一種防范dns緩存攻擊的裝置和方法
【專利摘要】本發(fā)明提供一種防范DNS緩存攻擊的裝置和方法，應(yīng)用在網(wǎng)絡(luò)安全設(shè)備上，該裝置執(zhí)行以下處理流程：步驟A.從接收到的DNS響應(yīng)報文中獲取其攜帶的被解析域名，并判斷所述被解析域名是否在預(yù)設(shè)的域名監(jiān)控列表中，如果是，則轉(zhuǎn)步驟B，如果否，則轉(zhuǎn)步驟C;步驟B.判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址是否全部在白名單中，如果是，則允許該DNS響應(yīng)報文通過；步驟C.判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址是否有屬于黑名單中的異常IP地址，如果否，則允許該DNS響應(yīng)報文通過。通過本發(fā)明的技術(shù)方案，有效提升了網(wǎng)絡(luò)安全設(shè)備防范DNS的緩存攻擊的能力，進一步確保了網(wǎng)絡(luò)安全。
【專利說明】一種防范DNS緩存攻擊的裝置和方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，尤其涉及一種防范DNS緩存攻擊的裝置和方法。

【背景技術(shù)】
[0002] DNS是域名系統(tǒng)（Domain Name System)的縮寫，它是由解析器和域名服務(wù)器組成 的。域名服務(wù)器（DNS Server)是指保存有該網(wǎng)絡(luò)中所有主機的域名和對應(yīng)IP地址，并具 有將域名解析為IP地址功能的服務(wù)器。請參考圖1，DNS解析域名的流程大體如下：首先由 客戶端發(fā)起域名解析請求，本地DNS服務(wù)器收到該請求后，會在本地及緩存中查找，如果沒 有找到，則會向上一級DNS服務(wù)器發(fā)起解析請求，上一級DNS服務(wù)器會將解析結(jié)果通過回應(yīng) 報文返回給本地DNS服務(wù)器，此時，本地DNS服務(wù)器將所述解析結(jié)果存入緩存，以便后續(xù)客 戶端再次請求解析該域名的時候，可以直接返回解析結(jié)果，同時會將解析結(jié)果返回給本次 請求解析該域名的客戶端。
[0003] 近年來DNS攻擊事件屢屢發(fā)生，目前針對DNS緩存進行攻擊的行為也非常常見。 DNS緩存攻擊主要有兩類：
[0004] 第一類，DNS服務(wù)器會定期更新自己的緩存。緩存更新時，需要向上級服務(wù)器發(fā)送 請求，而攻擊者則向DNS服務(wù)器發(fā)送精心構(gòu)造的回應(yīng)報文。比如說，如果DNS服務(wù)器更新 WWW. google, com域名時，攻擊者向DNS服務(wù)器發(fā)送回應(yīng)報文，就有可能攻擊成功，將WWW. google, com域名對應(yīng)的IP地址改成攻擊者指定的IP地址。
[0005] 第二類，攻擊者刻意利用一個不存在的某個域名的二級域名來發(fā)送請求，這樣DNS 服務(wù)器由于無法解析就會向上級DNS服務(wù)器發(fā)送域名解析請求，這個時候，攻擊者向DNS 發(fā)送回應(yīng)報文，就有可能攻擊成功。比如說，攻擊者想攻擊WWW. google, com,它就可以發(fā)送 aa. google, com (僅僅是示例，假設(shè)該域名并不存在）給DNS服務(wù)器，這個時候，攻擊者發(fā)送 回應(yīng)報文，此報文回復aa. google, com域名不存在，但是在其中附加資源里將www. google, com改成攻擊者指定的IP地址，這樣一來DNS緩存攻擊成功。


【發(fā)明內(nèi)容】

[0006] 有鑒于此，本發(fā)明提供一種防范DNS緩存攻擊的裝置和方法，以解決現(xiàn)有技術(shù)存 在的不足。
[0007] 具體地，所述裝置應(yīng)用在網(wǎng)絡(luò)安全設(shè)備上，該裝置包括：
[0008] 域名判斷模塊，用于從接收到的DNS響應(yīng)報文中獲取其攜帶的被解析域名，并判 斷所述被解析域名是否在預(yù)設(shè)的域名監(jiān)控列表中，如果是，則通知范圍檢測模塊，如果否， 則通知過濾防護模塊；
[0009] 范圍檢測模塊，用于判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP 地址是否全部在白名單中，如果是，則允許該DNS響應(yīng)報文通過；
[0010] 過濾防護模塊，用于判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP 地址是否有屬于黑名單中的異常IP地址，如果否，則允許該DNS響應(yīng)報文通過。
[0011] 所述方法包括以下步驟：
[0012] 步驟A、從接收到的DNS響應(yīng)報文中獲取其攜帶的被解析域名，并判斷所述被解析 域名是否在預(yù)設(shè)的域名監(jiān)控列表中，如果是，則轉(zhuǎn)步驟B，如果否，則轉(zhuǎn)步驟C ;
[0013] 步驟B、判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址是否全 部在白名單中，如果是，則允許該DNS響應(yīng)報文通過；
[0014] 步驟C、判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址是否有 屬于黑名單中的異常IP地址，如果否，則允許該DNS響應(yīng)報文通過。
[0015] 由以上技術(shù)方案可見，本發(fā)明通過設(shè)置黑、白名單，進而實現(xiàn)對解析IP地址的監(jiān) 控，并能夠過濾異常IP地址，有效地防范了攻擊者對DNS緩存的攻擊。

【專利附圖】

【附圖說明】
[0016] 圖1是典型的DNS請求處理流程圖；
[0017] 圖2是本發(fā)明一種實施方式的方法流程圖；
[0018] 圖3是本發(fā)明一種實施方式的裝置邏輯圖。

【具體實施方式】
[0019] 現(xiàn)有技術(shù)中，位于DNS請求方與解析方之間的網(wǎng)絡(luò)安全設(shè)備在接收到DNS請求報 文后，可以按照隨機的算法修改源端口和TID，然后再將DNS請求報文轉(zhuǎn)發(fā)出去，同時記錄 修改前后的源端口和TID的映射關(guān)系。在接收到DNS響應(yīng)報文之后，對比源端口和TID無 誤后，將所述源端口和TID還原，然后再進行轉(zhuǎn)發(fā)。這個方法雖然大大減小了傳統(tǒng)緩存攻擊 的成功率，但是在極端情況下，如果攻擊者離散地發(fā)送針對某個域名的響應(yīng)報文，或者是將 源端口和TID縮小范圍后發(fā)送攻擊報文，在理論上還是有一定可能會攻擊成功的。本發(fā)明 提供一種防范DNS緩存攻擊的裝置和方法，應(yīng)用在網(wǎng)絡(luò)安全設(shè)備上，旨在從另一個角度來 大幅度提高攻擊者對DNS緩存攻擊的難度，使得DNS服務(wù)更加安全。為了使本發(fā)明的目的、 技術(shù)方案和優(yōu)點更加清楚，下面結(jié)合附圖和具體實施例對本發(fā)明進行詳細描述。
[0020] 請參考圖2和圖3,在本發(fā)明一種優(yōu)選的實施方式中，本發(fā)明提供一種防范DNS緩 存攻擊裝置，該裝置包括：域名判斷模塊、范圍檢測模塊、過濾防護模塊以及名單維護模塊。 該裝置在運行過程中執(zhí)行如下處理流程：
[0021] 步驟101、從接收到的DNS響應(yīng)報文中獲取其攜帶的被解析域名，并判斷所述被解 析域名是否在預(yù)設(shè)的域名監(jiān)控列表中。本步驟由域名判斷模塊執(zhí)行。
[0022] 在現(xiàn)階段的互聯(lián)網(wǎng)中，DNS緩存攻擊往往是具有針對性的，大部分的攻擊者會選擇 攻擊特定的知名網(wǎng)站，本發(fā)明利用攻擊者這一行為特點，通過對少數(shù)知名網(wǎng)站的監(jiān)控來獲 知更多的攻擊者的身份，通常很多攻擊者都可能會攻擊這些知名網(wǎng)站。本步驟中，所述預(yù)設(shè) 的域名監(jiān)控表由管理員配置，通常包括點擊率高的知名網(wǎng)站域名以及其他易受攻擊的網(wǎng)站 域名。通過對預(yù)設(shè)的域名監(jiān)控表，不僅能夠在后續(xù)處理中獲知攻擊者，更主要的是可以保護 這些知名網(wǎng)站的域名不被攻擊，畢竟這些知名網(wǎng)站聚集了互聯(lián)網(wǎng)大部分的訪問流量。
[0023] 安全設(shè)備會接收到各種各樣的報文，其可以利用一些成熟的機制，比如ACL等方 式，將DNS響應(yīng)報文過濾出來做特別處理。在接收到DNS響應(yīng)報文后，可從DNS響應(yīng)報文固 定的字段中獲取其攜帶的被解析域名，判斷所述被解析域名是否在所述預(yù)設(shè)的域名監(jiān)控列 表中，如果是，說明所述被解析的域名是重點需要監(jiān)控的域名，轉(zhuǎn)步驟102 ;如果不是，則轉(zhuǎn) 步驟103。
[0024] 步驟102、判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址是否 全部在白名單中，如果是，則允許該DNS響應(yīng)報文通過。本步驟由范圍檢測模塊執(zhí)行。
[0025] 所述白名單用于記錄合法的IP地址。一個網(wǎng)站通常會對應(yīng)有多個合法的IP地 址，比方說如谷歌、新浪等大型網(wǎng)站，會部署很多臺服務(wù)器，每臺服務(wù)器都會有一個私網(wǎng)IP 地址，考慮到IP地址的緊缺性，在IPv4網(wǎng)絡(luò)中，這些服務(wù)器會共享多個公網(wǎng)IP地址，而對 于上網(wǎng)用戶來說，這些公網(wǎng)IP地址上所提供的服務(wù)是一致的，因此就會出現(xiàn)一個域名對應(yīng) 多個IP地址的情況。雖然每個域名可能會對應(yīng)多個IP地址，但是很多時候其對應(yīng)的所有 IP地址都會在一個或者若干個指定的范圍內(nèi)，所以本發(fā)明可以根據(jù)這一個或者若干個指定 的IP范圍（比如IP地址段）來制定白名單。
[0026] 如果所述解析IP地址全部在白名單中，說明這些解析IP地址是DNS服務(wù)器解析 出來的合法IP地址，允許所述DNS響應(yīng)報文通過。如果所述解析IP地址不完全在白名單 中，此時并不能確定該解析IP地址就是不合法的，因為這些知名網(wǎng)站很可能會新增更多的 公網(wǎng)IP地址資源；因此事實上這種情況可能需要進一步判斷，進而轉(zhuǎn)步驟103,并上報日志 給網(wǎng)管。
[0027] 網(wǎng)管定期查看所述上報的日志中不在白名單中的解析IP地址，如果所述解析IP 地址確實是該網(wǎng)站自身新增的IP地址，則可以通過網(wǎng)管通道通知名單維護模塊將該解析 IP地址增加到白名單中，以便下次該解析IP地址能夠順利通過。如果所述解析IP地址是 異常IP地址，則說明這是攻擊者試圖使用的IP地址，此時可以通知名單維護模塊將該解析 IP地址增加到黑名單中，以便下次直接可以過濾掉該IP地址。所述黑名單用于記錄管理者 認定的異常IP地址或表征多個異常IP地址的IP地址范圍，這些IP地址從域名解析的角度 來看，通常也可以理解為非法IP地址。具體地，所述異常IP地址或者IP地址范圍可能是攻 擊者想要引導用戶訪問的地址，此時，就可以將其設(shè)置為全局的異常IP;所述異常IP地址 或者IP地址范圍也可能是攻擊者想要攻擊的地址，即攻擊者想要通過引導用戶大量的訪 問所述地址，進而導致所述地址的服務(wù)器崩潰，此時，就要將該異常IP地址或者IP地址范 圍與某些域名相對應(yīng)，這樣既能防范攻擊者的錯誤引導，也不會阻止其他用戶的正常訪問。
[0028] 步驟103、判斷所述DNS響應(yīng)報文攜帶的解析IP地址是否有屬于黑名單中的異常 IP地址。本步驟由過濾防護模塊執(zhí)行。
[0029] 本步驟的設(shè)置主要是為了盡量避免不在域名監(jiān)控列表中的域名不被攻擊，雖然不 在域名監(jiān)控列表中的域名通常會是一些訪問率比較低的非知名網(wǎng)站，但是其也可能被攻 擊，也就是說本步驟還能監(jiān)控步驟102中確定不在白名單中的解析IP地址。具體地，查看 DNS響應(yīng)報文攜帶的解析IP地址是否有屬于黑名單中的異常IP地址，所述黑名單除了包 括已知的非法IP外，根據(jù)用戶的需要，還可以配置包括：私網(wǎng)IP地址、組播地址以及廣播地 址等異常的IP地址，通常這樣的IP地址并不應(yīng)該出現(xiàn)在DNS響應(yīng)報文中作為解析結(jié)果的。 如果所述解析IP地址不在黑名單中，則在很大程度上可以說明解析IP地址是一個合法IP 地址，此時可以允許所述DNS響應(yīng)報文通過，如果所述解析IP地址有屬于黑名單中的異常 IP地址時，說明此DNS響應(yīng)報文極有可能是攻擊者發(fā)送的，此時，可以直接丟掉此報文。
[0030] 在實際應(yīng)用中，也會出現(xiàn)某個DNS響應(yīng)報文中的解析IP地址既有合法IP地址又 有異常IP地址的情況，所以，在一種優(yōu)選的實施方式中，過濾防護模塊經(jīng)判斷發(fā)現(xiàn)DNS響應(yīng) 報文的解析IP地址中存在異常IP地址時，不是單純地丟掉該報文，而是刪除其中的異常的 解析IP地址，如果刪除后所述DNS響應(yīng)報文中的解析IP地址不為空，則允許該DNS響應(yīng)報 文通過。這樣就可以保證其中的合法IP地址能夠正常發(fā)送到請求該DNS解析的服務(wù)器或 者客戶端。
[0031] 通過以上描述可以看出，本發(fā)明通過對少數(shù)知名網(wǎng)站域名的監(jiān)控，可以獲知大部 分攻擊者所使用的異常IP地址，實現(xiàn)重點域名的防護的同時又能夠?qū)⒐粽咚褂玫漠?常IP地址添加到黑名單中，然后利用黑名單來實現(xiàn)對異常IP地址的過濾，而黑名單的過濾 又可以是面向全部域名攻擊的，因此又從整體上加強了 DNS緩存的防護功能。
[0032] 以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精 神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)。
【權(quán)利要求】
1. 一種防范DNS緩存攻擊的裝置，應(yīng)用在網(wǎng)絡(luò)安全設(shè)備上，該裝置包括： 域名判斷模塊，用于從接收到的DNS響應(yīng)報文中獲取其攜帶的被解析域名，并判斷所 述被解析域名是否在預(yù)設(shè)的域名監(jiān)控列表中，如果是，則通知范圍檢測模塊，如果否，則通 知過濾防護模塊； 范圍檢測模塊，用于判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址 是否全部在白名單中，如果是，則允許該DNS響應(yīng)報文通過； 過濾防護模塊，用于判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址 是否有屬于黑名單中的異常IP地址，如果否，則允許該DNS響應(yīng)報文通過。
2. 根據(jù)權(quán)利要求1所述的裝置，其特征在于， 范圍檢測模塊進一步用于在判斷所述DNS響應(yīng)報文攜帶的解析IP地址不完全在白名 單中時，通知過濾防護模塊處理并上報日志給網(wǎng)管。
3. 根據(jù)權(quán)利要求1所述的裝置，其特征在于，所述裝置還包括： 名單維護模塊，用于根據(jù)網(wǎng)管的指令更新所述白名單和黑名單。
4. 根據(jù)權(quán)利要求1所述的裝置，其特征在于，過濾防護模塊進一步用于當所述DNS響應(yīng) 報文攜帶的解析IP地址有屬于黑名單中的異常IP地址時，刪除該DNS響應(yīng)報文中的異常 的解析IP地址，如果刪除后所述DNS響應(yīng)報文中攜帶的解析IP地址不為空，則允許該DNS 響應(yīng)報文通過。
5. -種防范DNS緩存攻擊的方法，應(yīng)用在網(wǎng)絡(luò)安全設(shè)備上，該方法包括： 步驟A、從接收到的DNS響應(yīng)報文中獲取其攜帶的被解析域名，并判斷所述被解析域名 是否在預(yù)設(shè)的域名監(jiān)控列表中，如果是，則轉(zhuǎn)步驟B，如果否，則轉(zhuǎn)步驟C ; 步驟B、判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址是否全部在 白名單中，如果是，則允許該DNS響應(yīng)報文通過； 步驟C、判斷所述DNS響應(yīng)報文攜帶的與該被解析域名對應(yīng)的解析IP地址是否有屬于 黑名單中的異常IP地址，如果否，則允許該DNS響應(yīng)報文通過。
6. 根據(jù)權(quán)利要求5所述的方法，其特征在于，步驟B進一步包括：在判斷所述DNS響應(yīng) 報文攜帶的解析IP地址不完全在白名單中時，轉(zhuǎn)步驟C并上報日志給網(wǎng)管。
7. 根據(jù)權(quán)利要求5所述的方法，其特征在于，該方法進一步包括： 步驟D、根據(jù)網(wǎng)管的指令更新所述白名單和黑名單。
8. 根據(jù)權(quán)利要求5所述的方法，其特征在于，步驟C進一步包括：當所述DNS響應(yīng)報文 攜帶的解析IP地址有屬于黑名單中的異常IP地址時，刪除該DNS響應(yīng)報文中的異常的解 析IP地址，如果刪除后所述DNS響應(yīng)報文中攜帶的解析IP地址不為空，則允許該DNS響應(yīng) 報文通過。
【文檔編號】H04L29/06GK104219200SQ201310209362
【公開日】2014年12月17日 申請日期:2013年5月30日 優(yōu)先權(quán)日:2013年5月30日
【發(fā)明者】田佳星 申請人:杭州迪普科技有限公司