一种基于动态制造技术

本发明专利技术公开一种基于动态

【技术实现步骤摘要】
一种基于动态DNAT的DNS攻击防御方法、系统、介质及设备


[0001]本专利技术涉及网络安全
，具体地说是一种基于动态
DNAT
的
DNS
攻击防御方法
、
系统
、
介质及设备
。

技术介绍

[0002]DNS
是互联网访问的关键基础设施之一，
DNS
是互联网访问的导航目录
。DNS
是进行域名
(
例如
www.jd.com)
和与之相对应的
IP
地址 (IP address 2408:8730:500:10:8000::3、218.60.105.3)
解析的服务器
。DNS
中保存了一张域名
(domain name)
和与之相对应的
IP
地址的映射表，
DNS
响应客户端请求，返回相应域名和
IP
地址对应信息，客户端根据域名解析记录
IP
访问相应
WEB
服务
。
[0003]DNS
服务器主要有权威
DNS
和转发
DNS
两种，权威
DNS
有权修改其控制的域名与
IP
地址关系（也叫资源记录），转发
DNS
没有本地域名管理能力， 需要缓存从上游
DNS
获取的域名与
IP
地址对应域名解析记录
。DNS
根据客户端解析请求，查询本地权威域名资源记录
、
缓存资源记录，如果有命中记录则直接反馈给客户，如果没有命中记录，则向上游
DNS
转发域名解析请求，获取到反馈资源记录后，再向客户端反馈
。
从
DNS
的解析流程可知，
DNS
只负责域名与
IP
一一对应匹配关系的反馈，不对后续的访问安全负责
。
[0004]在安全渗透测试攻击模型中，总是将目标侦查
、
武器化作为首要步骤，进行信息收集，在进行扫描之前，需要先进行信息收集，以便了解目标系统的基本信息和可能存在的漏洞
。
信息收集的方法包括 DNS 查询
、Whois
查询，通过自动化的扫描
、
探测工具去发现待攻击目标
IP
地址
、
开放服务端口
、
应用版本等信息，以便采用对应的武器库攻击方法，做到攻击有的放矢
。

技术实现思路

[0005]为此，本专利技术所要解决的技术问题在于提供一种基于动态
DNAT
的
DNS
攻击防御方法
、
系统
、
介质及设备，针对权威
DNS
域名解析增加的安全联动控制功能，可以有效缓解网络资产暴露面，减少被攻击的可能性
。
[0006]为解决上述技术问题，本专利技术提供如下技术方案：一种基于动态
DNAT
的
DNS
攻击防御方法，包括如下步骤：
S1
）
DNAT
模块对转发数据进行监测，异常数据触发
DNAT
模块或自动触发
DNAT
模块或其他被动方式触发
DNAT
模块进行动态
DNAT
规则更新；其中，其他被动触发方式包括网络安全监测模块触发；
S2
）
Socket
客户端监测动态
DNAT
规则的变化，当动态
DNAT
规则发生变化时，
Socket
客户端将应用服务的内网
IP
地址与公网
IP
地址之间的最新
DNAT
映射关系通过
Socket
通道传递给
Socket
服务端；其中，应用服务的内网
IP
地址通常情况下是不进行改变的，应用服务的内网
IP
地址与公网
IP
地址之间的
DNAT
映射关系的变化是应用服务的公网
IP
地址发生变化时引发的应用服务的内网
IP
地址与公网
IP
地址之间的
DNAT
映射关系的变化；
S3
）
Socket
服务端获取到的应用服务的内网
IP
地址与公网
IP
地址之间的最新
DNAT
映射关系后，对
DNS
域名配置参数进行自动修改，将对应的域名记录值修改为最新的公网
IP
地址，其中，最新的公网
IP
地址为应用服务的内网
IP
地址与公网
IP
地址之间的最新
DNAT
映射关系中应用服务的公网
IP
地址；
S4
）公网用户通过标准
DNS
流程向权威
DNS
发送域名解析请求并由权威
DNS
进行域名解析
。
[0007]上述方法，步骤
S1
）中，异常数据触发包括应用服务器遭受的
DDoS
攻击触发或者扫描探测超过相应的门限值触发，自动触发包括周期性触发和手动触发
。
[0008]上述方法，应用服务的公网
IP
地址为
IPv6
地址；其中，由
DNAT
模块发布的应用服务的公网
IP
地址也为
IPv6
地址
。
[0009]上述方法，
DNAT
模块在更新动态
DNAT
规则时随机生成应用服务的内网
IP
地址与公网
IP
地址之间的映射关系
。
[0010]上述方法， DNAT
模块将公网用户向应用服务的公网
IP
地址发送的数据包根据
DNAT
规则转发至应用服务所在网络中对应的设备，其中，应用服务所在网络可以为应用服务所在的服务器或服务器所在的局域网
。
[0011]一种利用上述基于动态
DNAT
的
DNS
攻击防御方法进行
DNS
攻击防御的系统，包括：
DNAT
模块，用于将公网用户向应用服务的公网
IP
发送的数据转发给应用服务所在网络中对应的设备并在被触发后进行动态
DNAT
规则更新；
Socket
客户端，用于监本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于动态
DNAT
的
DNS
攻击防御方法，其特征在于，包括如下步骤：
S1
）
DNAT
模块对转发数据进行监测，异常数据触发
DNAT
模块或自动触发
DNAT
模块或其他被动方式触发
DNAT
模块进行动态
DNAT
规则更新；其中，其他被动触发方式包括网络安全监测模块触发；
S2
）
Socket
客户端监测动态
DNAT
规则的变化，当动态
DNAT
规则发生变化时，
Socket
客户端将应用服务的内网
IP
地址与公网
IP
地址之间的最新
DNAT
映射关系通过
Socket
通道传递给
Socket
服务端；
S3
）
Socket
服务端获取到的应用服务的内网
IP
地址与公网
IP
地址之间的最新
DNAT
映射关系后，对
DNS
域名配置参数进行自动修改，将对应的域名记录值修改为最新的公网
IP
地址，其中，最新的公网
IP
地址为应用服务的内网
IP
地址与公网
IP
地址之间的最新
DNAT
映射关系中应用服务的公网
IP
地址；
S4
）公网用户通过标准
DNS
流程向权威
DNS
发送域名解析请求并由权威
DNS
进行域名解析
。2.
根据权利要求1所述的方法，其特征在于，步骤
S1
）中，异常数据触发包括应用服务器遭受的
DDoS
攻击触发或者扫描探测超过相应的门限值触发，自动触发包括周期性触发和手动触发
。3.
根据权利要求1所述的方法，其特征在于，应用服务的公网
IP
地址为
IPv6
地址
。4.
根据权利要求1所述的方法，其特征在于，
DNAT
模块在更新动态
DNAT
规则时...

【专利技术属性】
技术研发人员：蒋驰，张德奎，
申请(专利权)人：明阳产业技术研究院沈阳有限公司，
类型：发明
国别省市：