CN114401246A - 访问域名的方法及装置 - Google Patents

访问域名的方法及装置 Download PDF

Info

Publication number
CN114401246A
CN114401246A CN202111612396.1A CN202111612396A CN114401246A CN 114401246 A CN114401246 A CN 114401246A CN 202111612396 A CN202111612396 A CN 202111612396A CN 114401246 A CN114401246 A CN 114401246A
Authority
CN
China
Prior art keywords
domain name
value
target
suspicious
response message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111612396.1A
Other languages
English (en)
Inventor
向九松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111612396.1A priority Critical patent/CN114401246A/zh
Publication of CN114401246A publication Critical patent/CN114401246A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供访问域名的方法及装置。用于提高访问域名时的安全性,包括:响应于用户发送的域名访问报文,获取域名系统中与域名访问报文相对应的至少一个域名响应报文;若确定满足第一指定条件的各域名响应报文的数量大于第一指定阈值,则针对任一满足第一指定条件的域名响应报文,基于所述域名响应报文得到所述域名响应报文的目标可疑值;其中,第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且参数包括端口和访问标识;将目标可疑值最小的域名响应报文,确定为域名访问报文对应的目标域名响应报文;利用所述目标域名响应报文,得到与域名访问报文对应的域名,并将域名发送给用户的终端设备,以使用户通过终端设备访问所述域名。

Description

访问域名的方法及装置
技术领域
本发明涉及网络安全技术领域,特别涉及一种访问域名的方法及装置。
背景技术
域名系统的域名解析服务是互联网最重要的基础服务,近年来针对域名系统的攻击变得越来越频繁,域名系统已经成为互联网安全的一个薄弱环节,如何保障域名系统的安全是急需要解决的问题。而在域名系统面临的安全风险中又以域名系统的投毒攻击最为频繁、最为隐蔽、破坏性最大。
现有技术中,域名系统为了防止投毒所使用的访问域名的方式仅采用简单信任机制,对首先收到的域名响应报文进行端口和访问标识的识别,而不会对域名响应报文的合法性做任何分析。若域名响应报文的端口和访问标识与域名访问报文中的端口和访问标识相匹配,则将其作为正确的域名响应报文发送给用户的终端设备。然后丢弃后续到达的所有域名响应报文。这就使得攻击者可以发送伪造报文,力争抢先完成响应以污染域名系统的缓存。由此,现有技术中的访问域名的方式导致访问域名时的安全性较低。
发明内容
本公开示例性的实施方式中提供一种访问域名的方法及装置,用于提高访问域名时的安全性。
本公开的第一方面提供一种访问域名的方法,所述方法包括:
响应于用户发送的域名访问报文,获取域名系统中与所述域名访问报文相对应的至少一个域名响应报文;
若确定满足第一指定条件的各域名响应报文的数量大于第一指定阈值,则针对任意一个满足第一指定条件的域名响应报文,基于所述域名响应报文得到所述域名响应报文的目标可疑值;其中,所述第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识;
将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文;
利用所述目标域名响应报文,得到与所述域名访问报文相对应的域名,并将所述域名发送给所述用户对应的终端设备,以使所述用户通过所述终端设备访问所述域名。
本实施例中若满足第一指定条件(即域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识)的各域名响应报文的数量大于第一指定阈值,则针对任意一个满足第一指定条件的域名响应报文需要基于所述域名响应报文得到所述域名响应报文的目标可疑值,并将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文,以便于用户访问所述目标域名响应报文中的域名。由此,本实施例中不仅会对域名响应报文的端口和访问标识进行识别判断,还会对域名响应报文自身的合法性进行分析,提高了访问域名时的安全性。
在一个实施例中,所述域名响应报文包括域名、网际互联协议生存时间值、域名生存时间值中的至少一个;
所述基于所述域名响应报文得到所述域名响应报文的目标可疑值,包括:
若所域名响应报文包括网际互联协议生存时间值,则将所述网际互联协议生存时间值与第一指定范围进行比对,得到第一比对结果;并基于所述第一比对结果,得到第一可疑值,并将所述第一可疑值确定为所述目标可疑值;其中,所述第一可疑值用于标识所述域名响应报文的网际互联协议生存时间值是否在第一指定范围内;或,
若所述域名响应报文包括域名生存时间值,则将所述域名生存时间值与第二指定范围进行比对,得到第二比对结果,并基于所述第二比对结果,得到第二可疑值,并将所述第二可疑值确定为所述目标可疑值;其中,所述第二可疑值是用于标识所述域名响应报文的域名生存时间值是否在第二指定范围内;或,
若所述域名响应报文包括所述域名,则将所述域名与目标域名进行比对,得到第三比对结果,并基于所述第三比对结果,得到第三可疑值,并将所述第三可疑值确定为所述目标可疑值;其中,所述目标域名为利用预设域名转换规则对所述域名访问报文中的域名进行域名转换得到的,且所述第三可疑值用于标识所述域名响应报文的域名是否与目标域名相同;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名生存时间值,则利用所述第一可疑值和所述第二可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名,则利用所述第一可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括域名生存时间值和所述域名,则利用所述第二可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值、所述域名生存时间值和所述域名,则将所述网际互联协议生存时间值与目标网际互联协议生存时间值进行比对,得到第四比对结果,以及将所述域名生存时间值与目标域名生存时间值进行比对,得到第五比对结果;利用所述第四比对结果和所述第五比对结果,得到第四可疑值,并根据所述第一可疑值、所述第二可疑值、所述第三可疑值和所述第四可疑值,得到所述目标可疑值;其中所述目标网际互联协议生存时间值和所述目标域名生存时间值均是通过所述域名得到的。
本实施例通过域名响应报文中的域名、网际互联协议生存时间值和域名生存时间值中的至少一个来确定出目标可疑值,以此,本实施例中可通过各维度来确定出目标可疑值,使得确定出的目标响应报文更加准确,进一步提高了访问域名的安全性。
在一个实施例中,所述基于所述第一比对结果,得到第一可疑值,包括:
若所述第一比对结果为所述网际互联协议生存时间值不在所述第一指定范围内,则将第一预设初始值与第一预设阈值相加,得到所述第一可疑值;
若所述第一比对结果为所述网际互联协议生存时间值在所述第一指定范围内,则将所述第一预设初始值确定为所述第一可疑值。
在一个实施例中,所述基于所述第二比对结果,得到第二可疑值,包括:
若所述第二比对结果为所述域名生存时间值不在所述第二指定范围内,则将第二预设初始值与第二预设阈值相加,得到所述第二可疑值;
若所述第二比对结果为所述域名生存时间值在所述第二指定范围内,则将所述第二预设初始值确定为所述第二可疑值。
在一个实施例中,所述基于所述第三比对结果,得到第三可疑值,包括:
若所述第三比对结果为所述域名与所述目标域名相同,则将第三预设初始值确定为所述第三可疑值;
若所述第三比对结果为所述域名与所述目标域名不相同,则将所述第三预设初始值与第三预设阈值相加,得到所述第三可疑值。
在一个实施例中,所述利用所述第四比对结果和所述第五比对结果,得到第四可疑值,包括:
若第四比对结果为所述网际互联协议生存时间值与所述目标网际互联协议生存时间值的差值在第一指定差值范围内,且所述第五比对结果为所述域名生存时间值与所述目标域名生存时间值的差值在第二指定差值范围内,则将第四预设初始值确定为所述第四可疑值;
否则,则所述第四预设初始值与第四预设阈值相加,得到所述第四可疑值。
在一个实施例中,所述域名响应报文还包括解析网际互联协议;
通过以下方式确定所述目标网际互联协议生存时间值和所述目标域名生存时间值:
若所述域名和所述解析网际互联协议在预设数据库中,则将所述预设数据库中与所述域名和所述解析网际互联协议相对应的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,以及将所述预设数据库中与所述域名和所述解析网际互联协议相对应的域名生存时间值确定为所述目标域名生存时间值;或,
若所述域名或所述解析网际互联协议不在所述预设数据库中,则将指定域名响应报文中的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,且将所述指定域名响应报文中的域名生存时间值确定为所述目标域名生存时间值;其中,所述指定域名响应报文为向指定域名系统发送所述域名访问报文得到的响应报文,且所述指定域名响应报文的域名与所述域名响应报文的域名相同,且所述目标响应报文的解析网际互联协议与所述域名响应报文的解析网际互联协议相同。
在一个实施例中,所述将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文之后,所述方法还包括:
向指定终端设备发送投毒报警消息,所述投毒报警消息中包括除所述目标域名响应报文之外的其他域名响应报文。
本实施中通过向指定终端设备发送投毒报警消息,以便于工作人员实施对应的措施,进一步提高域名系统的安全性。
本公开第二方面提供一种访问域名的装置,所述装置包括:
域名响应报文确定模块,用于响应于用户发送的域名访问报文,获取域名系统中与所述域名访问报文相对应的至少一个域名响应报文;
目标可疑值确定模块,用于若确定满足第一指定条件的各域名响应报文的数量大于第一指定阈值,则针对任意一个满足第一指定条件的域名响应报文,基于所述域名响应报文得到所述域名响应报文的目标可疑值;其中,所述第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识;
目标域名响应报文确定模块,用于将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文;
域名确定模块,用于利用所述目标域名响应报文,得到与所述域名访问报文相对应的域名,并将所述域名发送给所述用户对应的终端设备,以使所述用户通过所述终端设备访问所述域名。
在一个实施例中,所述域名响应报文包括域名、网际互联协议生存时间值、域名生存时间值中的至少一个;
所述目标可疑值确定模块,具体用于:
若所域名响应报文包括网际互联协议生存时间值,则将所述网际互联协议生存时间值与第一指定范围进行比对,得到第一比对结果;并基于所述第一比对结果,得到第一可疑值,并将所述第一可疑值确定为所述目标可疑值;其中,所述第一可疑值用于标识所述域名响应报文的网际互联协议生存时间值是否在第一指定范围内;或,
若所述域名响应报文包括域名生存时间值,则将所述域名生存时间值与第二指定范围进行比对,得到第二比对结果,并基于所述第二比对结果,得到第二可疑值,并将所述第二可疑值确定为所述目标可疑值;其中,所述第二可疑值是用于标识所述域名响应报文的域名生存时间值是否在第二指定范围内;或,
若所述域名响应报文包括所述域名,则将所述域名与目标域名进行比对,得到第三比对结果,并基于所述第三比对结果,得到第三可疑值,并将所述第三可疑值确定为所述目标可疑值;其中,所述目标域名为利用预设域名转换规则对所述域名访问报文中的域名进行域名转换得到的,且所述第三可疑值用于标识所述域名响应报文的域名是否与目标域名相同;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名生存时间值,则利用所述第一可疑值和所述第二可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名,则利用所述第一可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括域名生存时间值和所述域名,则利用所述第二可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值、所述域名生存时间值和所述域名,则将所述网际互联协议生存时间值与目标网际互联协议生存时间值进行比对,得到第四比对结果,以及将所述域名生存时间值与目标域名生存时间值进行比对,得到第五比对结果;利用所述第四比对结果和所述第五比对结果,得到第四可疑值,并根据所述第一可疑值、所述第二可疑值、所述第三可疑值和所述第四可疑值,得到所述目标可疑值;其中所述目标网际互联协议生存时间值和所述目标域名生存时间值均是通过所述域名得到的。
在一个实施例中,所述目标可疑值确定模块执行所述基于所述第一比对结果,得到第一可疑值,具体用于:
若所述第一比对结果为所述网际互联协议生存时间值不在所述第一指定范围内,则将第一预设初始值与第一预设阈值相加,得到所述第一可疑值;
若所述第一比对结果为所述网际互联协议生存时间值在所述第一指定范围内,则将所述第一预设初始值确定为所述第一可疑值。
在一个实施例中,所述目标可疑值确定模块执行所述基于所述第二比对结果,得到第二可疑值,具体用于:
若所述第二比对结果为所述域名生存时间值不在所述第二指定范围内,则将第二预设初始值与第二预设阈值相加,得到所述第二可疑值;
若所述第二比对结果为所述域名生存时间值在所述第二指定范围内,则将所述第二预设初始值确定为所述第二可疑值。
在一个实施例中,所述目标可疑值确定模块执行所述基于所述第三比对结果,得到第三可疑值,具体用于:
若所述第三比对结果为所述域名与所述目标域名相同,则将第三预设初始值确定为所述第三可疑值;
若所述第三比对结果为所述域名与所述目标域名不相同,则将所述第三预设初始值与第三预设阈值相加,得到所述第三可疑值。
在一个实施例中,所述目标可疑值确定模块执行所述利用所述第四比对结果和所述第五比对结果,得到第四可疑值,具体用于:
若第四比对结果为所述网际互联协议生存时间值与所述目标网际互联协议生存时间值的差值在第一指定差值范围内,且所述第五比对结果为所述域名生存时间值与所述目标域名生存时间值的差值在第二指定差值范围内,则将第四预设初始值确定为所述第四可疑值;
否则,则所述第四预设初始值与第四预设阈值相加,得到所述第四可疑值。在一个实施例中,所述域名响应报文还包括解析网际互联协议;所述装置还包括:
目标确定模块,用于通过以下方式确定所述目标网际互联协议生存时间值和所述目标域名生存时间值:
若所述域名和所述解析网际互联协议在预设数据库中,则将所述预设数据库中与所述域名和所述解析网际互联协议相对应的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,以及将所述预设数据库中与所述域名和所述解析网际互联协议相对应的域名生存时间值确定为所述目标域名生存时间值;或,
若所述域名或所述解析网际互联协议不在所述预设数据库中,则将指定域名响应报文中的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,且将所述指定域名响应报文中的域名生存时间值确定为所述目标域名生存时间值;其中,所述指定域名响应报文为向指定域名系统发送所述域名访问报文得到的响应报文,且所述指定域名响应报文的域名与所述域名响应报文的域名相同,且所述目标响应报文的解析网际互联协议与所述域名响应报文的解析网际互联协议相同。
在一个实施例中,所述装置还包括:
投毒报警消息发送模块,用于所述将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文之后,向指定终端设备发送投毒报警消息,所述投毒报警消息中包括除所述目标域名响应报文之外的其他域名响应报文。
根据本公开实施例的第三方面,提供一种电子设备,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有被所述至少一个处理器执行的指令;所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如第一方面所述的方法。
根据本公开实施例提供的第四方面,提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序用于执行如第一方面所述的方法。
附图说明
为了更清楚地说明本公开实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为根据本公开一个实施例中的适用场景示意图;
图2为根据本公开一个实施例的访问域名的方法的流程示意图之一;
图3为根据本公开一个实施例的预设数据库的示意图;
图4为根据本公开一个实施例的访问域名的方法的流程示意图之二;
图5为根据本公开一个实施例的访问域名的装置;
图6为根据本公开一个实施例的电子设备的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
本公开实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本公开实施例描述的应用场景是为了更加清楚的说明本公开实施例的技术方案,并不构成对于本公开实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本公开实施例提供的技术方案对于类似的技术问题,同样适用。其中,在本公开的描述中,除非另有说明,“多个”的含义是两个或两个以上。
现有技术中,域名系统为了防止投毒所使用的访问域名的方式仅采用简单信任机制,对首先收到的域名响应报文进行端口和访问标识的识别,而不会对域名响应报文的合法性做任何分析。若域名响应报文的端口和访问标识与域名访问报文中的端口和访问标识相匹配,则将其作为正确的域名响应报文发送给用户的终端设备。然后丢弃后续到达的所有域名响应报文。这就使得攻击者可以发送伪造报文,力争抢先完成响应以污染域名系统的缓存。由此,现有技术中的访问域名的方式导致访问域名时的安全性较低。
因此,本公开提供一种访问域名的方法,通过若满足第一指定条件(即域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识)的各域名响应报文的数量大于第一指定阈值,则针对任意一个满足第一指定条件的域名响应报文需要基于所述域名响应报文得到所述域名响应报文的目标可疑值,并将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文,以便于用户访问所述目标域名响应报文中的域名。由此,本实施例中不仅会对域名响应报文的端口和访问标识进行判断,还会对域名响应报文自身的合法性进行分析,提高了访问域名时的安全性。下面,结合附图对本公开的方案详细的进行介绍。
如图1所示,一种访问域名的方法的应用场景,该应用场景中包括用户终端设备110、高速缓存服务器120、递归服务器130、多个权威服务器140和投毒分析服务器150。图1中是以一个用户终端设备110为例,实际上不限制用户终端设备110的数量。用户终端设备110可为手机、平板电脑和个人计算机等。
其中,高速缓存服务器120、递归服务器130、权威服务器140为域名系统。
在一种可能的应用场景中,若用户A使用终端设备110向高速缓存服务器120发送域名访问报文,若所述高速缓存服务器120中没有与域名访问报文相对应的域名,则将所述域名访问报文发送给递归服务器130,递归服务器130将所述域名访问报文转发至权威服务器140之后,投毒分析服务器150响应于用户发送的域名访问报文,通过通信网络获取域名系统中与所述域名访问报文相对应的至少一个域名响应报文;若确定满足第一指定条件的各域名响应报文的数量大于第一指定阈值,投毒分析服务器150则针对任意一个满足第一指定条件的域名响应报文,基于所述域名响应报文得到所述域名响应报文的目标可疑值;其中,所述第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识;并将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文;最后投毒分析服务器150利用所述目标域名响应报文,得到与所述域名访问报文相对应的域名,并将所述域名通过递归服务器130发送给高速缓存服务器120中,所述高速缓存服务器120存储所述域名之后,将所述域名发送给所述用户终端设备110,以使所述用户通过所述用户终端设备110访问所述域名。
如图2所示,为本公开的访问域名的方法的流程示意图,可包括以下步骤:
步骤201:响应于用户发送的域名访问报文,获取域名系统中与所述域名访问报文相对应的至少一个域名响应报文;
其中,所述域名响应报文包括域名、网际互联协议生存时间值、域名生存时间值中的至少一个。且本实施例中是通过镜像方式获取的与所述域名访问报文相对应的域名响应报文的。
步骤202:若确定满足第一指定条件的各域名响应报文的数量大于第一指定阈值,则针对任意一个满足第一指定条件的域名响应报文,基于所述域名响应报文得到所述域名响应报文的目标可疑值;其中,所述第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识;
其中,本实施例中的第一指定阈值为1。第一指定阈值的具体数值可根据实际情况进行设置,本实施例在此并不对第一指定阈值进行限定。
在一个实施例中,若确定满足第一指定条件的域名响应报文的数量不大于所述第一指定阈值,则判断所述域名响应报文中的域名是否为重点保护域名,若是,则判断所述域名响应报文中的解析网际互联协议是否存储在预设数据库中,若是,则将所述域名响应报文确定为所述目标域名响应报文,并利用所述目标域名响应报文对预设数据库进行更新。若否,则向指定终端设备发送投毒报警消息,所述投毒报警消息中包括所述目标域名响应报文。
需要说明的是:重点保护域名是预先设置好的。
步骤203:将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文;
步骤204:利用所述目标域名响应报文,得到与所述域名访问报文相对应的域名,并将所述域名发送给所述用户对应的终端设备,以使所述用户通过所述终端设备访问所述域名。
为了进一步提高域名系统的安全性,在一个实施例中,向指定终端设备发送投毒报警消息,所述投毒报警消息中包括除所述目标域名响应报文之外的其他域名响应报文。
为了使得各域名响应报文确定出的可疑值更加准确,在一个实施例中,可通过以下几种方式得到各域名响应报文的目标可疑值:
方式一:若所域名响应报文包括网际互联协议生存时间值,则将所述网际互联协议生存时间值与第一指定范围进行比对,得到第一比对结果;并基于所述第一比对结果,得到第一可疑值,并将所述第一可疑值确定为所述目标可疑值;其中,所述第一可疑值用于标识所述域名响应报文的网际互联协议生存时间值是否在第一指定范围内。
其中,所述第一指定范围为通过PING来获取到标准的网际互联协议生存时间值,并基于所述标准的网际互联协议生存时间值来确定出第一指定范围。且所述网际互联协议生存时间为权威服务器与高速缓存服务器之间的跳数,权威服务器与高速缓存服务器之间经过几个交换机,其之间的跳数就会减去几。
例如,指定跳数为65。若权威服务器和高速缓存服务器之前有十个交换机,则得到的跳数为55,即标准的网际互联协议生存时间值为55。但是由于投毒者并不会从权威服务器中投毒,而是通过中间网络来进行投毒,即交换机中,所以,投毒者的域名响应报文的网际互联协议生存时间值与标准的网际互联生存时间值会相差很多。
在一个实施例中,可通过以下方式得到第一可疑值:
若所述第一比对结果为所述网际互联协议生存时间值不在所述第一指定范围内,则将第一预设初始值与第一预设阈值相加,得到所述第一可疑值;
若所述第一比对结果为所述网际互联协议生存时间值在所述第一指定范围内,则将所述第一预设初始值确定为所述第一可疑值。
方式二:若所述域名响应报文包括域名生存时间值,则将所述域名生存时间值与第二指定范围进行比对,得到第二比对结果,并基于所述第二比对结果,得到第二可疑值,并将所述第二可疑值确定为所述目标可疑值;其中,所述第二可疑值是用于标识所述域名响应报文的域名生存时间值是否在第二指定范围内。
由于投毒者为了保证投毒效果,会将域名生存时间值设置的很长。但是正常的域名对应的域名生存时间值都比较短,因为要保证更好的调度以及更快的故障恢复时间。所以需要将域名响应报文中的域名生存时间值与第二指定范围进行比对。
需要说明的是:本实施例中的第二指定范围是预先设置好的,可根据实际情况来进行设置,本实施例在此并不进行限定。
在一个实施例中,可通过以下方式得到第二可疑值:
若所述第二比对结果为所述域名生存时间值不在所述第二指定范围内,则将第二预设初始值与第二预设阈值相加,得到所述第二可疑值;
若所述第二比对结果为所述域名生存时间值在所述第二指定范围内,则将所述第二预设初始值确定为所述第二可疑值。
方式三:若所述域名响应报文包括所述域名,则将所述域名与目标域名进行比对,得到第三比对结果,并基于所述第三比对结果,得到第三可疑值,并将所述第三可疑值确定为所述目标可疑值;其中,所述目标域名为利用预设域名转换规则对所述域名访问报文中的域名进行域名转换得到的,且所述第三可疑值用于标识所述域名响应报文的域名是否与目标域名相同。
其中,本实施例在递归服务器向权威服务器发送域名访问请求时,还向所述权威服务器发送了预设域名转换规则。所以,只有权威服务器发送的域名会与目标域名相同。投毒者发送的域名不会与目标域名相同。
本实施例中的预设域名转换规则是域名字母大小写转换规则。本实施例中的预设域名转换规则为使用0x20的方式来进行转换的。即改变域名中的第五位字母的大小写。但是,该域名转换规则的方式仅用于举例说明,具体的域名转换规则可根据实际情况进行设置,本实施例在此并不进行限定。
在一个实施例中,可通过以下方式确定所述第三可疑值:
若所述第三比对结果为所述域名与所述目标域名相同,则将第三预设初始值确定为所述第三可疑值;
若所述第三比对结果为所述域名与所述目标域名不相同,则将所述第三预设初始值与第三预设阈值相加,得到所述第三可疑值。
方式四:若所述域名响应报文包括网际互联协议生存时间值和所述域名生存时间值,则利用所述第一可疑值和所述第二可疑值,得到所述目标可疑值。
在一个实施例中,将所述第一可疑值和所述第二可疑值相加,得到所述目标可疑值。
方式五:若所述域名响应报文包括域名生存时间值和所述域名,则利用所述第二可疑值和所述第三可疑值,得到所述目标可疑值。
在一个实施例中,将所述第二可疑值和所述第三可疑值相加,得到所述目标可疑值。
方式六:若所述域名响应报文包括网际互联协议生存时间值和所述域名,则利用所述第一可疑值和所述第三可疑值,得到所述目标可疑值。
在一个实施例中,将所述第一可疑值和所述第三可疑值相加,得到所述目标可疑值。
方式七:若所述域名响应报文包括网际互联协议生存时间值、所述域名生存时间值和所述域名,则将所述网际互联协议生存时间值与目标网际互联协议生存时间值进行比对,得到第四比对结果,以及将所述域名生存时间值与目标域名生存时间值进行比对,得到第五比对结果;利用所述第四比对结果和所述第五比对结果,得到第四可疑值,并根据所述第一可疑值、所述第二可疑值、所述第三可疑值和所述第四可疑值,得到所述目标可疑值;其中所述目标网际互联协议生存时间值和所述目标域名生存时间值均是通过所述域名得到的。
其中,将所述第一可疑值、所述第二可疑值、所述第三可疑值和所述第四可疑值相加,得到所述目标可疑值。
在一个实施例中,通过以下方式得到所述第四可疑值:
若第四比对结果为所述网际互联协议生存时间值与所述目标网际互联协议生存时间值的差值在第一指定差值范围内,且所述第五比对结果为所述域名生存时间值与所述目标域名生存时间值的差值在第二指定差值范围内,则将第四预设初始值确定为所述第四可疑值;否则,则所述第四预设初始值与第四预设阈值相加,得到所述第四可疑值。
需要说明的是:本实施例中第一预设初始值、第二预设初始值、第三预设初始和第四预设初始值可以都相同,也可以部分相同,也可以都不相同。可根据实际情况来进行设置。
在一个实施例中,通过以下方式确定所述目标网际互联协议生存时间值和所述目标域名生存时间值:
若所述域名和所述解析网际互联协议在预设数据库中,则将所述预设数据库中与所述域名和所述解析网际互联协议相对应的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,以及将所述预设数据库中与所述域名和所述解析网际互联协议相对应的域名生存时间值确定为所述目标域名生存时间值;
如图3所示,为预设数据库中任一域名对应的数据,如图3可知,先在预设数据库中找到域名响应报文中的域名对应的数据,若存在,则在该域名对应的数据中确定出是否存在所述域名响应报文对应的解析网际互联协议,若存在,则将所述域名相对应的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值以及将所述预设数据库中与所述域名相对应的域名生存时间值确定为所述目标域名生存时间值。
其中,所述域名对应的数据还包括索引,优先级等数据,且所述解析网际互联协议包括对应的最早登记时间、最新登记时间以及登记次数等。
需要说明的是:预设数据库中包括各域名所对应的数据。即各域名分别对应的索引、优先级、网际互联协议生存时间值、域名生存时间值和解析网际互联协议,以及解析网际互联协议对应的最早登记时间、最新登记时间以及登记次数。
若所述域名或所述解析网际互联协议不在所述预设数据库中,则将指定域名响应报文中的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,且将所述指定域名响应报文中的域名生存时间值确定为所述目标域名生存时间值;其中,所述指定域名响应报文为向指定域名系统发送所述域名访问报文得到的响应报文,且所述指定域名响应报文的域名与所述域名响应报文的域名相同,且所述目标响应报文的解析网际互联协议与所述域名响应报文的解析网际互联协议相同。
为了进一步的了解本公开的技术方案,以域名响应报文包括域名、网际互联协议生存时间值和域名生存时间值为例对本公开的技术方案进行详细的介绍,下面结合图4进行详细的说明,可包括以下步骤:
步骤401:响应于用户发送的域名访问报文,获取域名系统中与所述域名访问报文相对应的至少一个域名响应报文;
步骤402:判断满足第一指定条件的各域名响应报文的数量是否大于第一指定阈值,其中,所述第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识;若是,则执行步骤403,若否,则执行步骤404;
步骤403:针对任意一个满足第一指定条件的域名响应报文,将所述网际互联协议生存时间值与第一指定范围进行比对,得到第一比对结果;并基于所述第一比对结果,得到第一可疑值;
步骤404:将所述域名生存时间值与第二指定范围进行比对,得到第二比对结果,并基于所述第二比对结果,得到第二可疑值;
步骤405:将所述域名与目标域名进行比对,得到第三比对结果,并基于所述第三比对结果,得到第三可疑值;
步骤406:将所述网际互联协议生存时间值与目标网际互联协议生存时间值进行比对,得到第四比对结果,以及将所述域名生存时间值与目标域名生存时间值进行比对,得到第五比对结果,并利用所述第四比对结果和所述第五比对结果,得到第四可疑值;
需要说明的是,本实施例中的步骤403~步骤406的执行顺序本实施例在此并不进行限定,可以同时执行,也可以先后执行。
步骤407:根据所述第一可疑值、所述第二可疑值、所述第三可疑值和所述第四可疑值,得到所述目标可疑值;
步骤408:将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文;
步骤409:将满足第一指定条件的域名响应报文确定为与所述域名访问报文相对应的目标域名响应报文;
步骤410:利用所述目标域名响应报文,得到与所述域名访问报文相对应的域名,并将所述域名发送给所述用户对应的终端设备,以使所述用户通过所述终端设备访问所述域名。
基于相同的公开构思,本公开如上所述的访问域名的方法还可以由一种访问域名的装置实现。该访问域名的装置的效果与前述方法的效果相似,在此不再赘述。
图5为根据本公开一个实施例的访问域名的装置的结构示意图。
如图5所示,本公开的访问域名的装置500可以包括域名响应报文确定模块510、目标可疑值确定模块520、目标域名响应报文确定模块530和域名确定模块540。
域名响应报文确定模块510,用于响应于用户发送的域名访问报文,获取域名系统中与所述域名访问报文相对应的至少一个域名响应报文;
目标可疑值确定模块520,用于若确定满足第一指定条件的各域名响应报文的数量大于第一指定阈值,则针对任意一个满足第一指定条件的域名响应报文,基于所述域名响应报文得到所述域名响应报文的目标可疑值;其中,所述第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识;
目标域名响应报文确定模块530,用于将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文;
域名确定模块540,用于利用所述目标域名响应报文,得到与所述域名访问报文相对应的域名,并将所述域名发送给所述用户对应的终端设备,以使所述用户通过所述终端设备访问所述域名。
在一个实施例中,所述域名响应报文包括域名、网际互联协议生存时间值、域名生存时间值中的至少一个;
所述目标可疑值确定模块530,具体用于:
若所域名响应报文包括网际互联协议生存时间值,则将所述网际互联协议生存时间值与第一指定范围进行比对,得到第一比对结果;并基于所述第一比对结果,得到第一可疑值,并将所述第一可疑值确定为所述目标可疑值;其中,所述第一可疑值用于标识所述域名响应报文的网际互联协议生存时间值是否在第一指定范围内;或,
若所述域名响应报文包括域名生存时间值,则将所述域名生存时间值与第二指定范围进行比对,得到第二比对结果,并基于所述第二比对结果,得到第二可疑值,并将所述第二可疑值确定为所述目标可疑值;其中,所述第二可疑值是用于标识所述域名响应报文的域名生存时间值是否在第二指定范围内;或,
若所述域名响应报文包括所述域名,则将所述域名与目标域名进行比对,得到第三比对结果,并基于所述第三比对结果,得到第三可疑值,并将所述第三可疑值确定为所述目标可疑值;其中,所述目标域名为利用预设域名转换规则对所述域名访问报文中的域名进行域名转换得到的,且所述第三可疑值用于标识所述域名响应报文的域名是否与目标域名相同;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名生存时间值,则利用所述第一可疑值和所述第二可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名,则利用所述第一可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括域名生存时间值和所述域名,则利用所述第二可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值、所述域名生存时间值和所述域名,则将所述网际互联协议生存时间值与目标网际互联协议生存时间值进行比对,得到第四比对结果,以及将所述域名生存时间值与目标域名生存时间值进行比对,得到第五比对结果;利用所述第四比对结果和所述第五比对结果,得到第四可疑值,并根据所述第一可疑值、所述第二可疑值、所述第三可疑值和所述第四可疑值,得到所述目标可疑值;其中所述目标网际互联协议生存时间值和所述目标域名生存时间值均是通过所述域名得到的。
在一个实施例中,所述目标可疑值确定模块530执行所述基于所述第一比对结果,得到第一可疑值,具体用于:
若所述第一比对结果为所述网际互联协议生存时间值不在所述第一指定范围内,则将第一预设初始值与第一预设阈值相加,得到所述第一可疑值;
若所述第一比对结果为所述网际互联协议生存时间值在所述第一指定范围内,则将所述第一预设初始值确定为所述第一可疑值。
在一个实施例中,所述目标可疑值确定模块530执行所述基于所述第二比对结果,得到第二可疑值,具体用于:
若所述第二比对结果为所述域名生存时间值不在所述第二指定范围内,则将第二预设初始值与第二预设阈值相加,得到所述第二可疑值;
若所述第二比对结果为所述域名生存时间值在所述第二指定范围内,则将所述第二预设初始值确定为所述第二可疑值。
在一个实施例中,所述目标可疑值确定模块530执行所述基于所述第三比对结果,得到第三可疑值,具体用于:
若所述第三比对结果为所述域名与所述目标域名相同,则将第三预设初始值确定为所述第三可疑值;
若所述第三比对结果为所述域名与所述目标域名不相同,则将所述第三预设初始值与第三预设阈值相加,得到所述第三可疑值。
在一个实施例中,所述目标可疑值确定模块530执行所述利用所述第四比对结果和所述第五比对结果,得到第四可疑值,具体用于:
若第四比对结果为所述网际互联协议生存时间值与所述目标网际互联协议生存时间值的差值在第一指定差值范围内,且所述第五比对结果为所述域名生存时间值与所述目标域名生存时间值的差值在第二指定差值范围内,则将第四预设初始值确定为所述第四可疑值;
否则,则所述第四预设初始值与第四预设阈值相加,得到所述第四可疑值。
在一个实施例中,所述域名响应报文还包括解析网际互联协议;所述装置还包括:
目标确定模块550,用于通过以下方式确定所述目标网际互联协议生存时间值和所述目标域名生存时间值:
若所述域名和所述解析网际互联协议在预设数据库中,则将所述预设数据库中与所述域名和所述解析网际互联协议相对应的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,以及将所述预设数据库中与所述域名和所述解析网际互联协议相对应的域名生存时间值确定为所述目标域名生存时间值;或,
若所述域名或所述解析网际互联协议不在所述预设数据库中,则将指定域名响应报文中的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,且将所述指定域名响应报文中的域名生存时间值确定为所述目标域名生存时间值;其中,所述指定域名响应报文为向指定域名系统发送所述域名访问报文得到的响应报文,且所述指定域名响应报文的域名与所述域名响应报文的域名相同,且所述目标响应报文的解析网际互联协议与所述域名响应报文的解析网际互联协议相同。
在一个实施例中,所述装置还包括:
投毒报警消息发送模块560,用于所述将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文之后,向指定终端设备发送投毒报警消息,所述投毒报警消息中包括除所述目标域名响应报文之外的其他域名响应报文。
在介绍了本公开示例性实施方式的一种访问域名的方法及装置之后,接下来,介绍根据本公开的另一示例性实施方式的电子设备。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本公开的电子设备可以至少包括至少一个处理器、以及至少一个计算机存储介质。其中,计算机存储介质存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本公开各种示例性实施方式的访问域名的方法中的步骤。例如,处理器可以执行如图2中所示的步骤201-204。
下面参照图6来描述根据本公开的这种实施方式的电子设备600。图6显示的电子设备600仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600以通用电子设备的形式表现。电子设备600的组件可以包括但不限于:上述至少一个处理器601、上述至少一个计算机存储介质602、连接不同系统组件(包括计算机存储介质602和处理器601)的总线603。
总线603表示几类总线结构中的一种或多种,包括计算机存储介质总线或者计算机存储介质控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
计算机存储介质602可以包括易失性计算机存储介质形式的可读介质,例如随机存取计算机存储介质(RAM)621和/或高速缓存存储介质622,还可以进一步包括只读计算机存储介质(ROM)623。
计算机存储介质602还可以包括具有一组(至少一个)程序模块624的程序/实用工具625,这样的程序模块624包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
电子设备600也可以与一个或多个外部设备604(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口605进行。并且,电子设备600还可以通过网络适配器606与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器606通过总线603与用于电子设备600的其它模块通信。应当理解,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本公开提供的一种访问域名的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本公开各种示例性实施方式的访问域名的方法中的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取计算机存储介质(RAM)、只读计算机存储介质(ROM)、可擦式可编程只读计算机存储介质(EPROM或闪存)、光纤、便携式紧凑盘只读计算机存储介质(CD-ROM)、光计算机存储介质件、磁计算机存储介质件、或者上述的任意合适的组合。
本公开的实施方式的访问域名的程序产品可以采用便携式紧凑盘只读计算机存储介质(CD-ROM)并包括程序代码,并可以在电子设备上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中,远程电子设备可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户电子设备,或者,可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
此外,尽管在附图中以特定顺序描述了本公开方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘计算机存储介质、CD-ROM、光学计算机存储介质等)上实施的计算机程序产品的形式。
本公开是参照根据本公开的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读计算机存储介质中,使得存储在该计算机可读计算机存储介质中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的精神和范围。这样,倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内,则本公开也意图包含这些改动和变型在内。

Claims (18)

1.一种访问域名的方法,其特征在于,所述方法包括:
响应于用户发送的域名访问报文,获取域名系统中与所述域名访问报文相对应的至少一个域名响应报文;
若确定满足第一指定条件的各域名响应报文的数量大于第一指定阈值,则针对任意一个满足第一指定条件的域名响应报文,基于所述域名响应报文得到所述域名响应报文的目标可疑值;其中,所述第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识;
将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文;
利用所述目标域名响应报文,得到与所述域名访问报文相对应的域名,并将所述域名发送给所述用户对应的终端设备,以使所述用户通过所述终端设备访问所述域名。
2.根据权利要求1所述的方法,其特征在于,所述域名响应报文包括域名、网际互联协议生存时间值、域名生存时间值中的至少一个;
所述基于所述域名响应报文得到所述域名响应报文的目标可疑值,包括:
若所域名响应报文包括网际互联协议生存时间值,则将所述网际互联协议生存时间值与第一指定范围进行比对,得到第一比对结果;并基于所述第一比对结果,得到第一可疑值,并将所述第一可疑值确定为所述目标可疑值;其中,所述第一可疑值用于标识所述域名响应报文的网际互联协议生存时间值是否在第一指定范围内;或,
若所述域名响应报文包括域名生存时间值,则将所述域名生存时间值与第二指定范围进行比对,得到第二比对结果,并基于所述第二比对结果,得到第二可疑值,并将所述第二可疑值确定为所述目标可疑值;其中,所述第二可疑值是用于标识所述域名响应报文的域名生存时间值是否在第二指定范围内;或,
若所述域名响应报文包括所述域名,则将所述域名与目标域名进行比对,得到第三比对结果,并基于所述第三比对结果,得到第三可疑值,并将所述第三可疑值确定为所述目标可疑值;其中,所述目标域名为利用预设域名转换规则对所述域名访问报文中的域名进行域名转换得到的,且所述第三可疑值用于标识所述域名响应报文的域名是否与目标域名相同;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名生存时间值,则利用所述第一可疑值和所述第二可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名,则利用所述第一可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括域名生存时间值和所述域名,则利用所述第二可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值、所述域名生存时间值和所述域名,则将所述网际互联协议生存时间值与目标网际互联协议生存时间值进行比对,得到第四比对结果,以及将所述域名生存时间值与目标域名生存时间值进行比对,得到第五比对结果;利用所述第四比对结果和所述第五比对结果,得到第四可疑值,并根据所述第一可疑值、所述第二可疑值、所述第三可疑值和所述第四可疑值,得到所述目标可疑值;其中所述目标网际互联协议生存时间值和所述目标域名生存时间值均是通过所述域名得到的。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第一比对结果,得到第一可疑值,包括:
若所述第一比对结果为所述网际互联协议生存时间值不在所述第一指定范围内,则将第一预设初始值与第一预设阈值相加,得到所述第一可疑值;
若所述第一比对结果为所述网际互联协议生存时间值在所述第一指定范围内,则将所述第一预设初始值确定为所述第一可疑值。
4.根据权利要求2所述的方法,其特征在于,所述基于所述第二比对结果,得到第二可疑值,包括:
若所述第二比对结果为所述域名生存时间值不在所述第二指定范围内,则将第二预设初始值与第二预设阈值相加,得到所述第二可疑值;
若所述第二比对结果为所述域名生存时间值在所述第二指定范围内,则将所述第二预设初始值确定为所述第二可疑值。
5.根据权利要求2所述的方法,其特征在于,所述基于所述第三比对结果,得到第三可疑值,包括:
若所述第三比对结果为所述域名与所述目标域名相同,则将第三预设初始值确定为所述第三可疑值;
若所述第三比对结果为所述域名与所述目标域名不相同,则将所述第三预设初始值与第三预设阈值相加,得到所述第三可疑值。
6.根据权利要求2所述的方法,其特征在于,所述利用所述第四比对结果和所述第五比对结果,得到第四可疑值,包括:
若第四比对结果为所述网际互联协议生存时间值与所述目标网际互联协议生存时间值的差值在第一指定差值范围内,且所述第五比对结果为所述域名生存时间值与所述目标域名生存时间值的差值在第二指定差值范围内,则将第四预设初始值确定为所述第四可疑值;
否则,则所述第四预设初始值与第四预设阈值相加,得到所述第四可疑值。
7.根据权利要求2或6所述的方法,其特征在于,所述域名响应报文还包括解析网际互联协议;
通过以下方式确定所述目标网际互联协议生存时间值和所述目标域名生存时间值:
若所述域名和所述解析网际互联协议在预设数据库中,则将所述预设数据库中与所述域名和所述解析网际互联协议相对应的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,以及将所述预设数据库中与所述域名和所述解析网际互联协议相对应的域名生存时间值确定为所述目标域名生存时间值;或,
若所述域名或所述解析网际互联协议不在所述预设数据库中,则将指定域名响应报文中的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,且将所述指定域名响应报文中的域名生存时间值确定为所述目标域名生存时间值;其中,所述指定域名响应报文为向指定域名系统发送所述域名访问报文得到的响应报文,且所述指定域名响应报文的域名与所述域名响应报文的域名相同,且所述目标响应报文的解析网际互联协议与所述域名响应报文的解析网际互联协议相同。
8.根据权利要求1所述的方法,其特征在于,所述将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文之后,所述方法还包括:
向指定终端设备发送投毒报警消息,所述投毒报警消息中包括除所述目标域名响应报文之外的其他域名响应报文。
9.一种访问域名的装置,其特征在于,所述装置包括:
域名响应报文确定模块,用于响应于用户发送的域名访问报文,获取域名系统中与所述域名访问报文相对应的至少一个域名响应报文;
目标可疑值确定模块,用于若确定满足第一指定条件的各域名响应报文的数量大于第一指定阈值,则针对任意一个满足第一指定条件的域名响应报文,基于所述域名响应报文得到所述域名响应报文的目标可疑值;其中,所述第一指定条件为域名响应报文的参数和所述域名访问报文的参数相等,且所述参数包括端口和访问标识;
目标域名响应报文确定模块,用于将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文;
域名确定模块,用于利用所述目标域名响应报文,得到与所述域名访问报文相对应的域名,并将所述域名发送给所述用户对应的终端设备,以使所述用户通过所述终端设备访问所述域名。
10.根据权利要求9所述的装置,其特征在于,所述域名响应报文包括域名、网际互联协议生存时间值、域名生存时间值中的至少一个;
所述目标可疑值确定模块,具体用于:
若所域名响应报文包括网际互联协议生存时间值,则将所述网际互联协议生存时间值与第一指定范围进行比对,得到第一比对结果;并基于所述第一比对结果,得到第一可疑值,并将所述第一可疑值确定为所述目标可疑值;其中,所述第一可疑值用于标识所述域名响应报文的网际互联协议生存时间值是否在第一指定范围内;或,
若所述域名响应报文包括域名生存时间值,则将所述域名生存时间值与第二指定范围进行比对,得到第二比对结果,并基于所述第二比对结果,得到第二可疑值,并将所述第二可疑值确定为所述目标可疑值;其中,所述第二可疑值是用于标识所述域名响应报文的域名生存时间值是否在第二指定范围内;或,
若所述域名响应报文包括所述域名,则将所述域名与目标域名进行比对,得到第三比对结果,并基于所述第三比对结果,得到第三可疑值,并将所述第三可疑值确定为所述目标可疑值;其中,所述目标域名为利用预设域名转换规则对所述域名访问报文中的域名进行域名转换得到的,且所述第三可疑值用于标识所述域名响应报文的域名是否与目标域名相同;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名生存时间值,则利用所述第一可疑值和所述第二可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值和所述域名,则利用所述第一可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括域名生存时间值和所述域名,则利用所述第二可疑值和所述第三可疑值,得到所述目标可疑值;或,
若所述域名响应报文包括网际互联协议生存时间值、所述域名生存时间值和所述域名,则将所述网际互联协议生存时间值与目标网际互联协议生存时间值进行比对,得到第四比对结果,以及将所述域名生存时间值与目标域名生存时间值进行比对,得到第五比对结果;利用所述第四比对结果和所述第五比对结果,得到第四可疑值,并根据所述第一可疑值、所述第二可疑值、所述第三可疑值和所述第四可疑值,得到所述目标可疑值;其中所述目标网际互联协议生存时间值和所述目标域名生存时间值均是通过所述域名得到的。
11.根据权利要求10所述的装置,其特征在于,所述目标可疑值确定模块执行所述基于所述第一比对结果,得到第一可疑值,具体用于:
若所述第一比对结果为所述网际互联协议生存时间值不在所述第一指定范围内,则将第一预设初始值与第一预设阈值相加,得到所述第一可疑值;
若所述第一比对结果为所述网际互联协议生存时间值在所述第一指定范围内,则将所述第一预设初始值确定为所述第一可疑值。
12.根据权利要求10所述的装置,其特征在于,所述目标可疑值确定模块执行所述基于所述第二比对结果,得到第二可疑值,具体用于:
若所述第二比对结果为所述域名生存时间值不在所述第二指定范围内,则将第二预设初始值与第二预设阈值相加,得到所述第二可疑值;
若所述第二比对结果为所述域名生存时间值在所述第二指定范围内,则将所述第二预设初始值确定为所述第二可疑值。
13.根据权利要求10所述的装置,其特征在于,所述目标可疑值确定模块执行所述基于所述第三比对结果,得到第三可疑值,具体用于:
若所述第三比对结果为所述域名与所述目标域名相同,则将第三预设初始值确定为所述第三可疑值;
若所述第三比对结果为所述域名与所述目标域名不相同,则将所述第三预设初始值与第三预设阈值相加,得到所述第三可疑值。
14.根据权利要求10所述的装置,其特征在于,所述目标可疑值确定模块执行所述利用所述第四比对结果和所述第五比对结果,得到第四可疑值,具体用于:
若第四比对结果为所述网际互联协议生存时间值与所述目标网际互联协议生存时间值的差值在第一指定差值范围内,且所述第五比对结果为所述域名生存时间值与所述目标域名生存时间值的差值在第二指定差值范围内,则将第四预设初始值确定为所述第四可疑值;
否则,则所述第四预设初始值与第四预设阈值相加,得到所述第四可疑值。
15.根据权利要求10或14所述的装置,其特征在于,所述域名响应报文还包括解析网际互联协议;所述装置还包括:
目标确定模块,用于通过以下方式确定所述目标网际互联协议生存时间值和所述目标域名生存时间值:
若所述域名和所述解析网际互联协议在预设数据库中,则将所述预设数据库中与所述域名和所述解析网际互联协议相对应的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,以及将所述预设数据库中与所述域名和所述解析网际互联协议相对应的域名生存时间值确定为所述目标域名生存时间值;或,
若所述域名或所述解析网际互联协议不在所述预设数据库中,则将指定域名响应报文中的网际互联协议生存时间值确定为所述目标网际互联协议生存时间值,且将所述指定域名响应报文中的域名生存时间值确定为所述目标域名生存时间值;其中,所述指定域名响应报文为向指定域名系统发送所述域名访问报文得到的响应报文,且所述指定域名响应报文的域名与所述域名响应报文的域名相同,且所述目标响应报文的解析网际互联协议与所述域名响应报文的解析网际互联协议相同。
16.根据权利要求9所述的装置,其特征在于,所述装置还包括:
投毒报警消息发送模块,用于所述将目标可疑值最小的域名响应报文,确定为与所述域名访问报文相对应的目标域名响应报文之后,向指定终端设备发送投毒报警消息,所述投毒报警消息中包括除所述目标域名响应报文之外的其他域名响应报文。
17.一种电子设备,其特征在于,包括至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有被所述至少一个处理器执行的指令;所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行根据权利要求1-8中任一项所述的方法。
18.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序用于执行根据权利要求1-8中任一项所述的方法。
CN202111612396.1A 2021-12-27 2021-12-27 访问域名的方法及装置 Pending CN114401246A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111612396.1A CN114401246A (zh) 2021-12-27 2021-12-27 访问域名的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111612396.1A CN114401246A (zh) 2021-12-27 2021-12-27 访问域名的方法及装置

Publications (1)

Publication Number Publication Date
CN114401246A true CN114401246A (zh) 2022-04-26

Family

ID=81226808

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111612396.1A Pending CN114401246A (zh) 2021-12-27 2021-12-27 访问域名的方法及装置

Country Status (1)

Country Link
CN (1) CN114401246A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107135238A (zh) * 2017-07-12 2017-09-05 中国互联网络信息中心 一种dns反射放大攻击检测方法、装置及系统
WO2018057008A1 (en) * 2016-09-23 2018-03-29 Hewlett-Packard Development Company, L.P. Ip address access based on security level and access history
CN109120579A (zh) * 2017-06-26 2019-01-01 中国电信股份有限公司 恶意域名的检测方法、装置及计算机可读存储介质
CN110581842A (zh) * 2019-08-19 2019-12-17 网宿科技股份有限公司 Dns请求的处理方法及服务器
CN111200666A (zh) * 2018-11-20 2020-05-26 中国电信股份有限公司 用于识别访问域名的方法和系统
CN113179260A (zh) * 2021-04-21 2021-07-27 国家计算机网络与信息安全管理中心河北分中心 僵尸网络的检测方法、装置、设备及介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018057008A1 (en) * 2016-09-23 2018-03-29 Hewlett-Packard Development Company, L.P. Ip address access based on security level and access history
CN109120579A (zh) * 2017-06-26 2019-01-01 中国电信股份有限公司 恶意域名的检测方法、装置及计算机可读存储介质
CN107135238A (zh) * 2017-07-12 2017-09-05 中国互联网络信息中心 一种dns反射放大攻击检测方法、装置及系统
CN111200666A (zh) * 2018-11-20 2020-05-26 中国电信股份有限公司 用于识别访问域名的方法和系统
CN110581842A (zh) * 2019-08-19 2019-12-17 网宿科技股份有限公司 Dns请求的处理方法及服务器
CN113179260A (zh) * 2021-04-21 2021-07-27 国家计算机网络与信息安全管理中心河北分中心 僵尸网络的检测方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
US9853998B2 (en) Mitigation of computer network attacks
US10320833B2 (en) System and method for detecting creation of malicious new user accounts by an attacker
US20160241574A1 (en) Systems and methods for determining trustworthiness of the signaling and data exchange between network systems
CN112534432A (zh) 不熟悉威胁场景的实时缓解
CN106778260A (zh) 攻击检测方法和装置
US11546295B2 (en) Industrial control system firewall module
US20180191650A1 (en) Publish-subscribe based exchange for network services
CN112073437A (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
US11895148B2 (en) Detection and mitigation of denial of service attacks in distributed networking environments
CN114726633B (zh) 流量数据处理方法及装置、存储介质及电子设备
CN111355817B (zh) 域名解析方法、装置、安全服务器及介质
CN113111005A (zh) 应用程序测试方法和装置
CN114679295B (zh) 防火墙安全配置方法及装置
CN114401246A (zh) 访问域名的方法及装置
US10020990B2 (en) Network stability reconnaisance tool
CN115314257A (zh) 文件系统的鉴权方法、装置、电子设备及计算机存储介质
CN115208682A (zh) 一种基于snort的高性能网络攻击特征检测方法及装置
US11604877B1 (en) Nested courses of action to support incident response in an information technology environment
CN113672416A (zh) 内存资源泄漏的原因定位方法及装置
Saint-Hilaire et al. Ontology-based attack graph enrichment
CN112350939A (zh) 旁路阻断方法、系统、装置、计算机设备及存储介质
Kim et al. Multi-channel transmission method for improving TCP reliability and transmission efficiency in UNIWAY
CN114338175B (zh) 数据收集管理系统及数据收集管理方法
US20220164697A1 (en) Creating and Using Learning Models to Identify Botnet Traffic
CN117955672A (zh) 终端管理方法、装置、设备、存储介质及计算机程序

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination