【技术实现步骤摘要】
一种递归域名服务器解析异常的主动检测方法
[0001]本专利技术涉及网络安全
,特别是涉及一种递归域名服务器解析异常的主动检测方法。
技术介绍
[0002]域名系统(DNS)是互联网中一项重要的基础服务设施,本质是一个将域名和IP地址相互映射的分布式数据库。递归域名服务器作为域名系统的关键组成部分,为用户提供域名解析服务。域名解析是很多互联网服务的基础,一旦域名解析出现异常,将直接影响用户后续的网络访问。当前互联网中存在大量解析异常的递归域名服务器,严重影响互联网的安全。
[0003]递归域名服务器常常由于自身配置错误或受到攻击导致域名解析异常现象发生,解析异常的递归域名服务器往往无法正常提供服务,例如将域名解析为异常IP地址或无法进行域名解析,配置了该递归域名服务器的主机将无法访问到正确IP地址或无法访问网络。可见,域名解析异常给互联网安全和访问造成严重影响。
[0004]目前,对递归域名服务器解析异常的检测多停留在对DNS响应报文回答部分的A记录进行检测,并不检测响应报文中其他部分,因此对递归域名服务器解析异常的检测不够全面,忽略了很多异常DNS响应报文,不能及时全面地阻止递归域名服务器解析异常给互联网带来的危害。
技术实现思路
[0005]本专利技术为了解决现有技术对递归域名服务器解析异常检测不够全面的问题,提供一种全面地检测、阻止的递归域名服务器解析异常的方法。
[0006]本专利技术提供一种递归域名服务器解析异常的主动检测方法,包括以下步骤:
[0007 ...
【技术保护点】
【技术特征摘要】
1.一种递归域名服务器解析异常的主动检测方法,其特征是,包括以下步骤:步骤1、组建DNS查询报文并从53端口发送;步骤2、对返回的DNS响应报文进行存储;步骤3、对DNS响应报文的源部分进行异常检测;步骤4、对DNS响应报文中首部部分各字段进行检测;步骤5、对DNS响应报文中问题部分各字段进行检测;步骤6、对DNS响应报文中回答部分各字段进行检测;步骤7、对DNS响应报文中权威部分各字段进行检测;步骤8、对DNS响应报文附加部分各字段进行检测;步骤9、如果3-8步中检测出异常,则标记异常类型并存储异常信息。2.根据权利要求1所述递归域名服务器解析异常的主动检测方法,其特征在于,所述步骤3中DNS响应报文的源部分的异常规则如下:一、DNS响应报文的源IP应与对应的DNS查询的目的IP相同,否则存在源IP异常;二、DNS响应报文的源端口应等于53/443/5353其中之一,且与对应DNS查询报文的目的端口相同,否则存在源端口异常。3.根据权利要求1所述递归域名服务器解析异常的主动检测方法,其特征在于,所述步骤4中DNS响应报文中首部部分的异常规则如下:(1)对于从对应DNS查询报文中拷贝的字段,包括:ID、OpCode、RD和CD,在DNS响应报文中与对应DNS查询报文中内容不同时视为异常;(2)对于已知正确值的字段,包括:QR、Z和QDCOUNT,在DNS响应报文中存在QR等于0、Z等于1、QDCOUNT等于0三种情况之一时即视为异常;(3)对于与响应的递归域名服务器相关的字段,包括:AA、TC、RA、AD、RCODE、ANCOUNT、NSCOUNT和ARCOUNT,其规则如下:1)如果从对应DNS查询报文中问题部分QNAME的权威域名服务器返回的DNS响应报文中AA等于0,或者从对应DNS查询报文中问题部分QNAME的非权威域名服务器返回的DNS响应报文中AA等于1,则AA为异常;2)如果在数据包大小不超过512字节的DNS响应报文中TC等于1,则TC为异常;3)若对应DNS查询报文中没有在首部设置AD也没有在附加部分设置DO,而DNS响应报文中AD等于1,则AD为异常;4)DNS响应报文中的RCODE应与对应DNS查询报文中一致,否则RCODE为异常;5)如果一个DNS响应报文是从支持递归查询的域名服务器返回的,则若查询的资源记录存在,DNS响应报文中的RA应等于1,RCODE应等于0,ANCOUNT应大于0;如果一个DNS响应报文是从不支持递归查询的域名服务器返回的,DNS响应报文中RA应等于0,RCODE应大于0,ANCOUNT应等于0;如果查询的资源记录存在于对应DNS查询报文中问题部分QNAME的权威域名服务器中,则只有上述两种RA、RCODE和ANCOUNT的组合是...
【专利技术属性】
技术研发人员:张兆心,李冷文婷,陆柯羽,刘杨,许海燕,柴婷婷,
申请(专利权)人:哈尔滨工业大学威海,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。