一种DNS解析服务器的漏洞检测方法及系统

一种dns解析服务器的漏洞检测方法及系统
技术领域
1.本发明涉及计算机网络通信领域，具体涉及一种dns解析服务器的漏洞检测方法及系统。


背景技术：

2.如今的互联网时代，几乎所有的网络流量都需要使用到标准dns查询。2021年互联网域名系统国家工程研究中心提出，互联网发展至今，域名系统(domainname system，dns)早已超越了简单的解析功能，成为涵盖网络空间、互联网关键基础资源和软硬件技术系统的重要基石。
3.dns解析服务器处于用户与权威域名服务器之间，辅助用户进行域名查询，在域名解析的过程中扮演重要角色，因此往往会被用于攻击或直接成为攻击的目标。但是，现有技术缺乏对解析器的面临风险的整体评估，大部分方法仅针对单一的dns漏洞，无法对解析器存在漏洞以及风险状况进行综合高效评估。


技术实现要素：

4.为此，本发明提出一种dns解析服务器的漏洞检测方法及系统，用以解决现有的dns解析器漏洞检测标准缺失导致难以客观综合评估的问题。
5.根据本发明的一方面，提供一种dns解析服务器的漏洞检测方法，该方法包括以下步骤：
6.步骤一、向待测解析器发送探测包，所述探测包包含探测节点ip、待测解析器ip、可控权威下的高级数域名；
7.步骤二、基于预先部署的dns权威服务器及探测节点，收集来自待测解析器的dns数据包；
8.步骤三、根据漏洞库规则，对收集到的dns数据包进行检测，以确定待测解析器是否存在安全漏洞。
9.进一步地，步骤三中所述漏洞库规则包括：根据dns数据包数量是否超过预设阈值、端口及查询id是否规律变化、标志位配置是否正常，来判断待测解析器是否存在安全漏洞。
10.进一步地，步骤三中所述漏洞库规则中所述标志位包括授权应答、可用递归、期望递归以及保留字段。
11.进一步地，步骤三的具体步骤包括：
12.步骤三一、判断收集到的数据包数量是否超过预设阈值，若超过，则确定待测解析器未设置合理的工作量上限，存在安全漏洞，易受dns放大/反射攻击；反之则确定待测解析器不存在当前种类漏洞风险；
13.步骤三二、判断收集到的数据包的端口及查询id是否规律变化，若规律变化的，则确定待测解析器存在安全漏洞，易受dns欺骗攻击；反之则确定待测解析器不存在当前种类
漏洞风险；
14.步骤三三、判断收集到的数据包的标志位配置是否正常，若授权应答位不为0，或可用递归位不为1，或期望递归位不为1，或保留字段不为0，则确定待测解析器存在安全漏洞，存在配置错误；反之则确定待测解析器不存在当前种类漏洞风险。
15.进一步地，所述dns权威服务器包含可控权威下的高级数域名。
16.根据本发明的另一方面，提供一种dns解析服务器的漏洞检测系统，该系统包括收集器、漏洞规则库和分析器，其中，
17.所述收集器配置成：向待测解析器发送探测包，所述探测包包含探测节点ip、待测解析器ip、可控权威下的高级数域名；并基于预先部署的dns权威服务器及探测节点，收集来自待测解析器的dns数据包；
18.所述漏洞规则库配置成：存储漏洞库规则，所述漏洞库规则包括：根据dns数据包数量是否超过预设阈值、端口及查询id是否规律变化、标志位配置是否正常，来判断待测解析器是否存在安全漏洞；
19.所述分析器配置成：根据漏洞库规则，对收集到的dns数据包进行检测，以确定待测解析器是否存在安全漏洞。
20.进一步地，所述漏洞库规则中所述标志位包括授权应答、可用递归、期望递归以及保留字段。
21.进一步地，所述分析器中根据漏洞库规则，对收集到的dns数据包进行检测，以确定待测解析器是否存在安全漏洞的具体步骤包括：
22.步骤三一、判断收集到的数据包数量是否超过预设阈值，若超过，则确定待测解析器未设置合理的工作量上限，存在安全漏洞，易受dns放大/反射攻击；反之则确定待测解析器不存在当前种类漏洞风险；
23.步骤三二、判断收集到的数据包的端口及查询id是否规律变化，若规律变化的，则确定待测解析器存在安全漏洞，易受dns欺骗攻击；反之则确定待测解析器不存在当前种类漏洞风险；
24.步骤三三、判断收集到的数据包的标志位配置是否正常，若授权应答位不为0，或可用递归位不为1，或期望递归位不为1，或保留字段不为0，则确定待测解析器存在安全漏洞，存在配置错误；反之则确定待测解析器不存在当前种类漏洞风险。
25.进一步地，所述dns权威服务器包含可控权威下的高级数域名。
26.本发明的有益技术效果是：
27.本发明提供一种dns解析服务器的漏洞检测方法及系统，首先，向待测解析器发送探测包；然后，基于预先部署的dns权威服务器及探测节点，收集来自待测解析器的dns数据包；最后，根据漏洞库规则，对收集到的dns数据包进行检测，以确定待测解析器是否存在安全漏洞。本发明可以方便快速全面地检测dns解析服务器的安全情况，从而客观综合评估解析器的安全问题。
附图说明
28.本发明可以通过参考下文中结合附图所给出的描述而得到更好的理解，所述附图连同下面的详细说明一起包含在本说明书中并且形成本说明书的一部分，而且用来进一步
举例说明本发明的优选实施例和解释本发明的原理和优点。
29.图1是本发明实施例一种dns解析服务器的漏洞检测方法的流程示意图；
30.图2是本发明实施例中客户端配置示例图。
具体实施方式
31.为了使本技术领域的人员更好地理解本发明方案，在下文中将结合附图对本发明的示范性实施方式或实施例进行描述。显然，所描述的实施方式或实施例仅仅是本发明一部分的实施方式或实施例，而不是全部的。基于本发明中的实施方式或实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式或实施例，都应当属于本发明保护的范围。
32.本发明主要涉及域名系统解析器安全风险评估的关键技术，通过对国内解析器进行扫描，降低网络环境中的潜在风险，有效避免互联网用户的经济财产损失，保护网络空间中的关键设施免受网络攻击威胁。由此，本发明实施例提供一种dns解析服务器的漏洞检测方法，如图1所示，该方法包括以下步骤：
33.步骤一、向待测解析器发送构造的探测包。
34.根据本发明实施例，构造的探测包为基于标准的dns查询包，包含源ip为探测节点ip、目的ip为待测解析器ip，查询内容为可控权威下的高级数域名，如可控二级域权威recsecdet.xyz下的七级域名test5.test4.test3.test2.test1.recsecdet.xyz，可通过探测扫描工具zmap向待测解析器进行发包查询，命令示例如下：
35.echo test5.test4.test3.test2.test1.recsecdet.xyz|./zdns ns
‑‑
name-servers 8.8.8.8
‑‑
result-verbosity long
36.步骤二、基于预先部署的dns权威服务器及探测节点，收集来自待测解析器的dns数据包，即查询包及响应包；其中，dns权威服务器包含可控权威下的高级数域名。
37.根据本发明实施例，其中域名探测的dns权威服务器部署示例如下所示：
[0038][0039]
收集来自待测解析器的查询包及响应包包括监听可控dns权威服务器及探测节点的53端口上的流量，可通过tcpdump工具进行捕包，具体命令如下：
[0040]
tcpdump udp port 53
[0041]
步骤三、根据漏洞库规则，对步骤二收集到的dns数据包进行特征分析，统计待测解析器的存在的安全漏洞。
[0042]
根据本发明实施例，具体步骤包括：
[0043]
步骤三一、根据可控权威服务器收集到的数据包数量特征判断待测解析器是否易
受dns放大/反射攻击；其中，数据包数量特征是指在可控权威侧收集到的数据包总数，通过判断该数值是否超过漏洞特征库中设置的特征阈值，本实施例中定为5，来判定该解析器是否易受dns放大/反射攻击，若该数值超过特征阈值，则认为该解析器未设置合理的工作量上限，存在安全漏洞，易受dns放大/反射攻击；反之，则认为该解析器不存在当前种类风险。
[0044]
步骤三二、根据可控权威服务器收集到的数据包中的端口及查询id特征判断待测解析器是否易受dns欺骗攻击；其中，数据包中的端口及查询id特征是指将控权威服务器收集到的数据包按照收集时间顺序排列，端口号或查询id是否是规律变化的，若端口号或查询id是规律变化的，则认为该解析器存在安全漏洞，易受dns欺骗攻击；反之，则认为该解析器不存在当前种类风险。
[0045]
步骤三三、根据探测节点收集到的响应包中的标志位特征判断待测解析器是否存在配置错误；其中响应包中的标志位特征主要是指dns响应包中的授权应答(authoritativeanswer，aa)、可用递归(recursionavailable，ra)、期望递归(recursion desired，rd)以及保留字段(z)等标志位是否正常，具体来说，一个正常的解析器的响应包中，授权应答位应置0，可用递归位应置1，期望递归位应置1，保留字段应置0。若探测节点收集到的响应包中的标志位与上述不相符，则认为该解析器存在安全漏洞，存在配置错误；反之，则认为该解析器不存在当前种类风险。
[0046]
作为示例，数据包特征如下表所示：
[0047][0048]
基于上述漏洞检测方法，本发明另一实施例提出一个漏洞检测系统如下：
[0049]
探测过程主要由探测点向待测解析器发送构造出的七级域名test5.test4.test3.test2.test1.recsecdet.xyz的a记录查询，因未被缓存，待测解析器向recsecdet.xyz侧发送查询包，直到获取最终解析结果或达到该解析器的递归查询上限。且待测解析器如果获取了最终的解析结果，会将查询结果返回给探测点。
[0050]
值得一提的是，为了消除缓存对下一次探测的影响，同时降低对网络运行的影响，在可控权威侧应将用于测试的域名生存时间(ttl)值设置为一个较低的数值。在本实施例中，test5.test4.test3.test2.test1.recsecdet.xyz的a记录ttl设置为120。
[0051]
漏洞检测系统主要针对解析器是否具有配置错误，dns反射/放大以及dns欺骗漏
洞进行分析与记录，由收集器、分析器以及规则库构成，具体来讲包括：
[0052]
(1)收集器：向待测解析器发送探测包，所述探测包包含探测节点ip、待测解析器ip、可控权威下的高级数域名；并基于预先部署的dns权威服务器及探测节点，收集来自待测解析器的dns数据包。作为示例，收集器负责收集recsecdet.xyz权威侧收到的来自解析器的查询包，以及探测节点收到的来自解析器的响应包，并依据漏洞特征库中记载的特征规则，提取数据包中关键流量特征存储在原始流量数据库中。
[0053]
(2)漏洞规则库：存储漏洞库规则，漏洞库规则包括：根据dns数据包数量是否超过预设阈值、端口及查询id是否规律变化、标志位配置是否正常，来判断待测解析器是否存在安全漏洞。作为示例，漏洞规则库主要存储了判定解析器是否具有漏洞的特征标准，以便今后在发现新漏洞时及时更新，目前的规则主要包括：
[0054]
a.数据包数量特征：数据包数量特征是指在可控权威侧收集到的数据包总数，通过判断该数值是否超过漏洞特征库中设置的特征阈值，目前的测量中该数值定为5，来判定该解析器是否易受dns放大/反射攻击，若该数值超过特征阈值5，则认为该解析器未设置合理的工作量上限，存在安全漏洞，易受dns放大/反射攻击；反之，则认为该解析器不存在当前种类风险。
[0055]
b.端口及查询id特征：数据包中端口及查询id特征是指将控权威服务器收集到的数据包按照收集时间顺序排列，端口号或查询id是否是规律变化的(包括但不限于单调递增数列，单调递减数列，固定不变)，若端口号或查询id是规律变化的，则认为该解析器存在安全漏洞，易受dns欺骗攻击；反之，则认为该解析器不存在当前种类风险。
[0056]
c.标志位特征：标志位特征主要是指dns响应包中的授权应答(authoritative answer，aa)、可用递归(recursion available，ra)、期望递归(recursion desired，rd)以及保留字段(z)等标志位是否正常，具体来说，一个正常的解析器的响应包中，授权应答位应置0，可用递归位应置1，期望递归位应置1，保留字段应置0。若探测节点收集到的响应包中标志位与上述不相符，则认为该解析器存在安全漏洞，存在配置错误；反之，则认为该解析器不存在当前种类风险。
[0057]
(3)分析器：根据漏洞库规则，对收集到的dns数据包进行检测，以确定待测解析器是否存在安全漏洞。作为示例，分析器接收来自收集器的流量特征，根据漏洞规则库中的规则，判定该解析器是否具有漏洞，并将分析结果存储在解析器风险库中。
[0058]
如图2所示，其分析流程主要是依次检测包括权威侧收到数据包数量，查询id，源端口号以及标志位等特征是否符合规则库所记录的漏洞特征，从而分别判定解析器是否具有配置错误，dns反射/放大以及dns欺骗漏洞。
[0059]
进一步通过实验验证本发明的技术效果。
[0060]
实验一模拟一个设置了最大递归上限且使用随机查询标志id的安全解析器的检测情况，预计得到的结果是在权威侧收到共计4个数据包，且4个数据包的查询标志id无明显规律。
[0061]
具体实验流程如下：
[0062]
a.将待测解析器42.194.195.78最大递归解析层数设置为7；
[0063]
b.向该解析器发送构造的查询包；
[0064]
c.在权威侧进行捕包，并将数据特征存储在数据库中；
[0065]
d.在探测点进行捕包，并将数据特征存储在数据库中；
[0066]
e.分析数据库中的数据特征，推测该解析器安全情况。
[0067]
数据库中的结果显示该解析器的数据包中的标志位正常，不存在配置错误。该解析器未正常获取解析结果，且在权威侧的捕包共计收到来自该解析器的4个数据包，因此推测该解析器设置了最大递归上限，不易用于dns放大/反射攻击。且该解析器查询标志id无明显规律，推测其不易受dns欺骗攻击。检测结果与预期一致。
[0068]
实验二模拟一个未设置最大递归上限且使用随机查询标志id的非安全解析器的检测情况，预计得到的结果是在权威侧收到共计5个数据包，且5个数据包的查询标志id无明显规律。具体步骤与上文类似，只需将步骤一修改为将待测解析器42.194.195.78最大递归解析层数设置为10，其余步骤此处不再赘述。
[0069]
数据库中的结果中可以看到该解析器的数据包中的标志位正常，不存在配置错误。该解析器正常获取解析结果，且在权威侧的捕包共计收到来自该解析器的5个数据包，因此推测该解析器未设置最大递归上限，可能被用于用于dns放大/反射攻击。且该解析器查询标志id无明显规律，推测其不易受dns欺骗攻击。检测结果与预期一致。
[0070]
尽管根据有限数量的实施例描述了本发明，但是受益于上面的描述，本技术领域内的技术人员明白，在由此描述的本发明的范围内，可以设想其它实施例。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

技术特征：
1.一种dns解析服务器的漏洞检测方法，其特征在于，包括以下步骤：步骤一、向待测解析器发送探测包，所述探测包包含探测节点ip、待测解析器ip、可控权威下的高级数域名；步骤二、基于预先部署的dns权威服务器及探测节点，收集来自待测解析器的dns数据包；步骤三、根据漏洞库规则，对收集到的dns数据包进行检测，以确定待测解析器是否存在安全漏洞。2.根据权利要求1所述的一种dns解析服务器的漏洞检测方法，其特征在于，步骤三中所述漏洞库规则包括：根据dns数据包数量是否超过预设阈值、端口及查询id是否规律变化、标志位配置是否正常，来判断待测解析器是否存在安全漏洞。3.根据权利要求2所述的一种dns解析服务器的漏洞检测方法，其特征在于，步骤三中所述漏洞库规则中所述标志位包括授权应答、可用递归、期望递归以及保留字段。4.根据权利要求3所述的一种dns解析服务器的漏洞检测方法，其特征在于，步骤三的具体步骤包括：步骤三一、判断收集到的dns数据包数量是否超过预设阈值，若超过，则确定待测解析器未设置合理的工作量上限，存在安全漏洞，易受dns放大/反射攻击；反之则确定待测解析器不存在当前种类漏洞风险；步骤三二、判断收集到的dns数据包的端口及查询id是否规律变化，若为规律变化，则确定待测解析器存在安全漏洞，易受dns欺骗攻击；反之则确定待测解析器不存在当前种类漏洞风险；步骤三三、判断收集到的dns数据包的标志位配置是否正常，若授权应答位不为0，或可用递归位不为1，或期望递归位不为1，或保留字段不为0，则确定待测解析器存在安全漏洞，存在配置错误；反之则确定待测解析器不存在当前种类漏洞风险。5.根据权利要求1-4中任一项所述的一种dns解析服务器的漏洞检测方法，其特征在于，所述dns权威服务器包含可控权威下的高级数域名。6.一种dns解析服务器的漏洞检测系统，其特征在于，包括收集器、漏洞规则库和分析器，其中，所述收集器配置成：向待测解析器发送探测包，所述探测包包含探测节点ip、待测解析器ip、可控权威下的高级数域名；并基于预先部署的dns权威服务器及探测节点，收集来自待测解析器的dns数据包；所述漏洞规则库配置成：存储漏洞库规则，所述漏洞库规则包括：根据dns数据包数量是否超过预设阈值、端口及查询id是否规律变化、标志位配置是否正常，来判断待测解析器是否存在安全漏洞；所述分析器配置成：根据漏洞库规则，对收集到的dns数据包进行检测，以确定待测解析器是否存在安全漏洞。7.根据权利要求6所述的一种dns解析服务器的漏洞检测系统，其特征在于，所述漏洞库规则中所述标志位包括授权应答、可用递归、期望递归以及保留字段。8.根据权利要求7所述的一种dns解析服务器的漏洞检测系统，其特征在于，所述分析器中根据漏洞库规则，对收集到的dns数据包进行检测，以确定待测解析器是否存在安全漏
洞的具体步骤包括：步骤三一、判断收集到的dns数据包数量是否超过预设阈值，若超过，则确定待测解析器未设置合理的工作量上限，存在安全漏洞，易受dns放大/反射攻击；反之则确定待测解析器不存在当前种类漏洞风险；步骤三二、判断收集到的dns数据包的端口及查询id是否规律变化，若规律变化的，则确定待测解析器存在安全漏洞，易受dns欺骗攻击；反之则确定待测解析器不存在当前种类漏洞风险；步骤三三、判断收集到的dns数据包的标志位配置是否正常，若授权应答位不为0，或可用递归位不为1，或期望递归位不为1，或保留字段不为0，则确定待测解析器存在安全漏洞，存在配置错误；反之则确定待测解析器不存在当前种类漏洞风险。9.根据权利要求6-8中任一项所述的一种dns解析服务器的漏洞检测系统，其特征在于，所述dns权威服务器包含可控权威下的高级数域名。

技术总结
本发明公开了一种DNS解析服务器的漏洞检测方法及系统，涉及计算机网络通信领域，用以解决现有的DNS解析器漏洞检测标准缺失导致难以客观综合评估的问题。本发明的技术要点包括：向待测解析器发送探测包；基于预先部署的DNS权威服务器及探测节点，收集来自待测解析器的DNS数据包；根据漏洞库规则，对收集到的DNS数据包进行检测，以确定待测解析器是否存在安全漏洞。本发明可以方便快速全面地检测DNS解析服务器的安全情况，从而客观综合评估解析器的安全问题。解析器的安全问题。解析器的安全问题。


技术研发人员：张宇 俞思帆 夏重达 张伟哲 张宏莉 方滨兴
受保护的技术使用者：哈尔滨工业大学
技术研发日：2023.06.14
技术公布日：2023/9/13