【技术实现步骤摘要】
本申请涉及缓存投毒攻击防范,具体涉及一种基于dns协议扩展的缓存投毒攻击防范方法及装置。
技术介绍
1、dns缓存投毒攻击是利用dns响应的基本特征,伪造某个区的错误结果,并将其注入到被攻击的递归服务器的缓存中。
2、基本思想是攻击者选择希望攻击的区,然后向目标递归服务器查询尚未被缓存的域名。由于域名不在缓存中,因此目标递归服务器会向该区的权威服务器发送查询。此时,攻击者就可以用大量伪造的响应来攻击递归服务器,每个伪造的响应包都有不同的伪造事务id号。如果攻击者成功注入了伪造的响应,则递归服务器会将伪造应答中的攻击者构造的ns记录及其对应的a记录(ns服务器地址)缓存。此后,由于攻击者成功污染了该区的ns相关记录,后续该递归服务器的此区递归查询会全部向攻击者提供的服务器发起查询,使得攻击者可以实质上控制这个权威区的所有结果。
3、目前,针对dns缓存投毒攻击已经存在一些防范方法,但各有优劣,比较典型的有随机域名大小写的方案和dnssec方案。
4、随机域名大小写的方案是一种通过在dns查询中引入随机性...
【技术保护点】
1.一种基于DNS协议扩展的缓存投毒攻击防范方法,其特征在于,所述方法应用于递归服务器,包括:
2.根据权利要求1所述的基于DNS协议扩展的缓存投毒攻击防范方法,其特征在于,步骤2中,所述proof类型的opt记录以字节为单位,且为整数数值。
3.根据权利要求1所述的基于DNS协议扩展的缓存投毒攻击防范方法,其特征在于,步骤2中,所述proof类型的opt记录以实际的随机数据填充,数据长度对应字段A中的数值。
4.根据权利要求3所述的基于DNS协议扩展的缓存投毒攻击防范方法,其特征在于,步骤2中,所述递归服务器在递归查询请求中封装p...
【技术特征摘要】
1.一种基于dns协议扩展的缓存投毒攻击防范方法,其特征在于,所述方法应用于递归服务器,包括:
2.根据权利要求1所述的基于dns协议扩展的缓存投毒攻击防范方法,其特征在于,步骤2中,所述proof类型的opt记录以字节为单位,且为整数数值。
3.根据权利要求1所述的基于dns协议扩展的缓存投毒攻击防范方法,其特征在于,步骤2中,所述proof类型的opt记录以实际的随机数据填充,数据长度对应字段a中的数值。
4.根据权利要求3所述的基于dns协议扩展的缓存投毒攻击防范方法,其特征在于,步骤2中,所述递归服务器在递归查询请求中封装proof类型的opt记录时,具体包括:根据本机策略,生成策略定义长度的随机数据,然后将长度填充到字段a,随机数据填充到字段b。
5.根据权利要求3所述的基于dns协议扩展的缓存投毒攻击防范方法,其特征在于,步骤3中,根据所述proof类型的opt记录对所述应答包进行...
【专利技术属性】
技术研发人员:陈超,蒋超,朱睿爽,邢志杰,毛伟,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。