CN103326894B - Dns隧道检测的方法和装置 - Google Patents
Dns隧道检测的方法和装置 Download PDFInfo
- Publication number
- CN103326894B CN103326894B CN201310207033.9A CN201310207033A CN103326894B CN 103326894 B CN103326894 B CN 103326894B CN 201310207033 A CN201310207033 A CN 201310207033A CN 103326894 B CN103326894 B CN 103326894B
- Authority
- CN
- China
- Prior art keywords
- data bag
- client data
- dns
- nslookup
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种DNS隧道检测的方法,包括步骤:检测发往DNS服务器的端口的客户端数据包是否为DNS数据包;当客户端数据包为DNS数据包时,检测客户端数据包的格式是否符合预置的格式约束条件,若是,则检测客户端数据包的查询域名是否符合预置的域名约束条件;当客户端数据包的格式不符合格式约束条件,和/或当客户端数据包的查询域名不符合域名约束条件时,根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理。本发明还公开了相应的装置。采用本发明所公开的方案,能够区分正常的DNS数据包与DNS隧道数据包,有效解决对正常的DNS的误判问题,实现了对DNS隧道进行全面的检测,从而实现了对防火墙进行有效地防护。
Description
技术领域
本发明涉及到互联网技术领域,特别涉及到一种DNS隧道检测的方法和装置。
背景技术
随着互联网的迅猛发展, 防火墙作为保护信息的一道屏障,已成为通信技术研究的一个重要领域。如今网络上存在一些防火墙穿透技术,能让数据包安全通过网络层,DNS隧道技术就是防火墙穿透技术中的一种。目前防御DNS隧道技术的方法主要有以下两种:
一、基于端口封锁防卸:这是传统防火墙防御攻击最常用的方法,防火墙通过封锁53端口,进而阻止DNS隧道数据,达到防御DNS隧道穿透的目的,但是,这样,在阻断DNS隧道数据的同时,也将正常的DNS数据进行了阻断,而影响到了正常的业务;
二、基于请求域名长度及请求频率统计分析方法:采用这种方法,是将客户端请求的DNS域名中长度大于长度阈值的以<客户端IP,纯域名>形式记录下来,然后统计<客户端IP,纯域名>的频率,当频率大于频率告警阈值时则判定此客户端使用了DNS隧道技术,但是,很难准确的区分DNS隧道数据和正常的DNS请求数据,因为在正常的DNS请求中也可能存长度很长的域名,通过域名长度阈值和频率告警阈值的取值上很难把握,存在很大的不可控性,高阈值存在高漏判低误判,低阈值存在低漏判高误判。
发明内容
本发明的主要目的为提供一种DNS隧道检测的方法和装置,能够对DNS隧道进行全面检测,从而对防火墙进行有效地防护。
本发明提供一种DNS隧道检测的方法,包括步骤:
检测发往DNS服务器的端口的客户端数据包是否为DNS数据包;
当所述客户端数据包为DNS数据包时,检测所述客户端数据包的格式是否符合预置的格式约束条件,若是,则检测所述客户端数据包的查询域名是否符合预置的域名约束条件;
当客户端数据包的格式不符合所述格式约束条件,和/或当客户端数据包的查询域名不符合所述域名约束条件时,根据预置的DNS隧道处理规则,对所述客户端数据包进行相应的处理。
优选地,所述预置的DNS隧道处理规则至少包括以下之一:丢弃所述客户端数据包、提示告警信息。
优选地,所述检测客户端数据包的格式是否符合预置的格式约束条件至少包括:
检测所述客户端数据包的请求包中是否包括回答字段和/或授权字段;
和/或检测所述客户端数据包的响应包中的查询域名与回答域名是否一致;
和/或检测所述客户端数据包的请求包中查询域名的类型字段值是否符合所述格式约束条件。
优选地,所述检测客户端数据包的查询域名是否符合预置的域名约束条件至少包括:
通过正则表达式区配所述客户端数据包的查询域名的内容;
和/或检测所述客户端数据包的查询域名中是否包括DNS域名特殊字符。
优选地,在执行所述检测发往DNS服务器的端口的数据包是否是DNS数据包的步骤之前,还包括:
获取发送所述客户端数据包的客户端的IP地址,在预置的DNS隧道黑名单库中查找是否存在相同的IP地址;如存在,则执行所述根据预置的DNS隧道处理规则,对所述客户端数据包进行相应的处理的步骤。
本发明还提供一种DNS隧道检测的装置,包括:
第一检测模块,用于检测发往DNS服务器的端口的客户端数据包是否为DNS数据包,
第二检测模块,用于当所述客户端数据包为DNS数据包时,检测所述客户端数据包的格式是否符合预置的格式约束条件;
第三检测模块,用于当所述客户端数据包的格式符合预置的格式约束条件时,检测所述客户端数据包的查询域名是否符合预置的域名约束条件;
处理模块,用于当客户端数据包的格式不符合所述格式约束条件,和/或当客户端数据包的查询域名不符合所述域名约束条件时,根据预置的DNS隧道处理规则,对所述客户端数据包进行相应的处理。
优选地,所述预置的DNS隧道处理规则至少包括以下之一:丢弃所述客户端数据包、提示告警信息。
优选地,所述第二检测模块具体用于:
检测所述客户端数据包的请求包中是否包括回答字段和/或授权字段;
和/或检测所述客户端数据包的响应包中的查询域名与回答域名是否一致;
和/或检测所述客户端数据包的请求包中查询域名的类型字段值是否符合所述格式约束条件。
优选地,所述第三检测模块具体用于:
通过正则表达式区配所述客户端数据包的查询域名的内容;
和/或检测所述客户端数据包的查询域名中是否包括DNS域名特殊字符。
优选地,DNS隧道检测的装置还包括:
获取及查找模块,用于获取发送所述客户端数据包的客户端的IP地址,在预置的DNS隧道黑名单库中查找是否存在相同的IP地址,如存在,则通过所述处理模块对所述客户端数据包进行相应的处理。
本发明通过检测发往DNS服务器的端口的客户端数据包是否为DNS数据包,如是,进一步检测客户端数据包的格式是否符合预置的格式约束条件,当符合时,检测客户端数据包的查询域名是否符合预置的域名约束条件;当客户端数据包的格式不符合格式约束条件,和/或当客户端数据包的查询域名不符合域名约束条件时,根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理,能够区分正常的DNS数据包与DNS隧道数据包,有效解决对正常的DNS的误判问题,实现了对DNS隧道进行全面的检测,从而增强了防火墙的防护能力。
附图说明
图1为本发明DNS隧道检测的方法第一实施例的流程示意图;
图2为本发明DNS隧道检测的方法第二实施例的流程示意图;
图3为本发明DNS隧道检测的装置第一实施例的结构示意图;
图4为本发明DNS隧道检测的装置第二实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种DNS隧道检测的方法。
参照图1,图1为本发明DNS隧道检测的方法第一实施例的流程示意图。
本实施例所提供的DNS隧道检测的方法,包括:
步骤S10,检测发往DNS服务器的端口的客户端数据包是否为DNS数据包,若是,则执行步骤S20;
步骤S20,检测客户端数据包的格式是否符合预置的格式约束条件,若是,则执行步骤S21;
步骤S21,检测客户端数据包的查询域名是否符合预置的域名约束条件;当客户端数据包的格式不符合格式约束条件,和/或当客户端数据包的查询域名不符合域名约束条件时,执行步骤S30;
步骤S30,根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理。
本实施例中,以DNS服务器的53端口接收到客户端发送的客户端数据包为例进行说明。当DNS服务器的53端口接收到客户端数据包后,首先检测该客户端数据包是否为DNS数据包,如客户端数据包不是DNS数据包,则表明客户端数据包为DNS隧道数据包,该客户端使用了DNS隧道技术,然后根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理,本实施例中所提出的预置的DNS隧道处理规则为在检测出客户端数据包为DNS隧道数据包之后,对其进行处理的相应规则,该DNS隧道处理规则至少包括丢弃所述客户端数据包、提示告警信息等对DNS隧道数据包的处理方式。
如客户端数据包是DNS数据包,则检测客户端数据包的格式是否符合预置的格式约束条件,本实施例所提出的预置的格式约束条件可以为用于定义互联网协议中关于域名的RFC文档中所定义的格式约束条件,如RFC1034和RFC1035;也可以为用户自定义的格式约束条件。如客户端数据包的格式符合预置的格式约束条件,则进一步检测客户端数据包的查询域名是否符合预置的域名约束条件,本实施例所提出的预置的域名约束条件可以为用于定义互联网协议中关于域名的RFC文档中所定义的域名约束条件,如RFC1034和RFC1035;也可以为用户自定义的域名约束条件。
当客户端数据包的格式不符合格式约束条件,和/或客户端数据包的查询域名不符合域名约束条件,则表明客户端数据包为DNS隧道数据包,该客户端使用了DNS隧道技术,此时,根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理。
在本实施例中,检测客户端数据包的格式是否符合预置的格式约束条件至少包括以下几种:
检测客户端数据包的请求包中是否包括回答字段和/或授权字段,如包括,则表明客户端数据包的格式不符合格式约束条件;
和/或检测客户端数据包的响应包中的查询域名与回答域名是否一致,如不一致,则表明客户端数据包的格式不符合格式约束条件;
和/或检测客户端数据包的请求包中查询域名的类型字段值是否符合格式约束条件。本实施例在RFC1035文档中,定义了类型字段值只能包含主机地址、权威名称服务器、邮件目的地、邮件转发器、别名的正则名称、标记权威区域的开始、邮箱域名、邮件组成员、邮件重新命名域名、空RR、众所周知的业务描述、域名指针、主机信息、邮箱或邮件列表信息、邮件交换和文本字符串;如客户端数据包的请求包中所包含的类型字段值的数值不符合格式约束条件,则表明客户端数据包的格式不符合格式约束条件。
在本实施例中,检测客户端数据包的查询域名是否符合预置的域名约束条件至少包括以下几种:
通过正则表达式区配客户端数据包的查询域名的内容;当查询域名的内容不符合正则表达式的过滤逻辑时,则表明客户端数据包的查询域名不符合域名约束条件;
和/或检测客户端数据包的查询域名中是否包括DNS域名特殊字符,如包括,则表明客户端数据包的查询域名不符合域名约束条件。本实施例中,在RFC1034文档中,定义了查询域名只能包含数字、大小写字母和“-”以及域名分隔符“.”,除此之外的字符则为DNS域名特殊字符。由于DNS隧道携带的数据中通常会包含DNS域名特殊字符,即使经过Punycode转码后,一些特殊字符(例如:“:”、“\”)仍然保持DNS域名特殊字符特性。对于使用地方语言的域名,浏览器都会对其进行Punycode转码(转码后只由26个字母、数字或者“-”组成)后再发送给DNS服务器,因此,此处检测不会对使用地方语言的域名造成误判。
本实施例通过检测发往DNS服务器的端口的客户端数据包是否为DNS数据包,如是,进一步检测客户端数据包的格式是否符合预置的格式约束条件,当符合时,检测客户端数据包的查询域名是否符合预置的域名约束条件;当客户端数据包的格式不符合格式约束条件,和/或当客户端数据包的查询域名不符合域名约束条件时,根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理,能够区分正常的DNS数据包与DNS隧道数据包,有效解决对正常的DNS的误判问题,实现了对DNS隧道进行全面的检测,从而增强了防火墙的防护能力。
参照图2,图2为本发明DNS隧道检测的方法第二实施例的流程示意图。
在本发明DNS隧道检测的方法第一实施例的基础上,在执行步骤S10之前,该方法还包括:
步骤S40,获取发送客户端数据包的客户端的IP地址;
步骤S41,在预置的DNS隧道黑名单库中查找是否存在相同的IP地址;如不存在,则执行步骤S20;如存在,则执行步骤S30。
当客户端向DNS服务器的53端口发送客户端数据包后,获取该客户端的IP地址,然后在预置的DNS隧道黑名单库中查找是否存在相同的IP地址,本实施例所提出的预置的DNS隧道黑名单中记录了在一定时间内使用过DNS隧道技术的客户端的IP地址,如在DNS隧道黑名单库中查找到与发送客户端数据包的客户端的IP地址,则直接跳过其他检测,根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理。
本实施例中,如在对客户端数据包进行了其是否为DNS数据包、客户端数据包的格式是否符合预置的格式约束条件,以及客户端数据包的查询域名是否符合预置的域名约束条件的检测之后,判断出客户端数据包为DNS隧道数据包,该客户端使用了DNS隧道技术,则获取该客户端的IP地址,并将IP地址记录在DNS隧道黑名单库中,以便在下次检测时使用。
在接收到客户端发送的客户端数据包后,获取客户端的IP地址,并在预置的DNS隧道黑名单库中查找是否存在相同的IP地址;如存在,则根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理,进一步保证了对DNS隧道的全面检测,从而进一步增强了防火墙的防护能力。
本发明还提供一种DNS隧道检测的装置。
参照图3,图3为本发明DNS隧道检测的装置第一实施例的结构示意图。
本实施例所提供的DNS隧道检测的装置,包括:
第一检测模块10,用于检测发往DNS服务器的端口的客户端数据包是否为DNS数据包,
第二检测模块20,用于当客户端数据包为DNS数据包时,检测客户端数据包的格式是否符合预置的格式约束条件;
第三检测模块30,用于当客户端数据包的格式符合预置的格式约束条件时,检测客户端数据包的查询域名是否符合预置的域名约束条件;
处理模块40,用于当客户端数据包的格式不符合格式约束条件,和/或当客户端数据包的查询域名不符合域名约束条件时,根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理。
本实施例中,以DNS服务器的53端口接收到客户端发送的客户端数据包为例进行说明。当DNS服务器的53端口接收到客户端数据包后,第一检测模块10首先检测该客户端数据包是否为DNS数据包,如客户端数据包不是DNS数据包,则表明客户端数据包为DNS隧道数据包,该客户端使用了DNS隧道技术,然后根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理,本实施例中所提出的预置的DNS隧道处理规则为在检测出客户端数据包为DNS隧道数据包之后,对其进行处理的相应规则,该DNS隧道处理规则至少包括丢弃所述客户端数据包、提示告警信息等对DNS隧道数据包的处理方式。
如客户端数据包是DNS数据包,则通过第二检测模块20检测客户端数据包的格式是否符合预置的格式约束条件,本实施例所提出的预置的格式约束条件可以为用于定义互联网协议中关于域名的RFC文档中所定义的格式约束条件,如RFC1034和RFC1035;也可以为用户自定义的格式约束条件。如客户端数据包的格式符合预置的格式约束条件,则第三检测模块30进一步检测客户端数据包的查询域名是否符合预置的域名约束条件,本实施例所提出的预置的域名约束条件可以为用于定义互联网协议中关于域名的RFC文档中所定义的域名约束条件,如RFC1034和RFC1035;也可以为用户自定义的域名约束条件。
当客户端数据包的格式不符合格式约束条件,和/或客户端数据包的查询域名不符合域名约束条件,则表明客户端数据包为DNS隧道数据包,该客户端使用了DNS隧道技术,此时,处理模块40根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理。
在本实施例中,通过第二检测模块20检测客户端数据包的格式是否符合预置的格式约束条件至少包括以下几种:
检测客户端数据包的请求包中是否包括回答字段和/或授权字段,如包括,则表明客户端数据包的格式不符合格式约束条件;
和/或检测客户端数据包的响应包中的查询域名与回答域名是否一致,如不一致,则表明客户端数据包的格式不符合格式约束条件;
和/或检测客户端数据包的请求包中查询域名的类型字段值是否符合格式约束条件。本实施例在RFC1035文档中,定义了类型字段值只能包含主机地址、权威名称服务器、邮件目的地、邮件转发器、别名的正则名称、标记权威区域的开始、邮箱域名、邮件组成员、邮件重新命名域名、空RR、众所周知的业务描述、域名指针、主机信息、邮箱或邮件列表信息、邮件交换和文本字符串;如客户端数据包的请求包中所包含的类型字段值的数值不符合格式约束条件,则表明客户端数据包的格式不符合格式约束条件。
在本实施例中,通过第三检测模块30检测客户端数据包的查询域名是否符合预置的域名约束条件至少包括以下几种:
通过正则表达式区配客户端数据包的查询域名的内容;当查询域名的内容不符合正则表达式的过滤逻辑时,则表明客户端数据包的查询域名不符合域名约束条件;
和/或检测客户端数据包的查询域名中是否包括DNS域名特殊字符,如包括,则表明客户端数据包的查询域名不符合域名约束条件。本实施例中,在RFC1034文档中,定义了查询域名只能包含数字、大小写字母和“-”以及域名分隔符“.”,除此之外的字符则为DNS域名特殊字符。由于DNS隧道携带的数据中通常会包含DNS域名特殊字符,即使经过Punycode转码后,一些特殊字符(例如:“:”、“\”)仍然保持DNS域名特殊字符特性。对于使用地方语言的域名,浏览器都会对其进行Punycode转码(转码后只由26个字母、数字或者“-”组成)后再发送给DNS服务器,因此,此处检测不会对使用地方语言的域名造成误判。
本实施例通过检测发往DNS服务器的端口的客户端数据包是否为DNS数据包,如是,进一步检测客户端数据包的格式是否符合预置的格式约束条件,当符合时,检测客户端数据包的查询域名是否符合预置的域名约束条件;当客户端数据包的格式不符合格式约束条件,和/或当客户端数据包的查询域名不符合域名约束条件时,根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理,能够区分正常的DNS数据包与DNS隧道数据包,有效解决对正常的DNS的误判问题,实现了对DNS隧道进行全面的检测,从而增强了防火墙的防护能力。
参照图4,图4为本发明DNS隧道检测的装置第二实施例的结构示意图。
在本发明DNS隧道检测的装置第一实施例的基础上,该装置还包括:
获取及查找模块50,用于获取发送客户端数据包的客户端的IP地址,在预置的DNS隧道黑名单库中查找是否存在相同的IP地址;如存在,则通过处理模块40对客户端数据包进行相应的处理。
当客户端向DNS服务器的53端口发送客户端数据包后,获取及查找模块50获取该客户端的IP地址,然后在预置的DNS隧道黑名单库中查找是否存在相同的IP地址,本实施例所提出的预置的DNS隧道黑名单中记录了在一定时间内使用过DNS隧道技术的客户端的IP地址,如在DNS隧道黑名单库中查找到与发送客户端数据包的客户端的IP地址,则直接跳过其他检测,通过第二处理模块51根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理。
本实施例中,如在对客户端数据包进行了其是否为DNS数据包、客户端数据包的格式是否符合预置的格式约束条件,以及客户端数据包的查询域名是否符合预置的域名约束条件的检测之后,判断出客户端数据包为DNS隧道数据包,该客户端使用了DNS隧道技术,则获取该客户端的IP地址,并将IP地址记录在DNS隧道黑名单库中,以便在下次检测时使用。
在接收到客户端发送的客户端数据包后,获取客户端的IP地址,并在预置的DNS隧道黑名单库中查找是否存在相同的IP地址;如存在,则根据预置的DNS隧道处理规则,对客户端数据包进行相应的处理,进一步保证了对DNS隧道的全面检测,从而进一步实现了对防火墙进行有效地防护。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围。
Claims (8)
1.一种DNS隧道检测的方法,其特征在于,包括步骤:
检测发往DNS服务器的端口的客户端数据包是否为DNS数据包;
当所述客户端数据包为DNS数据包时,检测所述客户端数据包的格式是否符合预置的格式约束条件,若是,则检测所述客户端数据包的查询域名是否符合预置的域名约束条件;
当客户端数据包的格式不符合所述格式约束条件,和/或当客户端数据包的查询域名不符合所述域名约束条件时,则表明客户端数据包为DNS隧道数据包,并根据预置的DNS隧道处理规则,对所述客户端数据包进行相应的处理;
所述检测客户端数据包的格式是否符合预置的格式约束条件至少包括:
检测所述客户端数据包的请求包中是否包括回答字段和/或授权字段;
和/或检测所述客户端数据包的响应包中的查询域名与回答域名是否一致;
和/或检测所述客户端数据包的请求包中查询域名的类型字段值是否符合所述格式约束条件。
2.根据权利要求1所述的DNS隧道检测的方法,其特征在于,所述预置的DNS隧道处理规则至少包括以下之一:丢弃所述客户端数据包、提示告警信息。
3.根据权利要求2所述的DNS隧道检测的方法,其特征在于,所述检测客户端数据包的查询域名是否符合预置的域名约束条件至少包括:
通过正则表达式区配所述客户端数据包的查询域名的内容;
和/或检测所述客户端数据包的查询域名中是否包括DNS域名特殊字符。
4.根据权利要求1至3中任一项所述的DNS隧道检测的方法,其特征在于,在执行所述检测发往DNS服务器的端口的数据包是否是DNS数据包的步骤之前,还包括:
获取发送所述客户端数据包的客户端的IP地址,在预置的DNS隧道黑名单库中查找是否存在相同的IP地址;如存在,则执行所述根据预置的DNS隧道处理规则,对所述客户端数据包进行相应的处理的步骤。
5.一种DNS隧道检测的装置,其特征在于,包括:
第一检测模块,用于检测发往DNS服务器的端口的客户端数据包是否为DNS数据包,
第二检测模块,用于当所述客户端数据包为DNS数据包时,检测所述客户端数据包的格式是否符合预置的格式约束条件;
第三检测模块,用于当所述客户端数据包的格式符合预置的格式约束条件时,检测所述客户端数据包的查询域名是否符合预置的域名约束条件;
处理模块,用于当客户端数据包的格式不符合所述格式约束条件,和/或当客户端数据包的查询域名不符合所述域名约束条件时,则表明客户端数据包为DNS隧道数据包,并根据预置的DNS隧道处理规则,对所述客户端数据包进行相应的处理;
所述第二检测模块具体用于:
检测所述客户端数据包的请求包中是否包括回答字段和/或授权字段;
和/或检测所述客户端数据包的响应包中的查询域名与回答域名是否一致;
和/或检测所述客户端数据包的请求包中查询域名的类型字段值是否符合所述格式约束条件。
6.根据权利要求5所述的DNS隧道检测的装置,其特征在于,所述预置的DNS隧道处理规则至少包括以下之一:丢弃所述客户端数据包、提示告警信息。
7.根据权利要求6所述的DNS隧道检测的装置,其特征在于,所述第三检测模块具体用于:
通过正则表达式区配所述客户端数据包的查询域名的内容;
和/或检测所述客户端数据包的查询域名中是否包括DNS域名特殊字符。
8.根据权利要求5至7中任一项所述的DNS隧道检测的装置,其特征在于,还包括:
获取及查找模块,用于获取发送所述客户端数据包的客户端的IP地址,在预置的DNS隧道黑名单库中查找是否存在相同的IP地址,如存在,则通过所述处理模块对所述客户端数据包进行相应的处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310207033.9A CN103326894B (zh) | 2013-05-29 | 2013-05-29 | Dns隧道检测的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310207033.9A CN103326894B (zh) | 2013-05-29 | 2013-05-29 | Dns隧道检测的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103326894A CN103326894A (zh) | 2013-09-25 |
| CN103326894B true CN103326894B (zh) | 2016-12-28 |
Family
ID=49195437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310207033.9A Active CN103326894B (zh) | 2013-05-29 | 2013-05-29 | Dns隧道检测的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103326894B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104754071A (zh) * | 2013-12-31 | 2015-07-01 | 金琥 | 基于dns协议标准检测dns隧道数据的方法 |
| US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9628444B1 (en) * | 2016-02-08 | 2017-04-18 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| CN106230825B (zh) * | 2016-08-01 | 2019-05-24 | 北京金和网络股份有限公司 | 兼顾处理速度与解析质量的自适应的网络协议解析策略 |
| US10097568B2 (en) | 2016-08-25 | 2018-10-09 | International Business Machines Corporation | DNS tunneling prevention |
| CN106357687A (zh) * | 2016-10-27 | 2017-01-25 | 成都知道创宇信息技术有限公司 | 一种通过dns请求进行数据传输来绕过防火墙检测的方法 |
| US10412107B2 (en) * | 2017-03-22 | 2019-09-10 | Microsoft Technology Licensing, Llc | Detecting domain name system (DNS) tunneling based on DNS logs and network data |
| CN110611640A (zh) * | 2018-06-15 | 2019-12-24 | 成都蓝盾网信科技有限公司 | 一种基于随机森林的dns协议隐蔽通道检测方法 |
| CN109218461B (zh) * | 2018-08-09 | 2022-02-22 | 奇安信科技集团股份有限公司 | 一种检测隧道域名的方法及装置 |
| CN109474575B (zh) * | 2018-09-11 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种dns隧道的检测方法及装置 |
| CN110071829B (zh) * | 2019-04-12 | 2022-03-04 | 腾讯科技(深圳)有限公司 | Dns隧道检测方法、装置及计算机可读存储介质 |
| CN112640392B (zh) * | 2020-11-20 | 2022-05-13 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
| CN113438137B (zh) * | 2021-08-30 | 2021-11-30 | 南京信息工程大学 | 一种dns隧道内复杂协议行为识别方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902456A (zh) * | 2010-02-09 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
| CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| EP2501097A1 (en) * | 2009-11-16 | 2012-09-19 | ZTE Corporation | Domain name processing method and domain name server |
| CN102724187A (zh) * | 2012-06-06 | 2012-10-10 | 奇智软件(北京)有限公司 | 一种针对网址的安全检测方法及装置 |
-
2013
- 2013-05-29 CN CN201310207033.9A patent/CN103326894B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2501097A1 (en) * | 2009-11-16 | 2012-09-19 | ZTE Corporation | Domain name processing method and domain name server |
| CN101902456A (zh) * | 2010-02-09 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
| CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| CN102724187A (zh) * | 2012-06-06 | 2012-10-10 | 奇智软件(北京)有限公司 | 一种针对网址的安全检测方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| 王宜菲.《基于C.5的HTTP隧道检测技术研究》.《计算机工程与设计》.2012, * |
| 蔡昭权.《一种新的基于DNS协议的IPSec隐蔽通信研究》.《计算机应用》.2008, * |
| 谷传征.基于DNS协议的隐蔽信道研究.《学术研究》.2011,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103326894A (zh) | 2013-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103326894B (zh) | Dns隧道检测的方法和装置 | |
| CN108206814B (zh) | 一种防御dns攻击的方法、装置及系统 | |
| CN104601557B (zh) | 一种基于软件定义网络的恶意网站防护方法及系统 | |
| CN103795709B (zh) | 一种网络安全检测方法和系统 | |
| US9003518B2 (en) | Systems and methods for detecting covert DNS tunnels | |
| CN101267313B (zh) | 泛洪攻击检测方法及检测装置 | |
| CN101540773B (zh) | 一种垃圾邮件检测方法及其装置 | |
| CN103561048B (zh) | 一种确定tcp端口扫描的方法及装置 | |
| CN102647422A (zh) | 钓鱼网站检测方法及设备 | |
| CN109842588B (zh) | 网络数据检测方法及相关设备 | |
| EP1418484A2 (en) | Event sequence detection | |
| CN113114694B (zh) | 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法 | |
| KR20120099572A (ko) | 실시간 스팸 탐색 시스템 | |
| CN101471897A (zh) | 对电子通讯中可能的错误拼写地址的启发性检测方法 | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| CN103685222A (zh) | 基于确定性有穷状态自动机的数据匹配检测方法 | |
| CN104717105A (zh) | 一种基于ISA100.11a标准的工业传感网数据重复检测方法 | |
| CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN108347370A (zh) | 一种针对性攻击邮件的检测方法及系统 | |
| Calais et al. | A campaign-based characterization of spamming strategies | |
| CN107864110A (zh) | 僵尸网络主控端检测方法和装置 | |
| CN101901307B (zh) | 一种检测数据库是否遭到跨站脚本攻击的方法及装置 | |
| US11916942B2 (en) | Automated identification of false positives in DNS tunneling detectors | |
| KR101308085B1 (ko) | 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 | |
| CN105933094A (zh) | 一种针对多链路到达序列编码的隐蔽通信检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200617 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: 518000 Nanshan Science and Technology Pioneering service center, No. 1 Qilin Road, Guangdong, Shenzhen 418, 419, Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |
|
| TR01 | Transfer of patent right |