當(dāng)接收到DNS客戶端發(fā)送至源DNS服務(wù)器的第一域名解析請(qǐng)求時(shí),確定白名單中是否存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄;
[0007]如果白名單中不存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,則對(duì)所述DNS客戶端進(jìn)行驗(yàn)證;
[0008]如果所述DNS客戶端沒有驗(yàn)證通過,則對(duì)所述DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。
[0009]第二方面,提供一種防御域名攻擊的裝置,應(yīng)用在防護(hù)設(shè)備上,所述裝置包括:
[0010]第一確定模塊,用于當(dāng)接收到DNS客戶端發(fā)送至源DNS服務(wù)器的第一域名解析請(qǐng)求時(shí),確定白名單中是否存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄;
[0011]驗(yàn)證模塊,用于如果所述第一確定模塊確定所述白名單中不存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,則對(duì)所述DNS客戶端進(jìn)行驗(yàn)證;
[0012]防御模塊,用于如果所述驗(yàn)證模塊確定所述DNS客戶端沒有驗(yàn)證通過,則對(duì)所述DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。
[0013]本申請(qǐng)的防護(hù)設(shè)備在確定白名單中沒有接收到的域名解析請(qǐng)求對(duì)應(yīng)的資源記錄時(shí),可對(duì)DNS客戶端進(jìn)行驗(yàn)證,如果DNS客戶端驗(yàn)證通過,則將域名解析請(qǐng)求發(fā)送至源DNS服務(wù)器進(jìn)行解析,而如果DNS客戶端沒有驗(yàn)證通過,則對(duì)DNS客戶端發(fā)送的域名解析請(qǐng)求進(jìn)行防御,有效防御了 DNS客戶端發(fā)起的域名攻擊,并且避免了正常的域名解析請(qǐng)求因?yàn)樵贒NS緩存的緩存表項(xiàng)中沒有存在對(duì)應(yīng)的資源記錄而被丟棄,提升了用戶的體驗(yàn)。
【附圖說明】
[0014]圖1A是本申請(qǐng)一種實(shí)施例中防御域名攻擊的方法流程圖;
[0015]圖1B是本申請(qǐng)一種實(shí)施例中防御域名攻擊的方法的應(yīng)用場(chǎng)景示意圖;
[0016]圖2A是本申請(qǐng)一種實(shí)施例中對(duì)DNS客戶端進(jìn)行驗(yàn)證的方法流程圖;
[0017]圖2B是本申請(qǐng)一種實(shí)施例中對(duì)DNS客戶端進(jìn)行驗(yàn)證的驗(yàn)證消息示意圖;
[0018]圖3是本申請(qǐng)一種實(shí)施例中再一防御域名攻擊的方法流程圖;
[0019]圖4是本申請(qǐng)一種實(shí)施例中防御域名攻擊的裝置示意圖;
[0020]圖5是本申請(qǐng)一種實(shí)施例中又一防御域名攻擊的裝置示意圖;
[0021]圖6是本申請(qǐng)一種實(shí)施例中防御域名攻擊的裝置所在硬件設(shè)備的硬件示意圖。
【具體實(shí)施方式】
[0022]這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說明,其示例表示在附圖中。下面的描述涉及附圖時(shí),除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反,它們僅是與如所附權(quán)利要求書中所詳述的、本申請(qǐng)的一些方面相一致的裝置和方法的例子。
[0023]在本申請(qǐng)使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的,而非旨在限制本申請(qǐng)。在本申請(qǐng)和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式,除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。
[0024]應(yīng)當(dāng)理解,盡管在本申請(qǐng)可能采用術(shù)語第一、第二、第三等來描述各種信息,但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如,在不脫離本申請(qǐng)范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。
[0025]參見圖1A,是本申請(qǐng)一種實(shí)施例中防御域名攻擊的方法流程圖,該方法應(yīng)用于防護(hù)設(shè)備,例如防護(hù)墻設(shè)備上或者DNS服務(wù)器上,包括以下步驟:
[0026]步驟101,當(dāng)接收到DNS客戶端發(fā)送至源DNS服務(wù)器的第一域名解析請(qǐng)求時(shí),確定白名單中是否存在第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄。
[0027]在一實(shí)施例中,防護(hù)設(shè)備中設(shè)置有一個(gè)白名單,用于記錄每個(gè)域名解析請(qǐng)求對(duì)應(yīng)的資源記錄。
[0028]在一實(shí)施例中,資源記錄可包括該防護(hù)設(shè)備驗(yàn)證通過的DNS客戶端及對(duì)應(yīng)的地址信息(如源IP地址信息),以及DNS客戶端請(qǐng)求的域名。
[0029]步驟102,如果白名單中不存在第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,則對(duì)DNS客戶端進(jìn)行驗(yàn)證,如果DNS客戶端沒有驗(yàn)證通過,則執(zhí)行步驟103。
[0030]在一實(shí)施例中,步驟102的詳細(xì)描述可參見圖2A,這里不再詳述。
[0031 ]在一實(shí)施例中,如果DNS客戶端沒有驗(yàn)證通過,則說明DNS客戶端不是合法客戶端,執(zhí)行步驟103,如果DNS客戶端驗(yàn)證通過,則說明DNS客戶端是合法客戶端,可向源DNS服務(wù)器發(fā)送域名解析請(qǐng)求,以對(duì)DNS客戶端發(fā)送的域名解析請(qǐng)求進(jìn)行域名解析。
[0032]步驟103,對(duì)DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。
[0033]在一實(shí)施例中,對(duì)DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御可以為直接丟棄DNS客戶端發(fā)送的第一域名解析請(qǐng)求;在又一實(shí)施例中,對(duì)DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御可以為向DNS客戶端返回一個(gè)拒絕解析消息。
[0034]參見圖1B,DNS客戶端110(其中,DNS客戶端可以為普通用戶使用的電腦等終端設(shè)備)可通過防護(hù)設(shè)備120向源DNS服務(wù)器130發(fā)送域名解析請(qǐng)求,防護(hù)設(shè)備120內(nèi)可設(shè)置一個(gè)白名單,白名單用于記錄每個(gè)域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,資源記錄可包括該防護(hù)設(shè)備驗(yàn)證通過的DNS客戶端及對(duì)應(yīng)的地址信息(如源IP地址信息),以及DNS客戶端請(qǐng)求的域名。防護(hù)設(shè)備120接收到DNS客戶端110發(fā)送的域名解析請(qǐng)求后,可查詢白名單,確定白名單中是否記錄有DNS客戶端110的IP地址以及域名解析請(qǐng)求所請(qǐng)求解析的域名,如果白名單中沒有對(duì)應(yīng)的資源記錄,則防護(hù)設(shè)備可通過向DNS客戶端110發(fā)送驗(yàn)證消息來驗(yàn)證DNS客戶端110是否合法,驗(yàn)證消息中可攜帶預(yù)設(shè)DNS服務(wù)器140的標(biāo)識(shí)信息,指示DNS客戶端110向預(yù)設(shè)DNS月艮務(wù)器140發(fā)送域名解析請(qǐng)求,通過確定DNS客戶端110是否向預(yù)設(shè)DNS服務(wù)器140發(fā)送域名解析請(qǐng)求可以驗(yàn)證DNS客戶端是否為合法客戶端,并在確定DNS客戶端110不是合法客戶端時(shí),對(duì)DNS客戶端110發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。
[0035]在一實(shí)施例中,對(duì)DNS客戶端進(jìn)行驗(yàn)證,可包括:
[0036]向DNS客戶端發(fā)送驗(yàn)證消息,其中,驗(yàn)證消息中攜帶有預(yù)設(shè)DNS服務(wù)器的標(biāo)識(shí)信息;
[0037]確定是否接收到DNS客戶端發(fā)送至預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求;
[0038]如果沒有接收到DNS客戶端發(fā)送至預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,則確定DNS客戶端沒有驗(yàn)證通過;
[0039]如果接收到DNS客戶端發(fā)送至預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,則確定DNS客戶端驗(yàn)證通過。通過生成一個(gè)驗(yàn)證消息可以快速驗(yàn)證DNS客戶端是否為合法客戶端,進(jìn)而可以實(shí)現(xiàn)防護(hù)設(shè)備將合法客戶端發(fā)送的域名解析請(qǐng)求轉(zhuǎn)發(fā)至源DNS服務(wù)器進(jìn)行解析,對(duì)不合法的客戶端發(fā)送的域名解析請(qǐng)求進(jìn)行防御,有效防御了針對(duì)源DNS服務(wù)器的域名攻擊。
[0040]在一實(shí)施例中,方法還可包括:
[0041 ] 如果DNS客戶端驗(yàn)證通過,則將DNS客戶端及第一域名解析請(qǐng)求所請(qǐng)求的域名對(duì)應(yīng)的資源記錄添加至白名單中。通過將DNS客戶端及第一域名解析請(qǐng)求所請(qǐng)求的域名對(duì)應(yīng)的資源記錄添加至白名單中,在該資源記錄沒有老化時(shí),在下次接收到該DNS客戶端的請(qǐng)求時(shí),可以不對(duì)DNS客戶端進(jìn)行驗(yàn)證,提高了域名解析的效率,優(yōu)化了用戶體驗(yàn)。
[0042]在一實(shí)施例中,方法還可包括:
[0043]如果DNS客戶端驗(yàn)證通過,則更改第二域名解析請(qǐng)求的目的IP地址為源DNS服務(wù)器的目的IP地址,并發(fā)送第二域名解析請(qǐng)求至目的IP地址;
[0044]接收源DNS服務(wù)器根據(jù)第二域名解析請(qǐng)求返回的響應(yīng)消息;
[0045]更改響應(yīng)消息中的源IP地址為預(yù)設(shè)DNS服務(wù)器的IP地址;
[0046]將更改源IP地址之后的響應(yīng)消息轉(zhuǎn)發(fā)至DNS客戶端。通過將通過驗(yàn)證的DNS客戶端的域名解析請(qǐng)求轉(zhuǎn)發(fā)至源DNS客戶端,可使DNS客戶端獲得正確的域名解析結(jié)果。
[0047]在一實(shí)施例中,向DNS客戶端發(fā)送驗(yàn)證消息,可包括:
[0048]生成驗(yàn)證消息;
[0049]向DNS客戶端發(fā)送驗(yàn)證消息。
[0050]在一實(shí)施例中,生成驗(yàn)證消息,可包括:
[0051 ]根據(jù)域名解析請(qǐng)求,生成一個(gè)驗(yàn)證消息;
[0052]將驗(yàn)證消息中的遞歸查詢字段的值設(shè)置為O;
[0053]在所述驗(yàn)證消息中的權(quán)威資源記錄中設(shè)置所述預(yù)設(shè)DNS服務(wù)器的服務(wù)器名稱,并且設(shè)置所述權(quán)威資源記錄的類型為NS,設(shè)置所述權(quán)威資源記錄的TTL為O。
[0054]在所述驗(yàn)證消息的額外資源記錄中設(shè)置所述預(yù)設(shè)DNS服務(wù)器的IP地址,并且設(shè)置所述額外資源記錄的類型為A,設(shè)置所述額外資源記錄的TTL為O。通過設(shè)置驗(yàn)證消息中的DNS Flags標(biāo)記中的RA字段的值設(shè)置為0,可以指示DNS客戶端進(jìn)行迭代查詢;通過將驗(yàn)證消息中的權(quán)威資源記錄中設(shè)置認(rèn)證的預(yù)設(shè)DNS服務(wù)器的服務(wù)器名稱可以使得DNS客戶端向該預(yù)設(shè)DNS服務(wù)器發(fā)送域名解析請(qǐng)求,通過設(shè)置權(quán)威資源記錄的生存時(shí)間值設(shè)置為0,可以防止DNS客戶端后續(xù)繼續(xù)向預(yù)設(shè)DNS服務(wù)器發(fā)送域名解析請(qǐng)求;通過在驗(yàn)證消息的額外資源記錄(Addit1nal records)中設(shè)置上述虛假權(quán)威服務(wù)器的IP地址,資源記錄類型是A,用于讓客戶端根據(jù)上述名稱查找到對(duì)應(yīng)的IP地址,也就是認(rèn)證虛假權(quán)威服務(wù)器的IP地址,TTL設(shè)置為O表示這條記錄不做緩存。
[0055]在一實(shí)施例中,方法還可包括:
[0056]確定白名單中是否有超過預(yù)設(shè)老化時(shí)間的資源記錄;
[0057]如果白名單中有超過預(yù)設(shè)老化時(shí)間的資源記錄,則將超過預(yù)設(shè)老化時(shí)間的資源記錄從白名單中刪除。通過設(shè)置預(yù)設(shè)老化時(shí)間,并將超過預(yù)設(shè)老化時(shí)間的資源記錄從白名單中刪除,可以減輕防護(hù)設(shè)備的接入負(fù)擔(dān)。
[0058]結(jié)合圖1A的實(shí)施例可知,本申請(qǐng)的防護(hù)設(shè)備在確定白名單中沒有接收到的域名解析請(qǐng)求對(duì)應(yīng)的資源記錄時(shí),可對(duì)DNS客戶端進(jìn)行驗(yàn)證,如果DNS客戶端驗(yàn)證通過,則將域名解析請(qǐng)求發(fā)送至源DNS服務(wù)器進(jìn)行解析,而如果DNS客戶端沒有驗(yàn)證通過,則對(duì)DNS客戶端發(fā)送的域名解析請(qǐng)求進(jìn)行防御,有效防御了 DNS客戶端發(fā)起的域名攻擊,并且避免了正常的域名解析請(qǐng)求因?yàn)樵贒NS緩存的緩存表項(xiàng)中沒有存在對(duì)應(yīng)的資源記錄而被丟棄,提升了用戶的體驗(yàn)。
[0059]參見圖2A,是本申請(qǐng)一種實(shí)施例中對(duì)DNS客戶端進(jìn)行驗(yàn)證的方法流程圖,圖2B是本申請(qǐng)一種實(shí)施例中對(duì)DNS客戶端進(jìn)行驗(yàn)證的驗(yàn)證消息示意圖;如圖2A所示,對(duì)DNS客戶端進(jìn)行驗(yàn)證的方法包括以下步驟:
[0060]步驟201,將DNS客戶端及其所請(qǐng)求解析的域名添加至驗(yàn)證檢索表。
[0061]在一實(shí)施例中,防護(hù)設(shè)備在發(fā)送驗(yàn)證消息之前,可按照DNS客戶端的IP地址及所請(qǐng)求的域名添加至驗(yàn)證檢索表,以便在發(fā)送驗(yàn)證消息之后跟蹤驗(yàn)證結(jié)果。
[0062]在一實(shí)施例中,驗(yàn)證檢索表用于記錄防護(hù)設(shè)備所驗(yàn)證的DNS客戶端及該DNS客戶端請(qǐng)求解析的域名。例如,參見圖2B,DNS客戶端的源IP地址為10.1.1.1,所請(qǐng)求解析的域名為WWW.abed, com,則在防護(hù)設(shè)備確定該域名解析請(qǐng)求不在白名單中,需要對(duì)DNS客戶端進(jìn)行驗(yàn)證時(shí),可首先在驗(yàn)證檢索表中添加一條“源IP地址為10.1.1.1,請(qǐng)求解析的域名為www.abed, com”的檢索條目。
[0063]步驟202,向DNS客戶端發(fā)送驗(yàn)證消息。
[0064]在一實(shí)施例中,驗(yàn)證消息中攜帶有預(yù)設(shè)DNS服務(wù)器的標(biāo)識(shí)信息。
[0065]參見圖2B,防護(hù)設(shè)備可根據(jù)域名解析請(qǐng)求生成一個(gè)驗(yàn)證消息,由于該驗(yàn)證消息為驗(yàn)證DNS客戶端是否是合法客戶端的消息,因此消息中沒有answer字段。在權(quán)威資源記錄(Authoritative nameservers)中,設(shè)置該預(yù)設(shè)DNS服務(wù)器的服務(wù)器名稱ns1.abed.com,并且設(shè)置資源的類型為NS,用于讓DNS客戶端去查找預(yù)設(shè)DNS服務(wù)器的服務(wù)器,TTL設(shè)置為O表示這條記錄不做緩存。在額外資源記錄中,設(shè)置該預(yù)設(shè)DNS服務(wù)器的IP地址為2.2.2.2,設(shè)置額外資源記錄的類型為A,用于讓DNS客戶端根據(jù)上述服務(wù)器名稱查找對(duì)應(yīng)的IP地址,也就是預(yù)設(shè)DNS服務(wù)器的IP地址,TTL設(shè)置為O表示不緩存這條額外資源記錄,進(jìn)而防止DNS客戶端后續(xù)繼續(xù)向預(yù)設(shè)DNS服務(wù)器發(fā)送域名解析請(qǐng)求。為了指示DNS客戶端進(jìn)行迭代查詢,將驗(yàn)證消息中的DNS Flags標(biāo)記中的RA字段的值設(shè)置為0,表示源DNS服務(wù)器暫時(shí)不支持遞歸查詢。
[0066]步驟203,確定是否接收到DNS客戶端發(fā)送至預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,如果沒有接收到第二域名解析請(qǐng)求,則執(zhí)行步驟204,否則執(zhí)行步驟205。
[0067]在一實(shí)施例中,當(dāng)防護(hù)設(shè)備接收到DNS客戶端發(fā)送域名解析請(qǐng)求時(shí),可根據(jù)DNS客戶端的IP地址以及所請(qǐng)求的域名在驗(yàn)證檢索表中查詢,如果在驗(yàn)證檢索表中查詢到與域名解析請(qǐng)求對(duì)應(yīng)的驗(yàn)證檢索記錄,則確定該域名檢索請(qǐng)求為DNS客戶端根據(jù)驗(yàn)證消息返回的第二域名解析請(qǐng)求。例如,如果防護(hù)設(shè)備接收到一條“源IP地址為10.1.1.1,請(qǐng)求解析的域名為WWW.abed.com發(fā)送至2.2.2.2”的域名解析請(qǐng)求時(shí),即可在驗(yàn)證檢索表中查詢,如果驗(yàn)證檢索表中有“源IP地址為10.1.1.1,請(qǐng)求解析的域名為www.abed, com”的檢索條目,則說明接收到第二域名解析請(qǐng)求,否則說明沒有接收到第二域名解析請(qǐng)求。
[0068]步驟204,確定DNS客戶端沒有驗(yàn)證通過。
[0069]步驟205,確定DNS客戶端驗(yàn)證通過,刪除驗(yàn)證檢索表中對(duì)應(yīng)的檢索條目。
[0070]本實(shí)施例中,防護(hù)設(shè)備通過生成一個(gè)驗(yàn)證消息可以驗(yàn)證DNS客戶端是否為合法客戶端,可以實(shí)現(xiàn)防護(hù)設(shè)備將合法客戶端發(fā)送的域名解析請(qǐng)求轉(zhuǎn)發(fā)至源DNS服務(wù)器進(jìn)行解析,對(duì)不合法的客戶端發(fā)送的域名解析請(qǐng)求進(jìn)行防御,有效防御了針對(duì)源DNS服務(wù)器的域名攻擊。
[0071]參見圖3,是本申請(qǐng)一種實(shí)施例中再一防御域名攻擊的方法流程圖,該方法應(yīng)用在防護(hù)設(shè)備中,包括以下步驟:
[0072]步驟301,當(dāng)接收到DNS客戶端發(fā)送至源DNS服務(wù)器的第一域名解析請(qǐng)求時(shí),確定白名單中是否存在第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,如果白名單中存在第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,則執(zhí)行步驟309,否則執(zhí)行步驟302。
[0073]步驟302,對(duì)DNS客戶端進(jìn)行驗(yàn)證,如果驗(yàn)證通過執(zhí)行步驟303,如果沒有驗(yàn)證通過,則執(zhí)行步驟308。
[0074]步驟302的詳細(xì)描述可參見圖2A實(shí)施例的描述,這里不再贅述。
[0075]步驟303,將DNS客戶端及第一域名解析請(qǐng)求所請(qǐng)求的域名對(duì)應(yīng)的資源記錄添加至白名單中。
[0076]在一實(shí)施例中,為了減輕防護(hù)設(shè)備的接入負(fù)擔(dān),可對(duì)白名單中的資源記錄設(shè)置預(yù)設(shè)老化時(shí)間,并在確定白名單中有超過預(yù)設(shè)老化時(shí)間的資源記錄時(shí),將超過預(yù)設(shè)老化時(shí)間的資源記錄從白名單中刪除。
[0077]步驟304,更改第二域名解析請(qǐng)求的目的IP地址為源DNS服務(wù)器的目的IP地址,并發(fā)送第二域名解析請(qǐng)求至目的IP地址;
[0078]步驟305,接收源DNS服務(wù)器根據(jù)第二域名解析請(qǐng)求返回的響應(yīng)消息;
[0079]步驟306,更改響應(yīng)消息中的源IP地址為預(yù)設(shè)DNS服務(wù)器的IP地址;
[0080]步驟307,將響應(yīng)消息轉(zhuǎn)發(fā)至DNS客戶端。
[0081 ]步驟308,對(duì)DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。
[0082]步驟309,將第一域名解析請(qǐng)求轉(zhuǎn)發(fā)至源DNS服務(wù)器。
[0083]步驟310,接收到源DNS服務(wù)器返回的響應(yīng)消息后,將響應(yīng)消息轉(zhuǎn)發(fā)至DNS客戶端。
[0084]本實(shí)施例中,防護(hù)設(shè)備在確定白名單中沒有接收到的域名解析請(qǐng)求對(duì)應(yīng)的資源記錄時(shí),可對(duì)DNS客戶端進(jìn)行驗(yàn)證,如果DNS客戶端驗(yàn)證通過,則將域名解析請(qǐng)求發(fā)送至源DNS服務(wù)器進(jìn)行解析,而如果DNS客戶端沒有驗(yàn)證通過,則對(duì)DNS客戶端發(fā)送的域名解析請(qǐng)求進(jìn)行防御,有效防御了DNS客戶端發(fā)起的域名攻擊,并且避免了正常的域名解析請(qǐng)求因?yàn)樵贒NS緩存的緩存表項(xiàng)中沒有存在對(duì)應(yīng)的資源記錄而被丟棄,提升了用戶的體驗(yàn)。
[0085]參見圖4,是本申請(qǐng)一種實(shí)施例中防御域名攻擊的裝置示意圖,該裝置應(yīng)用于防護(hù)設(shè)備上,該裝置包括:
[0086]第一確定模塊410,用于當(dāng)接收到DNS客戶端發(fā)送至源DNS服務(wù)器的第一域名解析請(qǐng)求時(shí),確定白名單中是否存在第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄;
[0087]驗(yàn)證模塊420,用于如果第一確定模塊410確定白名單中不存在第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,則對(duì)DNS客戶端進(jìn)行驗(yàn)證;
[0088]防御模塊430,用于如果驗(yàn)證模塊420確定DNS客戶端沒有驗(yàn)證通過,則對(duì)DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。
[0089]參見圖5,是本申請(qǐng)一種實(shí)施例中又一防御域名攻擊的裝置示意圖,在圖4實(shí)施例的基礎(chǔ)上,在一實(shí)施例中,驗(yàn)證模塊420可包括:
[0090]發(fā)送單元421,用于向DNS客戶端發(fā)送驗(yàn)證消息,其中,驗(yàn)證消息中攜帶有預(yù)設(shè)DNS服務(wù)器的標(biāo)識(shí)信息;
[0091]第一確定單元422,用于確定是否接收到DNS客戶端根據(jù)發(fā)送單元421發(fā)送的驗(yàn)證消息發(fā)送至預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求;
[0092]第二確定單元423,用于如果第一確定單元422確定沒有接收到DNS客戶端發(fā)送至預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,則確定DNS客戶端沒有驗(yàn)證通過;
[0093]第三確定單元424,用于如果第一確定單元422確定接收到DNS客戶端發(fā)送至預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,則確定DNS客戶端驗(yàn)證通過。
[0094]在一實(shí)施例中,裝置還可包括:
[0095]添加模塊440,用于如果第三確定單元424確定DNS客戶端驗(yàn)證通過,則將DNS客戶端及第一域名解析請(qǐng)求所請(qǐng)求的域名對(duì)應(yīng)的資源記錄添加至白名單中。
[0096]在一實(shí)施例中,裝置還可包括:
[0097]第一轉(zhuǎn)發(fā)模塊450,用于如果第三確定單元確定DNS客戶端驗(yàn)證通過,則更改第二域名解析請(qǐng)求的目的IP地址為源DNS服務(wù)器的目的IP地址,并發(fā)送第二域名解析請(qǐng)求至目的IP地址;
[0098]接收模塊460,用于接收源DNS服務(wù)器根據(jù)第一轉(zhuǎn)發(fā)模塊450轉(zhuǎn)發(fā)的第二域名解析請(qǐng)求返回的響應(yīng)消息;
[0099]地址更改模塊470,用于更改接收模塊460接收到的響應(yīng)消息中的源IP地址為預(yù)設(shè)DNS服務(wù)器的IP地址;
[0100]第二轉(zhuǎn)發(fā)模塊480,用于將地址更改模塊470更改源IP地址之后的響應(yīng)消息轉(zhuǎn)發(fā)至
DNS客戶端。
[0101]在一實(shí)施例中,發(fā)送單元421可包括:
[0102]生成子單元4211,用于生成驗(yàn)證消息;
[0103]發(fā)送子單元4212,用于向DNS客戶端發(fā)送生成子單元生成的驗(yàn)證消息。
[0104]在一實(shí)施例中,生成子單元4211包括:
[0105]回復(fù)子單元42111,用于根據(jù)域名解析請(qǐng)求,生成一個(gè)驗(yàn)證消息;
[0106]遞歸設(shè)置子單元42112,用于將驗(yàn)證消息中的遞歸查詢字段的值設(shè)置為O;
[0107]權(quán)威資源設(shè)置子單元42113,用于在所述驗(yàn)證消息中的權(quán)威資源記錄中設(shè)置所述預(yù)設(shè)DNS服務(wù)器的服務(wù)器名稱,并且設(shè)置所述權(quán)威資源記錄的類型為NS,設(shè)置所述權(quán)威資源記錄的TTL為O。
[0108]額外資源設(shè)置子單元42114,用于在所述驗(yàn)證消息的額外資源記錄中設(shè)置所述預(yù)設(shè)DNS服務(wù)器的IP地址,并且設(shè)置所述額外資源記錄的類型為A,設(shè)置所述額外資源記錄的TTL為 O。
[0109]在一實(shí)施例中,裝置還可包括:
[0110]第三確定模塊490,用于確定白名單中是否有超過預(yù)設(shè)老化時(shí)間的資源記錄;
[0111]刪除模塊500,用于如果第三確定模塊490確定白名單中有超過預(yù)設(shè)老化時(shí)間的資源記錄,則將超過預(yù)設(shè)老化時(shí)間的資源記錄從白名單中刪除。
[0112]上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過程,在此不再贅述。
[0113]對(duì)于裝置實(shí)施例而言,由于其基本對(duì)應(yīng)于方法實(shí)施例,所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的,其中作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本申請(qǐng)方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下,即可以理解并實(shí)施。
[0114]參見圖6,是本申請(qǐng)一種實(shí)施例中防御域名攻擊的裝置所在硬件設(shè)備的硬件示意圖。
[0115]本申請(qǐng)防御域名攻擊的裝置的實(shí)施例可以應(yīng)用在防護(hù)設(shè)備上。裝置實(shí)施例可以通過軟件實(shí)現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例,作為一個(gè)邏輯意義上的裝置,是通過其所在設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言,如圖6所示,是本申請(qǐng)一種實(shí)施例中防御域名攻擊的裝置所在硬件設(shè)備的硬件示意圖,除了圖6所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲(chǔ)器之外,實(shí)施例中裝置所在的設(shè)備通常根據(jù)該裝置的實(shí)際功能,還可以包括其他硬件,對(duì)此不再贅述。
[0116]以上所述僅為本申請(qǐng)的較佳實(shí)施例而已,并不用以限制本申請(qǐng),凡在本申請(qǐng)的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種防御域名攻擊的方法,應(yīng)用在防護(hù)設(shè)備上,其特征在于,所述方法包括: 當(dāng)接收到DNS客戶端發(fā)送至源DNS服務(wù)器的第一域名解析請(qǐng)求時(shí),確定白名單中是否存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄; 如果白名單中不存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,則對(duì)所述DNS客戶端進(jìn)行驗(yàn)證; 如果所述DNS客戶端沒有驗(yàn)證通過,則對(duì)所述DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述對(duì)所述DNS客戶端進(jìn)行驗(yàn)證,包括: 向所述DNS客戶端發(fā)送所述驗(yàn)證消息,其中,所述驗(yàn)證消息中攜帶有預(yù)設(shè)DNS服務(wù)器的標(biāo)識(shí)信息; 確定是否接收到所述DNS客戶端發(fā)送至所述預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求;如果沒有接收到所述DNS客戶端發(fā)送至所述預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,則確定所述DNS客戶端沒有驗(yàn)證通過; 如果接收到所述DNS客戶端發(fā)送至所述預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,則確定所述DNS客戶端驗(yàn)證通過。3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述方法還包括: 如果所述DNS客戶端驗(yàn)證通過,則將所述DNS客戶端及所述第一域名解析請(qǐng)求所請(qǐng)求的域名對(duì)應(yīng)的資源記錄添加至所述白名單中。4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述方法還包括: 如果所述DNS客戶端驗(yàn)證通過,則更改所述第二域名解析請(qǐng)求的目的IP地址為所述源DNS服務(wù)器的目的IP地址,并發(fā)送所述第二域名解析請(qǐng)求至所述目的IP地址; 接收所述源DNS服務(wù)器根據(jù)所述第二域名解析請(qǐng)求返回的響應(yīng)消息; 更改所述響應(yīng)消息中的源IP地址為預(yù)設(shè)DNS服務(wù)器的IP地址; 將更改源IP地址之后的所述響應(yīng)消息轉(zhuǎn)發(fā)至所述DNS客戶端。5.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述向所述DNS客戶端發(fā)送所述驗(yàn)證消息,包括: 生成所述驗(yàn)證消息; 向所述DNS客戶端發(fā)送所述驗(yàn)證消息。6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述生成所述驗(yàn)證消息,包括: 根據(jù)所述域名解析請(qǐng)求,生成一個(gè)驗(yàn)證消息; 將所述驗(yàn)證消息中的遞歸查詢字段的值設(shè)置為O; 在所述驗(yàn)證消息中的權(quán)威資源記錄中設(shè)置所述預(yù)設(shè)DNS服務(wù)器的服務(wù)器名稱,并且設(shè)置所述權(quán)威資源記錄的類型為NS,設(shè)置所述權(quán)威資源記錄的TTL為O; 在所述驗(yàn)證消息的額外資源記錄中設(shè)置所述預(yù)設(shè)DNS服務(wù)器的IP地址,并且設(shè)置所述額外資源記錄的類型為A,設(shè)置所述額外資源記錄的TTL為O。7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括: 確定所述白名單中是否有超過預(yù)設(shè)老化時(shí)間的資源記錄; 如果所述白名單中有超過預(yù)設(shè)老化時(shí)間的資源記錄,則將所述超過預(yù)設(shè)老化時(shí)間的資源記錄從所述白名單中刪除。8.—種防御域名攻擊的裝置,應(yīng)用在防護(hù)設(shè)備上,其特征在于,所述裝置包括: 第一確定模塊,用于當(dāng)接收到DNS客戶端發(fā)送至源DNS服務(wù)器的第一域名解析請(qǐng)求時(shí),確定白名單中是否存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄; 驗(yàn)證模塊,用于如果所述第一確定模塊確定所述白名單中不存在所述第一域名解析請(qǐng)求對(duì)應(yīng)的資源記錄,則對(duì)所述DNS客戶端進(jìn)行驗(yàn)證; 防御模塊,用于如果所述驗(yàn)證模塊確定所述DNS客戶端沒有驗(yàn)證通過,則對(duì)所述DNS客戶端發(fā)送的第一域名解析請(qǐng)求進(jìn)行防御。9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述驗(yàn)證模塊包括: 發(fā)送單元,用于向所述DNS客戶端發(fā)送所述驗(yàn)證消息,其中,所述驗(yàn)證消息中攜帶有預(yù)設(shè)DNS服務(wù)器的標(biāo)識(shí)信息; 第一確定單元,用于確定是否接收到所述DNS客戶端根據(jù)所述發(fā)送單元發(fā)送的所述驗(yàn)證消息發(fā)送至所述預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求; 第二確定單元,用于如果所述第一確定單元確定沒有接收到所述DNS客戶端發(fā)送至所述預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,則確定所述DNS客戶端沒有驗(yàn)證通過; 第三確定單元,用于如果所述第一確定單元確定接收到所述DNS客戶端發(fā)送至所述預(yù)設(shè)DNS服務(wù)器的第二域名解析請(qǐng)求,則確定所述DNS客戶端驗(yàn)證通過。10.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述裝置還包括: 添加模塊,用于如果所述第三確定單元確定所述DNS客戶端驗(yàn)證通過,則將所述DNS客戶端及所述第一域名解析請(qǐng)求所請(qǐng)求的域名對(duì)應(yīng)的資源記錄添加至所述白名單中。11.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述裝置還包括: 第一轉(zhuǎn)發(fā)模塊,用于如果所述第三確定單元確定所述DNS客戶端驗(yàn)證通過,則更改所述第二域名解析請(qǐng)求的目的IP地址為所述源DNS服務(wù)器的目的IP地址,并發(fā)送所述第二域名解析請(qǐng)求至所述目的IP地址; 接收模塊,用于接收所述源DNS服務(wù)器根據(jù)所述第一轉(zhuǎn)發(fā)模塊轉(zhuǎn)發(fā)的所述第二域名解析請(qǐng)求返回的響應(yīng)消息; 地址更改模塊,用于更改所述接收模塊接收到的所述響應(yīng)消息中的源IP地址為預(yù)設(shè)DNS服務(wù)器的IP地址; 第二轉(zhuǎn)發(fā)模塊,用于將所述地址更改模塊更改源IP地址之后的所述響應(yīng)消息轉(zhuǎn)發(fā)至所述DNS客戶端。12.根據(jù)權(quán)利要求9所述的裝置,其特征在于,所述發(fā)送單元包括: 生成子單元,用于生成所述驗(yàn)證消息; 發(fā)送子單元,用于向所述DNS客戶端發(fā)送所述生成子單元生成的所述驗(yàn)證消息。13.根據(jù)權(quán)利要求12所述的裝置,其特征在于,所述生成子單元包括: 回復(fù)子單元,用于根據(jù)所述域名解析請(qǐng)求,生成一個(gè)驗(yàn)證消息; 遞歸設(shè)置子單元,用于將所述驗(yàn)證消息中的遞歸查詢字段的值設(shè)置為O; 權(quán)威資源設(shè)置子單元,用于在所述驗(yàn)證消息中的權(quán)威資源記錄中設(shè)置所述預(yù)設(shè)DNS月艮務(wù)器的服務(wù)器名稱,并且設(shè)置所述權(quán)威資源記錄的類型為NS,設(shè)置所述權(quán)威資源記錄的TTL為O; 額外資源設(shè)置子單元,用于在所述驗(yàn)證消息的額外資源記錄中設(shè)置所述預(yù)設(shè)DNS服務(wù)器的IP地址,并且設(shè)置所述額外資源記錄的類型為A,設(shè)置所述額外資源記錄的TTL為O。14.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述裝置還包括: 第三確定模塊,用于確定所述白名單中是否有超過預(yù)設(shè)老化時(shí)間的資源記錄; 刪除模塊,用于如果所述第三確定模塊確定所述白名單中有超過預(yù)設(shè)老化時(shí)間的資源記錄,則將所述超過預(yù)設(shè)老化時(shí)間的資源記錄從所述白名單中刪除。
【文檔編號(hào)】H04L29/12GK105939347SQ201610297054
【公開日】2016年9月14日
【申請(qǐng)日】2016年5月5日
【發(fā)明人】邢濤
【申請(qǐng)人】杭州迪普科技有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1