本发明专利技术提供一种防范DNS缓存攻击的装置和方法,应用在网络安全设备上,该装置执行以下处理流程:步骤A.从接收到的DNS响应报文中获取其携带的被解析域名,并判断所述被解析域名是否在预设的域名监控列表中,如果是,则转步骤B,如果否,则转步骤C;步骤B.判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否全部在白名单中,如果是,则允许该DNS响应报文通过;步骤C.判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否有属于黑名单中的异常IP地址,如果否,则允许该DNS响应报文通过。通过本发明专利技术的技术方案,有效提升了网络安全设备防范DNS的缓存攻击的能力,进一步确保了网络安全。
【技术实现步骤摘要】
一种防范DNS缓存攻击的装置和方法
本专利技术涉及网络安全技术,尤其涉及一种防范DNS缓存攻击的装置和方法。
技术介绍
DNS是域名系统(DomainNameSystem)的缩写,它是由解析器和域名服务器组成的。域名服务器(DNSServer)是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名解析为IP地址功能的服务器。请参考图1,DNS解析域名的流程大体如下:首先由客户端发起域名解析请求,本地DNS服务器收到该请求后,会在本地及缓存中查找,如果没有找到,则会向上一级DNS服务器发起解析请求,上一级DNS服务器会将解析结果通过回应报文返回给本地DNS服务器,此时,本地DNS服务器将所述解析结果存入缓存,以便后续客户端再次请求解析该域名的时候,可以直接返回解析结果,同时会将解析结果返回给本次请求解析该域名的客户端。近年来DNS攻击事件屡屡发生,目前针对DNS缓存进行攻击的行为也非常常见。DNS缓存攻击主要有两类:第一类,DNS服务器会定期更新自己的缓存。缓存更新时,需要向上级服务器发送请求,而攻击者则向DNS服务器发送精心构造的回应报文。比如说,如果DNS服务器更新www.google.com域名时,攻击者向DNS服务器发送回应报文,就有可能攻击成功,将www.google.com域名对应的IP地址改成攻击者指定的IP地址。第二类,攻击者刻意利用一个不存在的某个域名的二级域名来发送请求,这样DNS服务器由于无法解析就会向上级DNS服务器发送域名解析请求,这个时候,攻击者向DNS发送回应报文,就有可能攻击成功。比如说,攻击者想攻击www.google.com,它就可以发送aa.google.com(仅仅是示例,假设该域名并不存在)给DNS服务器,这个时候,攻击者发送回应报文,此报文回复aa.google.com域名不存在,但是在其中附加资源里将www.google.com改成攻击者指定的IP地址,这样一来DNS缓存攻击成功。
技术实现思路
有鉴于此,本专利技术提供一种防范DNS缓存攻击的装置和方法,以解决现有技术存在的不足。具体地,所述装置应用在网络安全设备上,该装置包括:域名判断模块,用于从接收到的DNS响应报文中获取其携带的被解析域名,并判断所述被解析域名是否在预设的域名监控列表中,如果是,则通知范围检测模块,如果否,则通知过滤防护模块;范围检测模块,用于判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否全部在白名单中,如果是,则允许该DNS响应报文通过;过滤防护模块,用于判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否有属于黑名单中的异常IP地址,如果否,则允许该DNS响应报文通过。所述方法包括以下步骤:步骤A、从接收到的DNS响应报文中获取其携带的被解析域名,并判断所述被解析域名是否在预设的域名监控列表中,如果是,则转步骤B,如果否,则转步骤C;步骤B、判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否全部在白名单中,如果是,则允许该DNS响应报文通过;步骤C、判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否有属于黑名单中的异常IP地址,如果否,则允许该DNS响应报文通过。由以上技术方案可见,本专利技术通过设置黑、白名单,进而实现对解析IP地址的监控,并能够过滤异常IP地址,有效地防范了攻击者对DNS缓存的攻击。附图说明图1是典型的DNS请求处理流程图;图2是本专利技术一种实施方式的方法流程图;图3是本专利技术一种实施方式的装置逻辑图。具体实施方式现有技术中,位于DNS请求方与解析方之间的网络安全设备在接收到DNS请求报文后,可以按照随机的算法修改源端口和TID,然后再将DNS请求报文转发出去,同时记录修改前后的源端口和TID的映射关系。在接收到DNS响应报文之后,对比源端口和TID无误后,将所述源端口和TID还原,然后再进行转发。这个方法虽然大大减小了传统缓存攻击的成功率,但是在极端情况下,如果攻击者离散地发送针对某个域名的响应报文,或者是将源端口和TID缩小范围后发送攻击报文,在理论上还是有一定可能会攻击成功的。本专利技术提供一种防范DNS缓存攻击的装置和方法,应用在网络安全设备上,旨在从另一个角度来大幅度提高攻击者对DNS缓存攻击的难度,使得DNS服务更加安全。为了使本专利技术的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本专利技术进行详细描述。请参考图2和图3,在本专利技术一种优选的实施方式中,本专利技术提供一种防范DNS缓存攻击装置,该装置包括:域名判断模块、范围检测模块、过滤防护模块以及名单维护模块。该装置在运行过程中执行如下处理流程:步骤101、从接收到的DNS响应报文中获取其携带的被解析域名,并判断所述被解析域名是否在预设的域名监控列表中。本步骤由域名判断模块执行。在现阶段的互联网中,DNS缓存攻击往往是具有针对性的,大部分的攻击者会选择攻击特定的知名网站,本专利技术利用攻击者这一行为特点,通过对少数知名网站的监控来获知更多的攻击者的身份,通常很多攻击者都可能会攻击这些知名网站。本步骤中,所述预设的域名监控表由管理员配置,通常包括点击率高的知名网站域名以及其他易受攻击的网站域名。通过对预设的域名监控表,不仅能够在后续处理中获知攻击者,更主要的是可以保护这些知名网站的域名不被攻击,毕竟这些知名网站聚集了互联网大部分的访问流量。安全设备会接收到各种各样的报文,其可以利用一些成熟的机制,比如ACL等方式,将DNS响应报文过滤出来做特别处理。在接收到DNS响应报文后,可从DNS响应报文固定的字段中获取其携带的被解析域名,判断所述被解析域名是否在所述预设的域名监控列表中,如果是,说明所述被解析的域名是重点需要监控的域名,转步骤102;如果不是,则转步骤103。步骤102、判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否全部在白名单中,如果是,则允许该DNS响应报文通过。本步骤由范围检测模块执行。所述白名单用于记录合法的IP地址。一个网站通常会对应有多个合法的IP地址,比方说如谷歌、新浪等大型网站,会部署很多台服务器,每台服务器都会有一个私网IP地址,考虑到IP地址的紧缺性,在IPv4网络中,这些服务器会共享多个公网IP地址,而对于上网用户来说,这些公网IP地址上所提供的服务是一致的,因此就会出现一个域名对应多个IP地址的情况。虽然每个域名可能会对应多个IP地址,但是很多时候其对应的所有IP地址都会在一个或者若干个指定的范围内,所以本专利技术可以根据这一个或者若干个指定的IP范围(比如IP地址段)来制定白名单。如果所述解析IP地址全部在白名单中,说明这些解析IP地址是DNS服务器解析出来的合法IP地址,允许所述DNS响应报文通过。如果所述解析IP地址不完全在白名单中,此时并不能确定该解析IP地址就是不合法的,因为这些知名网站很可能会新增更多的公网IP地址资源;因此事实上这种情况可能需要进一步判断,进而转步骤103,并上报日志给网管。网管定期查看所述上报的日志中不在白名单中的解析IP地址,如果所述解析IP地址确实是该网站自身新增的IP地址,则可以通过网管通道通知名单维护模块将该解析IP地址增加到白名单中,以便下次该解析IP地址能够顺利通本文档来自技高网...
【技术保护点】
一种防范DNS缓存攻击的装置,应用在网络安全设备上,该装置包括:域名判断模块,用于从接收到的DNS响应报文中获取其携带的被解析域名,并判断所述被解析域名是否在预设的域名监控列表中,如果是,则通知范围检测模块,如果否,则通知过滤防护模块;范围检测模块,用于判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否全部在白名单中,如果是,则允许该DNS响应报文通过;过滤防护模块,用于判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否有属于黑名单中的异常IP地址,如果否,则允许该DNS响应报文通过。
【技术特征摘要】
1.一种防范DNS缓存攻击的装置,应用在网络安全设备上,该装置包括:域名判断模块,用于从接收到的DNS响应报文中获取其携带的被解析域名,并判断所述被解析域名是否在预设的域名监控列表中,如果是,则通知范围检测模块,如果否,则通知过滤防护模块;范围检测模块,用于判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否全部在白名单中,如果是,则允许该DNS响应报文通过;过滤防护模块,用于判断所述DNS响应报文携带的与该被解析域名对应的解析IP地址是否有属于黑名单中的异常IP地址,如果否,则允许该DNS响应报文通过。2.根据权利要求1所述的装置,其特征在于,范围检测模块进一步用于在判断所述DNS响应报文携带的解析IP地址不完全在白名单中时,通知过滤防护模块处理并上报日志给网管。3.根据权利要求1所述的装置,其特征在于,所述装置还包括:名单维护模块,用于根据网管的指令更新所述白名单和黑名单。4.根据权利要求1所述的装置,其特征在于,过滤防护模块进一步用于当所述DNS响应报文携带的解析IP地址有属于黑名单中的异常IP地址时,删除该DNS响应报文中的异常的解析IP地址,如果删除后所述DNS响应报文中携带的解析IP地...
【专利技术属性】
技术研发人员:田佳星,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。