技术总结
本公开涉及减少针对动态生成的下一安全(NSEC)记录的拒绝服务(DoS)攻击。域名系统(DNS)代理(602)通过对用户数据报协议(UDP)DNS请求(620)回复(626)空白的或预定的资源记录,该资源记录设置有截断位以指示该记录太大而无法放在单个UDP分组有效载荷中,进而强迫客户机(600)经由传输控制协议(TCP)传输DNS查询,从而防止伪造的IP地址。在该DNS规范中,客户机必须经由TCP重新传输该DNS请求。在收到(634)经由TCP重新传输的请求后,DNS代理生成(640)虚构的邻居地址和签名的NSEC记录并将该记录传输(642)给客户机。因此,该DNS代理不必浪费资源来为经UDP来自伪造IP地址的请求生成和加密记录。
技术研发人员:M·姆提安
受保护的技术使用者:思杰系统有限公司
技术研发日:2014.05.07
技术公布日:2019.05.17