[发明专利]防御域名系统欺骗攻击的方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种防御域名系统欺骗攻击的方法 及装置。

背景技术

域名系统(DNS，Domain Name System)欺骗攻击，也可以被称为DNS 欺骗(DNS Spoofing)，或者DNS缓冲污染(DNS cache poison)等，是指攻 击者在一定条件下将大量伪造的DNS应答包发送给某个DNS服务器(DNS Server)或某台主机，这些应答包将一些合法域名指向恶意网际协议地址(IP， Internet Protocol)地址，从而达到欺骗接收者的目的。

这种攻击可能会导致许多不良后果，例如：

1、DNS cache poison，能在更大范围内对恶意IP地址进行传播；

2、诱导用户访问一个恶意网址；

3、使局域网成为攻击工具；

4、对DNS服务器造成拒绝服务攻击，等等。

可能被攻击的对象除了DNS Server或某台主机，也有可能是某个用户应 用程序，如浏览器(IE，Internet Explorer)，域名查询软件(NS lookup)等， 这些可能被攻击的对象可以被称为DNS客户端(DNS Client)。

为了防御DNS欺骗攻击，通常会利用防火墙(Firewall)，常用的方法有 两种：

第一种、在双向环境中，防火墙记录DNS Client发出的DNS请求包，防 火墙在收到DNS应答包时，将DNS应答包与存储在防火墙中的记录相匹配， 如果有相匹配的记录，则接收这个DNS应答包，并转给DNS Client，否则， 丢弃这个DNS应答包，以防止收到黑客(Hacker)发送的伪造的DNS应答包；

第二种、防火墙在收到DNS应答包时，防火墙根据应答包中的信息构造 一个新的DNS请求包，然后发送这个DNS请求包，并在防火墙中记录这个 DNS请求包相关数据；当防火墙再次收到DNS应答包时，检查这个DNS应 答包是否与其记录的DNS请求包相匹配，如果是，则接收此DNS应答包， 并转给目标DNS Client，否则，丢弃之。

在对现有技术的研究和实践过程中，发明人发现现有技术存在以下问题：

第一种方法当DNS请求包数据流量过大时，防火墙由于要保存DNS请 求包，存储的数据都会很大，会占用大量防火墙内存；

第二种方法如果接收的DNS应答包数据流量过大，生成的DNS请求包 也会过多过大，防火墙由于要保存生成的DNS请求包相关数据，存储的数据 都会很大，系统会不堪重负，甚至产生拒绝服务。

发明内容

本发明实施例要解决的技术问题是提供一种防御域名系统欺骗攻击的方 法及装置，可以减少对设备存储资源的占用。

为解决上述技术问题，本发明实施例一方面，提供了一种防御域名系统 欺骗攻击的方法，包括：

将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写 转换；

发送所述域名系统请求包；

接收域名系统应答包；

获取所述域名系统应答包中查询域名字段的字母大小写分布；

在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定 的规则时，将所述域名系统应答包向目标域名系统客户端转发。

另一方面，提供了一种防御域名系统欺骗攻击的设备，其特征在于，包 括：

大小写转换单元，用于将域名系统请求包中的查询域名字段的字母按照 预定的规则进行大小写转换；

发送单元，用于发送所述大小写转换单元转换过的域名系统请求包；

第一接收单元，用于接收域名系统应答包；

获取单元，用于获取所述第一接收单元接收到的域名系统应答包中查询 域名字段的字母大小写分布是否符合预定的规则；

转发单元，用于在所述获取单元获取域名系统应答包中查询域名字段的 字母大小写分布符合所述预定的规则时，将所述域名系统应答包向目标域名 系统客户端转发。

由以上技术方案可以看出，本发明实施例通过从域名系统应答包中获取 查询域名字段字母大小写分布，并判断大小写分布是否符合预定规则来保证 域名系统应答包的可靠性，从而来防御域名系统欺骗攻击，设备不需要记录 DNS请求包即可防御域名系统欺骗攻击，大大节省了设备的存储资源。