一种递归域名服务器解析异常的主动检测方法技术

本发明专利技术涉及一种递归域名服务器解析异常的主动检测方法，其解决了技术对递归域名服务器解析异常检测不够全面的技术问题，其包括以下步骤：组建DNS查询报文并从端口发送；对返回的DNS响应报文进行存储；对DNS响应报文的源部分进行异常检测；对DNS响应报文中首部部分各字段进行检测；对DNS响应报文中问题部分各字段进行检测；对DNS响应报文中回答部分各字段进行检测；对DNS响应报文中权威部分各字段进行检测；对DNS响应报文附加部分各字段进行检测；如果检测出异常，则标记异常类型并存储异常信息。本发明专利技术可广泛应于主动检测递归域名服务器解析异常。务器解析异常。务器解析异常。

【技术实现步骤摘要】
一种递归域名服务器解析异常的主动检测方法


[0001]本专利技术涉及网络安全
，特别是涉及一种递归域名服务器解析异常的主动检测方法。

技术介绍

[0002]域名系统(DNS)是互联网中一项重要的基础服务设施，本质是一个将域名和IP地址相互映射的分布式数据库。递归域名服务器作为域名系统的关键组成部分，为用户提供域名解析服务。域名解析是很多互联网服务的基础，一旦域名解析出现异常，将直接影响用户后续的网络访问。当前互联网中存在大量解析异常的递归域名服务器，严重影响互联网的安全。
[0003]递归域名服务器常常由于自身配置错误或受到攻击导致域名解析异常现象发生，解析异常的递归域名服务器往往无法正常提供服务，例如将域名解析为异常IP地址或无法进行域名解析，配置了该递归域名服务器的主机将无法访问到正确IP地址或无法访问网络。可见，域名解析异常给互联网安全和访问造成严重影响。
[0004]目前，对递归域名服务器解析异常的检测多停留在对DNS响应报文回答部分的A记录进行检测，并不检测响应报文中其他部分，因此对递归域名服务器解析异常的检测不够全面，忽略了很多异常DNS响应报文，不能及时全面地阻止递归域名服务器解析异常给互联网带来的危害。

技术实现思路

[0005]本专利技术为了解决现有技术对递归域名服务器解析异常检测不够全面的问题，提供一种全面地检测、阻止的递归域名服务器解析异常的方法。
[0006]本专利技术提供一种递归域名服务器解析异常的主动检测方法，包括以下步骤：
[0007]步骤1、组建DNS查询报文并从53端口发送；
[0008]步骤2、对返回的DNS响应报文进行存储；
[0009]步骤3、对DNS响应报文的源部分进行异常检测；
[0010]步骤4、对DNS响应报文中首部部分各字段进行检测；
[0011]步骤5、对DNS响应报文中问题部分各字段进行检测；
[0012]步骤6、对DNS响应报文中回答部分各字段进行检测；
[0013]步骤7、对DNS响应报文中权威部分各字段进行检测；
[0014]步骤8、对DNS响应报文附加部分各字段进行检测；
[0015]步骤9、如果3-8步中检测出异常，则标记异常类型并存储异常信息。
[0016]优选地，步骤3中DNS响应报文的源部分的异常规则如下：
[0017]一、DNS响应报文的源IP应与对应的DNS查询的目的IP相同，否则存在源IP异常；
[0018]二、DNS响应报文的源端口应等于53/443/5353其中之一，且与对应DNS查询报文的目的端口相同，否则存在源端口异常。
[0019]优选地，步骤4中DNS响应报文中首部部分的异常规则如下：
[0020](1)对于从对应DNS查询报文中拷贝的字段，包括：ID、OpCode、RD和CD，在DNS响应报文中与对应DNS查询报文中内容不同时视为异常；
[0021](2)对于已知正确值的字段，包括：QR、Z和QDCOUNT，在DNS响应报文中存在QR等于0、Z等于1、QDCOUNT等于0三种情况之一时即视为异常；
[0022](3)对于与响应的递归域名服务器相关的字段，包括：AA、TC、RA、AD、RCODE、ANCOUNT、NSCOUNT和ARCOUNT，其规则如下：
[0023]1)如果从对应DNS查询报文中问题部分QNAME的权威域名服务器返回的DNS响应报文中AA等于0，或者从对应DNS查询报文中问题部分QNAME的非权威域名服务器返回的DNS响应报文中AA等于1，则AA为异常；
[0024]2)如果在数据包大小不超过512字节的DNS响应报文中TC等于1，则TC为异常；
[0025]3)若对应DNS查询报文中没有在首部设置AD也没有在附加部分设置DO，而DNS响应报文中AD等于1，则AD为异常；
[0026]4)DNS响应报文中的RCODE应与对应DNS查询报文中一致，否则RCODE为异常；
[0027]5)如果一个DNS响应报文是从支持递归查询的域名服务器返回的，则若查询的资源记录存在，DNS响应报文中的RA应等于1，RCODE应等于0，ANCOUNT应大于0；如果一个DNS响应报文是从不支持递归查询的域名服务器返回的，DNS响应报文中RA应等于0，RCODE应大于0，ANCOUNT应等于0；如果查询的资源记录存在于对应DNS查询报文中问题部分QNAME的权威域名服务器中，则只有上述两种RA、RCODE和ANCOUNT的组合是正常的，其余均为异常。
[0028]优选地，步骤5中DNS响应报文中问题部分的异常规则如下：
[0029]A、问题部分的QNAME既与对应DNS查询报文中问题部分的QNAME不同，也与其规范名不同，则QNAME为异常；
[0030]B、问题部分的QTYPE和QCLASS应与对应DNS查询报文中问题部分的QTYPE和QCLASS相同，否则为异常。
[0031]优选地，步骤6中DNS响应报文中回答部分的异常规则如下：
[0032](A)回答部分的NAME既与对应DNS查询报文中问题部分的QNAME不同，也与其规范名不同，则NAME为异常；
[0033](B)回答部分的TYPE应与对应DNS查询报文中问题部分的QTYPE一致，或者为TKEY、DNSKEY、RRSIG、NSEC、DS其中之一，否则为异常；
[0034](C)回答部分的CLASS应与其RDATA一致，否则为异常；
[0035](D)若回答部分RDATA的PTR记录、证书内容、HTTP内容、AS内容之一与可信DNS服务器返回的不一致，则RADATA为异常。
[0036]优选地，步骤7中DNS响应报文中权威部分的异常规则如下：
[0037](a)权威部分的TYPE应等于SOA或NS，或者为DNSKEY、RRSIG、NSEC、DS其中之一，否则TYPE为异常；
[0038](b)权威部分的NAME应等于对应DNS查询报文中问题部分的QNAME或QNAME的规范名的DNS区或更上层的DNS区，否则NAME为异常；
[0039](c)对于权威部分的NS记录，RDATA必须为NAME的权威域名服务器的域名，否则NS记录为异常；
[0040](d)对于权威部分的SOA记录，MNAME和RNAME必须与NAME的权威域名服务器中MNAME和RNAME一致，否则SOA记录为异常；
[0041](e)权威部分的CLASS应与其RDATA一致，否则为异常。
[0042]优选地，步骤8中DNS响应报文中附加部分的异常规则如下：
[0043](I)附加部分的TYPE等于未分配或保留的TYPE时为异常；
[0044](II)附加部分的NAME应与对应DNS查询报文问题部分QNAME或QNAME的规范名的DNS区或更上层的DNS区相关，即要么是这些DNS区的域名，要么是这些DNS区的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种递归域名服务器解析异常的主动检测方法，其特征是，包括以下步骤：步骤1、组建DNS查询报文并从53端口发送；步骤2、对返回的DNS响应报文进行存储；步骤3、对DNS响应报文的源部分进行异常检测；步骤4、对DNS响应报文中首部部分各字段进行检测；步骤5、对DNS响应报文中问题部分各字段进行检测；步骤6、对DNS响应报文中回答部分各字段进行检测；步骤7、对DNS响应报文中权威部分各字段进行检测；步骤8、对DNS响应报文附加部分各字段进行检测；步骤9、如果3-8步中检测出异常，则标记异常类型并存储异常信息。2.根据权利要求1所述递归域名服务器解析异常的主动检测方法，其特征在于，所述步骤3中DNS响应报文的源部分的异常规则如下：一、DNS响应报文的源IP应与对应的DNS查询的目的IP相同，否则存在源IP异常；二、DNS响应报文的源端口应等于53/443/5353其中之一，且与对应DNS查询报文的目的端口相同，否则存在源端口异常。3.根据权利要求1所述递归域名服务器解析异常的主动检测方法，其特征在于，所述步骤4中DNS响应报文中首部部分的异常规则如下：(1)对于从对应DNS查询报文中拷贝的字段，包括：ID、OpCode、RD和CD，在DNS响应报文中与对应DNS查询报文中内容不同时视为异常；(2)对于已知正确值的字段，包括：QR、Z和QDCOUNT，在DNS响应报文中存在QR等于0、Z等于1、QDCOUNT等于0三种情况之一时即视为异常；(3)对于与响应的递归域名服务器相关的字段，包括：AA、TC、RA、AD、RCODE、ANCOUNT、NSCOUNT和ARCOUNT，其规则如下：1)如果从对应DNS查询报文中问题部分QNAME的权威域名服务器返回的DNS响应报文中AA等于0，或者从对应DNS查询报文中问题部分QNAME的非权威域名服务器返回的DNS响应报文中AA等于1，则AA为异常；2)如果在数据包大小不超过512字节的DNS响应报文中TC等于1，则TC为异常；3)若对应DNS查询报文中没有在首部设置AD也没有在附加部分设置DO，而DNS响应报文中AD等于1，则AD为异常；4)DNS响应报文中的RCODE应与对应DNS查询报文中一致，否则RCODE为异常；5)如果一个DNS响应报文是从支持递归查询的域名服务器返回的，则若查询的资源记录存在，DNS响应报文中的RA应等于1，RCODE应等于0，ANCOUNT应大于0；如果一个DNS响应报文是从不支持递归查询的域名服务器返回的，DNS响应报文中RA应等于0，RCODE应大于0，ANCOUNT应等于0；如果查询的资源记录存在于对应DNS查询报文中问题部分QNAME的权威域名服务器中，则只有上述两种RA、RCODE和ANCOUNT的组合是...

【专利技术属性】
技术研发人员：张兆心，李冷文婷，陆柯羽，刘杨，许海燕，柴婷婷，
申请(专利权)人：哈尔滨工业大学威海，
类型：发明
国别省市：