一種dns遞歸服務(wù)器的查詢請(qǐng)求服務(wù)方法
【專利摘要】本發(fā)明公開(kāi)了一種DNS遞歸服務(wù)器的查詢請(qǐng)求服務(wù)方法����,屬于網(wǎng)絡(luò)【技術(shù)領(lǐng)域】��。本方法為:1)將DNS遞歸服務(wù)器的緩存劃分可信緩存區(qū)和不可信緩存區(qū)���;2)遞歸服務(wù)器收到一查詢請(qǐng)求后�,在可信緩存區(qū)的資源記錄中查找是否有匹配的資源��;如果有�,則將匹配資源記錄返回給查詢端;如果沒(méi)有�,則向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求;3)遞歸服務(wù)器監(jiān)測(cè)該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率����;4)如果響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)可信門限,則遞歸服務(wù)器將該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包置于不可信緩存區(qū)����;如果未超過(guò)該可信門限���,則重新向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求,將得到的DNS資源記錄發(fā)送給查詢端����,并將其添加到可信緩存區(qū)�。本發(fā)明減小了緩存中毒的可能性,保證了查詢的效率�。
【專利說(shuō)明】一種DNS遞歸服務(wù)器的查詢請(qǐng)求服務(wù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種DNS遞歸服務(wù)器的查詢請(qǐng)求服務(wù)方法,屬于計(jì)算機(jī)網(wǎng)絡(luò)【技術(shù)領(lǐng)域】��。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)域名系統(tǒng)(Domain Name System, DNS)的主要實(shí)體包括提供解析查詢服務(wù)的遞歸服務(wù)器和提供權(quán)威應(yīng)答服務(wù)的權(quán)威服務(wù)器�。其查詢過(guò)程如圖1所示。具體步驟為:
[0003]I)當(dāng)終端用戶希望訪問(wèn)www.sina.com時(shí)�,向遞歸服務(wù)器發(fā)送DNS查詢請(qǐng)求消息;
[0004]2)如果遞歸服務(wù)器的緩存中完全沒(méi)有該域名的相關(guān)信息(假設(shè)既沒(méi)有com的權(quán)威服務(wù)器地址�,也沒(méi)有sina.com的權(quán)威服務(wù)器地址),遞歸服務(wù)器便需要向根服務(wù)器發(fā)起查詢過(guò)程�,從而獲知com權(quán)威服務(wù)器的地址;
[0005]3)遞歸服務(wù)器接著向com權(quán)威服務(wù)器發(fā)送查詢消息��,于是獲知到sina.com權(quán)威服務(wù)器的地址信息�����;
[0006]4)通過(guò)向sina.com權(quán)威服務(wù)器的繼續(xù)查詢,遞歸服務(wù)器最終獲知了 www.sina.com的地址;
[0007]5)遞歸服務(wù)器將查詢所得到的資源記錄返回給客戶端���,并將該記錄存儲(chǔ)在緩存中���。當(dāng)其他終端用戶向該遞歸服務(wù)器查詢WWW.sina.com時(shí),遞歸服務(wù)器直接在緩存中查找匹配的資源記錄就能進(jìn)行及時(shí)響應(yīng)。而終端用戶也可以經(jīng)由該地址信息訪問(wèn)對(duì)應(yīng)網(wǎng)絡(luò)資源�。
[0008]在上述查詢過(guò)程中,遞歸服務(wù)器向任何一個(gè)權(quán)威服務(wù)器發(fā)送查詢消息后�����,如果對(duì)應(yīng)的偽造響應(yīng)數(shù)據(jù)包能夠在正確響應(yīng)數(shù)據(jù)包到達(dá)之前被遞歸服務(wù)器接收��,且匹配了遞歸服務(wù)器發(fā)送出的查詢數(shù)據(jù)包的UDP端口號(hào)和數(shù)據(jù)包ID�����,遞歸服務(wù)器就會(huì)把錯(cuò)誤的權(quán)威資源記錄緩存起來(lái)�����,從而造成緩存中毒���。當(dāng)后續(xù)用戶查詢?cè)撚蛎麜r(shí)�����,都被引導(dǎo)到錯(cuò)誤或惡意的站點(diǎn)�。
[0009]如何識(shí)別和避免遞歸服務(wù)器緩存不可信的或偽造的響應(yīng)信息,以盡量減小DNS遞歸服務(wù)器緩存中毒的可能性是一亟待解決的技術(shù)問(wèn)題���。
【發(fā)明內(nèi)容】
[0010]針對(duì)現(xiàn)有技術(shù)中存在的技術(shù)問(wèn)題����,本發(fā)明的目的在于提供一種DNS遞歸服務(wù)器的查詢請(qǐng)求服務(wù)方法���。本發(fā)明提出將DNS遞歸服務(wù)器的緩存劃分成兩個(gè)部分:可信緩存區(qū)和不可信緩存區(qū)。其中可信緩存區(qū)是通過(guò)正常查詢而緩存的正確DNS資源記錄��;不可信緩存區(qū)是由于DNS遞歸服務(wù)器通過(guò)監(jiān)測(cè)DNS流量對(duì)某些響應(yīng)產(chǎn)生懷疑而對(duì)應(yīng)的資源記錄���?���?尚啪彺鎱^(qū)的使用依照遞歸服務(wù)器通常使用緩存數(shù)據(jù)的規(guī)則����,而不可信緩存區(qū)的數(shù)據(jù)不能直接用于回復(fù)客戶端���。只有當(dāng)監(jiān)測(cè)結(jié)果回落到遞歸服務(wù)器選擇的可信門限以下,才對(duì)不可信緩存區(qū)的資源記錄重新發(fā)起查詢過(guò)程����,并將對(duì)應(yīng)的響應(yīng)添加到可信緩存區(qū)。
[0011]本發(fā)明的技術(shù)方案為:[0012]一種DNS遞歸服務(wù)器的查詢請(qǐng)求服務(wù)方法�,其步驟為:
[0013]I)將DNS遞歸服務(wù)器的緩存劃分可信緩存區(qū)和不可信緩存區(qū);其中�,可信緩存區(qū)用于緩存可信的DNS資源記錄,不可信緩存區(qū)是用于存儲(chǔ)可疑查詢請(qǐng)求對(duì)應(yīng)的DNS資源記錄;
[0014]2)遞歸服務(wù)器收到一查詢請(qǐng)求后�����,在可信緩存區(qū)的資源記錄中查找是否有匹配的資源����;如果有,則將匹配資源記錄返回給查詢端��;如果沒(méi)有��,則向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求����;
[0015]3)遞歸服務(wù)器監(jiān)測(cè)該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率����;所述響應(yīng)數(shù)據(jù)包到達(dá)率為設(shè)定時(shí)間長(zhǎng)度內(nèi)接收到的針對(duì)同一查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包���;
[0016]4)如果該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)預(yù)設(shè)可信門限��,則遞歸服務(wù)器將該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包置于不可信緩存區(qū)�;如果該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率未超過(guò)該預(yù)設(shè)可信門限�����,則重新向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求��,將得到的DNS資源記錄發(fā)送給查詢端���,并將其作為一可信的DNS資源記錄添加到可信緩存區(qū)。
[0017]進(jìn)一步的����,如果該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)預(yù)設(shè)可信門限時(shí),遞歸服務(wù)器收到其他查詢端發(fā)出的與該查詢請(qǐng)求相同的查詢請(qǐng)求2��,且該查詢請(qǐng)求2的響應(yīng)數(shù)據(jù)包到達(dá)率未超過(guò)該預(yù)設(shè)可信門限��,則遞歸服務(wù)器針對(duì)該查詢請(qǐng)求2向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求。
[0018]進(jìn)一步的���,如果某查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)預(yù)設(shè)可信門限��,則所述遞歸服務(wù)器通過(guò)根據(jù)該查詢請(qǐng)求發(fā)送出去的查詢消息中的目的IP地址����,確定出緩存中毒攻擊源�。
[0019]進(jìn)一步的,所述遞歸服務(wù)器實(shí)時(shí)監(jiān)測(cè)查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率�。
[0020]本發(fā)明具有如下特點(diǎn):
[0021]I)通過(guò)劃分緩存區(qū)域?qū)崿F(xiàn)對(duì)不可信資源記錄的隔離;
[0022]2)同一個(gè)查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率過(guò)大時(shí)����,遞歸服務(wù)器認(rèn)為有緩存中毒攻擊發(fā)生,從而將接收到的響應(yīng)判定為不可信�����;
[0023]3)通過(guò)把不可信緩存區(qū)中資源記錄的重查結(jié)果填充到可信緩存區(qū)�,保證了遞歸服務(wù)器通過(guò)使用緩存提高查詢處理效率的目的。
[0024]與現(xiàn)有技術(shù)相比�����,本發(fā)明的積極效果為:
[0025]本發(fā)明通過(guò)將緩存區(qū)域劃分可信緩存區(qū)和不可信緩存區(qū),實(shí)現(xiàn)對(duì)不可信資源記錄的隔離��;從而避免遞歸服務(wù)器緩存不可信的或偽造的響應(yīng)信息��,減小了 DNS遞歸服務(wù)器緩存中毒的可能性�����,保證了遞歸服務(wù)器查詢處理的效率���。
【專利附圖】
【附圖說(shuō)明】
[0026]圖1為現(xiàn)有DNS查詢流程圖����;
[0027]圖2為本發(fā)明的方法流程圖�。
【具體實(shí)施方式】
[0028]本發(fā)明中遞歸服務(wù)器的處理流程如圖2所示。
[0029]I)遞歸服務(wù)器收到一查詢請(qǐng)求后��,先在可信緩存的資源記錄中查找是否有匹配的資源��;遞歸服務(wù)器首先希望通過(guò)可信緩存的查詢����,將匹配響應(yīng)盡快返回給用戶,從而提高查詢效率(在沒(méi)有發(fā)現(xiàn)攻擊情況下�����,所有查詢到的結(jié)果都會(huì)保存到可信緩存中���,比如圖1例子中com的權(quán)威服務(wù)器地址�、sina.com的權(quán)威服務(wù)器地址和www.sina.com的地址��。當(dāng)檢測(cè)到攻擊時(shí)���,接收到的響應(yīng)信息就存儲(chǔ)到不可信區(qū)中����。)��;如果沒(méi)有���,則向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求�����,當(dāng)該查詢請(qǐng)求對(duì)應(yīng)的響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)預(yù)設(shè)的門限�����,就認(rèn)為該緩存正遭受毒化攻擊��,中毒源就是遞歸服務(wù)器發(fā)送出去的查詢消息的目的IP地址��。比如當(dāng)緩存中毒攻擊源向遞歸服務(wù)器發(fā)送域名如XXX.yyy.cn的查詢請(qǐng)求時(shí),其未在可信緩存中找到對(duì)應(yīng)資源記錄的遞歸服務(wù)器隨即向權(quán)威服務(wù)器發(fā)起查詢過(guò)程�����;權(quán)威服務(wù)器的主要功能就是維護(hù)DNS數(shù)據(jù)���?����!绊憫?yīng)數(shù)據(jù)包到達(dá)率”就是通過(guò)統(tǒng)計(jì)一定時(shí)間內(nèi)接收到的針對(duì)同一查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包����。
[0030]2)為了對(duì)該遞歸服務(wù)器進(jìn)行毒化���,攻擊源向遞歸服務(wù)器發(fā)送大批量的偽造響應(yīng)消息����,以期匹配遞歸服務(wù)器向權(quán)威服務(wù)器發(fā)送DNS查詢消息的UDP端口號(hào)和數(shù)據(jù)包ID ���;
[0031]3)如果遞歸服務(wù)器通過(guò)同一個(gè)查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率判定該響應(yīng)的不可信程度�,那么如果響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)預(yù)設(shè)門限后��,遞歸服務(wù)器將接收到的匹配響應(yīng)消息置于不可信緩存區(qū)(為對(duì)本發(fā)明技術(shù)方案進(jìn)行清晰展示�����,本發(fā)明以同一個(gè)查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率判定該響應(yīng)的不可信程度�����,但本發(fā)明也可以支持其他判定規(guī)則)����;
[0032]4)如果遞歸服務(wù)器此時(shí)接收到其他客戶端發(fā)起的對(duì)應(yīng)該毒化緩存的查詢請(qǐng)求,且其他客戶端發(fā)出的請(qǐng)求的對(duì)應(yīng)響應(yīng)回落到可信門限以下���,則遞歸服務(wù)器不采用不可信緩存區(qū)中的數(shù)據(jù)���,并重新向權(quán)威服務(wù)器發(fā)起查詢過(guò)程予以回復(fù);
[0033]5)直到遞歸服務(wù)器接收到的該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率回落到可信門限以下����,遞歸服務(wù)器認(rèn)為攻擊已經(jīng)結(jié)束����,于是重新發(fā)起查詢過(guò)程�����,并將響應(yīng)中的資源記錄添加到可信區(qū)���,以實(shí)現(xiàn)對(duì)后續(xù)查詢的快速響應(yīng)�����。比如:如有查詢請(qǐng)求消息1�、2���,對(duì)應(yīng)查詢消息1����,有大量偽造響應(yīng)���,對(duì)應(yīng)查詢消息2��,還是有大量偽造響應(yīng)�,那么遞歸服務(wù)器就認(rèn)為查詢I和查詢2都是偽造的查詢,是毒化緩存所用�����,而不予以響應(yīng)����。但是如果這兩個(gè)查詢對(duì)應(yīng)的響應(yīng)在可信門限以下�����,那么遞歸服務(wù)器就認(rèn)為這是個(gè)正常的查詢���,從而向權(quán)威服務(wù)器發(fā)起查詢�,然后將響應(yīng)中的資源記錄添加到可信區(qū)�,以實(shí)現(xiàn)對(duì)后續(xù)查詢的快速響應(yīng)。
【權(quán)利要求】
1.一種DNS遞歸服務(wù)器的查詢請(qǐng)求服務(wù)方法���,其步驟為: 1)將DNS遞歸服務(wù)器的緩存劃分可信緩存區(qū)和不可信緩存區(qū)�;其中���,可信緩存區(qū)用于緩存可信的DNS資源記錄�,不可信緩存區(qū)是用于存儲(chǔ)可疑查詢請(qǐng)求對(duì)應(yīng)的DNS資源記錄; 2)遞歸服務(wù)器收到一查詢請(qǐng)求后�����,在可信緩存區(qū)的資源記錄中查找是否有匹配的資源�����;如果有��,則將匹配資源記錄返回給查詢端��;如果沒(méi)有�����,則向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求���; 3)遞歸服務(wù)器監(jiān)測(cè)該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率���;所述響應(yīng)數(shù)據(jù)包到達(dá)率為設(shè)定時(shí)間長(zhǎng)度內(nèi)接收到的針對(duì)同一查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包; 4)如果該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)預(yù)設(shè)可信門限,則遞歸服務(wù)器將該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包置于不可信緩存區(qū)����;如果該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率未超過(guò)該預(yù)設(shè)可信門限,則重新向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求�,將得到的DNS資源記錄發(fā)送給查詢端,并將其作為一可信的DNS資源記錄添加到可信緩存區(qū)��。
2.如權(quán)利要求1所述的方法����,其特征在于如果該查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)預(yù)設(shè)可信門限時(shí)���,遞歸服務(wù)器收到其他查詢端發(fā)出的與該查詢請(qǐng)求相同的查詢請(qǐng)求2����,且該查詢請(qǐng)求2的響應(yīng)數(shù)據(jù)包到達(dá)率未超過(guò)該預(yù)設(shè)可信門限�,則遞歸服務(wù)器針對(duì)該查詢請(qǐng)求2向權(quán)威服務(wù)器發(fā)起查詢請(qǐng)求。
3.如權(quán)利要求1所述的方法�,其特征在于如果某查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率超過(guò)預(yù)設(shè)可信門限,則所述遞歸服務(wù)器通過(guò)根據(jù)該查詢請(qǐng)求發(fā)送出去的查詢消息中的目的IP地址���,確定出緩存中毒攻擊源���。
4.如權(quán)利要求1所述的方法�,其特征在于所述遞歸服務(wù)器實(shí)時(shí)監(jiān)測(cè)查詢請(qǐng)求的響應(yīng)數(shù)據(jù)包到達(dá)率����。
【文檔編號(hào)】H04L29/06GK103685168SQ201210328266
【公開(kāi)日】2014年3月26日 申請(qǐng)日期:2012年9月7日 優(yōu)先權(quán)日:2012年9月7日
【發(fā)明者】延志偉, 胡安磊, 王利明 申請(qǐng)人:中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心