本申请涉及网络安全技术领域,提供一种DNS缓存投毒攻击检测方法及装置。所述方法包括:获取DNS报文;确定所述DNS报文为DNS应答报文,将传输所述DNS报文的连接中记录的DNS请求报文的事务I D,与所述DNS报文的事务I D进行匹配;根据所述DNS请求报文的事务I D与所述DNS报文的请求标记的匹配结果,确定所述DNS报文的投毒攻击检测结果。本申请实施例提供的DNS缓存投毒攻击检测方法,能够提高对DNS缓存投毒攻击的检测效率,减少为检测投毒攻击所消耗的资源。耗的资源。耗的资源。
【技术实现步骤摘要】
DNS缓存投毒攻击检测方法及装置
[0001]本申请涉及网络安全
,具体涉及一种DNS缓存投毒攻击检测方法及装置。
技术介绍
[0002]DNS是互联网重要的基础服务,它是几乎所有应用安全可靠运行的基础,可谓是互联网基础设施中的基础设施。因其独特地位,DNS也是网络攻击的重要目标。常见的针对DNS的网络攻击有DNS缓存投毒,其是指攻击者先向DNS缓存服务器发送一个不存在域名的请求报文,触发缓存服务器向DNS授权服务器发出查询请求。同时,攻击者向DNS缓存服务器发送大量的伪造回应报文,以期在DNS授权服务器回应到达之前命中缓存服务器的请求信息,将恶意授权服务器地址置入DNS缓存服务器缓存项中,篡改某些网站的域名和IP地址对应关系。后续针对此三级域名的子域名解析请求转到恶意DNS授权服务器,导致用户请求被发送到钓鱼网站、反政府网站等。因此,为提高网络服务的安全性,需对DNS缓存投毒攻击进行检测。
[0003]相关技术中,对DNS缓存投毒攻击的检测,通常是当接收到多个DNS回应报文时,向其他权威DNS服务器查询,如果结果不同则认为是DNS缓存投毒。然而,这种检测方式需要消耗时间再次向权威服务器查询,效率较低,如果同时受到其他例如DNS反射放大攻击的DNS攻击,查询报文会进一步消耗网络带宽。
技术实现思路
[0004]本申请旨在至少解决相关技术中存在的技术问题之一。为此,本申请提出一种DNS缓存投毒攻击检测方法,能够提高对DNS缓存投毒攻击的检测效率,减少为检测投毒攻击所消耗的资源。
[0005]本申请还提出一种DNS缓存投毒攻击检测装置。
[0006]本申请还提出一种电子设备。
[0007]本申请还提出一种计算机可读存储介质。
[0008]根据本申请第一方面实施例的DNS缓存投毒攻击检测方法,包括:
[0009]获取DNS报文;
[0010]确定所述DNS报文为DNS应答报文,将传输所述DNS报文的连接中记录的DNS请求报文的事务ID,与所述DNS报文的事务ID进行匹配;
[0011]根据所述DNS请求报文的事务ID与所述DNS报文的请求标记的匹配结果,确定所述DNS报文的投毒攻击检测结果。
[0012]本申请实施例提供的DNS缓存投毒攻击检测方法,通过在确定获取到的DNS报文为DNS应答报文时,将传输DNS报文的连接中记录的DNS请求报文的事务ID,与DNS报文的事务ID进行匹配,以根据匹配结果确定DNS报文的投毒攻击检测结果,从而可利用DNS请求报文和其对应的DNS应答报文的事务ID相同的特性,来通过连接信息上记录DNS请求报文的事务ID,检测该DNS应答报文是否为DNS请求报文的应答报文,便可判定该DNS报文是否为投毒攻
击,无需缓存DNS报文并将其发送至权威服务器进行查询,提高投毒攻击检测效率,减少为检测投毒攻击所消耗的网络带宽和内存等资源。
[0013]根据本申请的一个实施例,确定所述DNS报文为DNS应答报文,将传输所述DNS报文的连接中记录的DNS请求报文的事务ID,与所述DNS请求报文的事务ID进行匹配,包括:
[0014]确定所述DNS报文为DNS应答报文,检测传输所述DNS报文的连接中是否存在所述DNS请求报文的请求标记;
[0015]确定存在所述请求标记,将传输所述DNS报文的连接中记录的所述DNS请求报文的事务ID,与所述DNS请求报文的请求标记进行匹配。
[0016]根据本申请的一个实施例,还包括:
[0017]确定不存在所述请求标记,将所述DNS报文标记为DNS投毒攻击。
[0018]根据本申请的一个实施例,还包括:
[0019]确定所述DNS报文为DNS请求报文,将所述DNS请求报文的事务ID以及所述DNS请求报文的请求标记,挂载至传输所述DNS报文的连接中。
[0020]根据本申请的一个实施例,还包括:
[0021]检测所述DNS报文的TTL;
[0022]确定所述DNS报文的TTL小于或等于预设值,检测所述DNS报文。
[0023]根据本申请的一个实施例,还包括:
[0024]检测所述DNS报文的报文长度;
[0025]确定所述DNS报文的报文长度小于或等于预设长度,检测所述DNS报文。
[0026]根据本申请的一个实施例,还包括:
[0027]检测所述DNS报文的报文格式;
[0028]确定所述DNS报文的报文格式中问题记录数、回答记录数、授权记录数以及附加记录数合法,且所述DNS报文的报文长度处于预设区间内,检测所述DNS报文。
[0029]根据本申请第二方面实施例的DNS缓存投毒攻击检测装置,包括:
[0030]DNS报文获取模块,用于获取DNS报文;
[0031]DNS报文检测模块,用于确定所述DNS报文为DNS应答报文,将传输所述DNS报文的连接中记录的DNS请求报文的事务ID,与所述DNS报文的事务ID进行匹配;
[0032]检测结果获取模块,用于根据所述DNS请求报文的事务ID与所述DNS报文的请求标记的匹配结果,确定所述DNS报文的投毒攻击检测结果。
[0033]根据本申请第三方面实施例的电子设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述计算机程序时实现上述任一实施例所述的DNS缓存投毒攻击检测方法。
[0034]根据本申请第四方面实施例的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的DNS缓存投毒攻击检测方法。
[0035]根据本申请第五方面实施例的计算机程序产品,包括:所述计算机程序被处理器执行时实现如上述任一实施例所述的DNS缓存投毒攻击检测方法。
[0036]本申请实施例中的上述一个或多个技术方案,至少具有如下技术效果之一:
[0037]通过在确定获取到的DNS报文为DNS应答报文时,将传输DNS报文的连接中记录的DNS请求报文的事务ID,与DNS报文的事务ID进行匹配,以根据匹配结果确定DNS报文的投毒
攻击检测结果,从而可利用DNS请求报文和其对应的DNS应答报文的事务ID相同的特性,来通过连接信息上记录DNS请求报文的事务ID,检测该DNS应答报文是否为DNS请求报文的应答报文,便可判定该DNS报文是否为投毒攻击,无需缓存DNS报文并将其发送至权威服务器进行查询,提高投毒攻击检测效率,减少为检测投毒攻击所消耗的网络带宽和内存等资源。
[0038]进一步的,通过检测传输DNS报文的连接中是否存在DNS请求报文的请求标记,并当确定存在该请求标记时,再将传输DNS报文的连接中记录的DNS请求报文的事务ID,与DNS请求报文的请求标记进行匹配,以确定DNS报文的投毒攻击检测结果,从而进一步提高投毒攻击的检测准确率。
附图说明
[0039]为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种DNS缓存投毒攻击检测方法,其特征在于,包括:获取DNS报文;确定所述DNS报文为DNS应答报文,将传输所述DNS报文的连接中记录的DNS请求报文的事务ID,与所述DNS报文的事务ID进行匹配;根据所述DNS请求报文的事务ID与所述DNS报文的请求标记的匹配结果,确定所述DNS报文的投毒攻击检测结果。2.根据权利要求1所述的DNS缓存投毒攻击检测方法,其特征在于,确定所述DNS报文为DNS应答报文,将传输所述DNS报文的连接中记录的DNS请求报文的事务ID,与所述DNS请求报文的事务ID进行匹配,包括:确定所述DNS报文为DNS应答报文,检测传输所述DNS报文的连接中是否存在所述DNS请求报文的请求标记;确定存在所述请求标记,将传输所述DNS报文的连接中记录的所述DNS请求报文的事务ID,与所述DNS请求报文的请求标记进行匹配。3.根据权利要求2所述的DNS缓存投毒攻击检测方法,其特征在于,还包括:确定不存在所述请求标记,将所述DNS报文标记为DNS投毒攻击。4.根据权利要求1所述的DNS缓存投毒攻击检测方法,其特征在于,还包括:确定所述DNS报文为DNS请求报文,将所述DNS请求报文的事务ID以及所述DNS请求报文的请求标记,挂载至传输所述DNS报文的连接中。5.根据权利要求1
‑
4任意一项所述的DNS缓存投毒攻击检测方法,其特征在于,还包括:检测所述DNS报文的TTL;确定所述DNS报文...
【专利技术属性】
技术研发人员:刘孝达,李亚南,晏尉,范鸿雷,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。