本发明涉及互联网技术领域,尤其是涉及及一种校验DNS真实用户的方法。
背景技术:
DNS(Domain Name System,域名系统)是最基础的网络设施,互联网上的所有访问都离不开DNS的解析功能。DNS在互联网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。如果DNS服务器出现异常,将会对用户的访问服务造成致命的影响。正是因为DNS在互联网上的重要性,DNS服务器通常也最容易成为被攻击的目标。
因为DNS使用UDP数据包,UDP协议全称是用户数据报协议,在网络中它与TCP协议一样用于处理数据包,是一种无连接的协议,UDP不会校验用户来源。针对DNS的攻击主要是DDOS攻击,攻击者通过伪造源IP,冒充正常的访问者利用flood攻击DNS服务器。
因此,如何识别正常访问者的身份和恶意攻击者身份,是DNS设备防范DNS攻击时需要解决的难题。
目前随着互联网技术的发展,DNS服务器的防攻击技术也得到了不断的提升,在某种程度上也能提高DNS服务器的安全性。这些技术手段主要包括:
1.首包丢弃策略,利用TCP协议的重传机制识别正常用户和攻击报文。这种防范策略的前提是基于攻击者的请求是不相关的,而正常的用户请求是会进行重试。当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中,存在则转发到后端。如不存在于白名单中,检查是否是该IP在一定时间段内的首次SYN报文,不是则检查是否重传报文,是重传则转发并加入白名单,不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文,等待超时则判定为攻击报文加入黑名单。
2.强制使用tcp协议。TCP(Transmission Control Protocol传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议。通过配置策略,强制用户使用tcp协议,剔除udp flood流量,从而可以达到防范DDoS攻击的效果。使用这种策略的前提条件是正常用户支持tcp和udp请求类型。
3.Local dns白名单。用户通过local dns来请求DNS权威服务器。在现行方案中,通过local dns白名单来过滤真正的用户请求。
但是,目前的现行方案存在着一些缺陷,主要包括:
1.首包丢弃策略:如果攻击者容易构造重发包,将伪造的Syn报文发送两次,这种方法就失去了效果,而且对真正用户请求有误伤。同时首包丢弃方案对用户体验会略有影响,因为丢弃首包重传会增大业务的响应时间。
2.强制使用tcp协议:部分local dns不支持tcp请求,导致部分区域的访问请求无法解析,从而影响到用户的正常访问,所以这种防范策略具有一定的局限性。
Local dns白名单策略:攻击者可以伪造攻击的源ip为local dns ip,这使攻击者披上了合法的外衣,这个正常识别正常访问者和攻击者带来了一定的难度;同时,local dns ip实时变化,不容易进行同步,这也使该策略的效力打上一定的折扣。
技术实现要素:
本发明的目的在于提供一种校验DNS真实用户的方法,以解决上述背景技术中提出的问题和缺陷,增加一层cname验证层,该校验层的作用就是增加一种校验机制,以提高DNS服务器的安全性。
为实现上述目的,本发明提供如下技术方案:
一种校验DNS真实用户的方法,当用户请求域名解析时,DNS服务器接收到用户的解析请求后,不直接向用户返回真正的域名或者记录信息,而是首先对请求的身份进行校验,核验用户是不是一个合法的访问用户,即DNS服务器要求访问者提供其CNAME信息,访问者只有向DNS服务器提供域名的cname信息以后,才能从DNS服务器获取其相应的记录信息。
作为上述技术方案的进一步方案,当用户请求域名解析时,DNS服务器接收到用户的解析请求后,向请求者返回一层植入校验信息的cname,按照规定DNS解析协议,用户需要继续跟踪此域名的cname信息,并向DNS服务器进行反馈信号,以获取到正确的域名或者记录信息。
本发明的优点:
1.适用性强,攻击者无法绕过。该发明在DNS服务器端配置,因此任何解析请求都无法绕过CNAME校验机制,如需得到正确的解析请求就必须对CNAME要求作出正确的应答。
2.不需要做特殊的配置。只需在DNS服务器端增加CNAME校验机制即可,而对于用户来说无需做任何配置。
3.同时对用户请求无误伤。通常对于域名来说,都会配置有A记录和CNAME记录,因此对于正常的用户来说,都能跟踪到域名的CNAME记录,因此不会妨碍到正常用户的访问请求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为一种校验DNS真实用户的方法的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,通常来说,正常的域名除了A记录以后,都会有CNAME记录,因此对于DNS服务器发出的CNAME的检验要求都会做出正确的应答;而对于攻击者来说,是无法跟踪并获取到CNAME记录的,因此也就无法对CNAME校验机制做出正确的响应。因此对于DNS服务器来说,根据CNAME的应答情况就可以判断哪些是合法的解析请求,哪些是非法的攻击者。
从上面描述可以看到在DNS服务器通过增加一层针对CNAME的校验机制,即可达到校验真实用户的目的。
以上所述仅为本发明的较佳实施方式作了详细说明,但是本发明并不限于上述实施方式,保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内,本发明实施例还可以在不脱离本专利宗旨的前提下做出各种变化。因此,本发明的保护范围应该以权利要求的保护范围为准。