[发明专利]用于预防DNS缓存投毒的方法和系统

说明书

技术领域

本发明涉及用于域名系统的安全技术。

背景技术

在下文中，“域名系统”或（用于域名系统的）“DNS服务器”将是指使之能够建立域名（或主机名）与IP地址之间的匹配或更一般地能够利用域名或IP地址找到信息的任何系统。

另外，“DNS请求”将是指请求解析域名或IP地址的消息。对DNS请求的响应在这里将称为“DNS响应”。特别地，DNS响应可以包括域名、IP地址、错误消息或错误代码。应当指出，对DNS请求的解析涉及通过计算机网络使用DNS协议的任何应用，例如Web浏览、电子邮件或VPN连接。

由于大量的域名（或等同地IP地址），DNS服务器现实中只能包含有限的数据集合。为此，通常区分DNS服务器的分布式系统，其中每个DNS服务器当收到它没有响应的DNS请求时：

-将该请求中继至一个或多个其他DNS服务器以为其返回响应（递归法）；或

-指定另一个DNS服务器，其然后被请求响应这个DNS请求（迭代法）。

为了优化将来的DNS请求的响应时间，以及为了防止分布式系统中的指定DNS服务器过载，多数DNS服务器也用作DNS缓存。换言之，DNS服务器在由DNS服务器管理员预定义的TTL（存活时间）内将针对DNS请求而获得的响应保存在存储器中，从而随后不再执行这个过程。

然而，这个DNS缓存易于受到通常称作DNS缓存投毒的攻击，（DNS2008 and the new(old)nature of critical infrastructure，Dan Kaminsky,Mexico,2009）。这种攻击旨在创建公共机器的有效（真实）域名（例如www.google.com）与将被存储在DNS缓存中的虚假信息（例如无效IP地址或虚假DNS响应）之间的匹配。

一旦涉及特定域的DNS请求的虚假DNS响应被存储在DNS缓存中，它就将自动地在TTL内成为涉及同一个域的随后DNS请求的响应。因此，这个DNS缓存的所有用户都受危害。

特别地，DNS缓存投毒使之能够将用户重新定向至其内容可能具有恶意企图的站点（例如病毒传播、用以收集个人数据的网络钓鱼、或通过将一个站点重定向到另一个竞争的站点或不存在的站点来进行宣传）

发明内容

本发明的一个目的是克服上述缺陷。

本发明的另一个目的是预防对属于具有许多DNS缓存的计算机网络的DNS缓存投毒。

本发明的另一个目的是为DNS缓存的分布式系统提供一种用于以对系统的最少量修改而预防DNS缓存投毒攻击的方法。

本发明的另一个目的是提出一种用于预防对与DNS缓存所使用的DNS协议相容的DNS缓存的投毒攻击。

本发明的另一个目的是提出一种用于预防DNS缓存投毒攻击的自主系统。

本发明的另一个目的是改进互联网服务提供商网络中的DNS解析的一致性。

本发明的另一个目的是提出一种用于预防与多数互联网服务提供商（ISP）网络相容的DNS缓存投毒攻击的方法。

本发明的另一个目的是提出一种针对计算机网络内的DNS缓存投毒攻击的对策。

本发明的另一个目的是改进提供给连至互联网服务提供商网络的用户的计算机安全性。

为此，根据第一方面，本发明提出了一种用于预防对包括多个DNS缓存的计算机网络内的至少一个DNS缓存的投毒的方法，该方法包括比较由两个不同DNS缓存返回的针对DNS请求的至少两个DNS响应的步骤。

根据第二方面，本发明涉及一种用于预防对包括多个DNS缓存的计算机网络内的至少一个DNS缓存的投毒的系统，该系统包括用于分析由两个不同DNS缓存返回的针对DNS请求的至少两个DNS响应的分析器。

有利地，所述系统还包括配备有DNS请求分析器，该分析器配备有关于DNS请求的信息数据库以使之能够识别与DNS请求关联的服务。

附图说明

参考图1，在读过下面对优选实施例的描述之后，本发明的其他特征和优点将变得更加明显和具体，其中图1图示说明了一个实施例的模块之间的交互。

具体实施方式

ISP网络B通常包括多个DNS缓存DNS 5_1，5_2,…5_n（n>1），其负责对发送自属于连至该网络B的客户端A的至少一个DNS解析器1的DNS请求做出响应。DNS解析器1通常是制定要发送到网络B的DNS请求并且解释返回给它的DNS响应的客户端程序。