一种防御域名解析服务器信息泄露方法技术

本发明专利技术提供防御域名解析服务器信息泄露方法，包括以下步骤：S1.根据局域网需求的安全程度以及局域网具有的资源选择对应的防御方案；S2.根据步骤S1选择的防御方案，隔离对内的域名资源记录与对外的域名资源记录；S3.根据步骤S1选择的防御方案，针对性筛选域名解析服务器响应对象。本发明专利技术的目的在于力求保障域名解析服务器的数据安全和功能完整，提供一种兼顾安全性和功能完整性的防御域名解析服务器信息泄露的方法，保障域名解析服务器的功能健全的前提下提高域名解析服务器的安全性。

A method to prevent information leakage of domain name resolution server

【技术实现步骤摘要】
一种防御域名解析服务器信息泄露方法
本专利技术涉及网络安全
，特别涉及一种基于反向查询局域网保留IP地址的防御域名解析服务器信息泄露方法。
技术介绍
目前，局域网管理员针对非入侵式域名解析服务器信息泄露的防御办法有两种。1.人工对域名解析服务器的流量进行分析，例如：查看是否大量存在请求敏感类型(例如：TXT、LOC、SSHFP、HINFO)的域名资源记录的域名查询流量、查看请求敏感类型的域名资源记录的对象是否相同(或具有强关联性)；2.阉割域名解析服务器的部分功能，例如：将PTR类型的域名资源记录都指向本机127.0.0.1/localhost，或是指向空白bogon/<ROOT>，使域名解析服务器的反向查询功能名存实亡。然而，对于本专利针对的基于反向查询局域网保留IP地址的域名解析服务器信息泄露，上述现有的防御办法存在明显的缺陷：一、人工分析域名解析服务器流量难以察觉利用反向查询引发的域名解析服务器信息泄露。恶意攻击者反向查询请求的PTR类型的域名资源记录不属于敏感类型，不会受到服务器管理员的关注。利用反向查本文档来自技高网...

【技术保护点】
1.一种防御域名解析服务器信息泄露方法，其特征在于，包括以下步骤：/nS1.根据局域网需求的安全程度以及局域网具有的资源选择对应的防御方案；/nS2.根据步骤S1选择的防御方案，隔离对内的域名资源记录与对外的域名资源记录；/nS3.根据步骤S1选择的防御方案，针对性筛选域名解析服务器响应对象。/n

【技术特征摘要】
1.一种防御域名解析服务器信息泄露方法，其特征在于，包括以下步骤：
S1.根据局域网需求的安全程度以及局域网具有的资源选择对应的防御方案；
S2.根据步骤S1选择的防御方案，隔离对内的域名资源记录与对外的域名资源记录；
S3.根据步骤S1选择的防御方案，针对性筛选域名解析服务器响应对象。


2.根据权利要求1所述的防御域名解析服务器信息泄露方法，其特征在于，所述S1的具体步骤如下：
S11.确定局域网所需的安全保护程度，参考的指标包括：局域网内部设施重要程度、局域网整体安全要求程度；
S12.统计目标防御局域网可用于DNS部署的资源，包括：服务器数量、服务器硬件性能参数、具有流量清洗功能的路由器；
S13.评估目标防御局域网的DNS应有的性能，参考的指标包括：域名资源记录数量、DNS服务的范围、DNS历史吞吐量；
S14.根据步骤S1-S3的结果，在选择对应最适应的防御方案。


3.根据权利要求2所述的防御域名解析服务器信息泄露方法，其特征在于，所述的域名资源记录的隔离粒度包括以服务器为单位和以区域文件为单位。


4.根据权利要求3所述的防御域名解析服务器信息泄露方法，其特征在于，所述的域名资源记录以服务器为隔离粒度需要设置2台域名解析服务器，1台对内域名解析服务器，1台对外域名解析服务器；以区...

【专利技术属性】
技术研发人员：金舒原，罗穗，
申请(专利权)人：中山大学，
类型：发明
国别省市：广东;44