本申请公开一种DNS安全防御方法及系统、电子设备、介质,涉及信息安全领域,本申请所提供的DNS安全防御方法,应用于本地DNS服务器,用于接收到DNS请求信息后,将DNS请求信息的响应地址设置为预先设置的空地址,如果接收到返回信息,则代表该DNS请求信息为危险攻击性信息,则直接拦截该DNS请求信息,通过正常DNS请求信息和攻击DNS请求信息对于空地址的响应不同,从而根据是否接收到返回信息来判断DNS请求信息是否正常,并对异常信息进行拦截,本申请是从本地端出发而进行的安全防护系统,所以对于互联网服务器无需修改,只需要使用本地DNS服务器即能防御大部分的攻击信息,且无特殊要求,因此兼容性较强。因此兼容性较强。因此兼容性较强。
【技术实现步骤摘要】
一种DNS安全防御方法及系统、电子设备、介质
[0001]本申请涉及信息安全领域,特别是涉及一种DNS安全防御方法及系统、电子设备、介质。
技术介绍
[0002]近年来,随着互联网技术的发展,网络安全成为一个热门的研究话题和方向,目前网络上最主要的攻击手段是网络域名服务器缓存污染,又称域名服务器缓存投毒、DNS缓存污染,是指一些刻意制造的域名服务器数据包,将域名指往恶意或不正确的IP地址。
[0003]现有的DNS安全防御方法,主要是通过DNSSEC安全拓展实现的。DNSSEC是一个对现有DNS协议进行针对网络安全相关的拓展。原理上DNSSEC就是在原有的DNS协议上增加了签名的记录,新增三种资源记录类型:DS、RRSIG和DNSKEY,即通过改变服务器端口来实现安全防护,即使用key
‑
value的方式使得域名可信。该缺点主要是兼容性问题,必须需要改变互联网上DNS服务器才能适用。而如果花费大量的时间将DNSSEC增加到DNS服务器中,一旦DNSSEC被攻破或者发现一个新的漏洞,那么该DNS服务器又将遭受到一次全面抨击和整改。
[0004]鉴于上述技术,寻找一种兼容性强且无需更改服务器的DNS安全防御方法是本领域技术人员亟待解决的问题。
技术实现思路
[0005]本申请的目的是提供一种DNS安全防御方法,以便于解决现有的DNS安全防御方法兼容性不强的问题。
[0006]为解决上述技术问题,本申请提供一种DNS安全防御方法,应用于本地DNS服务器,所述方法包括:
[0007]接收DNS请求信息;
[0008]将所述本地DNS服务器的目标地址修改为预设地址,所述预设地址为预先设定的不存在的DNS地址;
[0009]检测是否接收到所述DNS请求信息的返回信息;
[0010]若是,则拦截所述DNS请求信息。
[0011]优选地,在拦截所述DNS请求信息后,还包括:
[0012]解析所述DNS请求信息的IP地址,并将所述IP地址拉入黑名单中。
[0013]优选地,在接收到DNS请求信息后,所述拦截所述DNS请求信息之前还包括:
[0014]判断所述DNS请求信息的报文、附加区是否正常以及判断所述DNS请求信息的IP地址是否在黑名单中;
[0015]若有任意一项不正常,则拦截所述DNS请求信息。
[0016]优选地,在接收到DNS请求信息后,还包括:
[0017]将所述本地DNS服务器域名中的大小写随机化。
[0018]优选地,所述将所述本地DNS服务器域名中的大小写随机化为异步进行的。
[0019]优选地,所述方法还包括:
[0020]在拦截所述DNS请求信息时,发送警报。
[0021]优选地,若未接收到所述DNS请求信息的返回信息,且判断出所述DNS请求信息的报文、附加区正常以及判断出所述DNS请求信息的IP地址不在黑名单中,所述方法还包括:将所述DNS请求信息发送至所述本地DNS服务器的目标地址。
[0022]为解决上述问题,本申请还提供一种DNS安全防御系统,所述系统包括:
[0023]接收模块,用于接收DNS请求信息;
[0024]修改模块,用于将所述本地DNS服务器的目标地址修改为预设地址,所述预设地址为预先设定的不存在的DNS地址;
[0025]检测模块,用于检测是否接收到所述DNS请求信息的返回信息,若是,则开启拦截模块;
[0026]拦截模块,则拦截所述DNS请求信息。
[0027]优选地,所述DNS安全防御系统还包括:
[0028]解析模块,用于解析所述DNS请求信息的IP地址,并将所述IP地址拉入黑名单中。
[0029]优选地,所述DNS安全防御系统还包括:
[0030]攻击检测模块,用于判断所述DNS请求信息的报文、附加区是否正常以及判断所述DNS请求信息的IP地址是否在黑名单中,若有任意一项不正常,则开启拦截模块;
[0031]优选地,所述DNS安全防御系统还包括:
[0032]混淆编码模块,用于将所述本地DNS服务器域名中的大小写随机化。
[0033]优选地,所述DNS安全防御系统还包括:
[0034]报警模块,用于在拦截所述DNS请求信息时,发送警报。
[0035]优选地,所述DNS安全防御系统还包括:
[0036]发送模块,在检测模块结果为否,攻击检测模块检测结果为三项均正常时开启,用于将所述DNS请求信息发送至所述本地DNS服务器的目标地址。
[0037]为解决上述问题,本申请还提供一种电子设备,包括存储器,用于存储计算机程序;
[0038]处理器,用于执行所述计算机程序时实现如上述的DNS安全系统防御方法的步骤。
[0039]为解决上述问题,本申请还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述的DNS安全系统防御方法的步骤。
[0040]本申请所提供的DNS安全防御方法,应用于本地DNS服务器,用于接收到DNS请求信息后,将DNS请求信息的响应地址设置为预先设置的空地址,理论上该响应为空,如果接收到返回信息,则代表该DNS请求信息为危险攻击性信息,则直接拦截该DNS请求信息,和目前的DNSSEC安全拓展安全系统的修改互联网的DNS服务器的可信性相比,本申请主要是通过接收到DNS请求信息修改本地的DNS服务器的响应地址而进行防护,通过正常DNS请求信息和攻击DNS请求信息对于空地址的响应不同,从而根据是否接收到返回信息来判断DNS请求信息是否正常,并对异常信息进行拦截,本申请是从本地端出发而进行的安全防护系统,所以对于互联网服务器无需修改,只需要使用本地DNS服务器即能防御大部分的攻击信息,且无特殊要求,因此兼容性较强。
[0041]本申请所提供的DNS安全防御系统、电子设备及可读存储介质与上述的方法对应,因此有益效果相同。
附图说明
[0042]为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0043]图1为本申请实施例提供一种DNS安全防御方法流程图;
[0044]图2为本申请实施例提供的一种DNS安全防御系统示意图;
[0045]图3为本申请实施例提供的一种优选的DNS安全防御系统示意图;
[0046]图4为本申请另一实施例提供的电子设备的结构图。
具体实施方式
[0047]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种DNS安全防御方法,其特征在于,应用于本地DNS服务器,所述方法包括:接收DNS请求信息;将所述本地DNS服务器的目标地址修改为预设地址,所述预设地址为预先设定的不存在的DNS地址;检测是否接收到所述DNS请求信息的返回信息;若是,则拦截所述DNS请求信息。2.根据权利要求1所述的DNS安全防御方法,其特征在于,在拦截所述DNS请求信息后,还包括:解析所述DNS请求信息的IP地址,并将所述IP地址拉入黑名单中。3.根据权利要求1所述的DNS安全防御方法,其特征在于,在接收到DNS请求信息后,所述拦截所述DNS请求信息之前还包括:判断所述DNS请求信息的报文、附加区是否正常以及判断所述DNS请求信息的IP地址是否在黑名单中;若有任意一项不正常,则拦截所述DNS请求信息。4.根据权利要求3所述的DNS安全防御方法,其特征在于,在接收到DNS请求信息后,还包括:将所述本地DNS服务器域名中的大小写随机化。5.根据权利要求4所述的DNS安全防御方法,其特征在于,所述将所述本地DNS服务器域名中的大小写随机化为异步进行的。6.根据权利要求1至5任意一项所述的DNS安全防御方法,其特征在于,还包...
【专利技术属性】
技术研发人员:刘志赞,张威武,朱江,马峥巍,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。