CN103428200A - 经被动监视检测流氓域名服务提供者的存在的方法和系统 - Google Patents
经被动监视检测流氓域名服务提供者的存在的方法和系统 Download PDFInfo
- Publication number
- CN103428200A CN103428200A CN2013101957773A CN201310195777A CN103428200A CN 103428200 A CN103428200 A CN 103428200A CN 2013101957773 A CN2013101957773 A CN 2013101957773A CN 201310195777 A CN201310195777 A CN 201310195777A CN 103428200 A CN103428200 A CN 103428200A
- Authority
- CN
- China
- Prior art keywords
- address
- territory
- dns resolution
- dns
- resolution response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
Abstract
本发明涉及经被动监视检测流氓域名服务提供者的存在的方法和系统。公开了用于识别流氓域名服务(DNS)服务器的方法、系统和在计算机可读存储介质中实施的计算机程序产品。实施例包含:被动监视目标网络上的通讯;以及识别网络上的通讯中的DNS解析响应。该DNS解析响应包含域到互联网协议(IP)地址的映射。该DNS解析响应被与域到IP地址的已知映射的预配置列表进行比较。基于所述比较的结果,可以确定该DNS解析响应是否正确。在DNS解析响应不正确的情况下,DNS解析响应的提供者是流氓DNS服务器。
Description
技术领域
本发明一般涉及识别网络信息的不可信的或者泄露的源。更具体而言,本发明涉及经由被动监视识别流氓DNS服务器。
背景技术
域名服务(DNS)将字母数字域名解析为数字IP地址。该服务由围绕互联网以及在本地内联网中分散的服务器的松散集合提供。然而,如果经由该服务提供的信息不是来自授权的源,而是来自提供不正确信息的攻击者的系统、或者来自已泄露的授权的源,那么网络通讯会受阻于拒绝服务(DOS)攻击、或者因欺骗或者中间人攻击而被错误路由。这会导致敏感通讯被传送至不可信的系统、或者根本没有被传送。
一种破坏这些服务的方式将是攻击者设置了“邪恶双胞胎(eviltwin)”WiFi热点,该WiFi热点冒充可信的无线接入点,并将其自身建立为重新路由网络通讯的中间人(MITM)。MITM可以检查并修改进出流氓网络的所有通讯。另一种方式将是攻击者设置流氓服务器,该流氓服务器通过向网络中的所有节点广播它在线并且可用于处理DNS请求来劫持网络服务。又一种方式将是攻击者使可信的DNS服务器泄露,并使其产生错误的结果。在很多情况下,最后广播的服务器会被网络中的其他节点认为是权威的。
用于检测网络信息的这种不可信的或者泄露的源的一个方案是使用DNS守望者(DNS watcher),该DNS守望者通过轮询可信的DNS服务器的预先配置的列表来执行“健康检查”,以核实它们是可操作的并返回正确的结果。然而,该方法存在若干缺陷。轮询操作产生附加的多余的网络流量,并可能通过攻击者对目标网络的勘察而被发现。轮询方法另外仅核实已知的DNS服务器是否适当执行。凭借轮询特定已知的DNS服务器的主动本质,无法核实由除了被轮询的已知主机外的主机返回的DNS解析的正确性。由于流氓DNS提供者并非事先已知,利用轮询方案流氓DNS提供者将不被检查。
发明内容
一般而言,本发明的各方面提供用于在网络中识别流氓DNS服务器的被动监视方案,其不会产生附加的网络流量,并能监视由已知的和未知的DNS服务器这两者提供的DNS解析。
本公开的第一方面提供一种用于识别流氓域名服务(DNS)服务器的方法。该方法包括:被动监视网络上的通讯;识别在网络上的通讯中的DNS解析响应,其中,DNS解析响应包含域到互联网协议(IP)地址的映射;比较该DNS解析响应与域到IP地址的已知映射的预配置列表;以及基于所述比较来确定该DNS解析响应是否正确。
本公开的第二方面提供一种用于识别流氓域名服务(DNS)服务器的系统。该系统包括:监视部件,用于被动监视网络上的通讯;识别部件,用于识别网络上的通讯中的DNS解析响应,其中,DNS解析响应包含域到互联网协议(IP)地址的映射;比较部件,用于比较该DNS解析响应与域到IP地址的已知映射的预配置列表;以及确定部件,用于基于所述比较来确定该DNS解析响应是否正确。
本公开的第三方面提供一种在计算机可读存储介质中实施的计算机程序产品,该计算机程序产品当由计算设备执行时使计算机系统执行一种识别流氓域名服务(DNS)服务器的方法。该方法包括:被动监视网络上的通讯;识别网络上的通讯中的DNS解析响应,其中,DNS解析响应包含域到互联网协议(IP)地址的映射;比较该DNS解析响应与域到IP地址的已知映射的预配置列表;以及基于所述比较来确定该DNS解析响应是否正确。
本发明的这些和其他方面、优点和显著特征可以从结合附图的下面的详细说明得知,其中,在本发明的全部附图和公开实施例中,相同的部分由相同的附图标记指代。
附图说明
图1示出适于实现本发明的实施例的数据处理系统。
图2示出根据本发明的实施例的例示网络的监视的示意性数据流图。
图3示出根据本发明的实施例的例示流氓DNS服务器的识别的示意性数据流图。
图4示出依据本发明的实施例的预先配置的DNS解析表。
图5示出依据本发明的实施例的识别流氓DNS服务器的方法的流程图。
附图不一定成比例。附图仅仅是示意性表示,不是为了描绘本发明的具体参数。附图仅旨在说明本发明的典型实施例,并因此不应被认为限制本发明的范围。在附图中,同样的编号代表同样的要素。
具体实施方式
如上所述,本发明的各方面提供一种用于通过使用监视器来检测流氓DNS服务器的存在的方案,其中,该监视器被动观察节点之间的在网络上的通讯流,并寻找该网络中的欺骗DNS通讯。在一些实施例中,网络可以是局部内联网,在其他实施例中,网络可以是互联网。
转向附图,图1示出用于检测可能存在于网络200中的流氓DNS服务器215的存在的示例性监视器100。在这个程度上,监视器100包含计算机系统102,该计算机系统102可以执行本文说明的处理,以识别来自流氓DNS服务器215的无效DNS解析响应。特别地,示出的计算机系统102包含计算设备104,该计算设备104包含流氓DNS服务器识别程序140,流氓DNS服务器识别程序140使计算设备104可操作来通过执行本文说明的处理来识别流氓DNS服务器215。
示出的计算设备104包含处理单元106(例如一个或多个处理器)、存储器110、存储系统118(例如存储层级结构)、输入/输出(I/O)接口部件114(例如一个或多个I/O接口和/或设备)、以及通信通路112。一般而言,处理单元106执行至少部分固定在存储器110中的程序代码,诸如流氓DNS服务器识别程序140。在这个程度上,处理单元106可以包括单个处理单元,或者跨一个或多个位置的一个或多个处理单元进行分布。
存储器110还可以包含在程序代码的实际执行期间采用的本地存储器、大容量存储器(存储器118)、和/或高速缓存存储器(未示出),高速缓存存储器提供至少一些程序代码的临时存储,用以减少在执行期间必须从大容量存储器118取回代码的次数。这样,存储器110可以包括任何已知类型的数据存储器和/或传输介质,包含磁介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、数据缓存、数据对象等。此外,类似于处理单元106,存储器110可以驻留在包括一个或多个类型的数据存储器的单个物理位置,或者跨各种形式的多个物理系统进行分布。
当执行程序代码时,处理部件106可以处理数据,这会导致从存储器110和/或I/O部件114读取转换的数据,或者向其写入转换的数据,用于进一步的处理。通路112在计算机系统102中的各个部件之间提供直接或者间接的通信链路。I/O接口部件114可以包括:一个或多个人I/O设备,其使得人用户120能够与计算机系统102交互;和/或一个或多个通信设备,以使得系统用户120能够使用任何类型的通信链路与计算机系统102通信。
在这个程度上,流氓DNS服务器识别程序140可以管理使得人和/或系统用户120能够与流氓DNS服务器识别程序140交互的一组接口(例如图形用户接口和/或应用程序接口等)。此外,流氓DNS服务器识别程序140可以使用任何方案来管理(例如存储、取回、创建、操纵、组织、演示等)数据,诸如在表220(图2-4)中存储的数据。
在任何情况下,计算机系统102可以包括一个或多个通用计算制造品104(例如计算设备),该通用计算制造品104能够执行安装在其上的程序代码,诸如流氓DNS服务器识别程序140。要理解的是本文使用的“程序代码”是指任何语言、代码或者注释的指令的任何集合,所述指令使具有信息处理能力的计算设备直接或者在下面的任何组合之后执行特定动作:(a)转换至另一个语言、代码或者注释;(b)不同材料形式的再现;和/或(c)解压缩。在这个程度上,流氓DNS服务器识别程序140可以实施为系统软件和/或应用软件的任何组合。在任何情况下,计算机系统102的技术效果是提供处理指令给计算设备104,以识别流氓DNS服务器。
此外,流氓DNS服务器识别程序140可以使用一组模块142-150来实现。在这种情况下,模块142-150可以使得计算机系统102能够执行由流氓DNS服务器识别程序140使用的一组任务,并可以与流氓DNS服务器识别程序140的其他部分分开开发和/或实现。本文使用的术语“部件”是指带有或没有软件的硬件的任何配置,其使用任何方案结合实现结合其说明的功能;而术语“模块”是指使得计算机系统102能够使用任何方案实现与其结合说明的动作的程序代码。当固定在包含处理部件106的计算机系统102的存储器110中时,模块是实现动作的部件的主要部分。无论如何,要理解的是两个以上的部件、模块和/或系统可以共享一些/所有的它们各自的硬件和/或软件。此外,要理解的是本文说明的一些功能可能不被实现,或者附加的功能可以包含作为计算机系统102的一部分。
当计算机系统102包括多个计算设备104时,每个计算设备104可以仅将流氓DNS服务器识别程序140的一部分(例如一个或多个模块142-150)固定在其上。然而,要理解的是计算机系统102和流氓DNS服务器识别程序140仅代表各种可能的可以执行本文说明的处理的等同计算机系统。在这个程度上,在其他实施例中,由计算机系统102和流氓DNS服务器识别程序140提供的功能可以至少部分由一个或多个计算设备实现,所述计算设备包含带有或没有软件代码的通用和/或专用硬件的任何组合。在每个实施例中,硬件和程序代码(如果包含的话)可以分别使用标准工程和编程技术来创建。
当计算机系统102包含多个计算设备104时,这些计算设备可以在任何类型的通信链路上通信。此外,当执行本文说明的处理时,计算机系统102可以使用任何类型的通信链路,与一个或多个其他计算机系统通信。在任何情况下,通信链路可以包括各种类型的有线和/或无线链路的任何组合;包括一个或多个类型的网络的任何组合;和/或利用各种类型的传输技术和协议的任何组合。
如本文说明的那样,流氓DNS服务器识别程序140使得计算机系统102能够实现流氓DNS服务器的识别。在这个程度上,示出的流氓DNS服务器识别程序140包含监视模块142、识别模块144、比较模块146、确定模块148和警报模块150。
现在参考图2-3,说明可以使用监视器100的网络环境200。如图所示,网络200可以包含请求方205,该请求方205可以是由用户或者服务器操作的客户端工作站。附加的请求方205可以包含在网络200中,但为了简洁起见从图2-3中的网络200的描述中省略。请求方205可以发送将特定主机的字母数字域名解析为数字IP地址的DNS解析请求201。
如图2所示,在网络200中不存在攻击者的正常操作条件下,DNS解析请求201由授权的DNS服务器210接收并处理,DNS服务器210发送DNS解析响应202。在该情况下,DNS解析响应202可以含有域名到IP地址的有效且准确的映射。
在其他情况下,如图3所示,攻击者的流氓DNS服务器215可能存在于网络200中,其目的是冒充另一个计算系统。在这种情况下,DNS解析请求201由流氓DNS服务器215接收并处理,并且由流氓DNS服务器215提供DNS解析响应202。这样的DNS解析响应202可能含有不正确的域名到IP地址映射,在欺骗攻击下导致敏感通讯被传送至不可信系统的网络通信错误路由,或者在拒绝服务(DOS)攻击下导致网络通讯受阻。
在任一情况下,监视器100位于网络200中的关键点,以使得监视器100可以观察网络200上的节点之间的网络通讯流。如以上参考图1所述,监视器100包含模块142-150,模块142-150当由计算机系统102执行时执行网络200上的通讯的被动监视,所述通讯包含DNS解析请求201和DNS解析响应202等。
同时参考图1-3,作为监视器100的一部分的监视模块142执行网络200上的通讯的监视143,该通讯包含DNS解析请求201和DNS解析响应202。识别部件144可以在网络200上监视的通讯中识别DNS解析响应202。如之前所述,DNS解析响应202包含响应于由请求方205发送的DNS解析请求201的域名225到IP地址230的映射。
一旦DNS解析响应202被识别,比较模块146可以执行DNS解析响应202与存储在域名和IP地址的已知映射的预配置列表中的已知映射的比较,所述已知映射含在已知DNS解析表220中。含在表220中的域名到IP地址的映射已知是有效的。如图4所示,存储在表220中的IP地址230可以表示为特定的IP地址,诸如yyy.yyy.yyy.yyy,即域mybank.com的IP地址。在其他实施例中,存储在表200中的IP地址230可以使用至少一个通配符表示为IP地址的范围。IP地址的范围可以较宽,包含若干通配符,诸如例如xxx.*.*.*,即域company.com的IP地址范围。在其他实施例中,IP地址的范围可以较窄,例如仅有一个通配符,诸如zzz.zzz.zzz.1??,即域email.org的IP地址范围。
根据本发明的实施例,存储在表220中的映射的域名225和IP地址230的列表不需要是网络200的用户可以访问或者请求方205可以请求DNS解析的域的穷尽列表。相反,在表220中可以包含选定数量的主机作为代表性样本。在一些实施例中,表220可以包含域及其各自IP地址的预配置列表,这些域被选择包含在表220中是基于容宿(hosting)由网络用户访问的特别敏感信息的域。在其他实施例中,表220可以包含域及其各自IP地址的预配置列表,这些域被选择包含在表220中是基于网络200的用户的访问频率高,因此监视大样本池的DNS解析请求和响应的可能性高。
返回参考图1-3,确定模块148执行DNS解析响应202是否含有IP地址到域名的正确和有效的映射的确定。该确定基于由比较模块146执行的比较。在DNS解析响应202中的映射与存储在表220中的对应域名的映射匹配的情况下,DNS解析响应202被确定为正确。这将表明DNS解析响应202可能由授权的DNS服务器210(图2)发送。在DNS解析响应202中的映射不与表220中的对应域名的映射匹配的情况下,DNS解析响应202被确定为无效。这将表明DNS解析响应202可能由流氓DNS服务器215(图3)发送,并可能表明发生了欺骗或者发生了DOS攻击。在这种情况下,警报模块150发送警报240,以将欺骗的DNS通讯告知请求方205。在各种实施例中,警报240可以采取消息(电子邮件、短信(SMS)等)、日志条目的形式、或者对可疑行为归档并提请注意的其他形式的安全性事件通知。
在图5的流程图中说明了上述方法。如上所述,监视器被动监视网络上的通讯。在该网络上,请求工作站请求特定域的DNS解析。DNS服务器将DNS解析响应在网络上返回至请求方。在监视的网络通讯中由监视器识别DNS解析响应。一旦被识别,含在DNS解析响应中的IP地址到域的映射被与IP地址到域的已知映射的预配置列表进行比较。如果DNS解析响应中的域或IP地址都未出现在IP地址到域的已知映射的预配置列表中,那么监视器仅返回对网络进行监视。
如果DNS解析响应中的域或者IP地址出现在IP地址到域的已知映射的预配置列表中,那么含在DNS解析请求中的映射被与IP地址到域的已知映射的预配置列表中的对应映射进行比较。如果映射匹配,即,IP地址和对应域在DNS解析响应以及IP地址到域的已知映射的预配置列表中都相同,那么可以确定DNS解析响应正确,且发送它的DNS服务器是授权的。然而,如果映射不匹配,即,域在DNS解析响应以及IP地址到域的已知映射的预配置列表中对应不同的IP地址(或者IP地址在DNS解析响应以及IP地址到域的已知映射的预配置列表中对应不同的域),那么可以确定DNS解析响应无效。在该情况下,可以得出的结论是发送它的DNS服务器是未授权的,并且可能是流氓DNS服务器。在该实例中,发起警报,向请求方警告该安全性风险。
虽然本文示出并说明了用于识别流氓DNS服务器的方法和系统,但要理解的是本发明的各方面还提供了各种替代的实施例。例如,在一个实施例中,本发明提供一种固定在至少一个计算机可读介质中的计算机程序,该计算机程序当被执行时使得计算机系统能够执行流氓DNS服务器的识别。在这个程度上,计算机可读介质包含程序代码(诸如流氓DNS服务器识别程序140(图1)),该程序代码执行本文说明的一些或者所有处理。要理解的是术语“计算机可读介质”包括现在已知的或者以后开发的、能够由计算设备从其得到、再现、或者以其他方式传送程序代码的副本的一个或多个任何类型的有形表达介质。例如,计算机可读介质可以包括:一个或多个便携存储制造品、计算设备的一个或多个内存/存储部件和/或纸等。
在另一个实施例中,本发明提供一种提供执行本文说明的一些或者所有处理的程序代码(诸如流氓DNS服务器识别程序140(图1))的副本的方法。在这种情况下,计算机系统可以处理执行本文说明的一些或者所有处理的程序代码的副本,以产生并传输用于在第二个不同的位置接收的数据信号集,该数据信号集具有一个或多个特征集,和/或以把程序代码的副本编码在该数据信号集中的方式改变。类似地,本发明的实施例提供一种获取执行本文说明的一些或者所有处理的程序代码的副本的方法,包含:计算机系统接收本文说明的数据信号集,并将该数据信号集转换为固定在至少一个计算机可读介质中的计算机程序的副本。在任一情况下,该数据信号集可以使用任何类型的通信链路来发送/接收。
在又一个实施例中,本发明提供一种产生用于识别流氓DNS服务器的系统的方法。在这种情况下,可以获得(例如创建、维护、使得可用等)计算机系统(诸如计算机系统102(图1)),可以获得(例如创建、购买、使用、修改等)用于执行本文说明的处理的一个或多个部件并部署至计算机系统。在这个程度上,部署可以包括以下的一个或多个:(1)在计算设备上安装程序代码;(2)向计算机系统增加一个或多个计算设备和/或I/O设备;和/或(3)合并和/或修改计算机系统以使其能执行本文说明的处理等。
本文使用的术语“第一”、“第二”等不代表任何顺序、数量、或者重要性,而是用于将一个要素与另一个区分,术语“一”不代表数量的限制,而是代表存在至少一个提及的项目。与数量一起使用的修饰词“大约”包含声称的值,并具有由上下文指示的意思(例如包含与特定数量的测量关联的误差程度)。本文使用的术语旨在包含其单数和复数,因而包含一个或多个该术语(例如服务器包含一个或多个服务器)。本文公开的范围是包含性且可独立组合的(例如,“最多为大约3个通配符,或者更具体而言,大约1个通配符至大约3个通配符”的范围包含端点和“大约1个通配符至大约2个通配符”的范围的所有中间值等)。
为了例示目的已说明了本发明的各种实施例,但不是为了穷尽或者限于公开的实施例。在不脱离说明的实施例的范围和精神的情况下,本领域的普通技术人员容易想到很多修改和变化。本文使用的术语被选择来最佳解释实施例的原理、实际应用或者相对于市场上发现的技术的技术改进,或者使得本领域的其他普通技术人员能理解本文公开的实施例。
Claims (16)
1.一种用于识别流氓域名服务(DNS)服务器的方法,所述方法包括:
被动监视网络上的通讯;
识别网络上的通讯中的DNS解析响应,其中,该DNS解析响应包含域到互联网协议(IP)地址的映射;
比较该DNS解析响应与域到IP地址的已知映射的预配置列表;以及
基于所述比较来确定该DNS解析响应是否正确。
2.如权利要求1所述的方法,还包括在DNS解析响应被确定为不正确的情况下发送警报。
3.如权利要求2所述的方法,其中,警报包括电子邮件消息、短信消息、日志条目、或者安全性事件通知中的至少一个。
4.如权利要求1所述的方法,其中,域到IP地址的已知映射的预配置列表中的每个IP地址是特定的IP地址。
5.如权利要求1所述的方法,其中,域到IP地址的已知映射的预配置列表中的每个IP地址是使用至少一个通配符表示的IP地址的范围。
6.如权利要求1所述的方法,其中,域与IP地址的已知映射的预配置列表包含网络的用户最频繁访问的域的预配置列表。
7.如权利要求1所述的方法,其中,域与IP地址的已知映射的预配置列表包含网络用户访问的容宿敏感信息的域的预配置列表。
8.如权利要求1所述的方法,其中,所述网络包含内联网。
9.一种用于识别流氓域名服务(DNS)服务器的系统,包括:
监视部件,用于被动监视网络上的通讯;
识别部件,用于识别网络上的通讯中的DNS解析响应,其中,该DNS解析响应包含域到互联网协议(IP)地址的的映射;
比较部件,用于比较该DNS解析响应与域到IP地址的已知映射的预配置列表;以及
确定部件,用于基于所述比较来确定该DNS解析响应是否正确。
10.如权利要求9所述的系统,还包括警报部件,用于在DNS解析响应被确定为不正确的情况下发送警报。
11.如权利要求10所述的系统,其中,警报包括电子邮件消息、短信消息、日志条目、或者安全性事件通知中的至少一个。
12.如权利要求9所述的系统,其中,域到IP地址的已知映射的预配置列表中的每个IP地址是特定的IP地址。
13.如权利要求9所述的系统,其中,域到IP地址的已知映射的预配置列表中的每个IP地址是使用至少一个通配符表示的IP地址的范围。
14.如权利要求9所述的系统,其中,域与IP地址的已知映射的预配置列表包含网络的用户最频繁访问的域的预配置列表。
15.如权利要求9所述的系统,其中,域与IP地址的已知映射的预配置列表包含网络用户访问的容宿敏感信息的域的预配置列表。
16.如权利要求9所述的系统,其中,所述网络包含内联网。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/479,412 US9225731B2 (en) | 2012-05-24 | 2012-05-24 | System for detecting the presence of rogue domain name service providers through passive monitoring |
| US13/479,412 | 2012-05-24 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103428200A true CN103428200A (zh) | 2013-12-04 |
Family
ID=49547172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013101957773A Pending CN103428200A (zh) | 2012-05-24 | 2013-05-24 | 经被动监视检测流氓域名服务提供者的存在的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9225731B2 (zh) |
| JP (1) | JP2013247674A (zh) |
| CN (1) | CN103428200A (zh) |
| DE (1) | DE102013208923B4 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168339A (zh) * | 2014-06-30 | 2014-11-26 | 汉柏科技有限公司 | 防止域名劫持的方法及设备 |
| CN105338123A (zh) * | 2014-05-28 | 2016-02-17 | 国际商业机器公司 | 用于在网络中解析域名的方法、装置和系统 |
| CN106060067A (zh) * | 2016-06-29 | 2016-10-26 | 上海交通大学 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
| CN108156262A (zh) * | 2018-02-13 | 2018-06-12 | 中国联合网络通信集团有限公司 | 一种检查dns配置文件的有效性的方法及装置 |
| CN114039943A (zh) * | 2021-07-28 | 2022-02-11 | 中国建设银行股份有限公司 | 一种域名系统的数据处理方法及装置 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9225731B2 (en) | 2012-05-24 | 2015-12-29 | International Business Machines Corporation | System for detecting the presence of rogue domain name service providers through passive monitoring |
| US20130318605A1 (en) * | 2012-05-24 | 2013-11-28 | International Business Machines Corporation | System for detecting rogue network protocol service providers |
| US8613089B1 (en) | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
| GB2518460B (en) * | 2013-12-09 | 2015-10-28 | F Secure Corp | Unauthorised/Malicious redirection |
| GB2545491B (en) * | 2015-12-18 | 2020-04-29 | F Secure Corp | Protection against malicious attacks |
| US10230743B1 (en) | 2016-05-12 | 2019-03-12 | Wells Fargo Bank, N.A. | Rogue endpoint detection |
| US10594728B2 (en) | 2016-06-29 | 2020-03-17 | AVAST Software s.r.o. | Detection of domain name system hijacking |
| US10574674B2 (en) * | 2016-07-08 | 2020-02-25 | Nec Corporation | Host level detect mechanism for malicious DNS activities |
| CN110912925A (zh) * | 2019-12-04 | 2020-03-24 | 北京小米移动软件有限公司 | 检测域名系统dns劫持的方法及装置、存储介质 |
| CN116319113B (zh) * | 2023-05-23 | 2023-08-11 | 阿里云计算有限公司 | 一种域名解析异常的检测方法和电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567815A (zh) * | 2009-05-27 | 2009-10-28 | 清华大学 | 域名服务器dns放大攻击的有效检测与抵御方法 |
| US7706267B2 (en) * | 2007-03-06 | 2010-04-27 | Hewlett-Packard Development Company, L.P. | Network service monitoring |
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| US20110208838A1 (en) * | 2001-11-02 | 2011-08-25 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| CN102223422A (zh) * | 2011-08-02 | 2011-10-19 | 杭州迪普科技有限公司 | 一种dns报文处理方法及网络安全设备 |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020093527A1 (en) | 2000-06-16 | 2002-07-18 | Sherlock Kieran G. | User interface for a security policy system and method |
| US7873985B2 (en) | 2002-01-08 | 2011-01-18 | Verizon Services Corp. | IP based security applications using location, port and/or device identifier information |
| US8001271B1 (en) * | 2002-10-21 | 2011-08-16 | Arbor Networks, Inc. | Method and apparatus for locating naming discrepancies |
| US7966661B2 (en) | 2004-04-29 | 2011-06-21 | Microsoft Corporation | Network amplification attack mitigation |
| US7756933B2 (en) | 2004-12-13 | 2010-07-13 | Collactive Ltd. | System and method for deterring rogue users from attacking protected legitimate users |
| US20060176822A1 (en) * | 2005-02-09 | 2006-08-10 | International Business Machines Corporation | Method, system, service, and computer program product for identifying incorrect domain name to internet protocol (IP) address mappings |
| EP1866783B1 (en) * | 2005-02-24 | 2020-11-18 | EMC Corporation | System and method for detecting and mitigating dns spoofing trojans |
| US7436783B2 (en) | 2005-04-04 | 2008-10-14 | Apple Inc. | Method and apparatus for detecting a router that improperly responds to ARP requests |
| GB2425681A (en) | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
| JP4213689B2 (ja) * | 2005-07-08 | 2009-01-21 | 株式会社クローバー・ネットワーク・コム | ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム |
| US9015090B2 (en) * | 2005-09-06 | 2015-04-21 | Daniel Chien | Evaluating a questionable network communication |
| US7716740B2 (en) | 2005-10-05 | 2010-05-11 | Alcatel Lucent | Rogue access point detection in wireless networks |
| US7873993B2 (en) | 2005-11-09 | 2011-01-18 | Cisco Technology, Inc. | Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation |
| US20070186276A1 (en) | 2006-02-09 | 2007-08-09 | Mcrae Matthew | Auto-detection and notification of access point identity theft |
| US20070271220A1 (en) * | 2006-05-19 | 2007-11-22 | Chbag, Inc. | System, method and apparatus for filtering web content |
| US8000698B2 (en) | 2006-06-26 | 2011-08-16 | Microsoft Corporation | Detection and management of rogue wireless network connections |
| US20080060054A1 (en) | 2006-09-05 | 2008-03-06 | Srivastava Manoj K | Method and system for dns-based anti-pharming |
| US8069483B1 (en) | 2006-10-19 | 2011-11-29 | The United States States of America as represented by the Director of the National Security Agency | Device for and method of wireless intrusion detection |
| US7823202B1 (en) | 2007-03-21 | 2010-10-26 | Narus, Inc. | Method for detecting internet border gateway protocol prefix hijacking attacks |
| US8219800B2 (en) | 2007-06-06 | 2012-07-10 | Cisco Technology, Inc. | Secure neighbor discovery router for defending host nodes from rogue routers |
| US8312541B2 (en) | 2007-07-17 | 2012-11-13 | Cisco Technology, Inc. | Detecting neighbor discovery denial of service attacks against a router |
| EP2241087A1 (en) | 2008-01-23 | 2010-10-20 | Telefonaktiebolaget L M Ericsson (publ) | Method and apparatus for pooling network resources |
| US20090327487A1 (en) | 2008-06-30 | 2009-12-31 | Eric Olson | Method and system for discovering dns resolvers |
| US8191137B2 (en) | 2008-07-30 | 2012-05-29 | International Business Machines Corporation | System and method for identification and blocking of malicious use of servers |
| US7930428B2 (en) * | 2008-11-11 | 2011-04-19 | Barracuda Networks Inc | Verification of DNS accuracy in cache poisoning |
| CN101420433B (zh) | 2008-12-01 | 2013-03-13 | 成都市华为赛门铁克科技有限公司 | 防御域名系统欺骗攻击的方法及装置 |
| US20100262688A1 (en) | 2009-01-21 | 2010-10-14 | Daniar Hussain | Systems, methods, and devices for detecting security vulnerabilities in ip networks |
| JP2011049745A (ja) * | 2009-08-26 | 2011-03-10 | Toshiba Corp | Dnsキャッシュ・ポイズニング攻撃を防御する装置 |
| US8924519B2 (en) | 2009-11-03 | 2014-12-30 | Microsoft Corporation | Automated DNS configuration with local DNS server |
| US8370933B1 (en) * | 2009-11-24 | 2013-02-05 | Symantec Corporation | Systems and methods for detecting the insertion of poisoned DNS server addresses into DHCP servers |
| US8321551B2 (en) * | 2010-02-02 | 2012-11-27 | Symantec Corporation | Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions |
| US8719900B2 (en) * | 2010-05-18 | 2014-05-06 | Amazon Technologies, Inc. | Validating updates to domain name system records |
| US20130318605A1 (en) | 2012-05-24 | 2013-11-28 | International Business Machines Corporation | System for detecting rogue network protocol service providers |
| US9225731B2 (en) | 2012-05-24 | 2015-12-29 | International Business Machines Corporation | System for detecting the presence of rogue domain name service providers through passive monitoring |
| US20130332986A1 (en) * | 2012-06-08 | 2013-12-12 | Bluebox | Methods and apparatus for dynamically reducing virtual private network traffic from mobile devices |
-
2012
- 2012-05-24 US US13/479,412 patent/US9225731B2/en not_active Expired - Fee Related
-
2013
- 2013-04-09 JP JP2013080924A patent/JP2013247674A/ja active Pending
- 2013-05-14 DE DE102013208923.6A patent/DE102013208923B4/de active Active
- 2013-05-24 CN CN2013101957773A patent/CN103428200A/zh active Pending
-
2015
- 2015-10-16 US US14/884,899 patent/US9648033B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110208838A1 (en) * | 2001-11-02 | 2011-08-25 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| US7706267B2 (en) * | 2007-03-06 | 2010-04-27 | Hewlett-Packard Development Company, L.P. | Network service monitoring |
| CN101567815A (zh) * | 2009-05-27 | 2009-10-28 | 清华大学 | 域名服务器dns放大攻击的有效检测与抵御方法 |
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| CN102223422A (zh) * | 2011-08-02 | 2011-10-19 | 杭州迪普科技有限公司 | 一种dns报文处理方法及网络安全设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105338123A (zh) * | 2014-05-28 | 2016-02-17 | 国际商业机器公司 | 用于在网络中解析域名的方法、装置和系统 |
| CN105338123B (zh) * | 2014-05-28 | 2018-10-02 | 国际商业机器公司 | 用于在网络中解析域名的方法、装置和系统 |
| CN104168339A (zh) * | 2014-06-30 | 2014-11-26 | 汉柏科技有限公司 | 防止域名劫持的方法及设备 |
| CN106060067A (zh) * | 2016-06-29 | 2016-10-26 | 上海交通大学 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
| CN106060067B (zh) * | 2016-06-29 | 2018-12-25 | 上海交通大学 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
| CN108156262A (zh) * | 2018-02-13 | 2018-06-12 | 中国联合网络通信集团有限公司 | 一种检查dns配置文件的有效性的方法及装置 |
| CN108156262B (zh) * | 2018-02-13 | 2019-06-25 | 中国联合网络通信集团有限公司 | 一种检查dns配置文件的有效性的方法及装置 |
| CN114039943A (zh) * | 2021-07-28 | 2022-02-11 | 中国建设银行股份有限公司 | 一种域名系统的数据处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102013208923A1 (de) | 2013-11-28 |
| JP2013247674A (ja) | 2013-12-09 |
| DE102013208923B4 (de) | 2014-10-16 |
| US20130318170A1 (en) | 2013-11-28 |
| US20160036845A1 (en) | 2016-02-04 |
| US9648033B2 (en) | 2017-05-09 |
| US9225731B2 (en) | 2015-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103428200A (zh) | 经被动监视检测流氓域名服务提供者的存在的方法和系统 | |
| Zhang et al. | A survey on latest botnet attack and defense | |
| US9268956B2 (en) | Online-monitoring agent, system, and method for improved detection and monitoring of online accounts | |
| US8561187B1 (en) | System and method for prosecuting dangerous IP addresses on the internet | |
| EP3253018B1 (en) | Network intrusion detection based on geographical information | |
| CN104205774B (zh) | 网络地址储存库管理 | |
| US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
| CN105656950B (zh) | 一种基于域名的http访问劫持检测与净化装置及方法 | |
| CA3059788A1 (en) | Correlation-driven threat assessment and remediation | |
| CN104169937B (zh) | 机会系统扫描 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| CN105323247A (zh) | 一种用于移动终端的入侵检测系统 | |
| JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
| CN110138770B (zh) | 一种基于物联网威胁情报生成和共享系统及方法 | |
| Sharma et al. | Security threats and measures in the Internet of Things for smart city infrastructure: A state of art | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| CN102792306A (zh) | 用于检测计算机资源劫持的方法 | |
| Haseeb-Ur-Rehman et al. | High-Speed Network DDoS Attack Detection: A Survey | |
| US20190174252A1 (en) | Method and Apparatus for Wireless Client-to-Network Host Association | |
| US20230254281A1 (en) | Local network device connection control | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| US10757124B2 (en) | Anomaly detection associated with communities | |
| EP4044505B1 (en) | Detecting botnets | |
| US20230275914A1 (en) | Method and apparatus for detecting anomalies of an infrastructure in a network | |
| US20130318605A1 (en) | System for detecting rogue network protocol service providers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20131204 |