【技术实现步骤摘要】
本专利技术属于计算机网络安全
,涉及一种基于DNS报文深度解析的缓存中毒检测方法及装置。
技术介绍
在计算机网络通信中,主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此,更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。然而网络通信是基于IP协议来运转的,通过域名并不能直接找到要访问的主机。因此主机需要将用户输入的域名转换为IP地址,这个过程被称为域名解析。为了完成域名解析,需要域名系统(DomainNameSystem,DNS)来配合,其是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。通过域名系统,用户进行某些应用时,可以直接使用便于记忆的且有意义的域名,而由网络中的DNS服务器将域名解析为正确的IP地址然后返回给用户的主机。域名服务器,是指保存有该网络中所有主机的域名和对应...
【技术保护点】
一种基于DNS报文深度解析的缓存中毒检测方法,包括以下步骤:1)分别获得镜像的DNS递归服务器与DNS权威服务器间的DNS流量1以及DNS递归服务器与DNS终端用户间的DNS流量2;2)解析DNS流量1中的DNS应答报文中的网络域名地址信息,并对其进行统计,如果在设定的统计周期内某个域名的响应次数超过了设定的阈值,则确定存在DNS投毒攻击;解析DNS流量2中的DNS应答报文,当其中的域名信息与用户配置的域名一致,但检测到存储的网络域名地址信息与接收到的DNS应答报文中的网络域名地址信息不一致时,则确定存在DNS中毒。
【技术特征摘要】
1.一种基于DNS报文深度解析的缓存中毒检测方法,包括以下步骤:
1)分别获得镜像的DNS递归服务器与DNS权威服务器间的DNS流量1以及DNS递归服
务器与DNS终端用户间的DNS流量2;
2)解析DNS流量1中的DNS应答报文中的网络域名地址信息,并对其进行统计,如果在
设定的统计周期内某个域名的响应次数超过了设定的阈值,则确定存在DNS投毒攻击;解析
DNS流量2中的DNS应答报文,当其中的域名信息与用户配置的域名一致,但检测到存储的
网络域名地址信息与接收到的DNS应答报文中的网络域名地址信息不一致时,则确定存在DNS
中毒。
2.如权利要求1所述的基于DNS报文深度解析的缓存中毒检测方法,其特征在于,还包括
在确定存在DNS中毒时,发送DNS中毒告警信息,所述DNS中毒告警信息中包含变化前后
的网络域名地址信息比对。
3.如权利要求1所述的基于DNS报文深度解析的缓存中毒检测方法,其特征在于,采用双
缓存存储进行统计的DNS应答报文中的网络域名地址信息,当前统计周期结束时,下一周期
的域名地址信息存储到另外的缓存中。
4.一种基于DNS报文深度解析的缓存中毒检测装置,包括DNS报文分析器,所述DNS报
文分析器用于接收镜像的DNS递归服务器与DNS权威服务器间以及DNS递归服务器与DNS
终端用户间的DNS流量,解析相应的DNS应答报文中的网络域名信息,将其保存到DNS报
文分析器内存中并对其进行统计分析,根据统计分析结果确定是否存在缓存中毒。
5.如权利要求4所述的基于DNS...
【专利技术属性】
技术研发人员:李晓东,李洪涛,张恒,张鹏,孙才,姜涛,
申请(专利权)人:中国互联网络信息中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。