CN101626375B - 域名防护系统及方法 - Google Patents
域名防护系统及方法 Download PDFInfo
- Publication number
- CN101626375B CN101626375B CN 200810302659 CN200810302659A CN101626375B CN 101626375 B CN101626375 B CN 101626375B CN 200810302659 CN200810302659 CN 200810302659 CN 200810302659 A CN200810302659 A CN 200810302659A CN 101626375 B CN101626375 B CN 101626375B
- Authority
- CN
- China
- Prior art keywords
- domain name
- system server
- address
- name system
- client host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种域名防护方法,包括:第一域名系统服务器接收所属客户端主机发送的域名查询数据报;第二域名系统服务器判断所述客户端主机的IP地址是否在黑名单中,该黑名单存储于第二域名系统服务器,记载不合法客户端主机的IP地址;当所述客户端主机的IP地址不在所述黑名单中时,所述第二域名系统服务器判断所述客户端主机与所述第一域名系统服务器之间的通信是否异常,当异常时,将该客户端主机的IP地址加入该黑名单中;若所述客户端主机的IP地址在黑名单中,第二域名系统服务器发送一个虚假IP地址给所述第一域名系统服务器;所述第一域名系统服务器将所接收的虚假IP地址回复给该客户端主机。另外,本发明还提供一种域名防护系统。
Description
技术领域
本发明涉及一种域名防护系统及方法。
背景技术
随着计算机网络的迅速发展,各种网站、FTP、邮件服务器等层出不穷。为了方便地使用它们和记录它们的地址,人们采用了域名系统(Domain Name System,DNS),DNS是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息,采用具备一定意义的一段文字或数字来替代服务器原有的IP地址,在访问服务器的时候,通过DNS服务器对域名进行解析,得到服务器的真实IP,然后进行数据交换动作。域名服务使本来数字化、复杂化的网络结构更容易记忆和了解,对计算机网络的发展起到巨大的作用。
但与此同时,域名服务也容易被有些人所利用,因为利用域名服务可以简单直接的获得服务的真实地址。所以这些人可以轻松的根据我们所公布的域名地址对该服务器进行攻击,尤其对WEB网站和文件服务器,它们需要公开域名系统,容易成为利用域名进行攻击的对象,攻击者可以利用系统漏洞进行入侵或者对服务器进行数据轰炸,造成服务器网络堵塞,使服务器性能低下,甚至造成机密的泄漏或网络瘫痪无法使用。
传统的处理方法主要采用强化防火墙拦截,对服务器架构进行优化等方式进行预防。这样可以一定程度上防止攻击者对服务器的入侵动作,可是当攻击者模拟正常用户进行通信的方式,在短时间内对该域名发送出极大数量的访问和查询请求时,将会完全占用服务器及网络带宽资源,使其他用户无法正常使用服务,对于这种数据攻击,传统的处理方法的效果仍然不是很明显。
发明内容
鉴于以上内容,有必要提供一种有效的域名防护方法。
还有必要提供一种有效的域名防护系统。
一种域名防护方法,该方法包括:(a)提供至少一个第一域名系统服务器,每一个第一域名系统服务器连接所属的至少一台客户端主机,提供第二域名系统服务器以监测客户端主机与所属第一域名系统服务器之间的通信;(b)第一域名系统服务器接收所属客户端主机发送的域名查询数据报,该域名查询数据报包括所要查询的域名及该客户端主机的IP地址;(c)第二域名系统服务器判断所述客户端主机的IP地址是否在黑名单中,该黑名单存储于第二域名系统服务器,记载不合法客户端主机的IP地址;(d)当所述客户端主机的IP地址不在所述黑名单中时,进入步骤(e),当所述客户端主机的IP地址在所述黑名单中时,进入步骤(f);(e)所述第二域名系统服务器判断所述客户端主机与所述第一域名系统服务器之间的通信是否异常,当异常时,将该客户端主机的IP地址加入该黑名单中并进入步骤(f),否则,进入步骤(h);(f)第二域名系统服务器发送一个虚假IP地址给所述第一域名系统服务器;(g)所述第一域名系统服务器将所接收的虚假IP地址回复给该客户端主机,结束流程;(h)当所述客户端主机与所述第一域名系统服务器之间的通信正常时时,第二域名系统服务器对所述域名进行解析,并将解析后的域名所对应的IP地址返回给所述的第一域名系统服务器;及(i)所述第一域名系统服务器将所接收的IP地址回复给该客户端主机,结束流程。
一种域名防护系统,运行于一个第二域名系统服务器中,该第二域名系统服务器通讯连接至少一个第一域名系统服务器,每一个第一域名系统服务器连接所属网域的至少一台客户端主机,该域名防护系统包括监测模块及捕获模块,其中:该监测模块用于监测客户端主机与所属第一域名系统服务器之间的域名查询数据报,当监测到域名查询数据报时,判断发送域名查询数据报的客户端主机的IP地址是否在黑名单中,该黑名单存储于第二域名系统服务器中,记载不合法客户端主机的IP地址,所述域名查询数据报包括所要查询的域名及该客户端主机的IP地址;该监测模块还用于当所述客户端主机的IP地址不在所述黑名单中时,判断该客户端主机与该第一域名系统服务器之间的通信是否异常,当异常时,将该客户端主机的IP地址加入该黑名单中;该捕获模块用于当该客户端主机的IP地址在黑名单中时,发送一个虚假IP地址给该第一域名系统服务器,该第一域名系统服务器将所述虚假IP地址回复给该客户端主机;及所述第二域名系统服务器用于当所述客户端主机与所述第一域名系统服务器之间的通信正常时,对该域名查询数据报中的域名进行解析,并将解析后的域名所对应的IP地址通过该第一域名系统服务器回复给该客户端主机。
相较于现有技术,所述域名防护系统及方法,可以对客户端的域名查询请求拦截及监测,有效避免了恶意数据攻击,保证了域名系统服务器的正常服务,并对恶意数据攻击的客户端进行反击。
附图说明
图1是本发明域名防护系统较佳实施例的硬件架构图。
图2是本发明域名防护方法较佳实施例的作业流程图。
具体实施方式
如图1所示,是本发明域名防护系统较佳实施例的硬件架构图。本系统包括客户端100及管理端200。所述客户端100包括至少一个DNS服务器1及至少一个客户端主机3,一个DNS服务器1服务处于同一网域内的客户端主机3。所述管理端包括:一个DNS服务器2。所有DNS服务器之间都有通信连接,客户端主机3与其所在的DNS服务器1之间通过用户数据报协议(UserDatagram Protocol,UDP)进行通信,所有客户端的DNS服务器1都与管理端的DNS服务器2进行通信。DNS服务器2中存储有黑名单,该黑名单中记载有不合法客户端主机3的IP地址。所述客户端主机3用于向该客户端主机3所在的DNS服务器1发送域名查询数据报。该域名查询数据报可以为对某一网站的访问,或者对某一FTP服务器的文件交换等。该域名查询数据报的内容包括:所需要查询的域名以及所述客户端主机3的IP地址等。当该客户端主机3所需要查询的是其所在的DNS服务器1网内的网站时,则该客户端的DNS服务器1即可看成自己的管理端的DNS服务器。
所述DNS服务器2上运行有域名防护系统5,该域名防护系统5用于监测客户端主机3与该客户端主机3所在的DNS服务器1之间的通信以及每个DNS服务器1与DNS服务器2之间的通信。该域名防护系统5包括一个捕获模块6和一个监测模块7,该监测模块7用于监测客户端主机3与该客户端主机3所在的DNS服务器1之间的通信,还用于监测客户端的DNS服务器1与管理端的DNS服务器2之间的通信。当监测到域名查询数据报时,该监测模块7还用于判断该域名查询数据报是否合法,若该域名查询数据报合法,则所述监测模块7发送该域名查询数据报给该域名所在的DNS服务器,该DNS服务器可以为该客户端主机3所在的DNS服务器1,也可以为管理端的DNS服务器2。若所述监测模块7判断所述域名查询数据报不合法,判断客户端主机3为恶意数据攻击时,所述捕获模块6用于捕获数据攻击的来源信息,并对该来源地址进行定位,并将其数据攻击的行为过程进行记录,并以报表的形式以供管理人员参考,该捕获模块6中还设置有虚假IP地址,当所述客户端主机3发送的域名查询数据报为恶意数据攻击时,该捕获模块6还用于将该虚假IP地址发送给所述客户端主机3。
所述DNS服务器1和DNS服务器2都分别有一个快取缓存区4,所述快取缓存区4用于存储所有不属于各自DNS服务器的网域内的域名及该域名所对应的IP地址。
举例来说,当用户通过所述客户端主机3访问网站时,该客户端主机3向DNS服务器1发出域名查询数据报,该域名查询数据报的内容包括:所需要访问的域名及该客户端主机3的IP地址等信息。所述DNS服务器1接收所述域名查询数据报后在其网域内及快取缓存区4中查找是否存在所述域名,若该DNS服务器1的网域内及其快取缓存区4上没有所述域名,则该DNS服务器1将所述域名查询数据报发送至管理端的DNS服务器2,该DNS服务器2对所述域名进行解析。
如图2所示,是本发明域名保护方法较佳实施例的作业流程图。
步骤S30,客户端主机3根据用户请求向其所在的DNS服务器1发出域名查询数据报。该域名查询数据报可以为对某一网站的访问,或者对某一FTP服务器的文件交换等。该域名查询数据报的内容包括:所需要查询的域名以及所述客户端主机3的IP地址等。
步骤S32,所述客户端主机3所在的DNS服务器1接收所述域名查询数据报。
步骤S34,该DNS服务器1查询其网域内是否有所述需要查询的域名。若没有,则转至步骤S36;若有,则转至步骤S40。
步骤S36,该DNS服务器1查询其快取缓存区4中是否存有所述域名。若该快取缓存区4中没有该域名,转至步骤S38;若该快取缓存区4中存有该域名,转至步骤S40。
步骤S38,所述DNS服务器1发送所述域名查询报文至管理端的DNS服务器2,进入步骤S40。
步骤S40,监测模块7判断所述客户端主机3的IP地址是否在黑名单中,若该客户端主机3的IP地址在所述黑名单中,转至步骤S42;否则,转至步骤S50。
步骤S42,所述捕获模块6将虚假IP地址发送给所述客户端主机3所在的DNS服务器1。
步骤S44,该捕获模块6对所述域名查询数据报进行分析,对该客户端主机进行定位,记录通讯异常行为,且以报表的形式呈现给管理者。
步骤S46,该客户端主机3所在的DNS服务器1将捕获模块6所发送的虚假IP地址发送给客户端主机3。
步骤S48,客户端主机3向所接收的IP地址发送数据,结束流程。
步骤S50,监测模块7判断所述客户端主机3与其DNS服务器1之间的通信是否异常。所述异常情况可能为:所述客户端主机3不断向所述域名所在的DNS服务器发送大量的访问或查询请求,该监测模块7就会判断该客户端主机3为恶意数据攻击。若通信异常,转至步骤S52;否则,转至步骤S54。
步骤S52,该域名防护系统5将所述客户端主机3的IP地址加入黑名单中,并转至步骤S42。
步骤S54,该DNS服务器对所述域名进行解析。若所述客户端主机3所在的DNS服务器1上没有所述域名,该DNS服务器为管理端的DNS服务器2,该管理端的DNS服务器2将该域名所对应的IP地址发送给所述客户端主机3所在的DNS服务器1。
步骤S56,所述客户端主机3所在的DNS服务器1将所接收的IP地址发送给该客户端主机3,转至步骤S48。
于上述步骤S34,S36中,若所述客户端主机3所在的DNS服务器1的网域内或者其快取缓存区4内没有所述域名时,在步骤S54之后,所述客户端主机3所在的DNS服务器1还将所述域名写入其快取缓存区4中。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (8)
1.一种域名防护方法,其特征在于,该方法包括:
(a)提供至少一个第一域名系统服务器,每一个第一域名系统服务器连接所属网域的至少一台客户端主机,提供第二域名系统服务器以监测客户端主机与所属第一域名系统服务器之间的通信;
(b)第一域名系统服务器接收所属网域客户端主机发送的域名查询数据报,该域名查询数据报包括所要查询的域名及该客户端主机的IP地址;
(c)第二域名系统服务器判断所述客户端主机的IP地址是否在黑名单中,该黑名单存储于第二域名系统服务器,记载不合法客户端主机的IP地址;
(d)当所述客户端主机的IP地址不在所述黑名单中时,进入步骤(e),当所述客户端主机的IP地址在所述黑名单中时,进入步骤(f);
(e)所述第二域名系统服务器判断所述客户端主机与所述第一域名系统服务器之间的通信是否异常,当异常时,将该客户端主机的IP地址加入该黑名单中并进入步骤(f),否则,进入步骤(h);
(f)第二域名系统服务器发送一个虚假IP地址给所述第一域名系统服务器;
(g)所述第一域名系统服务器将所接收的虚假IP地址回复给该客户端主机,结束流程;
(h)当所述客户端主机与所述第一域名系统服务器之间的通信正常时时,第二域名系统服务器对所述域名进行解析,并将解析后的域名所对应的IP地址返回给所述的第一域名系统服务器;及
(i)所述第一域名系统服务器将所接收的IP地址回复给该客户端主机,结束流程。
2.如权利要求1所述的域名防护方法,其特征在于,在所述步骤(c)之前还包括:
第一域名系统服务器查询其网域内及其快取缓存区是否存在所述域名,该快取缓存区存储所有不属于该第一域名系统服务器的网域内的域名及该域名所对应的IP地址;及
当该第一域名系统服务器的网域内及其快取缓存区不存在所述域名时,该第一域名系统服务器将所述域名查询数据报发送给第二域名系统服务器,并进入步骤(c)。
3.如权利要求2所述的域名防护方法,其特征在于,在步骤(h)之后还包括:当所述第一域名系统服务器的网域内及其快取缓存区中没有所述域名时,所述第一域名系统服务器将所接收的解析后的IP地址写入该第一域名系统服务器的快取缓存区。
4.如权利要求1所述的域名防护方法,其特征在于,在步骤(f)之后还包括:
第二域名系统服务器对所述域名查询数据报进行分析,对该客户端主机进行定位,记录通信异常行为,将分析的结果呈现给管理者。
5.一种域名防护系统,运行于一个第二域名系统服务器中,该第二域名系统服务器通讯连接至少一个第一域名系统服务器,每一个第一域名系统服务器连接所属网域的至少一台客户端主机,其特征在于,该域名防护系统包括监测模块及捕获模块,其中:
该监测模块用于监测客户端主机与所属第一域名系统服务器之间的域名查询数据报,当监测到域名查询数据报时,判断发送域名查询数据报的客户端主机的IP地址是否在黑名单中,该黑名单存储于第二域名系统服务器中,记载不合法客户端主机的IP地址,所述域名查询数据报包括所要查询的域名及该客户端主机的IP地址;
该监测模块还用于当所述客户端主机的IP地址不在所述黑名单中时,判断该客户端主机与该第一域名系统服务器之间的通信是否异常,当异常时,将该客户端主机的IP地址加入该黑名单中;
该捕获模块用于当该客户端主机的IP地址在黑名单中时,发送一个虚假IP地址给该第一域名系统服务器,该第一域名系统服务器将所述虚假IP地址回复给该客户端主机;及
所述第二域名系统服务器用于当所述客户端主机与所述第一域名系统服务器之间的通信正常时,对该域名查询数据报中的域名进行解析,并将解析后的域名所对应的IP地址通过该第一域名系统服务器回复给该客户端主机。
6.如权利要求5所述的域名防护系统,其特征在于,所述第一域名系统服务器查询其网域内及其快取缓存区是否存在所述要查询的域名,该快取缓存区存储所有不属于该第一域名系统服务器的网域内的域名及该域名所对应的IP地址;及
当该第一域名系统服务器的网域内及其快取缓存区不存在所述域名时,该第一域名系统服务器还用于将所述域名查询数据报发送给第二域名系统服务器。
7.如权利要求6所述的域名防护系统,其特征在于,当所述第一域名系统服务器的网域内及其快取缓存区中没有所述域名时,所述第一域名系统服务器还用于将所接收的解析后的IP地址写入该第一域名系统服务器的快取缓存区。
8.如权利要求5所述的域名防护系统,其特征在于,该捕获模块还用于当发送域名查询数据报的客户端主机的IP地址在黑名单中时或该客户端主机与其所属第一域名系统服务器之间的通信异常时,对所述域名查询数据报进行分析,对该客户端主机进行定位,记录通信异常行为,将分析的结果呈现给管理者。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810302659 CN101626375B (zh) | 2008-07-08 | 2008-07-08 | 域名防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810302659 CN101626375B (zh) | 2008-07-08 | 2008-07-08 | 域名防护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101626375A CN101626375A (zh) | 2010-01-13 |
| CN101626375B true CN101626375B (zh) | 2013-10-09 |
Family
ID=41522061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810302659 Expired - Fee Related CN101626375B (zh) | 2008-07-08 | 2008-07-08 | 域名防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101626375B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101778105B (zh) * | 2010-01-20 | 2013-04-17 | 杭州华三通信技术有限公司 | 获取基于web的实时性能监视指标数的方法、系统及设备 |
| CN102301682B (zh) * | 2011-04-29 | 2014-02-19 | 华为技术有限公司 | 网络缓存方法和系统及dns重定向子系统 |
| CN102299978A (zh) * | 2011-09-23 | 2011-12-28 | 上海西默通信技术有限公司 | Dns域名系统中的加黑名单过滤重定向方法 |
| CN103973820A (zh) * | 2013-01-28 | 2014-08-06 | 深圳市快播科技有限公司 | 一种域名系统的优化方法、一种优化的域名系统 |
| CN105338126B (zh) * | 2014-07-17 | 2018-10-23 | 阿里巴巴集团控股有限公司 | 远程查询信息的方法及服务器 |
| CN106790296B (zh) * | 2017-03-16 | 2020-02-14 | 中国联合网络通信集团有限公司 | 域名记录验证方法及装置 |
| CN107733907B (zh) * | 2017-10-25 | 2020-06-02 | 国家电网公司 | 动态防护方法与装置 |
| CN112311723A (zh) * | 2019-07-26 | 2021-02-02 | 国网河北省电力有限公司信息通信分公司 | 一种基于国家电网信息系统特点的域名服务防护方法 |
| US11363060B2 (en) * | 2019-10-24 | 2022-06-14 | Microsoft Technology Licensing, Llc | Email security in a multi-tenant email service |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100440833C (zh) * | 2004-09-04 | 2008-12-03 | 华为技术有限公司 | 一种用域名标识用户归属地实现漫游接入数据网的方法 |
| EP1718034A1 (en) * | 2005-04-25 | 2006-11-02 | Thomson Multimedia Broadband Belgium | Process for managing resource address requests and associated gateway device |
| CN101094129A (zh) * | 2006-06-20 | 2007-12-26 | 腾讯科技(深圳)有限公司 | 一种域名访问方法及客户端 |
-
2008
- 2008-07-08 CN CN 200810302659 patent/CN101626375B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101626375A (zh) | 2010-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101626375B (zh) | 域名防护系统及方法 | |
| Ghali et al. | Needle in a haystack: Mitigating content poisoning in named-data networking | |
| Passerini et al. | Fluxor: Detecting and monitoring fast-flux service networks | |
| KR100900491B1 (ko) | 분산 서비스 거부 공격의 차단 방법 및 장치 | |
| US8943586B2 (en) | Methods of detecting DNS flooding attack according to characteristics of type of attack traffic | |
| Khormali et al. | Domain name system security and privacy: A contemporary survey | |
| CN102137111A (zh) | 一种防御cc攻击的方法、装置和内容分发网络服务器 | |
| CN112600868B (zh) | 域名解析方法、域名解析装置及电子设备 | |
| CN111447304B (zh) | 一种任播递归域名系统任播节点ip地址枚举方法和系统 | |
| Satam et al. | Anomaly Behavior Analysis of DNS Protocol. | |
| Trostle et al. | Protecting against DNS cache poisoning attacks | |
| CN105939332A (zh) | 防御arp攻击报文的方法及装置 | |
| US7907543B2 (en) | Apparatus and method for classifying network packet data | |
| Shue et al. | On building inexpensive network capabilities | |
| US7987255B2 (en) | Distributed denial of service congestion recovery using split horizon DNS | |
| Wang et al. | Design and implementation of an SDN-enabled DNS security framework | |
| CN109361676A (zh) | 一种基于防火墙系统的dns劫持防御方法、装置及系统 | |
| CN115190107B (zh) | 基于泛域名多子系统管理方法、管理终端及可读存储介质 | |
| US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
| US10817592B1 (en) | Content tracking system that dynamically tracks and identifies pirated content exchanged over a network | |
| CN111371917B (zh) | 一种域名检测方法及系统 | |
| Chau et al. | Adaptive Deterrence of DNS Cache Poisoning | |
| Dolberg et al. | Multi-dimensional aggregation for dns monitoring | |
| Rafiee et al. | A flexible framework for detecting ipv6 vulnerabilities | |
| Tzur-David et al. | Delay fast packets (dfp): Prevention of dns cache poisoning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131009 Termination date: 20140708 |
|
| EXPY | Termination of patent right or utility model |