本公开涉及减少针对动态生成的下一安全(NSEC)记录的拒绝服务(DoS)攻击。域名系统(DNS)代理(602)通过对用户数据报协议(UDP)DNS请求(620)回复(626)空白的或预定的资源记录,该资源记录设置有截断位以指示该记录太大而无法放在单个UDP分组有效载荷中,进而强迫客户机(600)经由传输控制协议(TCP)传输DNS查询,从而防止伪造的IP地址。在该DNS规范中,客户机必须经由TCP重新传输该DNS请求。在收到(634)经由TCP重新传输的请求后,DNS代理生成(640)虚构的邻居地址和签名的NSEC记录并将该记录传输(642)给客户机。因此,该DNS代理不必浪费资源来为经UDP来自伪造IP地址的请求生成和加密记录。
【技术实现步骤摘要】
【国外来华专利技术】用于减少对下一安全记录的拒绝服务攻击的系统和方法相关申请本申请要求在2013年5月15日提交的、名称为“SystemsandMethodsForReducingDenialOfServiceAttacksAgainstDynamicallyGeneratedNextSecureRecords”的美国非临时申请No.13/895279的权益和优先权,通过引用将该美国非临时申请全部包含于此,以用于各种目的。
本申请总的涉及数据通信网络。本申请尤其涉及用于减少针对动态生成的下一安全(NSEC,nextsecure)域名系统(DNS)记录的拒绝服务(DoS)攻击的系统和方法。
技术介绍
域名系统(DNS)是用于连接到网络(例如互联网)的计算机或服务的层次化分布式命名系统,并且其将人类可读且易于记忆的名称与互联网协议(IP)地址相关联。客户计算装置可将对于指定域名(例如,www.example.com)的IP地址的请求传输给顶级或根名称服务器,后者可以以维护关于.com域的地址列表的名称服务器的标识来进行回复。客户机可传输请求给该名称服务器,该名称服务器可以以维护关于example.com域的列表的名称服务器的地址来进行回复。该过程可以不断地重复,直到客户机收到所请求的子域的地址为止。恶意的攻击者可以拦截这些请求和/或响应,并且以伪造的或欺诈性的地址进行回复。例如,攻击者可以拦截来自客户机的对www.clientbank.com的地址的请求,并且可以回复寄载伪造的该银行登录页面的服务器的IP地址。当客户机用户尝试登录到他们的银行帐户时,攻击者可以捕获帐号和密码。为了防止这样的攻击,已经使用DNS安全扩展(DNSSEC,DNSSecurityExtensions)规范来增强DNS规范。可以对DNS响应进行数字签名,其中签名是通过使用非对称加密算法加密该响应或响应的一部分而计算出的。为了解密并验证从名称服务器(例如,对于www.clientbank.com的名称服务器)接收的签名,客户机可以从父名称服务器(例如,对于clienbank.com的名称服务器)获取该名称服务器的对应公开密钥。该密钥也可以是经该父名称服务器签名的,并且客户机可以从祖父名称服务器(例如,对于.com域的名称服务器)获取该父名称服务器的公开密钥。相应地,可以从顶级或根域到子域的名称服务器建立信任链,每个名称服务器为在层次中位于其下方的名称服务器进行担保。在该DNS规范中,如果客户机请求不存在的子域(例如,non-existent-server.example.com)的地址,则权威名称服务器以空白资源记录进行回复。由于记录的DNSSEC签名是该记录的加密副本,所以这意味着没有什么要签名的,并且相应地该响应不能被信任。为了提供可签名的响应,DNSSEC规范指示名称服务器应该回复下一安全(NSEC)记录,其标识在所请求的不存在记录之前和之后的现有记录。相应地,响应于对non-existent-server.example.com的查询,名称服务器可以回复签名的NSEC记录,该记录标识在前的mail.example.com和在后的www.example.com。如上文所讨论的,客户机可以验证该签名,并且因为mail和www是连续的记录且关于non-existent-server(不存在的服务器)的记录本该位于它们之间,客户机隐含地识别所请求的non-existent-server并不存在。然而,通过提供域中前一个和下一个服务器的名称,恶意的攻击者可很容易地通过“遍历”地址树来获取该域中每个服务器的地址:攻击者首先请求here-is-a-fake-server-name.example.com(伪造服务器)的地址,然后会收到实际的服务器ftp.example.com和mail.example.com的名称。接着,攻击者请求mail-00000001.example.com,就可以收到实际服务器mail.example.com和www.example.com的名称。相应地,通过包含每个收到的名称的略微递增或递减的版本,攻击者可确定该域中每个实际服务器的名称(并因此经由额外的DNS请求确定其地址),接着可以将这些名称作为其他攻击的目标。为了抵御这种树遍历,名称服务器可以对于标识所请求的服务器的不存在的邻居的NSEC记录生成伪服务器名称。例如,响应于对fake-server-name-b.example.com的请求,名称服务器可以回复签名的NSEC记录,该记录标识虚构的“在前”服务器fake-server-name-a和虚构的“在后”服务器fake-server-name-c。客户机可以验证该签名并且信任该响应,而且没有任何额外信息被透露。然而,尽管创建对于无效服务器名称的DNS请求则非常容易,但动态生成虚构邻居名称并对记录进行数字签名可能消耗大量处理器资源。因此,恶意的攻击者可以通过下面的方式容易地执行针对名称服务器的拒绝服务(DenialofService,DoS)攻击:发出很多对于不存在的服务器的地址的请求,占用名称服务器并阻止其能对合法的客户机请求进行快速响应。为了隐藏攻击者并防止过滤,攻击者可对于请求使用伪造的IP地址。这是可能的,因为大部分DNS查询都是经由不可靠的、无连接的、无状态的或非同步的协议,例如用户数据报协议(UDP)来传输的,其缺少在发送者和接收者之间的握手或同步过程。
技术实现思路
为了削弱恶意攻击者执行这样的拒绝服务攻击的能力,名称服务器可以通过强迫客户机经由可靠的或面向连接的协议,例如传输控制协议(TCP),传输DNS查询来防止伪造的IP地址。因为请求者必须与名称服务器执行握手过程,所以名称服务器会知道该请求者的地址,这允许在拒绝服务尝试的情况下进行过滤或速率限制。名称服务器可以通过向无连接的或UDPDNS请求回复空白的或预定的资源记录来强迫客户机使用面向连接的协议或TCP,该空白的或预定的资源记录设置有截断位以指示该记录太大而无法放在单个UDP分组有效载荷中。在该DNS规范下,客户机必须经由TCP重新传输DNS请求。在收到经由TCP重新传输的请求后,名称服务器可生成虚构的邻居地址和签名的NSEC记录并将该记录传输给客户机。因此,该名称服务器不必浪费时间和处理器周期来为经由UDP来自伪造IP地址的请求生成和加密记录或记录的部分或者与记录或记录的部分对应的哈希以生成签名。另外,在许多实施例中,上述DoS防止算法可以由在客户机和一个或多个名称服务器之间部署的名称服务器代理来执行。这样做可以给本身不支持DNSSEC的服务器提供DNSSEC能力。一方面,本公开涉及用于减少针对动态生成的下一安全(NSEC)记录的拒绝服务(DoS)攻击的方法。该方法包括通过由第一计算装置执行的域名系统(DNS)代理接收来自客户机的解析由第二计算装置执行的服务器所寄载的域名或针对由该服务器维护的DNS资源记录的第一用户数据报协议(UDP)请求。该方法还包括由所述DNS代理向所述服务器传输解析所述域名的第二请求或对于所述资源记录的第二请求。该方法还包括由所述DNS代理接收来自所述服务器的对第二请求的响应,该响应指示名称错误或者指示不存在对应的资源本文档来自技高网...
【技术保护点】
一种用于减少针对动态生成的下一安全(NSEC)记录的拒绝服务(DoS)攻击的方法,包括:通过由第一计算装置执行的域名系统(DNS)代理接收来自客户机的对于由第二计算装置执行的服务器所维护的DNS资源记录的第一用户数据报协议(UDP)请求;由所述DNS代理向所述服务器传输对于所述DNS资源记录的第二请求;由所述DNS代理从所述服务器接收对所述第二请求的响应,所述响应指示名称错误或者不存在对应的资源记录;以及响应于收到指示名称错误或者不存在对应的资源记录的所述对第二请求的响应,由所述DNS代理向所述客户机传输对所述第一请求的设置有截断位的预定响应。
【技术特征摘要】
【国外来华专利技术】2013.05.15 US 13/8952791.一种用于减少针对动态生成的下一安全(NSEC)记录的拒绝服务(DoS)攻击的方法,包括:通过由第一计算装置执行的域名系统(DNS)代理接收来自客户机的对于由第二计算装置执行的服务器所维护的DNS资源记录的第一请求,所述第一请求是经由用户数据报协议(UDP)传输的;由所述DNS代理向所述服务器传输对于所述DNS资源记录的第二请求;由所述DNS代理从所述服务器接收并缓存对所述第二请求的响应,所述响应指示名称错误或者不存在对应的资源记录;响应于收到指示名称错误或者不存在对应的资源记录的所述对第二请求的响应,由所述DNS代理向所述客户机传输设置有截断位的预定响应,该预定响应不同于从所述服务器接收的响应,其包括空白DNS资源记录或由于UDP有效载荷限制而被截断的虚构资源记录;由所述DNS代理接收来自所述客户机或第二客户机的其中一个对同一DNS资源记录的第二UDP请求;以及由所述DNS代理响应于确定缓存中存在与该第二UDP请求对应的响应,以所述设置有截断位的预定响应对所述第二UDP请求进行响应。2.根据权利要求1所述的方法,还包括:由所述DNS代理接收来自所述客户机的对于所述DNS资源记录的第一请求的重新传输,该重新传输的第一请求是经由传输控制协议(TCP)传输的;由所述DNS代理响应于收到该经由TCP重新传输的第一请求来生成认证的NSEC记录,该认证的NSEC记录将所述DNS资源记录标识为不存在;以及由所述DNS代理经由TCP向所述客户机传输所述认证的NSEC记录。3.根据权利要求2所述的方法,还包括在所述客户机和所述DNS代理之间经由TCP建立传输层连接。4.根据权利要求2所述的方法,其中生成所述认证的NSEC记录包括生成标识所请求的DNS资源记录的虚构近邻的NSEC响应。5.根据权利要求2所述的方法,还包括由所述DNS代理缓存所生成的将所述DNS资源记录标识为不存在的认证的NSEC记录。6.根据权利要求5所述的方法,还包括:由所述DNS代理经由TCP接收来自第二客户机的对于所述DNS资源记录的第三请求;由所述DNS代理在缓存中识别所述认证的NSEC记录;以及由所述DNS代理经由TCP向所述第二客户机传输所述认证的NSEC记录。7.根据权利要求1所述的方法,还包括:由所述DNS代理确定在该代理的DNS缓存中不存在所述DNS资源记录;以及其中向所述服务器传输所述第二请求是响应于所述确定而执行的。8.根据权利要求1所述的方法,其中所述服务器不支持域名系统安全扩展(DNSSEC)。9.根据权利要求1所述的方法,其中收到对第一请求的设置有截断位的预定响应使得所...
【专利技术属性】
技术研发人员:M·姆提安,
申请(专利权)人:思杰系统有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。