本發(fā)明涉及DNS安全領(lǐng)域，尤其涉及一種DNSSEC否定應(yīng)答的響應(yīng)及處理方法。

背景技術(shù)：

DNSSEC是Domain Name System Security Extensions的縮寫(xiě)，是DNS系統(tǒng)的一種安全擴(kuò)展，是由IETF提供的一系列DNS安全認(rèn)證的機(jī)制(可參考RFC2535)。它提供一種可以驗(yàn)證應(yīng)答信息真實(shí)性和完整性的機(jī)制，利用密碼技術(shù)，使得域名解析服務(wù)器可以驗(yàn)證它所收到的應(yīng)答(包括域名不存在的應(yīng)答)是否來(lái)自于真實(shí)的服務(wù)器，或者是否在傳輸過(guò)程中被篡改過(guò)。DNSSEC目前已經(jīng)部署在根、多個(gè)頂級(jí)域和國(guó)家頂級(jí)域。通過(guò)DNSSEC的部署，可以增強(qiáng)對(duì)DNS域名服務(wù)器的身份認(rèn)證，進(jìn)而幫助防止DNS緩存污染等攻擊。DNSSEC給解析服務(wù)器提供了防止上當(dāng)受騙的武器，是實(shí)現(xiàn)DNS安全的重要一步和必要組成部分。

為了驗(yàn)證域名不存在的應(yīng)答，DNSSEC引入了一種類型為NSEC3的資源記錄(可參考RFC5155)。NSEC3類型的資源記錄的owner為域名格式，其內(nèi)容為域名經(jīng)過(guò)數(shù)次SHA1加密之后通過(guò)Base32編碼轉(zhuǎn)換生成的一串長(zhǎng)度為32字節(jié)的字符串和區(qū)名的組合。為了證明域名的不存在性，通常在回復(fù)報(bào)文中會(huì)包含最多3條的NSEC3資源記錄和他們對(duì)應(yīng)資源記錄簽名(RRSIG)，為了回復(fù)對(duì)應(yīng)的NSEC3記錄，DNS權(quán)威服務(wù)器在一般的實(shí)現(xiàn)方式下會(huì)計(jì)算多次SHA1算法加密和base32編碼轉(zhuǎn)換，這些計(jì)算極大地降低了DNS權(quán)威服務(wù)器對(duì)于DNSSEC否定應(yīng)答的響應(yīng)速度，目前市面上常用的DNS軟件通常都有此問(wèn)題。由于在這一種特殊情況下DNS權(quán)威服務(wù)器的處理性能急劇下降，致使黑客能夠更加有針對(duì)性地對(duì)整個(gè)DNS系統(tǒng)進(jìn)行攻擊，從而使部署實(shí)施DNSSEC的DNS系統(tǒng)變的更加脆弱。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于：提高DNS權(quán)威服務(wù)器對(duì)于DNSSEC否定應(yīng)答的響應(yīng)速度；降低針對(duì)DNSSEC否定應(yīng)答的分布式拒絕服務(wù)DDOS(Distributed Denial of Service)攻擊的風(fēng)險(xiǎn)。

本發(fā)明提出了一種DNSSEC否定應(yīng)答的響應(yīng)方法，其包括以下步驟：

步驟A1、權(quán)威DNS服務(wù)器通過(guò)區(qū)文件形式加載DNS數(shù)據(jù)；

步驟A3、權(quán)威DNS服務(wù)器對(duì)加載的所有域名進(jìn)行SHA1加密和base32編碼計(jì)算并保存計(jì)算結(jié)果；

步驟A5、權(quán)威DNS服務(wù)器接收DNS查詢。

其中，所述步驟A5具體包括：

步驟A51、判斷所述DNS查詢是否請(qǐng)求DNSSEC應(yīng)答；

步驟A53、如果是，則由所述權(quán)威DNS服務(wù)器處理所述DNS查詢。

其中，所述步驟A53具體包括：

步驟A531、權(quán)威DNS服務(wù)器判斷是否針對(duì)該DNS查詢返回DNSSEC否定應(yīng)答；

步驟A533、如果是，則根據(jù)步驟A3中的計(jì)算結(jié)果查找NSEC3記錄，并構(gòu)成DNSSEC否定應(yīng)答消息；

步驟A535、權(quán)威DNS服務(wù)器返回包含DNSSEC否定應(yīng)答消息的DNS響應(yīng)報(bào)文。

本發(fā)明還提出了一種基于DNSSEC否定應(yīng)答的響應(yīng)方法的處理方法，其包括以下步驟：

步驟B1、設(shè)定DDOS檢測(cè)閾值；

步驟B3、計(jì)算接收的DNSSEC否定應(yīng)答查詢數(shù)；

步驟B5、根據(jù)查詢數(shù)與所述閾值的比較，判斷是否存在針對(duì)DNSSEC否定應(yīng)答的DDOS攻擊。

其中，所述步驟B1中DDOS檢測(cè)閾值＝帶寬/包含DNSSEC否定應(yīng)答消息的DNS響應(yīng)報(bào)文的平均長(zhǎng)度；所述包含DNSSEC否定應(yīng)答消息的DNS響應(yīng)報(bào)文為步驟A535中DNS服務(wù)器返回的DNS響應(yīng)報(bào)文。

其中，所述步驟B5具體包括如果接收的DNSSEC否定應(yīng)答查詢數(shù)大于檢測(cè)閾值，則表示存在針對(duì)DNSSEC否定應(yīng)答的DDOS攻擊。

本發(fā)明的優(yōu)點(diǎn)在于：由于不會(huì)在查詢處理的過(guò)程中進(jìn)行額外的計(jì)算，DNSSEC否定應(yīng)答的響應(yīng)速度相比一般查詢不會(huì)有明顯的下降，并根據(jù)DNSSEC否定應(yīng)答報(bào)文長(zhǎng)度相比正常應(yīng)答報(bào)文大幅增加的特點(diǎn)，提供了針對(duì)DNSSEC否定應(yīng)答查詢的DDOS攻擊檢測(cè)方法。

附圖說(shuō)明

通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中：

附圖1示出了現(xiàn)有技術(shù)的處理DNSSEC否定應(yīng)答的流程圖；

附圖2示出了正常查詢應(yīng)答速度與DNSSEC否定應(yīng)答的響應(yīng)速度對(duì)比；

附圖3示出了根據(jù)本發(fā)明實(shí)施例的DNSSEC否定應(yīng)答的流程圖。

具體實(shí)施方式

下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施方式。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施方式，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施方式所限制。相反，提供這些實(shí)施方式是為了能夠更透徹地理解本公開(kāi)，并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

如圖1所示為現(xiàn)有技術(shù)中處理DNSSEC否定應(yīng)答的流程圖，流程如下：

步驟1、權(quán)威DNS服務(wù)器通過(guò)區(qū)文件形式加載DNS數(shù)據(jù)；

步驟2、權(quán)威DNS服務(wù)器接收DNS查詢；

如果權(quán)威DNS服務(wù)器對(duì)DNNSEC否定應(yīng)答的DNS查詢處理，則進(jìn)行如下步驟：

判斷DNS查詢是否請(qǐng)求DNSSEC應(yīng)答；如果是，則權(quán)威DNS服務(wù)器處理DNS查詢；隨后判斷該DNS查詢權(quán)威DNS服務(wù)器是否需要返回DNSSEC否定應(yīng)答；如果是，則對(duì)查詢域名進(jìn)行SHA1加密和Base32編碼計(jì)算；然后根據(jù)計(jì)算結(jié)果查找NEC3記錄，組成DNSSEC否定應(yīng)答；最后權(quán)威DNS服務(wù)器將應(yīng)答結(jié)果組成DNS報(bào)文并回復(fù)。

基于現(xiàn)有的技術(shù)方案，為了查找對(duì)應(yīng)的NSEC3資源記錄，每次的DNSSEC否定應(yīng)答都需要計(jì)算數(shù)次的安全哈希算法SHA1(Secure Hash Algorithm)加密和Base32編碼運(yùn)算。對(duì)于一次的DNS查詢來(lái)說(shuō)，這些計(jì)算顯然是相當(dāng)重的，這些計(jì)算會(huì)增加了單次查詢的處理時(shí)間，DNS服務(wù)器每秒鐘能處理的查詢數(shù)降低。

其中Base32這種數(shù)據(jù)編碼機(jī)制，主要用來(lái)把二進(jìn)制數(shù)據(jù)編碼成可見(jiàn)的字符串，其編碼規(guī)則是：任意給定一個(gè)二進(jìn)制數(shù)據(jù)，以5個(gè)位(bit)為一組進(jìn)行切分(base64以6個(gè)位(bit)為一組)，對(duì)切分而成的每個(gè)組進(jìn)行編碼得到1個(gè)可見(jiàn)字符。Base32編碼表字符集中的字符總數(shù)為25＝32個(gè)，這也是Base32名字的由來(lái)。

圖2展示了業(yè)界最常用的DNS軟件BIND9在DNSSEC否定應(yīng)答的和正常查詢應(yīng)答情況下的響應(yīng)速度對(duì)比。從上圖可得出，對(duì)比正常查詢應(yīng)答，DNSSEC否定應(yīng)答的響應(yīng)速度急劇下降。

為了克服以上弱點(diǎn)，本發(fā)明提出了一種新的方法。如圖3所示，一種針對(duì)DNSSEC否定應(yīng)答的快速響應(yīng)方法，其包括以下步驟：

步驟A1、權(quán)威DNS服務(wù)器通過(guò)區(qū)文件形式加載DNS數(shù)據(jù)；

步驟A3、權(quán)威DNS服務(wù)器對(duì)加載的所有域名進(jìn)行SHA1加密和base32編碼計(jì)算并保存計(jì)算結(jié)果；

步驟A5、權(quán)威DNS服務(wù)器接收DNS查詢。

所述步驟A5具體包括：

步驟A51、判斷所述DNS查詢是否請(qǐng)求DNSSEC應(yīng)答；

步驟A53、如果是，則由所述權(quán)威DNS服務(wù)器處理所述DNS查詢。

所述步驟A53具體包括：

步驟A531、權(quán)威DNS服務(wù)器判斷是否針對(duì)該DNS查詢返回DNSSEC否定應(yīng)答；

步驟A533、如果是，則根據(jù)步驟A3中的計(jì)算結(jié)果查找NSEC3記錄，并構(gòu)成DNSSEC否定應(yīng)答消息；

步驟A535、權(quán)威DNS服務(wù)器返回包含DNSSEC否定應(yīng)答消息的DNS響應(yīng)報(bào)文。

本發(fā)明申請(qǐng)?zhí)岢龅男碌募夹g(shù)方案和現(xiàn)有的技術(shù)方案最大的區(qū)別在于計(jì)算SHA1加密和base32編碼運(yùn)算的時(shí)間，新的技術(shù)方案提出SHA1加密和base32編碼計(jì)算不再在查詢處理的過(guò)程中進(jìn)行，而是在加載完DNS數(shù)據(jù)之后進(jìn)行對(duì)應(yīng)的預(yù)計(jì)算，這樣在查詢處理查找對(duì)應(yīng)NSEC3資源記錄的時(shí)候和一般DNS查詢一樣只需獲取預(yù)計(jì)算的結(jié)果然后查找，并不會(huì)額外增加單次查詢處理的時(shí)間。同時(shí)通過(guò)數(shù)據(jù)結(jié)構(gòu)和算法的優(yōu)化，使得SHA1加密和base32編碼運(yùn)算不會(huì)增加整個(gè)DNS數(shù)據(jù)加載時(shí)間。

其中，NESC3資源記錄(RR)為驗(yàn)證DNS資源記錄的否定存在。NSEC3 RR具有與NSEC RR相同的功能，除了NSEC3使用加密的散列記錄名稱以防止區(qū)域中記錄名稱的枚舉之外。NSEC3記錄鏈接到區(qū)域中的下一個(gè)記錄名稱(以散列名稱排序的順序)并列出為了NSEC3記錄持有者名稱的第一標(biāo)簽內(nèi)由散列值所覆蓋的名稱而存在的記錄類型。這些記錄可作為DNSSEC驗(yàn)證的一部分而由解析器用于核實(shí)記錄名稱和類型的不存在性。NSEC3記錄含有下述數(shù)據(jù)元素：

散列算法：所用的密碼散列算法。

標(biāo)志：“Opt-out”(指出委托是否被簽名)。

迭代：散列算法被應(yīng)用了多少次。

加鹽(salt)：用于散列計(jì)算的加鹽值。

下一散列持有者名稱：區(qū)域中下一個(gè)記錄的名稱(以散列名稱排序的順序)。

記錄類型：為了NSEC3記錄持有者名稱的第一標(biāo)簽內(nèi)由散列值覆蓋的名稱而存在的記錄類型。

由于DNSSEC否定應(yīng)答包含多條NSEC3資源記錄和其簽名資源記錄，致使回應(yīng)報(bào)文長(zhǎng)度遠(yuǎn)大于正?；貞?yīng)報(bào)文長(zhǎng)度(最大為正常報(bào)文長(zhǎng)度的13倍)，頻繁地回復(fù)DNSSEC否定應(yīng)答會(huì)對(duì)網(wǎng)絡(luò)帶寬造成很大的壓力。黑客很容易針對(duì)此特性對(duì)DNS系統(tǒng)進(jìn)行放大攻擊。因此本發(fā)明申請(qǐng)還提出一種針對(duì)DNSSEC否定應(yīng)答的DDOS檢測(cè)方法，其具體原理為：根據(jù)計(jì)算設(shè)置一個(gè)DNSSEC否定應(yīng)答查詢數(shù)閾值，閾值為帶寬/DNSSEC否定應(yīng)答報(bào)文的平均長(zhǎng)度，一旦接收的DNSSEC否定應(yīng)答查詢數(shù)超過(guò)該閾值，則提示有可能有DNSSEC否定應(yīng)答查詢的DDOS攻擊，一旦發(fā)現(xiàn)有此類DDOS攻擊，則可以通過(guò)前端DNS防護(hù)設(shè)備或者其他安全策略進(jìn)行DDOS攻擊防護(hù)。

本發(fā)明還提出了一種針對(duì)DNSSEC否定應(yīng)答的處理方法，其包括以下步驟：

步驟B1、設(shè)定DDOS檢測(cè)閾值；

步驟B3、計(jì)算接收的DNSSEC否定應(yīng)答查詢數(shù)；

步驟B5、根據(jù)查詢數(shù)與所述閾值的比較，判斷是否存在針對(duì)DNSSEC否定應(yīng)答的DDOS攻擊。

其中，所述步驟B1中DDOS檢測(cè)閾值＝帶寬/包含DNSSEC否定應(yīng)答消息的DNS響應(yīng)報(bào)文的平均長(zhǎng)度；所述包含DNSSEC否定應(yīng)答消息的DNS響應(yīng)報(bào)文為步驟A535中DNS服務(wù)器返回的DNS響應(yīng)報(bào)文。

其中，所述步驟B5具體包括如果接收的DNSSEC否定應(yīng)答查詢數(shù)大于檢測(cè)閾值，則表示存在針對(duì)DNSSEC否定應(yīng)答的DDOS攻擊。

以上所述，僅為本發(fā)明較佳的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。