一种防御域名解析服务器信息泄露方法与流程

本发明涉及网络安全技术领域，特别涉及一种基于反向查询局域网保留ip地址的防御域名解析服务器信息泄露方法。

背景技术：

目前，局域网管理员针对非入侵式域名解析服务器信息泄露的防御办法有两种。1.人工对域名解析服务器的流量进行分析，例如：查看是否大量存在请求敏感类型(例如：txt、loc、sshfp、hinfo)的域名资源记录的域名查询流量、查看请求敏感类型的域名资源记录的对象是否相同(或具有强关联性)；2.阉割域名解析服务器的部分功能，例如：将ptr类型的域名资源记录都指向本机127.0.0.1/localhost，或是指向空白bogon/<root>，使域名解析服务器的反向查询功能名存实亡。

然而，对于本专利针对的基于反向查询局域网保留ip地址的域名解析服务器信息泄露，上述现有的防御办法存在明显的缺陷：

一、人工分析域名解析服务器流量难以察觉利用反向查询引发的域名解析服务器信息泄露。恶意攻击者反向查询请求的ptr类型的域名资源记录不属于敏感类型，不会受到服务器管理员的关注。利用反向查询局域网保留ip地址引发信息泄露的流量与局域网内正常用户进行域名查询产生的流量几乎无异，与广域网正常用户因查询参数错误而误操作产生的流量完全一致。因此，只有对该漏洞有研究、专门针对该漏洞进行流量筛选的域名解析服务器管理员才会在流量分析中发现该信息泄露的痕迹，并进行针对性补救。大部分域名解析服务器管理员无法通过流量分析发现并防御该信息泄露。

二、阉割域名解析服务器的反向查询功能妨碍某些互联网主机正常获取互联网服务。rfc1912指出，若任意特定互联网主机的ptr记录与a记录不匹配、不一致将会导致该主机的部分互联网服务丢失，形同该主机未在dns上注册。将ptr都指向本机或空白可能引发安全检查错误，导致某些互联网服务的dns域名资源记录无效。

三、阉割域名解析服务器的反向查询功能，使域名解析服务器失去了反向查询的功能，损害了服务器的功能完整性。

技术实现要素：

本发明的目的在于力求保障域名解析服务器的数据安全和功能完整，提供一种兼顾安全性和功能完整性的防御域名解析服务器信息泄露的方法，保障域名解析服务器的功能健全的前提下提高域名解析服务器的安全性。

为解决上述技术问题，本发明的技术方案如下：

一种防御域名解析服务器信息泄露方法，包括以下步骤：

s1.根据局域网需求的安全程度以及局域网具有的资源(可用于域名解析服务器部署的资源)选择对应的防御方案

s2.根据步骤s1选择的防御方案，隔离对内的域名资源记录(rrs)与对外的域名资源记录；

s3.根据步骤s1选择的防御方案，针对性筛选域名解析服务器响应对象(ip地址)。

在一种优选方案中，所述s1的具体步骤如下：

s11.确定局域网所需的安全保护程度，参考的指标包括：局域网内部设施重要程度、局域网整体安全要求程度；

s12.统计目标防御局域网可用于dns部署的资源，包括：服务器数量、服务器硬件性能参数、具有流量清洗功能的路由器；

s13.评估目标防御局域网的dns应有的性能，参考的指标包括：域名资源记录数量、dns服务的范围、dns历史吞吐量；

s14.根据步骤s1-s3的结果，在选择对应最适应的防御方案。

在一种优选方案中，所述的域名资源记录的隔离粒度包括以服务器为单位和以区域文件为单位。

在一种优选方案中，所述的域名资源记录以服务器为隔离粒度需要设置2台域名解析服务器(不包括用于备份的辅助域名解析服务器)，1台对内域名解析服务器，1台对外域名解析服务器；以区域文件(zonefile)为隔离粒度需要设置2个区域文件，1个区域文件存储反映了局域网保留ip地址与域名的映射关系的、对内的域名资源记录，1个区域文件存储反映了广域网ip地址与域名的映射关系的、对外的域名资源记录。

在一种优选方案中，所述服务器响应对象的筛选粒度包括以应用软件为单位、以区域文件为单位和以数据包为单位。

在一种优选方案中，所述服务器响应对象以应用软件为筛选粒度：对应用软件的服务对象进行限制，限制域名解析应用软件可以响应的对象。允许对外域名解析服务器中的域名解析应用软件响应任何ip地址发送的任何域名解析请求，仅允许对内域名解析服务器中的域名解析应用软件响应局域网保留ip地址发送的任何域名解析请求，不允许对内域名解析服务器中的域名解析应用软件响应广域网ip地址发送的任何域名解析请求；

所述服务器响应对象以区域文件为筛选粒度：对区域文件进行访问控制，严格限制每一个区域文件的访问对象。存储对内域名资源记录的区域文件仅供局域网用户访问(局域网保留ip地址)，存储对外域名资源记录的区域文件可供所有用户访问；

所述服务器响应对象以数据包筛选粒度：利用防火墙对每个数据包进行筛选，设置规则去除所使用的网络协议为dns，请求rrs类型参数为ptr，请求域名参数为局域网保留ip地址的数据包。

与现有技术相比，本发明技术方案的有益效果是：

相较于其他防御域名解析服务器信息泄露的方法，本发明提出的技术方案，具有以下优势：第一，弥补现有技术的缺陷，将ptr类型的域名资源记录指向了正确的域名，有效提供了反向查询的服务，避免了rfc1912指出的域名资源记录被无效的情况。第二，有效防御了基于反向查询局域网保留ip地址的域名解析服务器信息泄露。第三，该方法容易实施，且灵活适应多种层次的安全需求和不同的资源配置情况。

附图说明

图1是本发明提供的防御域名解析服务器信息泄露方法的流程图；

图2是本实施例2的步骤s2防御域名解析服务器信息泄露方案部署图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；

为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；

对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

下面结合附图和实施例对本发明的技术方案做进一步的说明。

实施例1

为解决上述技术问题，本发明的技术方案如下：

一种防御域名解析服务器信息泄露方法，包括以下步骤：

s1.根据局域网需求的安全程度以及局域网具有的资源(可用于域名解析服务器部署的资源)选择对应的防御方案

s2.根据步骤s1选择的防御方案，隔离对内的域名资源记录(rrs)与对外的域名资源记录；

s3.根据步骤s1选择的防御方案，针对性筛选域名解析服务器响应对象(ip地址)。

实施例2

本实施例提供的一种防御域名解析服务器信息泄露方法与实施例1一致，仅对各步骤进行进一步的限定，包括以下步骤：

s1.根据局域网需求的安全程度以及局域网具有的资源选择对应的防御方案

s2.根据步骤s1选择的防御方案，隔离对内的域名资源记录(rrs)与对外的域名资源记录；

s3.根据步骤s1选择的防御方案，针对性筛选域名解析服务器响应对象(ip地址)。

在一种优选方案中，所述s1的具体步骤如下：

s11.确定局域网所需的安全保护程度，参考的指标包括：局域网内部设施重要程度、局域网整体安全要求程度；

s12.统计目标防御局域网可用于dns部署的资源，包括：服务器数量、服务器硬件性能参数、具有流量清洗功能的路由器；

s13.评估目标防御局域网的dns应有的性能，参考的指标包括：域名资源记录数量、dns服务的范围、dns历史吞吐量；

s14.根据步骤s1-s3的结果，在选择对应最适应的防御方案。如表1所示：

表1防御方案

需要指出，服务器数量并不包括用于备份的辅助域名解析服务器，而仅指用于实际提供域名解析服务的区域内权威域名解析服务器。

任意特定方案的安全性排名越高说明该防御方案的安全性越强，资源需求排名越高说明该防御方案对资源的需求越多，响应速度排名越高说明该防御方案提供的域名解析服务性能越好，备注指出了该防御方案除主要评判指标之外的优点或缺点。

在一种优选方案中，所述的域名资源记录的隔离粒度包括以服务器为单位和以区域文件为单位，如图2所示。

以服务器为隔离粒度需要设置2台域名解析服务器(不包括用于备份的辅助域名解析服务器)，1台对内域名解析服务器，1台对外域名解析服务器。反映了局域网保留ip地址与域名的映射关系的、对内的域名资源记录存储在对内域名解析服务器中；反映了广域网ip地址与域名的映射关系的、对外的域名资源记录存储在对外域名解析服务器中。需要指出的是，局域网管理员还可以在对内域名解析服务器上设置转发规则，将广域网用户的请求流量引向对外域名解析服务器，以增强用户友好性；可以在对外域名解析服务器上设置转发规则，将局域网用户对内部域名的请求流量引向对内域名解析服务器，以分摊服务器压力。

以区域文件(zonefile)为隔离粒度需要设置2个区域文件，1个区域文件存储反映了局域网保留ip地址与域名的映射关系的、对内的域名资源记录，1个区域文件存储反映了广域网ip地址与域名的映射关系的、对外的域名资源记录。需要指出的是，区域文件是存储域名资源记录的最小单位，以区域文件(zonefile)为隔离粒度意味着仅设置1台域名解析服务器(不包括用于备份的辅助域名解析服务器)，这台域名解析服务器必须同时对内外所有ip地址提供域名解析的服务。

在一种优选方案中，所述服务器响应对象的筛选粒度包括以应用软件为单位、以区域文件为单位和以数据包为单位。

以应用软件为筛选粒度指的是，对应用软件的服务对象进行限制，限制域名解析应用软件可以响应的对象。允许对外域名解析服务器中的域名解析应用软件响应任何ip地址发送的任何域名解析请求，仅允许对内域名解析服务器中的域名解析应用软件响应局域网保留ip地址发送的任何域名解析请求，不允许对内域名解析服务器中的域名解析应用软件响应广域网ip地址发送的任何域名解析请求。局域网仅设1台域名解析服务器的情况下允许域名解析服务器中的域名解析应用软件响应任何ip地址发送的任何域名解析请求。具体以常用的域名解析应用软件bind9为例，就是在“.option”配置文件中将允许响应的ip以集合形式填入“allowed-request”的参数中。

以区域文件为筛选粒度指的是，对区域文件进行访问控制，严格限制每一个区域文件的访问对象。存储对内域名资源记录的区域文件仅供局域网用户访问(局域网保留ip地址)，存储对外域名资源记录的区域文件可供所有用户访问。具体以常用的域名解析应用软件bind9为例，就是在每个区域文件的开头设置ipfilteringrules(ip筛选规则)，将允许读取区域文件的ip地址以集合形式写入“allow-query”的参数中。

以数据包为筛选粒度指的是，利用防火墙对每个数据包进行筛选，设置规则去除所使用的网络协议为dns，请求rrs类型参数为ptr，请求域名参数为局域网保留ip地址的数据包。

附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制；

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。