CN106506726A - 一种校验dns真实用户的方法 - Google Patents
一种校验dns真实用户的方法 Download PDFInfo
- Publication number
- CN106506726A CN106506726A CN201611141722.4A CN201611141722A CN106506726A CN 106506726 A CN106506726 A CN 106506726A CN 201611141722 A CN201611141722 A CN 201611141722A CN 106506726 A CN106506726 A CN 106506726A
- Authority
- CN
- China
- Prior art keywords
- user
- cname
- domain name
- dns
- dns server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种校验DNS真实用户的方法,当用户请求域名解析时,DNS服务器接收到用户的解析请求后,不直接向用户返回真正的域名或者A记录,而是首先对请求的身份进行校验,以确保请求者身份的合法性。DNS服务器只有对通过身份合法性校验的请求者返回记录信息,本发明适用性强,在DNS服务器端配置,因此任何解析请求都无法绕过CNAME校验机制,如需得到正确的解析请求就必须对CNAME要求作出正确的应答,只需在DNS服务器端增加CNAME校验机制即可,而对于用户来说无需做任何配置,通常对于域名来说,都会配置有A记录和CNAME记录,因此对于正常的用户来说,都能跟踪到域名的CNAME记录,因此不会妨碍到正常用户的访问请求。
Description
技术领域
本发明涉及互联网技术领域,尤其是涉及及一种校验DNS真实用户的方法。
背景技术
DNS(Domain Name System,域名系统)是最基础的网络设施,互联网上的所有访问都离不开DNS的解析功能。DNS在互联网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。如果DNS服务器出现异常,将会对用户的访问服务造成致命的影响。正是因为DNS在互联网上的重要性,DNS服务器通常也最容易成为被攻击的目标。
因为DNS使用UDP数据包,UDP协议全称是用户数据报协议,在网络中它与TCP协议一样用于处理数据包,是一种无连接的协议,UDP不会校验用户来源。针对DNS的攻击主要是DDOS攻击,攻击者通过伪造源IP,冒充正常的访问者利用flood攻击DNS服务器。
因此,如何识别正常访问者的身份和恶意攻击者身份,是DNS设备防范DNS攻击时需要解决的难题。
目前随着互联网技术的发展,DNS服务器的防攻击技术也得到了不断的提升,在某种程度上也能提高DNS服务器的安全性。这些技术手段主要包括:
1.首包丢弃策略,利用TCP协议的重传机制识别正常用户和攻击报文。这种防范策略的前提是基于攻击者的请求是不相关的,而正常的用户请求是会进行重试。当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中,存在则转发到后端。如不存在于白名单中,检查是否是该IP在一定时间段内的首次SYN报文,不是则检查是否重传报文,是重传则转发并加入白名单,不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文,等待超时则判定为攻击报文加入黑名单。
2.强制使用tcp协议。TCP(Transmission Control Protocol传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。通过配置策略,强制用户使用tcp协议,剔除udp flood流量,从而可以达到防范DDoS攻击的效果。使用这种策略的前提条件是正常用户支持tcp和udp请求类型。
3.Local dns白名单。用户通过local dns来请求DNS权威服务器。在现行方案中,通过local dns白名单来过滤真正的用户请求。
但是,目前的现行方案存在着一些缺陷,主要包括:
1.首包丢弃策略:如果攻击者容易构造重发包,将伪造的Syn报文发送两次,这种方法就失去了效果,而且对真正用户请求有误伤。同时首包丢弃方案对用户体验会略有影响,因为丢弃首包重传会增大业务的响应时间。
2.强制使用tcp协议:部分local dns不支持tcp请求,导致部分区域的访问请求无法解析,从而影响到用户的正常访问,所以这种防范策略具有一定的局限性。
Local dns白名单策略:攻击者可以伪造攻击的源ip为local dns ip,这使攻击者披上了合法的外衣,这个正常识别正常访问者和攻击者带来了一定的难度;同时,localdns ip实时变化,不容易进行同步,这也使该策略的效力打上一定的折扣。
发明内容
本发明的目的在于提供一种校验DNS真实用户的方法,以解决上述背景技术中提出的问题和缺陷,增加一层cname验证层,该校验层的作用就是增加一种校验机制,以提高DNS服务器的安全性。
为实现上述目的,本发明提供如下技术方案:
一种校验DNS真实用户的方法,当用户请求域名解析时,DNS服务器接收到用户的解析请求后,不直接向用户返回真正的域名或者记录信息,而是首先对请求的身份进行校验,核验用户是不是一个合法的访问用户,即DNS服务器要求访问者提供其CNAME信息,访问者只有向DNS服务器提供域名的cname信息以后,才能从DNS服务器获取其相应的记录信息。
作为上述技术方案的进一步方案,当用户请求域名解析时,DNS服务器接收到用户的解析请求后,向请求者返回一层植入校验信息的cname,按照规定DNS解析协议,用户需要继续跟踪此域名的cname信息,并向DNS服务器进行反馈信号,以获取到正确的域名或者记录信息。
本发明的优点:
1.适用性强,攻击者无法绕过。该发明在DNS服务器端配置,因此任何解析请求都无法绕过CNAME校验机制,如需得到正确的解析请求就必须对CNAME要求作出正确的应答。
2.不需要做特殊的配置。只需在DNS服务器端增加CNAME校验机制即可,而对于用户来说无需做任何配置。
3.同时对用户请求无误伤。通常对于域名来说,都会配置有A记录和CNAME记录,因此对于正常的用户来说,都能跟踪到域名的CNAME记录,因此不会妨碍到正常用户的访问请求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为一种校验DNS真实用户的方法的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,通常来说,正常的域名除了A记录以后,都会有CNAME记录,因此对于DNS服务器发出的CNAME的检验要求都会做出正确的应答;而对于攻击者来说,是无法跟踪并获取到CNAME记录的,因此也就无法对CNAME校验机制做出正确的响应。因此对于DNS服务器来说,根据CNAME的应答情况就可以判断哪些是合法的解析请求,哪些是非法的攻击者。
从上面描述可以看到在DNS服务器通过增加一层针对CNAME的校验机制,即可达到校验真实用户的目的。
以上所述仅为本发明的较佳实施方式作了详细说明,但是本发明并不限于上述实施方式,保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内,本发明实施例还可以在不脱离本专利宗旨的前提下做出各种变化。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (2)
1.一种校验DNS真实用户的方法,其特征在于,当用户请求域名解析时,DNS服务器接收到用户的解析请求后,不直接向用户返回真正的域名或者记录信息,而是首先对请求的身份进行校验,核验用户是不是一个合法的访问用户,即DNS服务器要求访问者提供其CNAME信息,访问者只有向DNS服务器提供域名的cname信息以后,才能从DNS服务器获取其相应的记录信息。
2.根据权利要求1所述的一种校验DNS真实用户的方法,其特征在于,当用户请求域名解析时,DNS服务器接收到用户的解析请求后,向请求者返回一层植入校验信息的cname,按照规定的DNS解析协议,用户需要继续跟踪此域名的cname信息,并向DNS服务器进行反馈信号,以获取到正确的域名或者记录信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611141722.4A CN106506726A (zh) | 2016-12-12 | 2016-12-12 | 一种校验dns真实用户的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611141722.4A CN106506726A (zh) | 2016-12-12 | 2016-12-12 | 一种校验dns真实用户的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106506726A true CN106506726A (zh) | 2017-03-15 |
Family
ID=58330829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611141722.4A Pending CN106506726A (zh) | 2016-12-12 | 2016-12-12 | 一种校验dns真实用户的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106506726A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109600417A (zh) * | 2018-11-02 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 一种跟踪应用访问的方法、装置、设备及系统 |
| CN109981814A (zh) * | 2019-03-19 | 2019-07-05 | 全链通有限公司 | 基于区块链网络服务节点的域名信息查询方法和系统 |
| CN110213204A (zh) * | 2018-03-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
| CN111107175A (zh) * | 2017-03-31 | 2020-05-05 | 贵州白山云科技股份有限公司 | 一种构建dns应答报文的方法及装置 |
| CN112910839A (zh) * | 2021-01-12 | 2021-06-04 | 杭州迪普科技股份有限公司 | 一种dns攻击的防御方法和装置 |
| CN114553820A (zh) * | 2022-02-11 | 2022-05-27 | 北京云思智学科技有限公司 | 一种精细化解析控制的dns解析方法、系统及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312724A (zh) * | 2013-07-05 | 2013-09-18 | 北京蓝汛通信技术有限责任公司 | 一种dns请求的认证方法及设备 |
| CN105516391A (zh) * | 2015-12-25 | 2016-04-20 | 互联网域名系统北京市工程研究中心有限公司 | 一种基于cname的dns域名解析方法 |
-
2016
- 2016-12-12 CN CN201611141722.4A patent/CN106506726A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312724A (zh) * | 2013-07-05 | 2013-09-18 | 北京蓝汛通信技术有限责任公司 | 一种dns请求的认证方法及设备 |
| CN105516391A (zh) * | 2015-12-25 | 2016-04-20 | 互联网域名系统北京市工程研究中心有限公司 | 一种基于cname的dns域名解析方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111107175A (zh) * | 2017-03-31 | 2020-05-05 | 贵州白山云科技股份有限公司 | 一种构建dns应答报文的方法及装置 |
| CN111107175B (zh) * | 2017-03-31 | 2023-08-08 | 贵州白山云科技股份有限公司 | 一种构建dns应答报文的方法及装置 |
| CN110213204A (zh) * | 2018-03-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
| CN110213204B (zh) * | 2018-03-13 | 2022-09-23 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
| CN109600417A (zh) * | 2018-11-02 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 一种跟踪应用访问的方法、装置、设备及系统 |
| CN109981814A (zh) * | 2019-03-19 | 2019-07-05 | 全链通有限公司 | 基于区块链网络服务节点的域名信息查询方法和系统 |
| CN112910839A (zh) * | 2021-01-12 | 2021-06-04 | 杭州迪普科技股份有限公司 | 一种dns攻击的防御方法和装置 |
| CN114553820A (zh) * | 2022-02-11 | 2022-05-27 | 北京云思智学科技有限公司 | 一种精细化解析控制的dns解析方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106506726A (zh) | 一种校验dns真实用户的方法 | |
| CN106063222B (zh) | 用于对传送http业务的tcp连接进行分类的方法和装置 | |
| Wong et al. | Sender policy framework (SPF) for authorizing use of domains in e-mail, version 1 | |
| CN101180826B (zh) | 较高级协议认证 | |
| US6804778B1 (en) | Data quality assurance | |
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| CN104811462B (zh) | 一种接入网关重定向方法及接入网关 | |
| Xiao et al. | A survey of accountability in computer networks and distributed systems | |
| CN103747076B (zh) | 云平台的访问方法和装置 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN106453610A (zh) | 面向运营商骨干网的https数据流审计方法和系统 | |
| CN112311722B (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
| JP4693174B2 (ja) | 中間ノード | |
| JP2002542722A (ja) | 送信データの完全性監視 | |
| US8655957B2 (en) | System and method for confirming that the origin of an electronic mail message is valid | |
| Clayton | Anonymity and traceability in cyberspace | |
| CN103312724B (zh) | 一种dns请求的认证方法及设备 | |
| CN107786489A (zh) | 访问请求验证方法及装置 | |
| Davis et al. | A peek into the DNS cookie jar: An analysis of DNS cookie use | |
| JP5715030B2 (ja) | アクセス回線特定・認証システム | |
| Wong et al. | RFC 4408: Sender policy framework (SPF) for authorizing use of domains in e-mail, version 1 | |
| CN108462672A (zh) | 一种应对网络攻击的认证保护方法及系统 | |
| van Rijswijk-Deij | Improving DNS security: a measurement-based approach | |
| WO2020036201A1 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
| CN111585972B (zh) | 面向网闸的安全防护方法、装置及网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170315 |
|
| RJ01 | Rejection of invention patent application after publication |