本发明专利技术提供防御域名解析服务器信息泄露方法,包括以下步骤:S1.根据局域网需求的安全程度以及局域网具有的资源选择对应的防御方案;S2.根据步骤S1选择的防御方案,隔离对内的域名资源记录与对外的域名资源记录;S3.根据步骤S1选择的防御方案,针对性筛选域名解析服务器响应对象。本发明专利技术的目的在于力求保障域名解析服务器的数据安全和功能完整,提供一种兼顾安全性和功能完整性的防御域名解析服务器信息泄露的方法,保障域名解析服务器的功能健全的前提下提高域名解析服务器的安全性。
A method to prevent information leakage of domain name resolution server
【技术实现步骤摘要】
一种防御域名解析服务器信息泄露方法
本专利技术涉及网络安全
,特别涉及一种基于反向查询局域网保留IP地址的防御域名解析服务器信息泄露方法。
技术介绍
目前,局域网管理员针对非入侵式域名解析服务器信息泄露的防御办法有两种。1.人工对域名解析服务器的流量进行分析,例如:查看是否大量存在请求敏感类型(例如:TXT、LOC、SSHFP、HINFO)的域名资源记录的域名查询流量、查看请求敏感类型的域名资源记录的对象是否相同(或具有强关联性);2.阉割域名解析服务器的部分功能,例如:将PTR类型的域名资源记录都指向本机127.0.0.1/localhost,或是指向空白bogon/<ROOT>,使域名解析服务器的反向查询功能名存实亡。然而,对于本专利针对的基于反向查询局域网保留IP地址的域名解析服务器信息泄露,上述现有的防御办法存在明显的缺陷:一、人工分析域名解析服务器流量难以察觉利用反向查询引发的域名解析服务器信息泄露。恶意攻击者反向查询请求的PTR类型的域名资源记录不属于敏感类型,不会受到服务器管理员的关注。利用反向查询局域网保留IP地址引发信息泄露的流量与局域网内正常用户进行域名查询产生的流量几乎无异,与广域网正常用户因查询参数错误而误操作产生的流量完全一致。因此,只有对该漏洞有研究、专门针对该漏洞进行流量筛选的域名解析服务器管理员才会在流量分析中发现该信息泄露的痕迹,并进行针对性补救。大部分域名解析服务器管理员无法通过流量分析发现并防御该信息泄露。二、阉割域名解析服务器的反向查询功能妨碍某些互联网主机正常获取互联网服务。RFC1912指出,若任意特定互联网主机的PTR记录与A记录不匹配、不一致将会导致该主机的部分互联网服务丢失,形同该主机未在DNS上注册。将PTR都指向本机或空白可能引发安全检查错误,导致某些互联网服务的DNS域名资源记录无效。三、阉割域名解析服务器的反向查询功能,使域名解析服务器失去了反向查询的功能,损害了服务器的功能完整性。
技术实现思路
本专利技术的目的在于力求保障域名解析服务器的数据安全和功能完整,提供一种兼顾安全性和功能完整性的防御域名解析服务器信息泄露的方法,保障域名解析服务器的功能健全的前提下提高域名解析服务器的安全性。为解决上述技术问题,本专利技术的技术方案如下:一种防御域名解析服务器信息泄露方法,包括以下步骤:S1.根据局域网需求的安全程度以及局域网具有的资源(可用于域名解析服务器部署的资源)选择对应的防御方案S2.根据步骤S1选择的防御方案,隔离对内的域名资源记录(RRs)与对外的域名资源记录;S3.根据步骤S1选择的防御方案,针对性筛选域名解析服务器响应对象(IP地址)。在一种优选方案中,所述S1的具体步骤如下:S11.确定局域网所需的安全保护程度,参考的指标包括:局域网内部设施重要程度、局域网整体安全要求程度;S12.统计目标防御局域网可用于DNS部署的资源,包括:服务器数量、服务器硬件性能参数、具有流量清洗功能的路由器;S13.评估目标防御局域网的DNS应有的性能,参考的指标包括:域名资源记录数量、DNS服务的范围、DNS历史吞吐量;S14.根据步骤S1-S3的结果,在选择对应最适应的防御方案。在一种优选方案中,所述的域名资源记录的隔离粒度包括以服务器为单位和以区域文件为单位。在一种优选方案中,所述的域名资源记录以服务器为隔离粒度需要设置2台域名解析服务器(不包括用于备份的辅助域名解析服务器),1台对内域名解析服务器,1台对外域名解析服务器;以区域文件(zonefile)为隔离粒度需要设置2个区域文件,1个区域文件存储反映了局域网保留IP地址与域名的映射关系的、对内的域名资源记录,1个区域文件存储反映了广域网IP地址与域名的映射关系的、对外的域名资源记录。在一种优选方案中,所述服务器响应对象的筛选粒度包括以应用软件为单位、以区域文件为单位和以数据包为单位。在一种优选方案中,所述服务器响应对象以应用软件为筛选粒度:对应用软件的服务对象进行限制,限制域名解析应用软件可以响应的对象。允许对外域名解析服务器中的域名解析应用软件响应任何IP地址发送的任何域名解析请求,仅允许对内域名解析服务器中的域名解析应用软件响应局域网保留IP地址发送的任何域名解析请求,不允许对内域名解析服务器中的域名解析应用软件响应广域网IP地址发送的任何域名解析请求;所述服务器响应对象以区域文件为筛选粒度:对区域文件进行访问控制,严格限制每一个区域文件的访问对象。存储对内域名资源记录的区域文件仅供局域网用户访问(局域网保留IP地址),存储对外域名资源记录的区域文件可供所有用户访问;所述服务器响应对象以数据包筛选粒度:利用防火墙对每个数据包进行筛选,设置规则去除所使用的网络协议为DNS,请求RRs类型参数为PTR,请求域名参数为局域网保留IP地址的数据包。与现有技术相比,本专利技术技术方案的有益效果是:相较于其他防御域名解析服务器信息泄露的方法,本专利技术提出的技术方案,具有以下优势:第一,弥补现有技术的缺陷,将PTR类型的域名资源记录指向了正确的域名,有效提供了反向查询的服务,避免了RFC1912指出的域名资源记录被无效的情况。第二,有效防御了基于反向查询局域网保留IP地址的域名解析服务器信息泄露。第三,该方法容易实施,且灵活适应多种层次的安全需求和不同的资源配置情况。附图说明图1是本专利技术提供的防御域名解析服务器信息泄露方法的流程图;图2是本实施例2的步骤S2防御域名解析服务器信息泄露方案部署图。具体实施方式附图仅用于示例性说明,不能理解为对本专利的限制;为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。下面结合附图和实施例对本专利技术的技术方案做进一步的说明。实施例1为解决上述技术问题,本专利技术的技术方案如下:一种防御域名解析服务器信息泄露方法,包括以下步骤:S1.根据局域网需求的安全程度以及局域网具有的资源(可用于域名解析服务器部署的资源)选择对应的防御方案S2.根据步骤S1选择的防御方案,隔离对内的域名资源记录(RRs)与对外的域名资源记录;S3.根据步骤S1选择的防御方案,针对性筛选域名解析服务器响应对象(IP地址)。实施例2本实施例提供的一种防御域名解析服务器信息泄露方法与实施例1一致,仅对各步骤进行进一步的限定,包括以下步骤:S1.根据局域网需求的安全程度以及局域网具有的资源选择对应的防御方案S2.根据步骤S1选择的防御方案,隔离对内的域名资源记录(RRs)与对外的域名资源记录;S3.根据步骤S1选择的防御方案,针对性筛选域名解析服务器响应对象(IP地址)。在一种本文档来自技高网...
【技术保护点】
1.一种防御域名解析服务器信息泄露方法,其特征在于,包括以下步骤:/nS1.根据局域网需求的安全程度以及局域网具有的资源选择对应的防御方案;/nS2.根据步骤S1选择的防御方案,隔离对内的域名资源记录与对外的域名资源记录;/nS3.根据步骤S1选择的防御方案,针对性筛选域名解析服务器响应对象。/n
【技术特征摘要】
1.一种防御域名解析服务器信息泄露方法,其特征在于,包括以下步骤:
S1.根据局域网需求的安全程度以及局域网具有的资源选择对应的防御方案;
S2.根据步骤S1选择的防御方案,隔离对内的域名资源记录与对外的域名资源记录;
S3.根据步骤S1选择的防御方案,针对性筛选域名解析服务器响应对象。
2.根据权利要求1所述的防御域名解析服务器信息泄露方法,其特征在于,所述S1的具体步骤如下:
S11.确定局域网所需的安全保护程度,参考的指标包括:局域网内部设施重要程度、局域网整体安全要求程度;
S12.统计目标防御局域网可用于DNS部署的资源,包括:服务器数量、服务器硬件性能参数、具有流量清洗功能的路由器;
S13.评估目标防御局域网的DNS应有的性能,参考的指标包括:域名资源记录数量、DNS服务的范围、DNS历史吞吐量;
S14.根据步骤S1-S3的结果,在选择对应最适应的防御方案。
3.根据权利要求2所述的防御域名解析服务器信息泄露方法,其特征在于,所述的域名资源记录的隔离粒度包括以服务器为单位和以区域文件为单位。
4.根据权利要求3所述的防御域名解析服务器信息泄露方法,其特征在于,所述的域名资源记录以服务器为隔离粒度需要设置2台域名解析服务器,1台对内域名解析服务器,1台对外域名解析服务器;以区...
【专利技术属性】
技术研发人员:金舒原,罗穗,
申请(专利权)人:中山大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。