[发明专利]一种应对DNS服务器反射放大攻击的解决方法有效
| 申请号: | 201510818674.7 | 申请日: | 2015-11-23 |
| 公开(公告)号: | CN105491179B | 公开(公告)日: | 2018-05-29 |
| 发明(设计)人: | 万润夏;宋林健;刘东;余冬;王爱民;李凤民;李震;潘居臣;龚道彪 | 申请(专利权)人: | 北京天地互连信息技术有限公司;中国石油天然气股份有限公司华北油田分公司 |
| 主分类号: | H04L29/12 | 分类号: | H04L29/12;H04L29/06 |
| 代理公司: | 北京众合诚成知识产权代理有限公司 11246 | 代理人: | 朱琨 |
| 地址: | 100028 北京市朝阳*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 返回 用户使用 重传 反射 放大 安全防范技术 递归服务器 发送请求 资源记录 检查 攻击 字段 附带 丢弃 核对 | ||
1.一种应对DNS服务器反射放大攻击的解决方法,其特征在于,包括:
步骤1、在EDNS0的伪资源记录中加入cookie的字段,包括:为识别伪资源记录为DNScookie的唯一编号标识OPTION-CODE、伪资源记录的长度OPTION-LENGTH、由客户端通过自己的IP生成的Client Cookie、由递归服务器通过Client Cookie和自己的IP生成的ServerCookie,Server Cookie在初始阶段缺省;
步骤2、支持DNS cookie的用户在发送每个递归服务器请求时会根据自己的IP生成一个8位的随机cookie,作为伪资源记录附加在DNS请求中;
步骤3、递归服务器收到用户DNS请求后首先检查用户DNS请求是否附带着cookie,如果不附带cookie,则返回truncate要求用户使用TCP进行重传;如果附带cookie则执行步骤4;
步骤4、递归服务器检查用户发送的DNS请求是否附带Server Cookie,如果不附带,则递归服务器将应答信息附加上用Client Cookie和自己的IP共同生成的Server Cookie以及Client Cookie返回给客户;如果已经附带了ServerCookie,则检查用户的ServerCookie是否与自己生成的一致,如果是,则将应答信息附上Client Cookie和ServerCookie返回给用户,如否,则返回truncate要求用户使用TCP重传;
步骤5、当收到递归服务器应答时,用户会核对递归服务器应答的伪资源记录中的Client Cookie是否与自己发送的随机cookie相同,如果相同,则接收此数据,如果不同,则丢弃此数据;
步骤6、当用户发送下个请求时,用户除附上自己生成的Client Cookie之外,也将收到的应答中的Server Cookie加入到伪资源记录中;如果上次收到的应答因cookie错误被丢弃,则沿用之前的Server Cookie,如果不存在Server Cookie的缓存,则Server Cookie缺省;
步骤7、不支持DNS cookie的用户发送DNS请求时,会收到truncate回复,随后通过TCP进行DNS协议的服务。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京天地互连信息技术有限公司;中国石油天然气股份有限公司华北油田分公司,未经北京天地互连信息技术有限公司;中国石油天然气股份有限公司华北油田分公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510818674.7/1.html,转载请声明来源钻瓜专利网。
