(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111494907.4 (22)申请日 2021.12.08 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 刘志赞　张威武　朱江　马峥巍　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 周书敏 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种DNS安全防御方法及系统、 电子设备、 介 质 (57)摘要 本申请公开一种DNS安全防御方法及系统、 电子设备、 介质， 涉及信息安全领域， 本申请所提 供的DNS安全防御方法， 应用于本地DNS服务器， 用于接收到DNS请求信息后， 将DNS请求信息的响 应地址设置为预先设置的空地址， 如果接收到 返 回信息， 则代表该DNS请求信息为危险攻击性信 息， 则直接拦截该DNS请求信息， 通过正常DNS请 求信息和攻击DNS请求信息对于空地址的响应不 同， 从而根据是否接收到返回信息来判断DNS请 求信息是否正常， 并对异常信息进行拦截， 本申 请是从本地端出发而进行的安全防护系统， 所以 对于互联网服务器无需修改， 只需要使用本地 DNS服务器即能防御大部分的攻击信息， 且无特 殊要求， 因此兼容 性较强。 权利要求书1页 说明书9页 附图2页 CN 114244593 A 2022.03.25 CN 114244593 A 1.一种DNS安全防御方法， 其特 征在于， 应用于 本地DNS服 务器， 所述方法包括： 接收DNS请求信息； 将所述本地DNS服务器的目标地址修改为预设地址， 所述预设地址为预先设定的不存 在的DNS地址； 检测是否 接收到所述DNS请求信息的返回信息； 若是， 则拦截所述DNS请求信息 。 2.根据权利要求1所述的DNS安全防御方法， 其特征在于， 在拦截所述DNS请求信息后， 还包括： 解析所述DNS请求信息的IP地址， 并将所述 IP地址拉入黑名单中。 3.根据权利要求1所述的DNS安全防御方法， 其特征在于， 在接收到DNS请求信息后， 所 述拦截所述DNS请求信息之前还 包括： 判断所述DNS请求信息的报文、 附加区是否正常以及判断所述DNS请求信息的IP地址是 否在黑名单中； 若有任意一项不正常， 则拦截所述DNS请求信息 。 4.根据权利要求3所述的DNS安全防御方法， 其特征在于， 在接收到DNS请求信息后， 还 包括： 将所述本地DNS服 务器域名中的大小 写随机化。 5.根据权利 要求4所述的DNS安全防御方法， 其特征在于， 所述将所述本地DNS服务器域 名中的大小 写随机化 为异步进行的。 6.根据权利要求1至 5任意一项所述的DNS安全防御方法， 其特 征在于， 还 包括： 在拦截所述DNS请求信息时， 发送警报。 7.根据权利 要求5所述的DNS安全防御方法， 其特征在于， 若未接收到所述DNS请求信息 的返回信息， 且判断出所述DNS请求信息的报文、 附加区正常以及判断出所述DNS请求信息 的IP地址不在黑名单中， 还包括： 将所述DNS请求信息发送至所述本地DNS服务器的目标地 址。 8.一种DNS安全防御系统， 其特 征在于， 包括： 接收模块， 用于 接收DNS请求信息； 修改模块， 用于将所述本地DNS服务器的目标地址修改为预设地址， 所述预设地址为预 先设定的不存在的DNS地址； 检测模块， 用于检测是否 接收到所述DNS请求信息的返回信息， 若是， 则开启拦截 模块； 拦截模块， 则拦截所述DNS请求信息 。 9.一种电子设备， 其特 征在于， 包括存 储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1 ‑7任意一项所述的DNS安全系统 防御方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1‑7任意一项 所述的DNS安全系统防 御方法的步骤。权　利　要　求　书 1/1 页 2 CN 114244593 A 2一种DNS安全防御方 法及系统、 电子 设备、 介质 技术领域 [0001]本申请涉及信息安全领域， 特别是涉及一种DNS安全防御方法及系统、 电子设备、 介质。 背景技术 [0002]近年来， 随着互联 网技术的发展， 网络安全 成为一个热门的研究话题和方向， 目前 网络上最主要的攻击手段是网络域名服务器缓存污染， 又称域名服务器缓存投毒、 DNS缓存 污染， 是指一些刻意制造的域名服 务器数据包， 将域名指往恶意或不 正确的IP地址 。 [0003]现有的DNS安全防御方法， 主要是通过D NSSEC安全拓展实现的。 DNSSEC是一个对 现 有DNS协议进 行针对网络安全相关的拓展。 原理上DNSSEC就是在原有的DNS协 议上增加了签 名的记录， 新增三种资源记录类型： DS、 RRSIG和DNSKEY， 即通过改变服务器端口来实现安全 防护， 即使用key ‑value的方式使得域名可信。 该缺点主要是兼容性问题， 必须需要改变互 联网上DNS服务器才能适用。 而如果花费大量的时间将DNSSEC增加到DNS服务器中， 一旦 DNSSEC被攻破或者发现一个新的漏洞， 那么该DNS服 务器又将遭受到一次全面抨击和整改。 [0004]鉴于上述技术， 寻找一种兼容性强且无需更改服务器 的DNS安全防御方法是本领 域技术人员亟 待解决的问题。 发明内容 [0005]本申请的目的是提供一种D NS安全防御方法， 以便于解决现有的DNS 安全防御方法 兼容性不强的问题。 [0006]为解决上述技术问题， 本申请 提供一种D NS安全防御方法， 应用于本地D NS服务器， 所述方法包括： [0007]接收DNS请求信息； [0008]将所述本地DNS服务器 的目标地址修改为预设地址， 所述预设地址为预先设定 的 不存在的DNS地址； [0009]检测是否 接收到所述DNS请求信息的返回信息； [0010]若是， 则拦截所述DNS请求信息 。 [0011]优选地， 在拦截所述DNS请求信息后， 还 包括： [0012]解析所述DNS请求信息的IP地址， 并将所述 IP地址拉入黑名单中。 [0013]优选地， 在接收到DNS请求信息后， 所述 拦截所述DNS请求信息之前还 包括： [0014]判断所述D NS请求信息的报文、 附加区是否正常以及判断所述D NS请求信息的IP 地 址是否在黑名单中； [0015]若有任意一项不正常， 则拦截所述DNS请求信息 。 [0016]优选地， 在接收到DNS请求信息后， 还 包括： [0017]将所述本地DNS服 务器域名中的大小 写随机化。 [0018]优选地， 所述将所述本地DNS服 务器域名中的大小 写随机化 为异步进行的。说　明　书 1/9 页 3 CN 114244593 A 3