国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種校驗(yàn)DNS真實(shí)用戶的方法與流程

      文檔序號(hào):12132847閱讀:813來源:國知局

      本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,尤其是涉及及一種校驗(yàn)DNS真實(shí)用戶的方法。



      背景技術(shù):

      DNS(Domain Name System,域名系統(tǒng))是最基礎(chǔ)的網(wǎng)絡(luò)設(shè)施,互聯(lián)網(wǎng)上的所有訪問都離不開DNS的解析功能。DNS在互聯(lián)網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫,能夠使用戶更方便的訪問互聯(lián)網(wǎng),而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。如果DNS服務(wù)器出現(xiàn)異常,將會(huì)對(duì)用戶的訪問服務(wù)造成致命的影響。正是因?yàn)镈NS在互聯(lián)網(wǎng)上的重要性,DNS服務(wù)器通常也最容易成為被攻擊的目標(biāo)。

      因?yàn)镈NS使用UDP數(shù)據(jù)包,UDP協(xié)議全稱是用戶數(shù)據(jù)報(bào)協(xié)議,在網(wǎng)絡(luò)中它與TCP協(xié)議一樣用于處理數(shù)據(jù)包,是一種無連接的協(xié)議,UDP不會(huì)校驗(yàn)用戶來源。針對(duì)DNS的攻擊主要是DDOS攻擊,攻擊者通過偽造源IP,冒充正常的訪問者利用flood攻擊DNS服務(wù)器。

      因此,如何識(shí)別正常訪問者的身份和惡意攻擊者身份,是DNS設(shè)備防范DNS攻擊時(shí)需要解決的難題。

      目前隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,DNS服務(wù)器的防攻擊技術(shù)也得到了不斷的提升,在某種程度上也能提高DNS服務(wù)器的安全性。這些技術(shù)手段主要包括:

      1.首包丟棄策略,利用TCP協(xié)議的重傳機(jī)制識(shí)別正常用戶和攻擊報(bào)文。這種防范策略的前提是基于攻擊者的請(qǐng)求是不相關(guān)的,而正常的用戶請(qǐng)求是會(huì)進(jìn)行重試。當(dāng)防御設(shè)備接到一個(gè)IP地址的SYN報(bào)文后,簡(jiǎn)單比對(duì)該IP是否存在于白名單中,存在則轉(zhuǎn)發(fā)到后端。如不存在于白名單中,檢查是否是該IP在一定時(shí)間段內(nèi)的首次SYN報(bào)文,不是則檢查是否重傳報(bào)文,是重傳則轉(zhuǎn)發(fā)并加入白名單,不是則丟棄并加入黑名單。是首次SYN報(bào)文則丟棄并等待一段時(shí)間以試圖接受該IP的SYN重傳報(bào)文,等待超時(shí)則判定為攻擊報(bào)文加入黑名單。

      2.強(qiáng)制使用tcp協(xié)議。TCP(Transmission Control Protocol傳輸控制協(xié)議)是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議。通過配置策略,強(qiáng)制用戶使用tcp協(xié)議,剔除udp flood流量,從而可以達(dá)到防范DDoS攻擊的效果。使用這種策略的前提條件是正常用戶支持tcp和udp請(qǐng)求類型。

      3.Local dns白名單。用戶通過local dns來請(qǐng)求DNS權(quán)威服務(wù)器。在現(xiàn)行方案中,通過local dns白名單來過濾真正的用戶請(qǐng)求。

      但是,目前的現(xiàn)行方案存在著一些缺陷,主要包括:

      1.首包丟棄策略:如果攻擊者容易構(gòu)造重發(fā)包,將偽造的Syn報(bào)文發(fā)送兩次,這種方法就失去了效果,而且對(duì)真正用戶請(qǐng)求有誤傷。同時(shí)首包丟棄方案對(duì)用戶體驗(yàn)會(huì)略有影響,因?yàn)閬G棄首包重傳會(huì)增大業(yè)務(wù)的響應(yīng)時(shí)間。

      2.強(qiáng)制使用tcp協(xié)議:部分local dns不支持tcp請(qǐng)求,導(dǎo)致部分區(qū)域的訪問請(qǐng)求無法解析,從而影響到用戶的正常訪問,所以這種防范策略具有一定的局限性。

      Local dns白名單策略:攻擊者可以偽造攻擊的源ip為local dns ip,這使攻擊者披上了合法的外衣,這個(gè)正常識(shí)別正常訪問者和攻擊者帶來了一定的難度;同時(shí),local dns ip實(shí)時(shí)變化,不容易進(jìn)行同步,這也使該策略的效力打上一定的折扣。



      技術(shù)實(shí)現(xiàn)要素:

      本發(fā)明的目的在于提供一種校驗(yàn)DNS真實(shí)用戶的方法,以解決上述背景技術(shù)中提出的問題和缺陷,增加一層cname驗(yàn)證層,該校驗(yàn)層的作用就是增加一種校驗(yàn)機(jī)制,以提高DNS服務(wù)器的安全性。

      為實(shí)現(xiàn)上述目的,本發(fā)明提供如下技術(shù)方案:

      一種校驗(yàn)DNS真實(shí)用戶的方法,當(dāng)用戶請(qǐng)求域名解析時(shí),DNS服務(wù)器接收到用戶的解析請(qǐng)求后,不直接向用戶返回真正的域名或者記錄信息,而是首先對(duì)請(qǐng)求的身份進(jìn)行校驗(yàn),核驗(yàn)用戶是不是一個(gè)合法的訪問用戶,即DNS服務(wù)器要求訪問者提供其CNAME信息,訪問者只有向DNS服務(wù)器提供域名的cname信息以后,才能從DNS服務(wù)器獲取其相應(yīng)的記錄信息。

      作為上述技術(shù)方案的進(jìn)一步方案,當(dāng)用戶請(qǐng)求域名解析時(shí),DNS服務(wù)器接收到用戶的解析請(qǐng)求后,向請(qǐng)求者返回一層植入校驗(yàn)信息的cname,按照規(guī)定DNS解析協(xié)議,用戶需要繼續(xù)跟蹤此域名的cname信息,并向DNS服務(wù)器進(jìn)行反饋信號(hào),以獲取到正確的域名或者記錄信息。

      本發(fā)明的優(yōu)點(diǎn):

      1.適用性強(qiáng),攻擊者無法繞過。該發(fā)明在DNS服務(wù)器端配置,因此任何解析請(qǐng)求都無法繞過CNAME校驗(yàn)機(jī)制,如需得到正確的解析請(qǐng)求就必須對(duì)CNAME要求作出正確的應(yīng)答。

      2.不需要做特殊的配置。只需在DNS服務(wù)器端增加CNAME校驗(yàn)機(jī)制即可,而對(duì)于用戶來說無需做任何配置。

      3.同時(shí)對(duì)用戶請(qǐng)求無誤傷。通常對(duì)于域名來說,都會(huì)配置有A記錄和CNAME記錄,因此對(duì)于正常的用戶來說,都能跟蹤到域名的CNAME記錄,因此不會(huì)妨礙到正常用戶的訪問請(qǐng)求。

      附圖說明

      為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。

      圖1為一種校驗(yàn)DNS真實(shí)用戶的方法的結(jié)構(gòu)示意圖。

      具體實(shí)施方式

      為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。

      請(qǐng)參閱圖1,通常來說,正常的域名除了A記錄以后,都會(huì)有CNAME記錄,因此對(duì)于DNS服務(wù)器發(fā)出的CNAME的檢驗(yàn)要求都會(huì)做出正確的應(yīng)答;而對(duì)于攻擊者來說,是無法跟蹤并獲取到CNAME記錄的,因此也就無法對(duì)CNAME校驗(yàn)機(jī)制做出正確的響應(yīng)。因此對(duì)于DNS服務(wù)器來說,根據(jù)CNAME的應(yīng)答情況就可以判斷哪些是合法的解析請(qǐng)求,哪些是非法的攻擊者。

      從上面描述可以看到在DNS服務(wù)器通過增加一層針對(duì)CNAME的校驗(yàn)機(jī)制,即可達(dá)到校驗(yàn)真實(shí)用戶的目的。

      以上所述僅為本發(fā)明的較佳實(shí)施方式作了詳細(xì)說明,但是本發(fā)明并不限于上述實(shí)施方式,保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi),本發(fā)明實(shí)施例還可以在不脫離本專利宗旨的前提下做出各種變化。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。

      當(dāng)前第1頁1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1