SYSTEM AND METHOD FOR REDUCING DENIAL OF SERVICE ATTACKS AGAINST DYNAMICALLY GENERATED NEXT SECURE RECORDS

SYSTEM AND METHOD FOR REDUCING DENIAL OF SERVICE ATTACKS AGAINST DYNAMICALLY GENERATED NEXT SECURE RECORDS

The present disclosure is directed to the reduction of denial of service, DoS, attacks against dynamically generated next secure, NSEC, records. A domain name system, DNS, proxy (602) prevents spoofed IP addresses by forcing clients (600) to transmit DNS queries via transmission control protocol, TC...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
1. Verfasser: MUTHIAH, MANIKAM
Format: Patent
Sprache:eng ; fre
Schlagworte:
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRICITY
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:The present disclosure is directed to the reduction of denial of service, DoS, attacks against dynamically generated next secure, NSEC, records. A domain name system, DNS, proxy (602) prevents spoofed IP addresses by forcing clients (600) to transmit DNS queries via transmission control protocol, TCP, by replying (626) to a user datagram protocol, UDP, DNS request (620) with a blank or predetermined resource record with a truncation bit set to indicate that the record is too large to fit within a single UDP packet payload. Under the DNS specification, the client must re-transmit the DNS request via TCP. Upon receipt (634) of the retransmitted request via TCP, the DNS proxy generates (640) fictitious neighbor addresses and a signed NSEC record and transmits (642) the record to the client. Accordingly, the DNS proxy need not waste resources generating and signing records for requests from spoofed IP addresses via UDP. La présente invention concerne la réduction d'attaques de refus de service (DoS) contre des enregistrements sécurisés suivants (NSEC) produits dynamiquement. Un proxy de système de nom de domaine (DNS) (602) évite les adresses IP mystifiées en forçant des clients (600) à transmettre des requêtes de DNS par protocole de contrôle de transmission (TCP) en répondant (626) à une demande de DNS par protocole de datagramme d'utilisateur (UDP) (620) avec un enregistrement de ressource vide ou prédéterminé avec un bit de troncation défini pour indiquer que l'enregistrement est trop grand pour tenir dans une seule charge de paquet UDP. Selon la spécification du DNS, le client doit retransmettre la demande de DNS par TCP. Lors de la réception (634) de la demande retransmise par TCP, le proxy de DNS produit (640) des adresses voisines fictives et un enregistrement NSEC signé et transmet (642) l'enregistrement au client. Par conséquent, le proxy DNS n'a pas besoin de gaspiller des ressources pour produire et signer des enregistrements pour des demandes provenant d'adresses IP mystifiées par UDP.