CN101420433A - 防御域名系统欺骗攻击的方法及装置 - Google Patents
防御域名系统欺骗攻击的方法及装置 Download PDFInfo
- Publication number
- CN101420433A CN101420433A CNA2008101805996A CN200810180599A CN101420433A CN 101420433 A CN101420433 A CN 101420433A CN A2008101805996 A CNA2008101805996 A CN A2008101805996A CN 200810180599 A CN200810180599 A CN 200810180599A CN 101420433 A CN101420433 A CN 101420433A
- Authority
- CN
- China
- Prior art keywords
- domain name
- name system
- field
- nslookup
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种防御域名系统欺骗攻击的方法,包括:将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;发送所述域名系统请求包;接收域名系统应答包;获取所述域名系统应答包中查询域名字段的字母大小写分布;在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。本发明实施例还公开了相应的设备。应用本发明可以有效减少对设备存储资源的占用。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种防御域名系统欺骗攻击的方法及装置。
背景技术
域名系统(DNS,Domain Name System)欺骗攻击,也可以被称为DNS欺骗(DNS Spoofing),或者DNS缓冲污染(DNS cache poison)等,是指攻击者在一定条件下将大量伪造的DNS应答包发送给某个DNS服务器(DNSServer)或某台主机,这些应答包将一些合法域名指向恶意网际协议地址(IP,Internet Protocol)地址,从而达到欺骗接收者的目的。
这种攻击可能会导致许多不良后果,例如:
1、DNS cache poison,能在更大范围内对恶意IP地址进行传播;
2、诱导用户访问一个恶意网址;
3、使局域网成为攻击工具;
4、对DNS服务器造成拒绝服务攻击,等等。
可能被攻击的对象除了DNS Server或某台主机,也有可能是某个用户应用程序,如浏览器(IE,Internet Explorer),域名查询软件(NS lookup)等,这些可能被攻击的对象可以被称为DNS客户端(DNS Client)。
为了防御DNS欺骗攻击,通常会利用防火墙(Firewall),常用的方法有两种:
第一种、在双向环境中,防火墙记录DNS Client发出的DNS请求包,防火墙在收到DNS应答包时,将DNS应答包与存储在防火墙中的记录相匹配,如果有相匹配的记录,则接收这个DNS应答包,并转给DNS Client,否则,丢弃这个DNS应答包,以防止收到黑客(Hacker)发送的伪造的DNS应答包;
第二种、防火墙在收到DNS应答包时,防火墙根据应答包中的信息构造一个新的DNS请求包,然后发送这个DNS请求包,并在防火墙中记录这个DNS请求包相关数据;当防火墙再次收到DNS应答包时,检查这个DNS应答包是否与其记录的DNS请求包相匹配,如果是,则接收此DNS应答包,并转给目标DNS Client,否则,丢弃之。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题:
第一种方法当DNS请求包数据流量过大时,防火墙由于要保存DNS请求包,存储的数据都会很大,会占用大量防火墙内存;
第二种方法如果接收的DNS应答包数据流量过大,生成的DNS请求包也会过多过大,防火墙由于要保存生成的DNS请求包相关数据,存储的数据都会很大,系统会不堪重负,甚至产生拒绝服务。
发明内容
本发明实施例要解决的技术问题是提供一种防御域名系统欺骗攻击的方法及装置,可以减少对设备存储资源的占用。
为解决上述技术问题,本发明实施例一方面,提供了一种防御域名系统欺骗攻击的方法,包括:
将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;
发送所述域名系统请求包;
接收域名系统应答包;
获取所述域名系统应答包中查询域名字段的字母大小写分布;
在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。
另一方面,提供了一种防御域名系统欺骗攻击的设备,其特征在于,包括:
大小写转换单元,用于将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;
发送单元,用于发送所述大小写转换单元转换过的域名系统请求包;
第一接收单元,用于接收域名系统应答包;
获取单元,用于获取所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布是否符合预定的规则;
转发单元,用于在所述获取单元获取域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。
由以上技术方案可以看出,本发明实施例通过从域名系统应答包中获取查询域名字段字母大小写分布,并判断大小写分布是否符合预定规则来保证域名系统应答包的可靠性,从而来防御域名系统欺骗攻击,设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大大节省了设备的存储资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的防御域名系统欺骗攻击的方法实施例一流程图;
图2为本发明提供的防御域名系统欺骗攻击的方法实施例二流程图;
图3为本发明实施例提供的防御域名系统欺骗攻击的设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种防御域名系统欺骗攻击的方法及装置,可以有效降低防御域名系统欺骗攻击的设备存储的数据量,节约防御域名系统欺骗攻击的设备的存储资源。
在本发明实施例提供的防御域名系统欺骗攻击的方法中,防御域名系统欺骗攻击的设备将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;发送该域名系统请求包;接收域名系统应答包;获取该域名系统应答包中查询域名字段的字母大小写分布;在该域名系统应答包中查询域名字段的字母大小写分布符合该预定的规则时,将该域名系统应答包向目标域名系统客户端转发。
由于在实际应用环境中,DNS请求包的查询域名字段的字母通常都是全部大写或者全部小写,全部小写的几率要高于全部大写的几率,DNS服务器返回的DNS应答包中查询域名字段是和DNS请求包一致的,假如DNS请求包中的查询域名字段的字母被按照预定的规则进行大小写转换,则DNS服务器返回的DNS应答包查询域名字段的字母大小写分布也应当符合该预定的规则;因此,本发明实施例提供的防御域名系统欺骗攻击的方法将DNS请求包中的查询域名字段的字母按照预定的规则进行大小写转换,接收到DNS应答包后,获取接收到的DNS应答包中查询域名字段的字母大小写分布,只有符合该预定的规则的DNS应答包才转发到目标域名系统客户端,防止域名系统客户端收到黑客伪造的DNS应答包;
采用本发明实施例提供的防御域名系统欺骗攻击的方法后,防御域名系统欺骗攻击的设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大大节省了防御域名系统欺骗攻击的设备的存储资源。
实际使用中,防御域名系统欺骗攻击的设备可以是防火墙或其他防御域名系统欺骗攻击的设备。
进一步,根据使用环境的不同,还包括:
在双向环境中,DNS请求包由DNS Client发出,防御域名系统欺骗攻击的设备接收到DNS Client发出的DNS请求包后,直接将DNS请求包中的查询域名字段的字母按照预定的规则进行大小写转换;在接收到DNS应答包后,将查询域名字段的字母大小写分布不符合预定的规则的DNS应答包全部丢弃;
在单向环境中,防御域名系统欺骗攻击的设备接收到DNS应答包,检查DNS应答包中查询域名字段的字母大小写分布后,在所述域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写时,根据所述域名系统应答包构造相应域名系统请求包,将所述相应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换,并发送;在所述域名系统应答包中查询域名字段的字母大小写分布不符合所述预定的规则,且不为全部大写或全部小写时,丢弃所述域名系统应答包。
预定的规则根据实际情况可以有很多种,本发明实施例将以四种为例进行描述:
第一种、将该域名系统请求包中的查询域名字段的字母进行随机大小写转换;
在收到DNS应答包时,获取接收到的DNS应答包中查询域名字段的字母大小写分布,是否包含大写字母和小写字母,只要包含即为符合预定的规则;此方法实现最为简单。
第二种、根据预定的数值,对该域名系统请求包中的查询域名字段的字母进行大小写转换;
例如,以“1001101110”为预定的数值,为“1”表示转换为大写,为“0”表示转换为小写,在字母个数多过预定的数值位数时,可循环使用;忽略DNS域名部分具体编码,假设一个域名为“www.huaweisymantec.com”,这个域名中有20个字母,预定的数值有10位,字母个数多过预定的数值位数,则需要循环使用“1001101110”进行大小写转换,“www.huaweisymantec.com”将被转换为“Www.HUaWEIsYmaNTeC.COm”;防御域名系统欺骗攻击的设备收到DNS应答包后,获取DNS应答包中查询域名字段的大小写分布,如果其字母的大小写顺序符合“1001101110”的分布规律,则可以将该DNS应答包向目标域名系统客户端转发;
本实施例中,为“1”表示转换为大写,为“0”表示转换为小写,只是一种示例,根据实际情况,可采用的方法很多,例如为“0”表示转换为大写,为“1”表示转换为小写;
进一步,预定的数值可以是随机数,防御域名系统欺骗攻击的设备可以保存随机数,在收到DNS应答包,使用保存的随机数和DNS应答包中查询域名字段的字母大写小写分布进行比对;
进一步,预定的数值也可以是定时更换的随机数值。
第三种、使用该域名系统请求包中的源网际协议地址、或目的网际协议地址、或源端口、或目的端口、或域名系统标识、或域名系统问题域数据,进行哈希(Hash)计算,根据该哈希得到的数值,对该域名系统请求包中的查询域名字段的字母进行大小写转换。
DNS请求包中通常会包括:源网际协议地址、目的网际协议地址、源端口、目的端口、域名系统标识、域名系统问题域数据等关键字段,DNS服务器返回的DNS应答包中的这些关键字段是和发送出去的DNS请求包一致的,不会发生变化,因此,使用相同的哈希算法,对DNS应答包的这些关键字段进行哈希计算,得到的结果应当和对DNS请求包的这些关键字段进行哈希的结果一致,因此可以对DNS应答包的这些关键字段的任意一个进行哈希,使用获取的哈希结果对DNS请求包中的查询域名字段的字母进行大小写转换,具体转换的方法可参考上文的描述。
第四种、如果收到的域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写,表明收到的DNS应答包是第一次收到,查询域名字段的字母尚未经过大小写转换,则转换时可以使用收到的域名系统应答包中的源网际协议地址、或目的网际协议地址、或源端口、或目的端口、或域名系统标识、或域名系统问题域数据、或回答字段进行哈希计算,根据所述哈希得到的数值,对所述域名系统请求包中的查询域名字段的字母进行大小写转换。
其中,在使用回答字段进行哈希计算时,可以避免目标域名系统客户端收到“回答字段”被替换的DNS应答包。
现以实例对本发明实施例提供的防御域名系统欺骗攻击的方法进行说明,在单向环境中,本发明提供的防御域名系统欺骗攻击的方法实施例一流程如图1所示:
101、防御域名系统欺骗攻击的设备接收域名系统应答包,域名系统应答包中包含有查询域名字段;
由于在单向环境中,域名系统客户端只收不发,因此防御域名系统欺骗攻击的设备不会收到来自域名系统客户端的DNS请求包;但是本系统也可以用于双向环境;
102、防御域名系统欺骗攻击的设备获取域名系统应答包中查询域名字段的字母大小写分布;
在该域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写时,执行步骤103;
在该域名系统应答包中查询域名字段的字母大小写分布符合该预定的规则时,执行步骤104;
在该域名系统应答包中查询域名字段的字母大小写分布不符合该预定的规则,且不为全部大写或全部小写时,执行步骤105;
103、根据该域名系统应答包构造相应域名系统请求包,将该相应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换,并发送,执行步骤106;
由于本实施例适用于单向环境,在单向环境中,域名系统客户端只收不发,因此防御域名系统欺骗攻击的设备不会收到来自域名系统客户端的DNS请求包,DNS服务器直接发向DNS客户端的DNS应答包,由于不是应DNS请求包发送的DNS应答包,该DNS应答包中查询域名字段的字母尚未经过大小写转换,防御域名系统欺骗攻击的设备收到该DNS应答包后,会根据该DNS应答包构造一个DNS请求包,并对该DNS请求包的查询域名字段的字母进行大小写转换,之后防御域名系统欺骗攻击的设备将构造好的DNS请求包向DNS应答包的源地址发送,如果对方是一个合法的DNS服务器,就会应该DNS请求包的请求向DNS客户端第二次发送DNS应答包,第二次发送的DNS应答包内容与第一次发送的DNS应答包基本一致,只有查询域名字段的字母大小写分布与DNS请求包一致,是被转换过的;
因此防御域名系统欺骗攻击的设备需要判断收到的DNS应答包是否是第一次收到,查询域名字段的字母尚未经过大小写转换,如果是第一次收到,则该DNS应答包的查询域名字段的字母应当全为大写,或全为小写,因此在该域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写时,可以判断收到了查询域名字段的字母尚未经过大小写转换的DNS应答包,需要转换为DNS请求包,并对查询域名字段的字母进行大小写转换;
DNS应答包的数据格式通常如表1所示:
表1、DNS应答包的数据格式
根据收到的DNS应答包构造DNS请求包时,资源记录数、授权资源记录数、额外资源记录数字段都置为0;回答、授权、额外信息字段全部丢弃;标志字段中根据标准规定进行相应变化;标识、问题数字段值不变;
然后根据收到的DNS应答包中的相关字段,例如该DNS应答包中的源网际协议地址、或目的网际协议地址、或源端口、或目的端口、或域名系统标识、或域名系统问题域数据、或回答字段进行哈希计算,根据哈希得到的数值,对所述域名系统请求包中的查询域名字段的字母进行大小写转换;
此处采用的哈希算法可任意设计,以计算量小、随机性强为好的算法为优选,哈希值位数(bit)32位或64位皆可,然后将DNS应答包中查询域名字段的所有字母按照哈希得到的数值依次进行大小写转换;
假设哈希得到的数值为H,如果H的第一比特为1,查询域名字段的第一个字母变为大写,否则为小写;如果H的第二比特为1,查询域名字段的第二个字母变为大写,否则为小写,直到查询域名字段的最后一个字母进行完转换。如果查询域名字段的字母个数多于H值位数,H值则可以循环使用;
将用户数据报协议(UDP,User Datagram Protocol)头的源端口号与目的端口号对换,将IP头的源IP与目的IP对换,并将正确的长度、校验和等字段填入对应位置;
此时完成DNS请求包的构造,将该DNS请求包向DNS应答包的源IP地址发送;
如果收到的DNS应答包是一个合法的DNS应答包,则DNS服务器在收到该DNS请求包后会返回一个和前一个DNS应答包关键字段一致,查询域名字段不变的DNS应答包,此时再用相关字段进行哈希计算,使用哈希结果进行验证则可以通过;如果收到的DNS应答包不是一个合法的DNS应答包,则其源IP地址大部分都指向无效地址,将无法返回新的DNS应答包;
在使用DNS应答包的回答字段进行哈希计算时,如果收到的DNS应答包是一个被替换过查询域名字段、回答字段的DNS应答包,其返回的DNS应答包将无法通过获取。
104、将该域名系统应答包向目标域名系统客户端转发,执行步骤106;
域名系统应答包中查询域名字段的字母大小写分布符合该预定的规则,则判断该域名系统应答包是安全的,可以向目标域名系统客户端转发。
105、丢弃该域名系统应答包;
域名系统应答包中查询域名字段的字母大小写分布不符合该预定的规则,且不为全部大写或全部小写时,说明该域名系统应答包不是第一次收到未经大小写转换的域名系统应答包,也不符合预定的规则,该域名系统应答包很有可能是被黑客替换过,或黑客发过来的伪装域名系统应答包,因此应当丢弃处理。
106、等待接收新的域名系统应答包。
流程结束。
采用本发明提供的防御域名系统欺骗攻击的方法实施例一后,防御域名系统欺骗攻击的设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大大节省了防御域名系统欺骗攻击的设备的存储资源。
在双向环境中,本发明提供的防御域名系统欺骗攻击的方法实施例二流程如图2所示:
201、防御域名系统欺骗攻击的设备接收域名系统请求包,域名系统请求包中包含有查询域名字段;
防御域名系统欺骗攻击的设备接收来自域名系统客户端的域名系统请求包;
202、将该相应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换,继续发送;
转换方式可参考上文描述,在此不再重复;
203、防御域名系统欺骗攻击的设备接收域名系统应答包;
204、防御域名系统欺骗攻击的设备判断域名系统应答包中查询域名字段的字母大小写分布是否符合该预定的规则;是,则执行步骤205;否,则执行步骤206;
205、将该域名系统应答包向目标域名系统客户端转发;
域名系统应答包中查询域名字段的字母大小写分布符合该预定的规则,则判断该域名系统应答包是安全的,可以向目标域名系统客户端转发。
流程结束。
206、丢弃该域名系统应答包;
由于在双向环境中每一个DNS应答包都是DNS服务器应一个DNS请求包请求的回复,因此可以认为不符合预定的规则的都是非法DNS应答包,应当丢弃处理;
流程结束。
采用本发明提供的防御域名系统欺骗攻击的方法实施例二后,防御域名系统欺骗攻击的设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大大节省了防御域名系统欺骗攻击的设备的存储资源。
本发明实施例提供的防御域名系统欺骗攻击的设备结构如图3所示,包括:
大小写转换单元301,用于将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;
发送单元302,用于发送所述大小写转换单元301转换过的域名系统请求包;
第一接收单元303,用于接收域名系统应答包;
获取单元304,用于获取所述第一接收单元303接收到的域名系统应答包中查询域名字段的字母大小写分布;
转发单元305,用于在所述获取单元304获取域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。
进一步,在双向环境中,还包括:
第二接收单元,用于在所述大小写转换单元将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换之前,接收域名系统客户端发送的域名系统请求包。
第一丢弃单元,用于在所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布不符合所述预定的规则时,丢弃所述域名系统应答包。
进一步,在单向环境中,还包括:
请求包构造单元,用于在所述获取单元获取所述域名系统应答包中查询域名字段的字母大小写分布之后,所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写时,根据所述域名系统应答包构造相应域名系统请求包,控制所述大小写转换单元将所述相应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换,并发送。
第二丢弃单元,用于在所述获取单元获取所述域名系统应答包中查询域名字段的字母大小写分布之后,所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布不符合所述预定的规则,且不为全部大写或全部小写时,丢弃所述域名系统应答包。
本发明实施例提供的防御域名系统欺骗攻击的设备的具体使用方式可参考上文对本发明实施例提供的防御域名系统欺骗攻击的方法的描述;
采用本发明实施例提供的防御域名系统欺骗攻击的设备后,防御域名系统欺骗攻击的设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大大节省了防御域名系统欺骗攻击的设备的存储资源。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
一种防御域名系统欺骗攻击的方法,包括:
将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;
发送所述域名系统请求包;
接收域名系统应答包;
获取所述域名系统应答包中查询域名字段的字母大小写分布;
在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种防御域名系统欺骗攻击的方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1、一种防御域名系统欺骗攻击的方法,其特征在于,包括:
将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;
发送所述域名系统请求包;
接收域名系统应答包;
获取所述域名系统应答包中查询域名字段的字母大小写分布;
在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。
2、如权利要求1所述的方法,其特征在于,在将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换之前还包括:
接收域名系统客户端发送的域名系统请求包。
3、如权利要求2所述的方法,其特征在于,该方法还包括:
在所述域名系统应答包中查询域名字段的字母大小写分布不符合所述预定的规则时,丢弃所述域名系统应答包。
4、如权利要求1所述的方法,其特征在于,在获取所述域名系统应答包中查询域名字段的字母大小写分布之后还包括:
当所述域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写时,根据所述域名系统应答包构造相应域名系统请求包,将所述相应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换,并发送。
5、如权利要求4所述的方法,其特征在于,在所述域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写时,所述预定的规则包括:
使用所述域名系统应答包中的源网际协议地址、或目的网际协议地址、或源端口、或目的端口、或域名系统标识、或域名系统问题域数据、或回答字段进行哈希计算,根据所述哈希计算得到的数值,对所述域名系统请求包中的查询域名字段的字母进行大小写转换。
6、如权利要求5所述的方法,其特征在于,在获取所述域名系统应答包中查询域名字段的字母大小写分布之后还包括:
在所述域名系统应答包中查询域名字段的字母大小写分布不符合所述预定的规则,且不为全部大写或全部小写时,丢弃所述域名系统应答包。
7、如权利要求1、2、3或4所述的方法,其特征在于,所述预定的规则包括:
将所述域名系统请求包中的查询域名字段的字母进行随机大小写转换;
或,根据预定的数值,对所述域名系统请求包中的查询域名字段的字母进行大小写转换;
或,使用所述域名系统请求包中的源网际协议地址、或目的网际协议地址、或源端口、或目的端口、或域名系统标识、或域名系统问题域数据、或回答字段进行哈希计算,根据所述哈希计算得到的数值,对所述域名系统请求包中的查询域名字段的字母进行大小写转换。
8、一种防御域名系统欺骗攻击的设备,其特征在于,包括:
大小写转换单元,用于将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;
发送单元,用于发送所述大小写转换单元转换过的域名系统请求包;
第一接收单元,用于接收域名系统应答包;
获取单元,用于获取所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布;
转发单元,用于在所述获取单元获取域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。
9、如权利要求8所述的设备,其特征在于,还包括:
第二接收单元,用于在所述大小写转换单元将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换之前,接收域名系统客户端发送的域名系统请求包。
10、如权利要求9所述的设备,其特征在于,还包括:
第一丢弃单元,用于在所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布不符合所述预定的规则时,丢弃所述域名系统应答包。
11、如权利要求8所述的设备,其特征在于,还包括:
请求包构造单元,用于在所述获取单元获取所述域名系统应答包中查询域名字段的字母大小写分布之后,所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写时,根据所述域名系统应答包构造相应域名系统请求包,控制所述大小写转换单元将所述相应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换,并发送。
12、如权利要求11所述的设备,其特征在于,还包括:
第二丢弃单元,用于在所述获取单元获取所述域名系统应答包中查询域名字段的字母大小写分布之后,所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布不符合所述预定的规则,且不为全部大写或全部小写时,丢弃所述域名系统应答包。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101805996A CN101420433B (zh) | 2008-12-01 | 2008-12-01 | 防御域名系统欺骗攻击的方法及装置 |
| PCT/CN2009/075205 WO2010063228A1 (zh) | 2008-12-01 | 2009-11-30 | 防御域名系统欺骗攻击的方法及装置 |
| US13/150,962 US8726375B2 (en) | 2008-12-01 | 2011-06-01 | Method and device for preventing domain name system spoofing |
| US14/225,080 US9419999B2 (en) | 2008-12-01 | 2014-03-25 | Method and device for preventing domain name system spoofing |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101805996A CN101420433B (zh) | 2008-12-01 | 2008-12-01 | 防御域名系统欺骗攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101420433A true CN101420433A (zh) | 2009-04-29 |
| CN101420433B CN101420433B (zh) | 2013-03-13 |
Family
ID=40631037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101805996A Active CN101420433B (zh) | 2008-12-01 | 2008-12-01 | 防御域名系统欺骗攻击的方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US8726375B2 (zh) |
| CN (1) | CN101420433B (zh) |
| WO (1) | WO2010063228A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010063228A1 (zh) * | 2008-12-01 | 2010-06-10 | 成都市华为赛门铁克科技有限公司 | 防御域名系统欺骗攻击的方法及装置 |
| CN101651677B (zh) * | 2009-09-11 | 2012-08-08 | 北京交通大学 | 基于混沌加密算法解决ims网络dns欺骗攻击的方法 |
| CN105491060A (zh) * | 2015-12-30 | 2016-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
| CN105939346A (zh) * | 2016-05-04 | 2016-09-14 | 杭州迪普科技有限公司 | 阻止dns缓存攻击方法及装置 |
| CN110769004A (zh) * | 2019-11-05 | 2020-02-07 | 中国人民解放军国防科技大学 | 在dns客户端或代理服务器使用的dns防污染方法 |
| CN111385293A (zh) * | 2020-03-04 | 2020-07-07 | 腾讯科技(深圳)有限公司 | 一种网络风险检测方法和装置 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8910280B2 (en) * | 2012-04-30 | 2014-12-09 | At&T Intellectual Property I, L.P. | Detecting and blocking domain name system cache poisoning attacks |
| US9225731B2 (en) | 2012-05-24 | 2015-12-29 | International Business Machines Corporation | System for detecting the presence of rogue domain name service providers through passive monitoring |
| US20130318605A1 (en) * | 2012-05-24 | 2013-11-28 | International Business Machines Corporation | System for detecting rogue network protocol service providers |
| WO2014101023A1 (zh) * | 2012-12-26 | 2014-07-03 | 华为技术有限公司 | 一种防止业务非法访问的方法和装置 |
| US10454768B2 (en) | 2013-11-15 | 2019-10-22 | F5 Networks, Inc. | Extending policy rulesets with scripting |
| US20160099945A1 (en) * | 2014-10-07 | 2016-04-07 | Unisys Corporation | Dns security extensions for emulated applications |
| CN105791453A (zh) * | 2014-12-24 | 2016-07-20 | 中兴通讯股份有限公司 | 一种域名识别方法和装置 |
| US10326700B1 (en) * | 2016-03-29 | 2019-06-18 | F5 Networks, Inc. | Hash based per subscriber DNS based traffic classification |
| CN105871748A (zh) * | 2016-05-17 | 2016-08-17 | 上海域鸣网络科技有限公司 | 基于剩余带宽的多路dns动态分发方法 |
| CN110868379B (zh) * | 2018-12-19 | 2021-09-21 | 北京安天网络安全技术有限公司 | 基于dns解析报文的入侵威胁指标拓展方法、装置及电子设备 |
| CN111010458B (zh) * | 2019-12-04 | 2022-07-01 | 北京奇虎科技有限公司 | 域名规则的生成方法、设备及计算机可读存储介质 |
| US20230171099A1 (en) * | 2021-11-27 | 2023-06-01 | Oracle International Corporation | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AT5079U1 (de) * | 2001-04-30 | 2002-03-25 | Plansee Ag | Verfahren zum fügen eines hochtemperaturwerkstoff-bauteilverbundes |
| US7313815B2 (en) * | 2001-08-30 | 2007-12-25 | Cisco Technology, Inc. | Protecting against spoofed DNS messages |
| US7734745B2 (en) | 2002-10-24 | 2010-06-08 | International Business Machines Corporation | Method and apparatus for maintaining internet domain name data |
| CN1510872A (zh) | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
| US7559085B1 (en) * | 2004-08-13 | 2009-07-07 | Sun Microsystems, Inc. | Detection for deceptively similar domain names |
| US7912192B2 (en) | 2005-02-15 | 2011-03-22 | At&T Intellectual Property Ii, L.P. | Arrangement for managing voice over IP (VoIP) telephone calls, especially unsolicited or unwanted calls |
| WO2008072886A1 (en) * | 2006-12-13 | 2008-06-19 | Koan Hyun Cho | The method and system of connecting internet using keyword based on dns |
| US20080172738A1 (en) * | 2007-01-11 | 2008-07-17 | Cary Lee Bates | Method for Detecting and Remediating Misleading Hyperlinks |
| CN101420433B (zh) * | 2008-12-01 | 2013-03-13 | 成都市华为赛门铁克科技有限公司 | 防御域名系统欺骗攻击的方法及装置 |
-
2008
- 2008-12-01 CN CN2008101805996A patent/CN101420433B/zh active Active
-
2009
- 2009-11-30 WO PCT/CN2009/075205 patent/WO2010063228A1/zh active Application Filing
-
2011
- 2011-06-01 US US13/150,962 patent/US8726375B2/en active Active
-
2014
- 2014-03-25 US US14/225,080 patent/US9419999B2/en active Active
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010063228A1 (zh) * | 2008-12-01 | 2010-06-10 | 成都市华为赛门铁克科技有限公司 | 防御域名系统欺骗攻击的方法及装置 |
| US8726375B2 (en) | 2008-12-01 | 2014-05-13 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and device for preventing domain name system spoofing |
| US9419999B2 (en) | 2008-12-01 | 2016-08-16 | Huawei Digital Technologies (Cheng Du) Do., Ltd. | Method and device for preventing domain name system spoofing |
| CN101651677B (zh) * | 2009-09-11 | 2012-08-08 | 北京交通大学 | 基于混沌加密算法解决ims网络dns欺骗攻击的方法 |
| CN105491060A (zh) * | 2015-12-30 | 2016-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
| CN105491060B (zh) * | 2015-12-30 | 2019-07-02 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
| US10812524B2 (en) | 2015-12-30 | 2020-10-20 | NSFOCUS Information Technology Co., Ltd. | Method, and devices for defending distributed denial of service attack |
| US10812525B2 (en) | 2015-12-30 | 2020-10-20 | NSFOCUS Information Technology Co., Ltd. | Method and system for defending distributed denial of service attack |
| CN105939346A (zh) * | 2016-05-04 | 2016-09-14 | 杭州迪普科技有限公司 | 阻止dns缓存攻击方法及装置 |
| CN110769004A (zh) * | 2019-11-05 | 2020-02-07 | 中国人民解放军国防科技大学 | 在dns客户端或代理服务器使用的dns防污染方法 |
| CN111385293A (zh) * | 2020-03-04 | 2020-07-07 | 腾讯科技(深圳)有限公司 | 一种网络风险检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140208423A1 (en) | 2014-07-24 |
| CN101420433B (zh) | 2013-03-13 |
| US9419999B2 (en) | 2016-08-16 |
| WO2010063228A1 (zh) | 2010-06-10 |
| US8726375B2 (en) | 2014-05-13 |
| US20110231931A1 (en) | 2011-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101420433B (zh) | 防御域名系统欺骗攻击的方法及装置 | |
| CN101110821B (zh) | 防止arp地址欺骗攻击的方法及装置 | |
| CN110535843B (zh) | 一种拟态裁决参数消息同步的装置和方法 | |
| CN101997768B (zh) | 一种上送地址解析协议报文的方法和装置 | |
| US20120215747A1 (en) | Data uploading method, data downloading method, and data system | |
| CN103095861B (zh) | 确定设备是否处于网络内部 | |
| CN102404334A (zh) | 拒绝服务攻击防护方法及装置 | |
| CN105939361A (zh) | 防御cc攻击的方法及装置 | |
| CN103152335A (zh) | 一种网络设备上防止arp欺骗的方法及装置 | |
| US20120297031A1 (en) | Anonymous Signalling | |
| CN102624750A (zh) | 抵御dns递归攻击的方法和系统 | |
| CN103685213A (zh) | 一种减少针对dns的攻击的装置、系统和方法 | |
| CN108881233A (zh) | 防攻击处理方法、装置、设备及存储介质 | |
| CN105119906A (zh) | 一种用于防御dns递归攻击的方法、装置及系统 | |
| CN101808097A (zh) | 一种防arp攻击方法和设备 | |
| CN102801716A (zh) | 一种dhcp防攻击方法及装置 | |
| CN106161461A (zh) | 一种arp报文的处理方法及装置 | |
| CN101383830A (zh) | 一种防护网络攻击的方法、系统及网关、域名系统 | |
| CN105939346A (zh) | 阻止dns缓存攻击方法及装置 | |
| CN106060006A (zh) | 一种访问方法及装置 | |
| CN1567900A (zh) | 一种在路由设备中实现报文转发控制的方法 | |
| CN102427452A (zh) | 同步报文发送方法、装置和网络设备 | |
| Zunnurhain | Fapa: a model to prevent flooding attacks in clouds | |
| RU2586840C1 (ru) | Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем | |
| Han et al. | DAAD: DNS amplification attack defender in SDN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20220829 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |
|
| TR01 | Transfer of patent right |