本发明专利技术公开了一种域名递归服务的预判干预方法。本方法为:1)选取待监控的域名,预判系统将递归服务器中待监控域名的资源记录同步到本地;2)对每个域名的资源记录进行监控;3)如果发现域名的设定类型记录发生变化,则获取该域名的特征数据并利用分类器进行识别,判断该域名的资源记录变化是否为危险变化;如果危险变化为权威服务器发生变化,则向该域名的原权威服务器请求NS记录和Glue记录,并将其写入递归服务器缓存中;如果权威服务器未发生变化,则延长该域名在递归服务器缓存中的原资源记录的生存时间;如果为否定异常或区不可达,则延长递归服务器缓存里该域名资源记录集的生存时间;本发明专利技术可提高递归服务器和用户的安全。
【技术实现步骤摘要】
一种域名递归服务的预判干预方法
本专利技术涉及一种域名递归服务的预判干预方法,属于计算机网络
技术介绍
域名系统及其安全状态:作为互联网的重要基础设施,域名系统(DomainNameSystem,DNS)一直为全球互联网的运行提供关键性的基础服务。随着互联网规模爆炸式增长,DNS相关的各种新技术相继出现,如IPv6、多语种域名和DNS安全扩展协议(DNSSecurityExtension,DNSSEC)等,DNS系统也由此变得越来越庞杂。由于在设计之初对安全性和扩展性考虑欠缺,域名系统在协议、实现和操作上存在着固有的不足与脆弱,进而使其面临着很多安全威胁。其中,数据损坏中的部分威胁(如权威服务器信息的未经授权更改、域名劫持、递归服务器缓存中毒和人为配置错误等)和拒绝服务造成递归服务器的解析状态从安全变得相对危险,使其缓存了域名的错误解析数据或者向客户端返回否定应答。域名任何类型(如A记录、CNAME记录或NS记录等)的资源记录(集)都可能发生变化,这些变化可能是危险变化,也可能是安全变化。比如域名所有者更换域名应用的网络运营商时,通常会改变A记录中的数据部分里的IP地址,就是一种安全变化;假定我们知道一黑客通过域名劫持修改了域名的A记录数据部分中的IP地址,那么这就是一种危险变化。当域名的某资源记录发生变化时,我们称这个变化为域名记录变化。如果通过一定的手段确定该变化是危险变化,那么我们称之为记录危险变化。特别地,当权威服务器无法正常地响应递归服务器(解析器)时,我们称之为否定异常变化,如名字错误应答和没有数据应答(NoData)等。权威服务器信息的未经授权更改、域名劫持、递归服务器缓存中毒和人为配置错误都是域名记录的危险变化,都会造成递归服务器缓存了错误的记录数据。解析数据发生变化或者由原来的肯定应答数据变成否定应答数据,都看作是解析数据的变化。权威服务器的拒绝服务和人工错误配置会造成域名发生否定异常变化。拒绝服务分为针对DNS服务器的攻击和针对网络基础设施的服务器的攻击,当某域名区权威服务器遭到拒绝服务攻击时,如果某递归服务器向该权威服务器查询其管理的区中的资源记录,那么它将面临三种可能的权威服务器表现形式:一是收到该权威服务器发来的服务器失败(ServerFailure,Servfail)等类型响应;二是不可达(Unreachable),即从某个权威服务器收不到任何响应;最后,区不可达(ZoneUnreachable)。“区不可达”就是当所有服务器出现问题而无法正常应答递归服务器请求时的权威服务器状态。当黑客对部分权威服务器发动攻击而造成其响应缓慢,那么递归服务器会因选择这些服务器做查询请求而延迟获得应答;当黑客对所有权威服务器进行攻击并使它们都无法应答外界请求时,那么递归服务器可能完全无法获得区数据,即该区因此而不可达了。“区不可达”的结果是递归服务器无法正常地回应客户端,并最终导致客户端无法访问域名提供的服务。虽然递归服务器的缓存机制降低了服务器端的负载和查询延迟,从而提高了递归服务器的性能,但是如果某递归服务器缓存了某个域名,那么在该域名的缓存数据在缓存中处于有效期期间,当该域名的权威服务器因为某种原因而无法正常、正确地响应外界对该域名的任何请求,直到该域名在该缓存中过期也没有恢复,那么当递归服务器再次以递归方式解析此域名时,就可能丢掉了正确数据,而缓存了错误数据或否定数据。其中,如果域名发生危险资源记录变化,那么缓存了错误的数据;如果域名发生了否定异常变化,那么缓存了否定数据。资源记录危险变化或者否定异常变化既对用户有影响,又对递归服务器有影响。首先,当域名资源记录发生危险变化或否定异常变化时,使用此递归服务器解析服务的DNS应用将被重定向到非目标服务器或根本无法访问任何服务器,这会影响使用这些递归服务器服务用户的上网安全,或者使他们无法上网。其次,某些域名的请求量巨大,其所在权威服务器一旦发生问题,若DNS应用有滥用DNS的故障,那么客户端将发送大量请求给递归服务器。作为在DNS层次树的链条中的一个重要部分,递归服务器可能受到冲击而影响正常的服务。虽然根据DNS协议分散管理的原则,权威服务器对自己管理的区中的域名负有主要责任。但另一方面,如果用户的DNS应用被重定向到非法网站,那么递归服务器的用户可能遭受损失;如果因为域名权威服务器的问题而无法访问域名应用,那么用户也将可能有损失。因此,本着服务用户、对用户负责的原则和保证递归服务器安全、稳定的考虑,需要对递归服务器做一些安全防护工作,以提高其用户的上网安全和自身的可访问性。总之,递归服务器的缓存机制导致不能及时地发现权威服务器的异常状态。问题发现的滞后性影响到了递归服务器本身的解析质量和解析安全,进而降低其解析服务的可访问性和客户端的上网安全。
技术实现思路
针对现有技术中存在的问题,本专利技术的目的在于提供一种域名递归服务的预判干预方法。本专利技术不仅试图降低DNS查询的网络延迟,还试着增强递归服务器的解析安全;本专利技术不是简单地预取资源记录,而是在预取的基础上,根据域名的相关信息判断和干预递归服务器的状态,进而保证递归服务器的解析安全和数据安全。本专利技术提出了一个适用于递归服务器解析安全状态的预处理方法。监测递归服务器缓存内的域名资源记录集,在它们过期前的一段时间之前,通过有针对性的方法判断它们的解析状态,并在发现危险时进行适当地干预,避免突发因素影响递归服务器的解析安全,从而保证递归服务器处于解析安全状态,保证递归服务器缓存数据的正确性,进而保证其用户的上网安全。本专利技术的技术方案为:一种域名递归服务的预判干预方法,其步骤为:1)选取待监控的域名,预判系统将递归服务器中待监控域名及其设定类型的资源记录同步到本地;2)预判系统对每个域名的资源记录从Ti-T时刻开始进行监控直至该域名的资源记录到期;其中,Ti为第i个域名的资源记录到期时刻,T为设定时间长度;3)如果发现域名的设定类型记录发生变化,预判系统则获取该域名的设定特征数据,然后利用所训练的分类器对该域名的特征数据进行识别,判断该域名的资源记录变化是否为危险变化;31)如果发生危险变化,且权威服务器发生变化,则预判系统向该域名的原权威服务器请求NS记录和Glue记录,并将其写入递归服务器缓存中;32)如果发生危险变化,但权威服务器未发生变化,则预判系统延长该域名在递归服务器缓存中的原资源记录集、NS记录和Glue记录的生存时间;33)如果发生危险变化为否定异常或区不可达,则预判系统延长递归服务器缓存里该域名资源记录集的生存时间;并对该域名状态进行监控,当发现恢复时,将递归服务器缓存内的该域名资源记录集更新为从恢复的该域名所在权威服务器获取的记录集或者删除;34)如果发生危险变化为权威服务器不响应,则从递归服务器缓存中删除掉该权威服务器的资源记录,并对该权威服务器进行监控,该权威服务器状态恢复后将与其相关的NS记录重新添加到递归服务器的缓存中。进一步的,所述特征数据包括:域名长度、域名注册时长、TTL变化大小、网络延迟变化度、域名过期剩余时长。进一步的,所述设定类型的资源记录为A记录或NS记录;所述预判系统从递归服务器获取该域名的A记录、NS记录、PTR记录和MX记录的资源记本文档来自技高网...
【技术保护点】
一种域名递归服务的预判干预方法,其步骤为:1)选取待监控的域名,预判系统将递归服务器中待监控域名及其设定类型的资源记录同步到本地;2)预判系统对每个域名的资源记录从Ti‑T时刻开始进行监控直至该域名的资源记录到期;其中,Ti为第i个域名的资源记录到期时刻,T为设定时间长度;3)如果发现域名的设定类型记录发生变化,预判系统则获取该域名的设定特征数据,然后利用所训练的分类器对该域名的特征数据进行识别,判断该域名的资源记录变化是否为危险变化;31)如果发生危险变化,且权威服务器发生变化,则预判系统向该域名的原权威服务器请求NS记录和Glue记录,并将其写入递归服务器缓存中;32)如果发生危险变化,但权威服务器未发生变化,则预判系统延长该域名在递归服务器缓存中的原资源记录集、NS记录和Glue记录的生存时间;33)如果发生危险变化为否定异常或区不可达,则预判系统延长递归服务器缓存里该域名资源记录集的生存时间;并对该域名状态进行监控,当发现恢复时,将递归服务器缓存内的该域名资源记录集更新为从该域名所在权威服务器获取的记录集或者删除;34)如果发生危险变化为权威服务器不响应,则从递归服务器缓存中删除掉该权威服务器的资源记录,并对该权威服务器进行监控,该权威服务器状态恢复后将与其相关的NS记录重新添加到递归服务器的缓存中。...
【技术特征摘要】
1.一种域名递归服务的预判干预方法,其步骤为:1)选取待监控的域名,预判系统将递归服务器中待监控域名及其设定类型的资源记录同步到本地;2)预判系统对每个域名的资源记录从Ti-T时刻开始进行监控直至该域名的资源记录到期;其中,Ti为第i个域名的资源记录到期时刻,T为设定时间长度;3)如果发现域名的设定类型记录发生变化,预判系统则获取该域名的设定特征数据,然后利用所训练的分类器对该域名的特征数据进行识别,判断该域名的资源记录变化是否为危险变化;其中,所述设定类型的资源记录为A记录或NS记录;所述特征数据包括:域名长度、域名注册时长、TTL变化大小、网络延迟变化度、域名过期剩余时长;所述预判系统从递归服务器获取该域名的A记录、NS记录、PTR记录和MX记录的资源记录集,获取该域名到权威服务器、域名应用服务器的网络延迟数据,从whois数据库查询获取该域名的域名信息;然后从所获取数据中提取该域名的所述特征数据;31)如果发生危险变化,且权威服务器发生变化,则预判系统向该域名的原权威服务器请求NS记录和Glue记录,并将其写入递归服务器缓存中;32)如果发生危险变化,但权威服务器未发生变化,则预判系统延长该域名在递归服务器缓存中的原资源记录集、NS记录和Glue记录的生存时间;33)如果发生危险变化为否定异常或区不可达,则预判系统延长递归服务器缓存里该域名资源记录集的生存时间;并对该域名状态进行监控,当发现恢复时,将递归服务器缓存内的该域名资源记录集更新为从该域名所在权威服务器获取的记录集...
【专利技术属性】
技术研发人员:刘明星,金键,李晓东,
申请(专利权)人:中国科学院计算机网络信息中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。