本发明专利技术提供了一种域名解析服务器危险性的识别方法和装置。其中域名解析服务器危险性的识别方法包括:获取待识别的本地DNS对预设域名解析得到的解析结果;根据解析结果确定预设域名的授权DNS接收的DNS解析请求是否由本地DNS直接发送,其中解析结果中包括由授权DNS添加的DNS解析请求的请求源地址信息;若否,确定本地DNS存在恶意风险。使用该方法,判断授权DNS接收的DNS解析请求是否由本地DNS直接发送就可以得出该DNS解析是否经过其他DNS解析服务器代为转发解析,并进一步确定该DNS是否存在恶意风险,识别过程简单易于实现。
【技术实现步骤摘要】
域名解析服务器危险性的识别方法和装置
本专利技术涉及互联网安全领域,特别是涉及一种域名解析服务器危险性的识别方法 和装置。
技术介绍
域名系统(Domain Name System,简称DNS)是因特网(Internet)的一项核心服 务,有着极其重要的地位,其作为可以将域名和IP地址相互映射的一个分布式数据库,能 够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。 基于DNS的特点,黑客会建立一些恶意DNS,在劫持的网络范围内拦截域名解析的 请求,分析请求的域名,向一些预设范围内的DNS解析请求返回篡改过的结果或者不返回 任何地址,给用户造成的效果为访问特定的网址时得到错误的网页或者无法打开网页,给 用户的信息安全造成了极大的威胁。 现有技术中检测一个DNS (假设IP地址为A)是否是黑DNS,主要判断依据是检测 该DNS是否存在域名劫持行为。这需要到该DNS上对一组域名进行查询,然后把查询结果 与预期解析结果进行比对,判断是否有劫持嫌疑。如果要检测该地址为A的DNS劫持了域 名D,那么检测该地址为A的DNS针对域名D的解析信息,返回的解析结果会与域名D的正 确解析结果不同,因此,只需要将返回的结果与该域名合法的信息进行比对,如果出现不一 致的情况,就可以认为该地址为A的DNS可能存在劫持域名D的情况。 使用以上现有技术的黑DNS识别技术的前提是:需要提前预知被检测域名的各项 信息,比如有哪些合法的A记录(指定主机名或域名对应的IP地址记录)或CNAME (别名 记录)等。但是对于那些使用了⑶N(Content Delivery Network,内容分发网络)加速的 大型网站,针对一个域名返回的合法解析信息经常会有变动,因此现有的DNS识别方法经 常会出现误报的问题,准确性差,可实施性不强。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上 述问题的域名解析服务器危险性的识别方法和装置。 本专利技术一个进一步的目的是要提高恶意DNS的识别准确度。 本专利技术另一个进一步的目的是要提高识别恶意DNS的可实施性,无需大数量的积 累。 依据本专利技术的一个方面,提供了一种域名解析服务器危险性的识别方法。该域名 解析服务器危险性的识别方法包括:获取待识别的本地域名解析服务器(Local DNS,以下 简称本地DNS)对预设域名解析得到的解析结果;根据解析结果确定预设域名的授权域名 服务器(Authoritative DNS,以下简称授权DNS)接收的DNS解析请求是否由本地DNS直接 发送,其中解析结果中包括由授权DNS添加的DNS解析请求的请求源地址信息;若否,确定 本地DNS存在恶意风险。 可选地,授权DNS配置为将DNS解析请求的请求源地址作为预设域名的解析地址; 根据解析结果确定预设域名的授权DNS接收的DNS解析请求是否由本地DNS直接发送包 括:获取本地DNS的地址;对本地DNS的地址和解析地址进行匹配;若本地DNS的地址和解 析地址匹配,确定DNS解析请求由本地DNS直接发送。 可选地,对本地DNS的地址和解析地址进行匹配包括:比较本地DNS的地址和解析 地址是否相同;若相同,确定本地DNS的地址和解析地址匹配。 可选地,对本地DNS的地址和解析地址进行匹配包括:比较本地DNS的地址的归属 信息和解析地址的归属信息是否相同,归属信息包括地址的归属区域和/或归属运营商; 若相同,确定本地DNS的地址和解析地址匹配。 可选地,若本地DNS的地址和解析地址不匹配,方法还包括:识别解析地址是否为 公共DNS的地址;若是,提升本地DNS的风险等级。 可选地,若本地DNS的地址和解析地址不匹配,方法还包括:获取解析结果的生存 时间值;判断解析结果的生存时间值是否不大于授权DNS预设的生存时间;若否,提升本地 DNS的风险等级。 可选地,若本地DNS的地址和解析地址不匹配,方法还包括:记录多个本地DNS各 自的解析地址,生成解析地址列表;统计解析地址列表中每个解析地址出现的次数,并按照 次数从高到低进行排序;提升使用排序靠前的解析地址对应的本地DNS的风险等级。 根据本专利技术的另一个方面,还提供了一种域名解析服务器危险性的识别装置。该 域名解析服务器危险性的识别装置包括:获取模块,配置为获取待识别的本地DNS对预设 域名解析得到的解析结果;判断模块,配置为根据解析结果确定预设域名的授权DNS接收 的DNS解析请求是否由本地DNS直接发送,若否,确定本地DNS存在恶意风险,其中解析结 果中包括由授权DNS添加的DNS解析请求的请求源地址信息。 可选地,判断模块包括:地址判断子模块,配置为:获取本地DNS的地址;对本地 DNS的地址和解析结果中的解析地址进行匹配,若本地DNS的地址和解析地址匹配,确定 DNS解析请求由本地DNS直接发送,预设域名的授权DNS配置为将请求源的地址作为预设域 名的解析地址。 可选地,地址判断子模块还配置为:比较本地DNS的地址和解析地址是否相同;若 相同,确定本地DNS的地址和解析地址匹配。 可选地,地址判断子模块还配置为:比较本地DNS的地址的归属信息和比较解析 地址的归属信息是否相同,归属信息包括地址的归属区域和/或归属运营商;若相同,确定 本地DNS的地址和解析地址匹配。 可选地,判断模块还包括:地址识别子模块,配置为:识别解析地址是否为公共 DNS的地址;若是,提升本地DNS的风险等级。 可选地,判断模块还包括:生存时间判断子模块,配置为:获取解析结果的生存时 间值;判断解析结果的生存时间值是否不大于授权DNS预设的生存时间是否一致;若否,提 升本地DNS的风险等级。 可选地,上述域名解析服务器危险性的识别装置还包括:统计模块,配置为:记录 多个本地DNS的解析地址,生成解析地址列表;统计解析结果地址列表中每个解析地址出 现的次数,并按照次数从高到低进行排序;提升使用排序靠前的解析地址对应的本地DNS 的风险等级。 本专利技术的域名解析服务器危险性的识别方法,使用待识别的本地DNS向预设域名 发起DNS解析请求,该预设域名的授权DNS返回的解析结果可以反映发送该解析请求的请 求源地址,由于恶意DNS -般会将不在其篡改范围内的DNS解析请求转发给其他DNS解析 服务器代为解析,因此通过判断授权DNS接收的DNS解析请求是否由本地DNS直接发送就 可以得出该DNS解析是否经过其他DNS解析服务器代为转发解析,并进一步确定该DNS是 否存在恶意风险。 进一步地,预设域名的授权DNS可以配置为将DNS解析请求的请求源地址作为预 设域名的解析地址,从而在得到该预设域名的解析结果后,直接判断得到的解析地址是否 与本地DNS的地址匹配,就可以确定本地DNS是否完成了整个解析过程,从而得出本地DNS 的是否恶意的识别结果。 更进一步地,本专利技术的域名解析服务器危险性的识别方法,仅通过设立一个用于 探测DNS解析请求的请求源地址的测试域名,获取DNS的判断依据,无需积累大量的数据用 于分析,识别过程简单易于实现。 上述本文档来自技高网...
【技术保护点】
一种域名解析服务器危险性的识别方法,包括:获取待识别的本地DNS对预设域名解析得到的解析结果;根据所述解析结果确定所述预设域名的授权DNS接收的DNS解析请求是否由所述本地DNS直接发送,其中所述解析结果中包括由所述授权DNS添加的所述DNS解析请求的请求源地址信息;若否,确定所述本地DNS存在恶意风险。
【技术特征摘要】
1. 一种域名解析服务器危险性的识别方法,包括: 获取待识别的本地DNS对预设域名解析得到的解析结果; 根据所述解析结果确定所述预设域名的授权DNS接收的DNS解析请求是否由所述本地 DNS直接发送,其中所述解析结果中包括由所述授权DNS添加的所述DNS解析请求的请求源 地址信息; 若否,确定所述本地DNS存在恶意风险。2. 根据权利要求1所述的方法,其中 所述授权DNS配置为将所述DNS解析请求的请求源地址作为所述预设域名的解析地 址; 根据所述解析结果确定所述预设域名的授权DNS接收的DNS解析请求是否由所述本地 DNS直接发送包括: 获取所述本地DNS的地址; 对所述本地DNS的地址和所述解析地址进行匹配; 若所述本地DNS的地址和所述解析地址匹配,确定所述DNS解析请求由所述本地DNS 直接发送。3. 根据权利要求2所述的方法,其中,对所述本地DNS的地址和所述解析地址进行匹配 包括: 比较所述本地DNS的地址和所述解析地址是否相同; 若相同,确定所述本地DNS的地址和所述解析地址匹配。4. 根据权利要求2所述的方法,其中,对所述本地DNS的地址和所述解析地址进行匹配 包括: 比较所述本地DNS的地址的归属信息和所述解析地址的归属信息是否相同,所述归属 信息包括地址的归属区域和/或归属运营商; 若相同,确定所述本地DNS的地址和所述解析地址匹配。5. 根据权利要求2至4中任一项所述的方法,其中, 若所述本地DNS的地址和所述解析地址不匹配,所述方法还包括: 识别所述解析地址是否为公共DNS的地址; 若是,提升所述本地DNS的风险等级。6. 根据权利要求2至4中...
【专利技术属性】
技术研发人员:郑玉虎,胡宇,刘浩,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。