域名缓存注入的检测方法、装置和电子设备

本申请涉及计算机，尤其涉及域名缓存注入的检测方法、装置和电子设备。

背景技术：

1、在用户通过域名访问互联网时，首先要通过域名解析器查询域名所对应的因特网协议(internet protocol，ip)地址。随着互联网的普及，域名查询的需求日趋庞大，为了提高域名查询效率，并减轻域名解析器的负荷和减少互联网上的域名查询报文数量，在域名解析器中广泛使用了本地缓存，用来存放最近查询过的域名的相关信息。当用户再次查询相同的域名时，域名解析器会返回本地缓存中的域名相关信息。

2、目前，域名安全问题日益凸显，特别是域名缓存注入技术的威胁。通过域名缓存注入技术，攻击者可以向域名解析器发送特制的恶意域名查询响应，篡改域名解析器的本地缓存，使得用户在访问目标网站时被重定向到恶意服务器。这种攻击方法可能导致用户数据泄露，还可能被用于发起钓鱼攻击、拒绝服务攻击等其他网络攻击。

技术实现思路

1、本申请提供了域名缓存注入的检测方法、装置和电子设备，能够检测出对条件域名解析器的缓存注入行为，从而在此基础上采取防范措施，以提高访问互联网的安全性。

2、根据本申请的第一方面，提供了一种域名缓存注入的检测方法。该方法包括向目标域名解析器发送对目标域名的第一查询请求，其中，目标域名解析器为同时具有转发查询功能和递归查询功能的条件域名解析器。该方法还包括从目标域名解析器获取与第一查询请求对应的第一查询结果。该方法还包括向域名服务器发送对目标域名的第二查询请求，其中，域名服务器为权威域名服务器或不具备转发查询功能的递归域名解析器。该方法还包括从域名服务器获取与第二查询请求对应的第二查询结果。该方法还包括在第二查询结果与第一查询结果所指示的目标域名的ip地址不同的情况下，确定目标域名解析器被缓存注入。

3、根据本申请的第二方面，提供了一种域名缓存注入的检测方法。该方法包括接收域名查询请求，该域名查询请求用于查询第一域名。该方法还包括向域名服务器查询第一域名。该方法还包括接收域名查询响应，该域名查询响应包括指示第二域名的记录。该方法还包括在第二域名与第一域名不关联的情况下，确定域名解析器被缓存注入。

4、根据本申请的第三方面，提供了一种域名缓存注入的检测装置，该装置包括第一发送模块，被配置为向目标域名解析器发送对目标域名的第一查询请求，其中，目标域名解析器为同时具有转发查询功能和递归查询功能的条件域名解析器。该装置还包括第一接收模块，被配置为从目标域名解析器获取与第一查询请求对应的第一查询结果。该装置还包括第二发送模块，被配置为向域名服务器发送对目标域名的第二查询请求，其中，域名服务器为权威域名服务器或不具备转发查询功能的递归域名解析器。该装置还包括第二接收模块，被配置为从域名服务器获取与第二查询请求对应的第二查询结果。该装置还包括确定模块，被配置为在第二查询结果与第一查询结果所指示的目标域名的ip地址不同的情况下，确定目标域名解析器被缓存注入。

5、根据本申请的第四方面，提供了一种域名缓存注入的检测装置，该装置包括第一接收模块，被配置为接收域名查询请求，该域名查询请求用于查询第一域名。该装置还包括查询模块，被配置为向域名服务器查询第一域名。该装置还包括第二接收模块，被配置为接收域名查询响应，该域名查询响应包括指示第二域名的记录。该装置还包括确定模块，被配置为在第二域名与第一域名不关联的情况下，确定域名解析器被缓存注入。

6、根据本申请的第五方面，提供了一种电子设备。该电子设备包括至少一个处理器；以及存储器，耦合至至少一个处理器并且具有存储于其上的指令，指令在由至少一个处理器执行时使设备执行动作，所述动作包括：向目标域名解析器发送对目标域名的第一查询请求，其中，目标域名解析器为同时具有转发查询功能和递归查询功能的条件域名解析器；从目标域名解析器获取与第一查询请求对应的第一查询结果；向域名服务器发送对目标域名的第二查询请求，域名服务器为权威域名服务器或不具备转发查询功能的递归域名解析器；从域名服务器获取与第二查询请求对应的第二查询结果；如果第二查询结果与第一查询结果所指示的目标域名的因特网协议ip地址不同，确定目标域名解析器被缓存注入。

7、根据本申请的第六方面，提供了一种电子设备。该电子设备包括至少一个处理器；以及存储器，耦合至至少一个处理器并且具有存储于其上的指令，指令在由至少一个处理器执行时使设备执行动作，所述动作包括：接收域名查询请求，该域名查询请求用于查询第一域名；向域名服务器查询第一域名；接收域名查询响应，该域名查询响应包括指示第二域名的记录；在第二域名与第一域名不关联的情况下，确定域名解析器被缓存注入。

8、根据本申请的第七方面，提供了一种计算机可读存储介质，其上存储有计算机程序产品，该计算机程序产品包括机器可执行指令，该机器可执行指令在被执行时使机器执行本申请的第一方面或第二方面中的方法的步骤。

9、根据本申请的第八方面，提供了一种计算机程序产品，该计算机程序产品被有形地存储在非易失性计算机可读介质上并且包括机器可执行指令，该机器可执行指令在被执行时使机器执行本申请的第一方面或第二方面中的方法的步骤。

技术特征：

1.一种域名缓存注入的检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述条件域名解析器的域名安全拓展功能为关闭状态。

3.根据权利要求1所述的方法，其特征在于，在所述向目标域名解析器发送对目标域名的第一查询请求之前，所述方法还包括：

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述第一查询结果指示第一ip地址，所述第二查询结果指示第二ip地址；所述方法还包括，在所述从所述域名服务器获取与所述第二查询请求对应的第二查询结果之后：

5.根据权利要求1至3中任一项所述的方法，其特征在于，所述第一查询结果中包括第一ip地址集合，所述第一ip地址集合包括与所述目标域名对应的多个ip地址，所述第二查询结果中包括第二ip地址集合，所述第二ip地址集合包括与所述目标域名对应的多个ip地址；所述方法还包括，在所述从所述域名服务器获取与所述第二查询请求对应的第二查询结果之后：

6.一种域名缓存注入的检测方法，其特征在于，所述方法应用于域名解析器，所述方法包括：

7.根据权利要求6所述的方法，其特征在于，所述域名解析器为条件域名解析器，所述条件域名解析器为同时具有转发查询功能和递归查询功能的域名解析器。

8.根据权利要求7所述的方法，其特征在于，所述条件域名解析器的域名安全拓展功能为关闭状态。

9.根据权利要求6至8中任一项所述的方法，其特征在于，所述所述第二域名与所述第一域名不对应，包括：

10.根据权利要求6至8中任一项所述的方法，其特征在于，所述方法还包括：

11.一种域名缓存注入的检测装置，其特征在于，包括：

12.一种域名缓存注入的检测装置，其特征在于，包括：

13.一种电子设备，其特征在于，包括：

14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序产品，所述计算机程序产品包括机器可执行指令，所述机器可执行指令在被执行时，使得根据权利要求1至5中任一项所述的方法被实现，或使得根据权利要求6至10中任一项所述的方法被实现。

15.一种计算机程序产品，所述计算机程序产品被有形地存储在非易失性计算机可读介质上并且包括机器可执行指令，所述机器可执行指令在被执行时使得根据权利要求1至5中任一项所述的方法被实现，或使得根据权利要求6至10中任一项所述的方法被实现。

技术总结
本申请涉及域名缓存注入的检测方法、装置和电子设备。该方法包括：向目标域名解析器发送对目标域名的第一查询请求；从目标域名解析器获取与第一查询请求对应的第一查询结果；向域名服务器发送对目标域名的第二查询请求，域名服务器为权威域名服务器或不具备转发查询功能的递归域名解析器；从域名服务器获取与第二查询请求对应的第二查询结果；如果第二查询结果与第一查询结果所指示的目标域名的因特网协议IP地址不同，确定目标域名解析器被缓存注入。通过该方法，能够检测出目标域名解析器被缓存注入，从而在此基础上对缓存注入行为采取防范措施，以提高访问互联网的安全性。

技术研发人员：李想,陆超逸,刘保君,段海新,李琦
受保护的技术使用者：清华大学
技术研发日：
技术公布日：2024/1/15