本申请提供一种阻止DNS缓存攻击的方法及装置,所述方法包括:获取客户端发送的请求报文及第一查询ID;接收返回的应答报文及第二查询ID;判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;若不相同,则拦截所述应答报文。应用本申请实施例,防护设备可以在DNS缓存攻击时,避免拦截正常的应答报文,从而实现准确拦截DNS缓存攻击的应答报文。
【技术实现步骤摘要】
本申请涉及网络安全
,尤其涉及阻止DNS缓存攻击方法及装置。
技术介绍
DNS是域名系统(Domain Name System)的缩写,它是由解析器和域名服务器组成的。域名服务器(DNS Server)是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。DNS域名解析的流程大体如下:首先由客户端发起域名解析请求(以下称为请求报文),本地DNS服务器收到该客户端的请求报文后,会在本地的DNS缓存(DNS Cache)中查找,如果查找到了,则将结果返回给客户端;如果没有查找到,则会向上一级DNS服务器发起请求,上一级DNS服务器将解析结果通过DNS应答报文(DNS Reply,以下简称应答报文)返回给本地DNS服务器;此时,本地DNS服务器将所述应答报文中的解析结果存入缓存,以便所述客户端再次请求解析该域名时,可以直接返回解析结果,同时会将解析结果返回给发起本次请求报文的客户端。近些年来针对DNS缓存进行攻击的行为越来越多。由于DNS缓存采用先到先得的机制,即只对先收到的应答报文中的解析结果进行存储,而舍弃后续到达的应答报文;这样,如果攻击者通过发送大量伪造的应答报文,只要有一个伪装的应答报文在正常的应答报文达到之前先达到本地DNS服务器,那么DNS缓存攻击就会成功;相应地,在DNS缓存中正常域名对应的IP就会记录为虚假的IP。现有技术中,对于上述问题,主要是在本地DNS服务器上设置防护设备,
通过所述防护设备对接收到的应答报文中域名、源IP、目的IP这些元素进行统计,如果在预设时间内上述元素相同的应答报文数量大于一定阈值,则判定为存在DNS缓存攻击,并将大于阈值的应答报文拦截。然而,在实际应用中,由于伪装的应答报文中上述元素都是和正常的应答报文相同的,所以当正常的应答报文夹杂在大量伪装的应答报文中间时,也会被统计入数量中,从而在数量大于阈值后,正常的应答报文也会被拦截。
技术实现思路
本申请提供一种阻止DNS缓存攻击方法及装置,以解决现有技术中存在无法准确拦截DNS缓存攻击的应答报文的问题。根据本申请实施例提供的一种阻止DNS缓存攻击方法,所述方法包括:获取客户端发送的请求报文及第一查询ID;接收返回的应答报文及第二查询ID;判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;若不相同,则拦截所述应答报文。根据本申请实施例提供的一种阻止DNS缓存攻击装置,所述装置包括:获取单元,用于获取客户端发送的请求报文及第一查询ID;接收单元,用于接收返回的应答报文及第二查询ID;判断单元,用于判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;拦截单元,用于在所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID不相同时,拦截所述应答报文。本申请实施例中,通过设置查询ID,而一次正常的DNS请求中,应答报文和请求报文中的端口号和查询ID通常是一致的,而攻击者由于无法获取上述查询ID,所以返回的伪装的应答报文中端口号和查询ID通常与请求报文是不一致的。如此,通过对比应答报文和请求报文中端口号和查询ID是否相
同,对于不相同的,说明是伪装的应答报文,从而拦截该应答报文。实现了准确拦截DNS缓存攻击的应答报文的目的。附图说明图1是本申请一示例性实施例示出的一种阻止DNS缓存攻击的示意图;图2是本申请一示例性实施例示出的一种阻止DNS缓存攻击的方法流程图;图3是本申请一示例性实施例示出的一种阻止DNS缓存攻击的方法流程图;图4是本申请一示例性实施例示出的一种阻止DNS缓存攻击的方法流程图;图5是本申请一示例性实施例示出的以防护设备为主体的方法流程图;图6是本申请一示例性实施例示出的以防护设备为主体的方法流程图;图7是本申请一示例性实施例示出的以防护设备为主体的方法流程图;图8是本申请提供的一种阻止DNS缓存攻击装置所在设备的一种硬件结构图;图9是本申请一示例性实施例示出的一种阻止DNS缓存攻击装置的模块示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。如图1所示为本申请一示例性实施例示出的一种阻止DNS缓存攻击的示意图,可以包括客户端、本地DNS服务器和上级DNS服务器。所述客户端与本地DNS服务器、所述本地DNS服务器与上级DNS服务器通过网络可以实现信息的通信,继而完成交互和数据的处理。所述网络可以包括有线或无线电信装置。例如,所述网络可以包括局域网(“LAN”)、广域网(“WAN”)、内部网、互联网、移动电话网络、虚拟专用网(VPN)、蜂窝式或其它移动通信网络、蓝牙、NFC或其任何组合。所述客户端可以向本地DNS服务器发送请求报文,并接收所述本地DNS服务器返回的应答报文。所述客户端可以包括台式计算机、膝上型计算机、平板计算机、智能手机、手持式计算机、个人数字助理(“PDA”),或者其它任何的有线或无线处理器驱动装置。所述本地DNS服务器可以向上级DNS服务器转发客户端发送的请求报文,并接收经由上级DNS服务器解析后返回的应答报文。所述本地DNS服务器上可以设置防护设备。所述防护设备可以拦截DNS缓存攻击的应答报文,转发正常的应答报文至客户端。如图2所示为本申请一示例性实施例示出的一种阻止DNS缓存攻击的方法的流程图,所述方法可以包括如下步骤:步骤1:客户端向防护设备发送请求报文及第一查询ID。所述第一查选ID可以是客户端随机生成的一个身份标识。即,客户端每当需要发送一次请求报文时都会随机生成一个第一查询ID,并将该第一查询ID和请求报文发送至防护设备。步骤2:所述防护设备转发所述客户端发送的请求报文及第一查询ID至上
级DNS服务器。步骤3:所述防护设备接收返回的应答报文及第二查询ID。所述应答报文可以是来自上级DNS服务器根据所述请求报文解析返回的正常的应答报文;也可能是来自攻击者根据所述请求报文解析后返回的伪装的应答报文。本实施例就是为了找出伪装的应答报文,从而进行拦截,而将正常的应答报文转发给客户端。所述第二查询ID是对应与所述第一查询ID。如果是正常的应答报文,由于上级服务器本文档来自技高网...
【技术保护点】
一种阻止DNS缓存攻击的方法,其特征在于,所述方法包括:获取客户端发送的请求报文及第一查询ID;接收返回的应答报文及第二查询ID;判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;如果不相同,则拦截所述应答报文。
【技术特征摘要】
1.一种阻止DNS缓存攻击的方法,其特征在于,所述方法包括:获取客户端发送的请求报文及第一查询ID;接收返回的应答报文及第二查询ID;判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;如果不相同,则拦截所述应答报文。2.根据权利要求1所述的方法,其特征在于,在所述拦截所述应答报文之后,所述方法还包括:将所述被拦截的应答报文中的应答IP记录到攻击信息表中。3.根据权利要求2所述的方法,其特征在于,所述攻击信息表包括攻击信息哈希表。4.根据权利要求2所述的方法,其特征在于,所述攻击信息表每隔预设时长清空一次。5.根据权利要求2所述的方法,其特征在于,在判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同之后,所述方法还包括:如果相同,则查询攻击信息表中是否存在所述应答报文中的应答IP;如果存在,则拦截所述应答报文。6.根据权利要求1所述的方法,其特征在于,在判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同之前,所述方法还包括:判断所述应答报文中四元组和所述请求报文中的四元组是否相同;所述四元组包括域名、源IP、目的IP和端口号;如果相同,则执行判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同的步骤;如果不相同,则拦截所述应答报文。7.一种阻止DNS缓存攻击的装置,其特征在于,所述装置包括:获取单元,用于获取客户端发送的请求报文及第一查询ID;接收单元,用于接收返回的应答...
【专利技术属性】
技术研发人员:焦磊磊,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。