本发明专利技术涉及互联网域名技术领域,公开了一种域名解析服务安全的预测方法和系统,所述方法包括:根据目标域名获取域名名字服务器列表;从各服务器中提取和分析DNS记录数据、域名名字服务器网络覆盖度数据以及域名名字服务器安全数据,赋予各数据各自的权重分;计算最后总的权重分,根据设定的阈值预测所述目标域名的解析服务是否安全。本发明专利技术通过在获取到域名名字服务器列表后,自动对服务器及域名相关联的数据进行提取和分析,并设置有多种细分的评估项,对每一项测试数据分别进行量化的权重分计算,最后统计得出最后的总得分,并根据总得分判断某目标域名的解析服务是否安全,提高了预判效率且预判结果精确。了预判效率且预判结果精确。了预判效率且预判结果精确。
【技术实现步骤摘要】
域名解析服务安全的预测方法和系统
[0001]本专利技术涉及互联网域名
,具体地,涉及一种域名解析服务安全的预测方法和系统。
技术介绍
[0002]DNSSEC(Domain Name System Security Extensions),即DNS解析安全扩展。DNSSEC是针对DNS解析安全缺陷,解决域名解析数据完整性及可信性的安全技术。
[0003]DNSSEC技术能解决解析数据真实性和完整性的问题,但DNS解析服务的安全性不仅仅局限在数据层面,还包含网络、系统安全等诸多因素。
[0004]DNS域名解析技术,是互联网互联互通的基础核心技术。因而构建在DNS 解析技术之上的域名解析系统,其服务安全性成为互联网服务安全性的关键因素,从对构建在域名解析系统之上域名网站的安全性构成重要影响。如何判断一套域名解析系统是否安全,成为互联网用户评估域名解析服务是否可靠以及选择域名解析服务提供商的重要依据。
[0005]目前业界尚未有一套成熟规范的预测方法和预测体系,也没有一套可靠的预测服务平台,能够对域名解析服务的安全性进行综合客观评测和预判。
技术实现思路
[0006]针对现有技术的缺陷,本专利技术所要解决的技术问题是如何快速准确的对域名解析服务的安全性进行预测。
[0007]本专利技术的第一方面,提供了一种域名解析服务安全的预测方法,包括:
[0008]根据目标域名获取域名名字服务器列表;
[0009]从各服务器中提取和分析DNS记录数据、域名名字服务器网络覆盖度数据以及域名名字服务器安全数据,赋予各数据各自的权重分;
[0010]计算最后总的权重分,根据设定的阈值预测所述目标域名的解析服务是否安全。
[0011]进一步地,对所述DNS记录数据的分析包括如下中的一种或多种:
[0012]判断域名的SOA记录的有效性及一致性,并根据判定结果分别赋予权重分;
[0013]判断域名的glue记录的有效性及一致性,并根据判断结果分别赋予权重分;
[0014]判断域名的NS记录的有效性及一致性,并根据判断结果分别赋予权重分。
[0015]进一步地,对所述域名名字服务器网络覆盖度数据的分析包括如下中的一种或多种:
[0016]判断域名名字服务器的数量,并根据判定结果赋予权重分;
[0017]判断域名名字服务器覆盖顶级域的数量,并根据判定结果赋予权重分;
[0018]判断判断域名名字服务器是否支持IPv4和IPv6,并根据判断结果分别赋予权重分。
[0019]进一步地,对所述域名名字服务器的安全数据的分析包括如下中的一种或多种:
[0020]判断域名名字服务器是否存在CHAME记录,并根据判定结果赋予权重分;
[0021]判断域名名字服务器是否存在反向解析记录,并根据判定结果赋予权重分;
[0022]判断域名名字服务器是否支持EDNSO协议,并根据判定结果赋予权重分;
[0023]判断域名名字服务器是否支持AXFR区传送,并根据判定结果赋予权重分;
[0024]判断域名名字服务器是否开启递归工作模式,并根据判定结果赋予权重分;
[0025]判断域名名字服务器IP地址的有效性,并根据判定结果分别赋予权重分;
[0026]判断域名名字服务器是否开放有其它无关的服务端口,并根据判定结果赋予权重分;
[0027]判断域名名字服务器所使用的软件版本型号,并根据判定结果赋予权重分;
[0028]判断域名名字服务器的操作系统版本型号,并根据判定结果赋予权重分。
[0029]进一步地,对所述DNS记录数据、域名名字服务器网络覆盖度数据以及域名名字服务器安全数据的判断采用多线程并发的模式进行测试。
[0030]进一步地,根据所述DNS记录数据、域名名字服务器网络覆盖度数据以及域名名字服务器安全数据的影响力和重要性不同,设置差异化的权重分。
[0031]另一方面,还提供了一种域名解析服务安全的预测系统,所述系统包括:
[0032]域名名字服务器获取模块,用于根据目标域名获取域名名字服务器清单;
[0033]DNS记录数据分析模块,用于分析与域名相关的各记录是否有效性或一致,并根据判断结果赋予各自的权重分;
[0034]网络覆盖度数据分析模块,用于分析域名名字服务器的网络覆盖情况,并根据判断结果赋予各自的权重分;
[0035]域名名字服务器安全分析模块,用于分析域名名字服务器的安全性能情况,并根据判断结果赋予各自的权重分;
[0036]域名安全预测模块,统计相加所有的权重分,根据预设的阈值判定所述目标域名是否安全。
[0037]与现有技术相比,本专利技术提供的一种域名解析服务安全的预测方法及系统,在获取到域名名字服务器列表后,自动对服务器及域名相关联的数据进行提取和分析,并设置有多种细分的评估项,对每一项测试数据进行分别量化的权重分计算,最后统计得出最后的总得分,并根据总得分判断某目标域名的解析服务是否安全,该种方式提高了预判效率,且预判结果精确。
附图说明
[0038]图1是本专利技术的一个实施例中域名解析服务安全的预测方法的流程示意图;
[0039]图2为本专利技术的一个实施例中域名解析服务安全的预测系统的架构图。
具体实施方式
[0040]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例为实施本专利技术的较佳实施方式,所述描述是以说明本专利技术的一般原则为目的,并非用以限定本专利技术的范围。本专利技术的保护范围应当以权利要求所界定者为准,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0041]参照图1所示,本专利技术实施例所公开的一种域名解析服务安全的预测方法,包括如下步骤:
[0042]步骤S1、根据目标域名获取域名名字服务器列表。
[0043]根据指定的目标域名,获取该目标域名下的所有的名字服务器列表。
[0044]步骤S2、从各服务器中提取和分析DNS记录数据、域名名字服务器网络覆盖度数据以及域名名字服务器安全数据,赋予各数据各自的权重分。
[0045]其中,在步骤S2中,从三个维度来对DNS解析服务是否安全进行判定。
[0046]维度一:域名解析数据的规范性,主要是通过域名的多个不同类型记录来判断,具体包括如下多种指标:
[0047](1)域名SOA记录的有效性
[0048]按照DNS解析协议技术标准,域名SOA记录中,MNAME为该域名的一个权威服务器;REFRESH取值建议值为1200秒(20分钟)到43200秒(12小时) 之间;EXPIRE的取值建议值为1209600秒(14天)到2419200秒(28天)之间。其中,如果检测不在上述设定的取值范围内,则判定为无效,并扣除其一定的权重分。...
【技术保护点】
【技术特征摘要】
1.一种域名解析服务安全的预测方法,其特征在于,所述方法包括:根据目标域名获取域名名字服务器列表;从各服务器中提取和分析DNS记录数据、域名名字服务器网络覆盖度数据以及域名名字服务器安全数据,赋予各数据各自的权重分;计算最后总的权重分,根据设定的阈值预测所述目标域名的解析服务是否安全。2.根据权利要求1所述的方法,其特征在于,对所述DNS记录数据的分析包括如下中的一种或多种:判断域名的SOA记录的有效性及一致性,并根据判定结果分别赋予权重分;判断域名的glue记录的有效性及一致性,并根据判断结果分别赋予权重分;判断域名的NS记录的有效性及一致性,并根据判断结果分别赋予权重分。3.根据权利要求2所述的方法,其特征在于,对所述域名名字服务器网络覆盖度数据的分析包括如下中的一种或多种:判断域名名字服务器的数量,并根据判定结果赋予权重分;判断域名名字服务器覆盖顶级域的数量,并根据判定结果赋予权重分;判断判断域名名字服务器是否支持IPv4和IPv6,并根据判定结果分别赋予权重分。4.根据权利要求2或3所述的方法,其特征在于,对所述域名名字服务器的安全数据的分析包括如下中的一种或多种:判断域名名字服务器是否存在CHAME记录,并根据判定结果赋予权重分;判断域名名字服务器是否存在反向解析记录,并根据判定结果赋予权重分;判断域名名字服务器是否支持EDNSO协议,并根据判定结果赋予权重分;判断域名名字服务器是否支持AXFR区传送,并根据判定结果赋予权重分;判断域名名字服务器是否开启有递归工作模式,并根...
【专利技术属性】
技术研发人员:高雷,邢志杰,毛伟,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。