[发明专利]一种防范DNS缓存攻击的方法及装置

说明书

技术领域

本发明涉及网络安全技术，尤其涉及一种防范DNS缓存攻击的方法及装置。

背景技术

DNS 是域名系统 (Domain Name System) 的缩写，它是由解析器和域名服务器组成的。域名服务器（DNS Server）是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。请参考图1，一次正常的域名解析流程大体包括以下处理：首先由客户端发起域名解析请求，本地DNS服务器收到客户端的域名请求后，会去查找自己的管辖域，如果请求的是自己管辖域的域名，就将结果返回给客户端；如果不是自己管辖域的，会在缓存中查找，若没有找到，则会向上一级DNS 服务器发起请求，上一级服务器将解析结果通过DNS Reply报文返回给本地DNS服务器，此时本地DNS服务器将解析结果存入缓存，以便以后再有请求解析该域名时，可以直接返回解析结果，同时会将解析结果返回给本次请求解析该域名的客户端。

近年来DNS攻击事件屡屡发生，比如此前暴风影音DNS遭遇攻击事件。目前针对DNS缓存进行攻击式攻击的行为非常常见。DNS 缓存攻击主要有两类:

第一类，DNS服务器会按照一定的机制对自己的缓存进行更新。缓存更新时，需要向上级服务器发送请求。而攻击者则向DNS 服务器发送精心构造的DNS reply报文。比如说，如果DNS 服务器更新www.google.com域名时，攻击者向DNS 服务器发送精心构造的DNS reply报文，就有可能攻击成功，将www.google.com域名对应的IP地址改成攻击者指定的IP地址。

第二类，攻击者刻意利用一个不存在的某个域名的二级域名来发送请求，这样DNS 服务器由于无法解析自然会向上级DNS服务器发送域名解析请求；这个时候，攻击者则向DNS 服务器发送精心构造的DNS reply报文,就有可能攻击成功。如攻击者想攻击www.google.com,它就可以发送aa.google.com（仅仅是示例，假设该域名并不存在）给DNS服务器，这个时候，攻击者发送精心构造的DNS reply 报文，此报文回复的内容是“aa.google.com域名不存在，但是其在附加资源里将www.google.com改成攻击者指定的IP”，这样一来DNS 缓存攻击成功。针对目前的两种DNS缓存攻击，业界还没有简单且行之有效的解决方案。

发明内容

有鉴于此，本发明提供一种防范DNS缓存攻击的装置，其应用于DNS安全设备中，该装置包括：

攻击检测单元，用于检测是否存在针对DNS服务器缓存进行攻击的行为，如果存在，则将被攻击的域名加入保护名单；

缓存防护单元，用于在所述攻击的行为发生时检查DNS响应报文中的域名是否在保护名单中，如果是，则将该域名对应的生存时间修改为更短的生存时间，并将修改后的响应报文发送出去。。

本发明还提供一种防范DNS缓存攻击的方法，其应用于DNS安全设备中，该方法包括：

A、检测是否存在针对DNS服务器缓存进行攻击的行为，如果存在，则将被攻击的域名加入保护名单；

B、在所述攻击的行为发生时检查DNS响应报文中的域名是否在保护名单中，如果是，则将该域名对应的生存时间修改为更短的生存时间，并将修改后的响应报文发送出去。

本发明能够使得DNS缓存攻击将会被大大抑制，攻击成功的可能性将变成小概率事件。因为一方面，攻击者穷举攻击成功一次的可能性很低，即便成功了，攻击成功的生效时间又大幅度缩短了，所以本发明可以非常有效地防范DNS缓存攻击。

附图说明

图1典型的DNS请求的处理流程。

图2是一种DNS缓存攻击的原理示意图。

图3是另一种DNS缓存攻击的原理示意图。

图4是本发明防范DNS缓存攻击装置的逻辑结构图。

图5是本发明另一种防范DNS缓存攻击装置逻辑结构图。

图6是本发明两种防范DNS缓存攻击装置融合的逻辑结构图。

图7是本发明两种防范DNS缓存攻击装置融合的处理流程图。

具体实施方式

本发明旨在大幅度提高攻击者对DNS缓存进行攻击的难度，相应使得DNS服务在网络中处于更加安全的境地。通常来说，本地DNS服务器接收到上一级DNS服务器返回的响应报文（DNS reply）报文后会对报文做如下处理: