CN103634315A - 域名服务器的前端控制方法及系统 - Google Patents
域名服务器的前端控制方法及系统 Download PDFInfo
- Publication number
- CN103634315A CN103634315A CN201310619162.9A CN201310619162A CN103634315A CN 103634315 A CN103634315 A CN 103634315A CN 201310619162 A CN201310619162 A CN 201310619162A CN 103634315 A CN103634315 A CN 103634315A
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- address
- white list
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000011217 control strategy Methods 0.000 claims abstract description 58
- 238000004458 analytical method Methods 0.000 claims abstract description 29
- 238000012545 processing Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 56
- 238000007726 management method Methods 0.000 claims description 54
- 230000008569 process Effects 0.000 claims description 28
- 230000008878 coupling Effects 0.000 claims description 15
- 238000010168 coupling process Methods 0.000 claims description 15
- 238000005859 coupling reaction Methods 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 12
- 238000007493 shaping process Methods 0.000 claims description 11
- 238000002955 isolation Methods 0.000 claims description 10
- 238000013507 mapping Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000000151 deposition Methods 0.000 claims description 4
- 101000911390 Homo sapiens Coagulation factor VIII Proteins 0.000 claims description 3
- 102000057593 human F8 Human genes 0.000 claims description 3
- 229940047431 recombinate Drugs 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 238000007405 data analysis Methods 0.000 claims description 2
- 238000001914 filtration Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 4
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000011017 operating method Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000007306 turnover Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- YTAHJIFKAKIKAV-XNMGPUDCSA-N [(1R)-3-morpholin-4-yl-1-phenylpropyl] N-[(3S)-2-oxo-5-phenyl-1,3-dihydro-1,4-benzodiazepin-3-yl]carbamate Chemical compound O=C1[C@H](N=C(C2=C(N1)C=CC=C2)C1=CC=CC=C1)NC(O[C@H](CCN1CCOCC1)C1=CC=CC=C1)=O YTAHJIFKAKIKAV-XNMGPUDCSA-N 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000010188 recombinant method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,具体地说是一种域名服务器的前端控制方法及系统,其特征在于前端管理器设有DNS数据包捕获模块,与DNS数据包捕获模块输出端相连接的控制策略模块,与控制策略模块相连接的黑/白名单查询模块,与控制策略模块输出端相连接的DNS解析应答转发模块,与黑/白名单查询模块相连接的黑/白名单索引数据库模块,以及分别与控制策略模块、DNS解析应答转发模块相连接的用于记录处理结果的日志模块,其中日志模块和黑/白名单索引数据库模块与数据库模块相连接,本发明与现有技术相比,既不影响DNS服务器的正常域名解析,又能实现对恶意域名的有效控制。
Description
技术领域
本发明涉及网络安全技术领域,具体地说是一种部署在域名服务器前端,通过高性能的捕获平台来拦截获取DNS服务器的请求与应答数据流,进而实现对恶意域名访问进行有效的过滤以及对非法访问者实现隔离与阻断的域名服务器的前端控制方法及系统。
背景技术
众所周知,域名系统(Domain Name System,DNS)是互联网重要的基础设施,它的主要任务是提供域名到IP地址转换的目录服务。域名解析就是将域名重新转换为IP地址的过程。如果没有域名系统,Web、电子邮件等许多重要的网络服务将不能正常工作。然而,近年来,DNS成为网络易受攻击的目标。2013年3月,Spamhaus网站遭遇DDoS攻击,攻击流量峰值高达300Gbps,成为史上最大的DDoS攻击,超大的攻击流量汇聚到欧洲几个一级运营商网络内部,造成欧洲地区的网络拥塞。本次攻击事件中,攻击者借助开放DNS服务器,采用DNS反射攻击将攻击流量轻松放大100倍。2010年,百度出现出现短暂无法访问的情况反馈,随后发布官方版本公告:“因www.baidu.com的域名在美国域名注册商处被非法篡改,导致全球多处用户不能正常访问百度”;2009年的“暴风影音”事件,由于域名服务DNSPod遭遇恶意拒绝服务攻击而瘫痪,导致其服务对象暴风影音等网站提交无法找到正确服务器。因此,现如今迫切需要一种切实有效的系统来阻断与隔离恶意网站以及非法攻击对用户的影响与威胁。
现有技术中,针对恶意域名的处理技术主要包括四种:(1)利用域名解析软件:目前95%以上的域名解析软件使用BIND,BIND自带黑名单过滤功能,但存在如下缺陷:黑名单更新需要停止域名解析服务,极大的影响系统的可用性;当数据量很大时影响系统的性能,并且黑名单的数量有限。(2)面向DNS过滤的网关系统:贝尔实验室的Cheswick等人提出了一种面向DNS过滤的安全网关系统,以防火墙的形式运行在网络中,缺点是使用过滤规则进行处理,速度和效率较低,当过滤域名较多时,会大大降低域名解析服务的可用性。(3)具有安全功能的DNS系统,如OpenDNS,通过其收集的恶意网站列表实现恶意网站的过滤,虽然提高了安全性,但其适用范围小,用户量非常少,通用性差。(4)路由器级DNS安全解决方案:通过在路由器级别进行DNS的过滤和控制等功能,如国外的Cisco IOS Content Filtering,提供针对恶意域名和恶意Web访问的过滤和控制。缺陷:只能针对特定的接入区域进行相应的配置型过滤,但不能针对DNS服务器进行针对有效的安全过滤,同时由于大多采用基于路由器过滤规则的处理方式,不适合处理大规模海量的黑白名单过滤业务,无法满足实时性的处理要求。(5)专利申请“一种安全域名服务器及基于此的恶意域名监控系统和方法”在修改BIND源码基础上增加了恶意域名控制机制,虽然能很好实现域名解析和恶意域名过滤功能,但修改DNS可引起一定风险,难于部署导致该申请文件中记载的技术方案推广存在困难。
上述现有的恶意域名控制技术在可用性、通用性和可控性等方面都存在一定的问题,因此急需一种既不影响域名解析正常服务,又能保证安全的控制方法。
发明内容
本发明针对现有技术中存在的缺点和不足,提出了一种对恶意域名访问进行有效的过滤,同时也对非法访问者进行阻断和隔离的域域名服务器的前端控制方法及系统。
本发明可以通过以下措施达到:
一种域名服务器的前端控制方法,其特征在于包括以下步骤:
步骤1:建立与更新黑/白名单索引数据库,系统初始化时在内存中建立四个索引数据库:IP黑名单、IP白名单、域名白名单和域名黑名单,其中IP黑名单以及IP白名单包含非法访问者IP地址和资源记录中出现的IP地址,IP黑名单以及IP白名单数据索引结构采用了哈希B树结构实现,在系统运行过程中,管理端将黑/白名单及其对应的控制策略下发到DNS数据库,系统轮询DNS数据库,如有更新则反馈给黑/白名单索引数据库;
步骤2:捕获数据包,在前端管理器主机的两块网卡上捕获出入DNS服务器的请求包和应答包,其中对请求包的捕获是在DNS域名请求包还未到达DNS服务器之前拦截,响应包的捕获是DNS域名请求包经过DNS服务器响应后本系统再拦截响应包;
步骤3:将捕获到的DNS数据解析出首部信息、请求者的IP地址、请求的域名及响应的IP地址,根据不同的记录类型(包括A记录、A4记录、A6记录、反向解析)和功能开关的启停,转入各自的控制分支;
步骤4:黑/白名单查询,根据DNS数据包解析出的域名和地址信息使用黑/白名单查询模块判断该包是否在黑/白名单下,判断范围包括请求包的源IP地址与其要请求解析的域名、应答包的目的地址、请求的域名和解析出的IP地址;
步骤5:控制处理,根据步骤4中的查询结果对域名或IP地址进行控制和处理,如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中,则放行该数据包,如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中,则将应答包交由控制策略模块进行控制处理;
步骤6:对步骤5处理后的数据包交由DNS解析应答转发模块进行转发、丢弃或重组。如果是请求包或响应包位于黑名单中,则根据控制策略(重定向、欺骗、阻断),前端管理器重组重定向或欺骗的DNS响应包直接发往域名解析请求者,或者不作响应;如果拦截到的是请求包在白名单中或不在黑名单中,则需发给DNS服务器去做正常解析;
步骤7:将上述控制过程中生成的日志文件进行统计分析后,将统计分析结果存入DNS数据库,与DNS数据库相连接的管理端实现对系统的管理和结果的查看。
本发明步骤1所述建立与更新黑/白名单索引数据库具体包括以下步骤:
步骤1-1:系统初始化时,前端管理器读取数据库文件,在内存中建立4个名单数据库,数据库的建立过程如下:
(1)初始化哈希表和查询树的索,为其分配内存空间,哈希表的最大数目为MAXBUCKETS;
(2)将数据库文件映射到系统内存中;
(3)读取文件的一条记录,取出该条规则的ID号、被监控域名或IP地址、重定向地址、控制策略;
(4)根据输入的域名或IP地址生成两个整形哈希关键字Key1和Key2,用对哈希桶数 MAXBUCKETS 取模,以此值确定该条目所对应的哈希桶,用Key2确定该条目在B树中的索引项;
(5)新建一个名单记录结构体结点,将该条记录的信息拷贝到该结点中;
(6)根据Key1找到对应的哈希桶,如果该桶当前成员为空,则新建一个B树根节点,将该记录放在此节点上,否则根据Key2将该结点插到B树相应的位置上;
(7)读取数据库文件的下一条记录,如果已是文件尾,则解除文件映射,结束,否则跳转到步骤3继续完成索引树的建立。
步骤1-2:系统在运行过程中,轮询DNS数据库,如果该数据库有规则更新,则反馈给系统,把相应的B树进行更新,更新有立即更新和定时更新两种方式,具体的更新过程如下:
(1)从DNS数据库读取一条新下发的规则,从规则设置的生效时间和失效时间判断是立即执行还是定时执行,如果是定时执行则设定定时时间添加到线程中执行;
(2)判断如果下发的IP白名单控制策略,提取规则中的IP地址信息及操作码opcode_type,其中0表示添加,1表示删除, 更新IP白名单B树,并把更新信息同步到备份数据库文件中;
(3)如果下发的IP黑名单、域名白名单或域名黑名单控制策略,同样使用步骤2的方法更新B树。
本发明步骤4具体包括以下步骤:
步骤4-1:首先判断拦截到的数据包是DNS请求包还是应答包,如果是应答包,则转步骤4-5;否则首先检查该请求包的源IP地址是否在IP白名单中,然后根据IP地址生成两个整形哈希关键字Key1和Key2,用 Key1 对哈希桶数 MAXBUCKETS 取模,以此值为索引找到哈希表中的对应项,如果对应的 B 树不为空,以 Key2 为关键字查询 B树,寻找其相关索引项,找到索引项后,给定IP地址与索引项对应列表中的IP地址一一比较以判断是否匹配,若存在一个完全匹配的IP地址,则对该包放行,发往DNS服务器去做正常解析;否则转步骤4-2;
步骤4-2:使用如步骤4-1的方法在IP黑名单中查找,若找到一个完全匹配的IP地址,则返回存在标志和该项的控制规则,转到步骤5对该DNS请求包进行控制和处理,否则返回不存在标志;
步骤4-3:如果步骤4-2返回不存在标志,则检查中文、英文域名开关是否打开,如果打开,则判断该DNS请求包所请求域名是否在域名白名单中,具体包括:(1)根据输入的请求域名生成两个整形哈希关键字Key1和Key2,用 Key1 对哈希桶数 MAXBUCKETS 取模,以此值为索引找到哈希表中的对应项,如果对应的 B 树不为空,以 Key2 为关键字查询 B树,寻找其相关索引项;(2)找到索引项后,给定域名与索引项对应列表中的域名一一比较以判断其是否匹配,若存在一个完全匹配的域名,则该包放行,发往DNS服务器去做正常解析,否则转步骤4-4;
步骤4-4:使用如步骤4-3的方法在域名黑名单中查找,若找到一个完全匹配的域名,则转到步骤5对该DNS请求包进行控制和处理,否则对该包放行,发往DNS服务器去做正常解析;
步骤4-5:如果拦截到的数据包是DNS应答包,则需判断应答包的目的IP地址、域名和资源记录中的IP地址是否在相应的白名单和黑名单中,具体匹配过程与步骤4-1至步骤4-4相同,即首先判断应答包的目的IP地址是否在白名单和黑名单中;如果没有则判断应答包的域名是否在白名单和黑名单中;如果没有则要判断应答包资源记录解析到的IP地址是否在白名单和黑名单中,这一步与前两步不同的是,应答包的资源记录中的IP地址可能会有多个,需逐个进行匹配。
本发明步骤5中控制策略模块控制处理具体包括:
步骤5-1:判断控制方式,并依据匹配到的结果取出规则策略,所述规则策略包括三种,分别为隔离与阻断、欺骗、重定向,如果为隔离与阻断策略,则直接丢弃该包,如果为欺骗策略,则返回查询结果不存在;如果为重定向策略,则返回重定向IP地址;
步骤5-2:日志记录生成,对每一个拦截到的数据包及系统对其控制方式等信息生成相应的日志记录。
本发明步骤1讲述黑/白名单索引数据库的建立与更新,索引结构的建立是为了提高安全DNS服务器前端管理器的查找性能,由于本系统在过滤功能中涉及了频繁的黑名单数据库查找,因此,黑名单数据库查找性能是衡量系统整体性能的关键所在,基于哈希B树结构的黑名单数据库索引在系统启动的时在内存中建立并以数据驱动触发的方式来进行同步更新,确保其内容与黑名单数据库一致。并且通过对索引结构的加锁,并实现黑、白名单库中的记录添加、删除、更新做到无缝操作其具体方法为:将黑名单或白名单库空间分成N组,同样将待更新的域名集合也分成N组,然后锁定黑名单库的一组数据,并将相应的待更新组更新到黑名单库中,假设更新这批数据的总时间为T,则经过分组后每组的更新时间为T/N,因此能够有效缩短黑名单库的单次锁定时间;另外,由于一次只锁定一组数据,那么在更新数据的同时,其他组的黑名单数据仍被允许查询,减小了因更新给查询带来的影响。
一种域名服务器的前端控制系统,包括设于域名服务器前端的前端管理器、与前端管理器相连接的监控管理模块、与前端管理器相连接的数据库模块以及与数据库模块相连接的管理端,其特征在于前端管理器设有DNS数据包捕获模块,与DNS数据包捕获模块输出端相连接的控制策略模块,与控制策略模块相连接的黑/白名单查询模块,与控制策略模块输出端相连接的DNS解析应答转发模块,与黑/白名单查询模块相连接的黑/白名单索引数据库模块,以及分别与控制策略模块、DNS解析应答转发模块相连接的用于记录处理结果的日志模块,其中日志模块和黑/白名单索引数据库模块与数据库模块相连接。
本发明中控制策略模块对每一个拦截的DNS包从三方面检查:(1)检查访问者的IP地址;(2)检查访问者所请求的域名;(3)检查请求域名的响应IP地址,如果有其一位于黑名单中,则对其进行策略控制。控制策略分为三类:(1)重定向控制策略,使非法访问请求得到的结果都被重定向为固定IP地址或域名;(2)欺骗控制策略,使非法访问请求被告知请求域名不存在,3)丢弃控制策略,使非法访问请求的请求包被丢弃,最终显示访问超时。同时,在监控过程中实现精细化控制,数据包处理流程中添加了7个功能开关,使用户能自主选择自己所需的监控功能,7个功能开关分别是:中文域名监控功能、英文域名监控功能、DNS域名请求正向解析监控功能、DNS域名请求反向解析(PTR记录)监控功能、DNS 域名请求A记录监控功能、DNS 域名请求AAAA记录监控功能、DNS 域名请求A6记录监控功能。
本发明中DNS解析应答转发模块负责将实施了控制策略的DNS数据包进行重组,重组之后发给请求者。
本发明中黑/白名单查询模块的功能是过滤数据包,黑名单中的IP地址和域名是要拦截的包信息,白名单中的IP地址和域名是要放行的包信息。匹配的项目有:DNS请求包的源IP地址、请求解析的域名以及DNS应答包的目的IP地址、请求的域名、资源记录中返回的响应IP地址。
本发明中黑/白名单索引数据库模块包含在内存中建立四个索引数据库:IP黑名单、IP白名单、域名白名单和域名黑名单。其中IP黑/白名单索引数据库包含非法访问者IP地址和资源记录中出现的IP地址。当黑/白名单查询模块接收到一个域名或IP地址时,就到对应的黑/白名单库中查找是否存在,如果位于白名单中,则直接放行;如果位于黑名单中,则按照控制策略对该包进行控制。当前端管理器轮询DNS数据库,如有发现新的控制规则下发,则将其添加到对应的索引数据库。为保证匹配黑、白名单效率,系统设计了一种高效的哈希B树索引结构,该结构在大规模数据量级下表现出优秀的查询性能;并且采用了分组锁定技术,即系统更新某一个缓存分组时,不影响对其他分组的操作,保证了系统黑白名单数据的无缝更新。
本发明中日志模块负责记录实施了控制规则的数据包的情况以及系统运行过程中的错误信息。
本发明与现有技术相比,将前端管理器部署在DNS服务器的前方,进出DNS服务器的数据包都要经过前端管理器的检查。如果到达前端的是请求包,则对其要访问的域名和访问者IP地址进行实时的快速key-value的查找,如果处在白名单中或不在黑名单中,则直接发往DNS服务器去做正常域名解析,如果处在黑名单中,则应用控制策略对数据包进行控制,前端组装一个DNS响应包发给请求者,该包不再发往DNS服务器去做解析,果前端接收到的是响应包,则需检查该包的目的IP地址、域名、响应IP地址,如果任一信息处在白名单中,则放行该包,发给请求者;如果任一信息处在黑名单中则应用控制策略,重新组装伪造包发给请求者或直接丢弃不作响应,如果都不在黑、白名单中,则放行该包,样的拦截方式既不影响DNS服务器的正常域名解析,又能实现对恶意域名的有效控制。
前端管理器在性能方面做了几方面的优化能使系统不影响DNS服务器的解析性能,具有部署灵活、运行稳定、易维护、可用性高等优点。由于本系统在过滤功能中涉及了频繁的黑名单数据库查找,因此,黑名单数据库查找性能是衡量系统整体性能的关键所在。系统的黑名单匹配是在内存中进行,基于哈希B树结构的黑名单数据库索引在系统启动时在内存中建立并以数据驱动触发的方式来进行同步更新,确保其内容与黑名单数据库一致。黑名单数据库中的记录条目以key-value的形式存储在哈希B树中,并为每一个条目生成两个关键字,其作用如下:key1用于确定该条目所对应的哈希桶,key2:确定该条目在B树中的索引项。
采用采用高效的黑名单建立及搜索算法,提高其存储和查找效率;并且通过对索引结构的加锁,并实现黑、白名单库中的记录添加、删除、更新做到无缝操作。这些措施保证了系统在实施恶意域名控制的同时,基本不影响域名解析服务,提高其可用性。
附图说明:
附图1是本发明的结构示意图。
附图2 是黑/白名单索引数据库建立过程的流程图。
附图3是前端管理器对数据包的控制流程图。
附图4 是DNS请求包黑/白名单匹配过程的流程图。
附图5 是本发明中黑名单查询流程图。
附图标记:前端管理器1、管理端2、DNS数据包捕获模块3、黑/白名单查询模块4、DNS解析应答转发模块5、控制策略模块6、日志模块7、数据库模块8、黑/白名单索引数据库模块9、监控管理模块10。
具体实施方式:
下面结合附图对本发明作进一步的说明。
如附图1所示,本发明针对现有技术的不足,提出一种域名服务器的前端控制系统,包括设于域名服务器前端的前端管理器1、与前端管理器1相连接的监控管理模块10、与前端管理器1相连接的数据库模块8以及与数据库模块8相连接的管理端2,其特征在于前端管理器1设有DNS数据包捕获模块3,与DNS数据包捕获模块3输出端相连接的控制策略模块6,与控制策略模块6相连接的黑/白名单查询模块4,与控制策略模块6输出端相连接的DNS解析应答转发模块5,与黑/白名单查询模块4相连接的黑/白名单索引数据库模块9,以及分别与控制策略模块6、DNS解析应答转发模块5相连接的用于记录处理结果的日志模块7,其中日志模块7和黑/白名单索引数据库模块9的输出端分别与数据库模块8相连接。
在实际实施过程中,针对用户域名解析请求的数据包依次经过DNS数据包捕获模块3、控制策略模块6与黑名单查询模块4的处理后,根据处理结果,被送达DNS解析应答转发模块5,其中控制策略模块6、DNS解析应答转发模块5与日志模块7相连接,从而实现对控制策略操作与应答转发的日志记录;
本发明中所述控制策略模块6设有七种功能开关,可根据需要打开或关闭某项功能,提高性能或验证功能可靠性,功能开关包括:中文DNS管控开关、英文DNS管控开关、A资源记录类型管控开关、AAAA资源记录类型管控开关、A6资源记录类型管控开关、正向解析管控开关和反向解析管控开关,控制策略模块6还设有三路信号处理模块,分别用于实现三种控制处理方式,包括隔离与阻断策略子模块、欺骗策略子模块、重定向策略子模块,当控制策略模块接收上一级送达的信息后,根据信息判断结果,选择相应的处理方式进行处理。
本发明还提出了一种域名服务器的前端控制方法,具体实施时,包括以下步骤:
步骤1:建立黑/白名单索引数据库,管理端2将域名和IP黑/白名单提交给DNS数据库模块8,由前端管理器1建立黑名单索引数据库9,具体步骤为包括:
步骤1-1:系统初始化时,前端管理器1读取数据库文件,在内存中建立4个名单数据库,数据库的建立过程如附图2所示,具体过程如下:
步骤a:初始化哈希表和查询树的索,为其分配内存空间,哈希表的最大数目为MAXBUCKETS;
步骤b:将数据库文件映射到系统内存中;
步骤c:读取文件的一条记录,取出该条规则的ID号、被监控域名(或IP地址)、重定向地址、控制策略;
步骤d:根据输入的域名(或IP地址)生成两个整形哈希关键字Key1和Key2,用对哈希桶数 MAXBUCKETS 取模,以此值确定该条目所对应的哈希桶。用Key2确定该条目在B树中的索引项;
步骤e:新建一个黑名单记录结构体结点,将该条记录的信息拷贝到该结点中;
步骤f:根据Key1找到对应的哈希桶,如果该桶当前成员为空,则新建一个B树根节点,将该记录放在此节点上;否则根据Key2将该结点插到B树相应的位置上;
步骤g:读取数据库文件的下一条记录,如果已是文件尾,则解除文件映射,结束;否则跳转到步骤3继续完成索引树的建立。
步骤1-2:前端管理器在运行过程中,轮询DNS数据库8,如果该数据库有规则更新,则反馈给系统,把相应的B树进行更新,更新有立即更新和定时更新两种方式,具体的更新过程如下:
步骤a:从DNS数据库读取一条新下发的规则,从规则设置的生效时间和失效时间判断是立即执行还是定时执行,如果是定时执行则设定定时时间添加到线程中执行;
步骤b:根据规则ID号判断如果下发的IP白名单控制策略,提取规则中的IP地址信息及操作码opcode_type(0表示添加,1表示删除), 更新IP白名单B树,即在IP白名单B树索引上增加或删除该IP地址的控制规则,并把更新信息同步到备份数据库文件中;
步骤c:如果下发的IP黑名单、域名白名单或域名黑名单控制策略,同样使用步骤2的方法更新相应的B树。
步骤2:捕获数据包,DNS数据包捕获模块3在前端管理器主机的两块网卡上捕获出入DNS服务器的请求包和应答包,请求包拦截是在DNS域名请求包还未到达DNS服务器之前拦截,响应包拦截是DNS域名请求包经过DNS服务器响应后本系统再拦截响应包;
步骤3:将捕获到的DNS数据,解析出首部信息、请求者的IP地址、请求的域名及响应的IP地址,根据不同的记录类型(包括A记录、A4记录、A6记录、反向解析)和功能开关的启停,转入控制策略模块6的控制分支,具体流程如附图3所示;
步骤4:黑/白名单查询。根据DNS数据包解析出的域名和地址信息使用黑/白名单查询模块4在步骤1生成的黑/白名单索引数据库9中查询,查询范围包括DNS请求包的源IP地址与其请求解析的域名、DNS应答包的目的IP地址、域名与其解析出的IP地址。DNS请求包的黑/白名单查询过程如附图4所示,具体步骤包括:
步骤a:首先判断拦截到的数据包是DNS请求包还是应答包,如果是应答包,则转步骤e;否则首先检查该请求包的源IP地址是否在IP白名单中,具体步骤为:
步骤a1:根据IP地址生成两个整形哈希关键字Key1和Key2,用 Key1 对哈希桶数 MAXBUCKETS 取模,以此值为索引找到哈希表中的对应项,如果对应的 B 树不为空,以 Key2 为关键字查询 B树,寻找其相关索引项;
步骤a2:找到索引项后,给定IP地址与索引项对应列表中的IP地址一一比较以判断是否匹配,若存在一个完全匹配的IP地址,则对该包放行,发往DNS服务器去做正常解析,否则转步骤b;
步骤b:使用上述同样方法(步骤a1)在IP黑名单中查找。若找到一个完全匹配的IP地址,则返回存在标志和该项的控制规则,转到步骤5对该DNS请求包进行控制和处理;否则返回不存在标志。
步骤c:如果步骤b返回不存在标志,则检查中文、英文域名开关是否打开。如果打开,则判断该DNS请求包所请求域名是否在域名白名单中,具体步骤如下:
步骤c1:根据输入的请求域名生成两个整形哈希关键字Key1和Key2,用 Key1 对哈希桶数 MAXBUCKETS 取模,以此值为索引找到哈希表中的对应项,如果对应的 B 树不为空,以 Key2 为关键字查询 B树,寻找其相关索引项。
步骤c2:找到索引项后,给定域名与索引项对应列表中的域名一一比较以判断其是否匹配,若存在一个完全匹配的域名,则该包放行,发往DNS服务器;否则转步骤d。
步骤d:使用上述同样方法(步骤c1)在域名黑名单中查找。若找到一个完全匹配的域名,则转到步骤5对该DNS请求包进行控制和处理;否则对该包放行,发往DNS服务器去做正常解析。
步骤e:如果拦截到的数据包是DNS应答包,则需判断应答包的目的IP地址、域名和资源记录中的IP地址是否在相应的白名单和黑名单中。具体查询过程与步骤a、b、c、d相同,即首先判断应答包的目的IP地址是否在白名单和黑名单中;如果没有则判断应答包的域名是否在白名单和黑名单中;如果没有则要判断应答包资源记录解析到的IP地址是否在白名单和黑名单中,这一步与前两步不同的是,应答包的资源记录中的IP地址可能会有多个,需逐个进行查询。
步骤5:步骤4中的查询结果返回控制策略模块6,对域名或IP地址进行控制和处理,如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中,则将数据包发往DNS服务器去做正常解析;如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中,则该将应答包交由控制策略模块6进行控制处理,控制处理的具体步骤为:
步骤a:判断控制方式,并依据查询结果取出规则策略所述规则策略包括三种,分别为隔离与阻断、欺骗、重定向,如果为隔离与阻断策略,则直接丢弃该包;如果为欺骗策略,则返回查询结果不存在;如果为重定向策略,则返回重定向IP地址。
步骤b:日志记录生成,对每一个拦截到的数据包及对其控制方式等信息都由日志模块7生成相应的日志记录。
步骤5:通过日志模块7将步骤4中生成的日志文件进行统计分析后,将统计分析结果存入DNS数据库8,与DNS数据库模块8相连接的管理端2实现对系统的管理和结果的查看。
附图5是DNS请求包和应答包进行黑白名单查询的过程,其中在黑/白名单索引数据库中查找域名或IP的过程如图5所示,包括如下操作步骤:
步骤a:根据读取的域名或IP生成两个整形的哈希关键字key1和key2。Key1: 确定该条目所对应的哈希桶。Key2: 确定该条目在B树中的索引项;
步骤b:根据Key1寻找HASH桶,如果找到转步骤c查找B树,否则返回R_NOTFOUND,结束。
步骤c:加相应B树锁;
步骤d:根据Key2在B树查找结点,如果找到返回R_FOUND,否则返回R_NOTFOUND;
步骤e:,解B树锁;结束。
黑名单正常更新包括如下操作步骤:
步骤a:输入待更新域名集合首地址;
步骤b:读取一条域名及其相关数据;
步骤c:根据读取的域名生成两个整形的哈希关键字key1和key2;
步骤d:根据key1对组数N取模的值将域名加入对应的分组链表;
步骤e:判断是否读取完毕,若结果为“否”,读取下一条域名及相关数据,并重复上述步骤c到步骤d,若结果为“是”,则锁定立即生效缓存即哈希链表结构;
步骤f:设定分组号初始化i=0;
步骤g:锁定黑名单库相应分组;
步骤h:将链表中的i中的域名逐一更新到对应的B树中;
步骤i:解锁黑名单库相应分组;
步骤j:判断i=i+1,i<N的结果,当结果为“是”,重复步骤g,当结果为“否”,完成更新。
在具体实施过程中,控制策略模块6控制处理黑/白名单中的域名或IP,系统设计了三种可配置的控制策略:隔离与阻断(丢弃该用户域名解析请求对应的应答包)、欺骗(重组该用户域名解析请求对应的应答包,重组后的应答包内容为“域名不存在”)、重定向(重组该用户域名解析请求对应的应答包,重组后的应答包内请求域名对应的IP地址为从黑名单配置查找到的预先设定的重定向IP地址),其中:
对采用隔离与阻断策略的域名或IP,控制策略模块6不再将该应答包传送回内核态。
对采用欺骗策略的域名或IP,具体实现过程可以通过DNS应答包重组技术,重组DNS应答报文,其中设置DNS头部的Flags部分的Reply Code,使其代表“No Such Name”应答包类型,以告知请求解析的用户该域名解析结果不存在,从而实现欺骗效果;
对采用重定向策略的域名或IP,需进行重新组包然后发送DNS应答报文,其中在应答包中封装相应的记录,同时设置记录对应的IP地址为黑名单索引库中查找到的该条域名或IP预设置的重定向IP地址,如果没有,则采用系统配置的默认重定向IP地址作为应答记录。这样请求解析的用户对该域名的访问将被重定向到指定的IP地址,从而实现重定向的控制策略。
本发明与现有技术相比,将前端管理器部署在DNS服务器的前方,进出DNS服务器的数据包都要经过前端管理器的检查。如果到达前端的是请求包,则对其要访问的域名和访问者IP地址进行实时的快速key-value的查找,如果处在白名单中或不在黑名单中,则直接发往DNS服务器去做正常域名解析,如果处在黑名单中,则应用控制策略对数据包进行控制,前端组装一个DNS响应包发给请求者,该包不再发往DNS服务器去做解析,如果前端接收到的是响应包,则需检查该包的目的IP地址、域名、响应IP地址,如果任一信息处在白名单中,则放行该包,发给请求者;如果任一信息处在黑名单中则应用控制策略,重新组装伪造包发给请求者或直接丢弃不作响应,如果都不在黑、白名单中,则放行该包,这样的拦截方式既不影响DNS服务器的正常域名解析,又能实现对恶意域名的有效控制。
Claims (5)
1.一种域名服务器的前端控制方法,其特征在于包括以下步骤:
步骤1:建立与更新黑/白名单索引数据库,系统初始化时在内存中建立四个索引数据库:IP黑名单、IP白名单、域名白名单和域名黑名单,其中IP黑名单以及IP白名单包含非法访问者IP地址和资源记录中出现的IP地址,IP黑名单以及IP白名单数据索引结构采用了哈希B树结构实现,在系统运行过程中,管理端将黑/白名单及其对应的控制策略下发到DNS数据库,系统轮询DNS数据库,如有更新则反馈给黑/白名单索引数据库;
步骤2:捕获数据包,在前端管理器主机的两块网卡上捕获出入DNS服务器的请求包和应答包,其中对请求包的捕获是在DNS域名请求包还未到达DNS服务器之前拦截,响应包的捕获是DNS域名请求包经过DNS服务器响应后本系统再拦截响应包;
步骤3:将捕获到的DNS数据解析出首部信息、请求者的IP地址、请求的域名及响应的IP地址,根据不同的记录类型(包括A记录、A4记录、A6记录、反向解析)和功能开关的启停,转入各自的控制分支;
步骤4:黑/白名单查询,根据DNS数据包解析出的域名和地址信息使用黑/白名单查询模块判断该包是否在黑/白名单下,判断范围包括请求包的源IP地址与其要请求解析的域名、应答包的目的地址、请求的域名和解析出的IP地址;
步骤5:控制处理,根据步骤4中的查询结果对域名或IP地址进行控制和处理,如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中,则放行该数据包,如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中,则将应答包交由控制策略模块进行控制处理;
步骤6:对步骤5处理后的数据包交由DNS解析应答转发模块进行转发、丢弃或重组,如果是请求包或响应包位于黑名单中,则根据控制策略,前端管理器重组重定向或欺骗的DNS响应包直接发往域名解析请求者,或者不作响应;如果拦截到的是请求包在白名单中或不在黑名单中,则需发给DNS服务器去做正常解析;
步骤7:将上述控制过程中生成的日志文件进行统计分析后,将统计分析结果存入DNS数据库,与DNS数据库相连接的管理端实现对系统的管理和结果的查看。
2. 根据权利要求1所述的一种域名服务器的前端控制方法,其特征在于步骤1所述建立与更新黑/白名单索引数据库具体包括以下步骤:
步骤1-1:系统初始化时,前端管理器读取数据库文件,在内存中建立4个名单数据库,数据库的建立过程如下:
(1)初始化哈希表和查询树的索,为其分配内存空间,哈希表的最大数目为MAXBUCKETS;
(2)将数据库文件映射到系统内存中;
(3)读取文件的一条记录,取出该条规则的ID号、被监控域名或IP地址、重定向地址、控制策略;
(4)根据输入的域名或IP地址生成两个整形哈希关键字Key1和Key2,用对哈希桶数 MAXBUCKETS 取模,以此值确定该条目所对应的哈希桶,用Key2确定该条目在B树中的索引项;
(5)新建一个名单记录结构体结点,将该条记录的信息拷贝到该结点中;
(6)根据Key1找到对应的哈希桶,如果该桶当前成员为空,则新建一个B树根节点,将该记录放在此节点上,否则根据Key2将该结点插到B树相应的位置上;
(7)读取数据库文件的下一条记录,如果已是文件尾,则解除文件映射,结束,否则跳转到步骤3继续完成索引树的建立。
步骤1-2:系统在运行过程中,轮询DNS数据库,如果该数据库有规则更新,则反馈给系统,把相应的B树进行更新,更新有立即更新和定时更新两种方式,具体的更新过程如下:
(1)从DNS数据库读取一条新下发的规则,从规则设置的生效时间和失效时间判断是立即执行还是定时执行,如果是定时执行则设定定时时间添加到线程中执行;
(2)判断如果下发的IP白名单控制策略,提取规则中的IP地址信息及操作码opcode_type,其中0表示添加,1表示删除, 更新IP白名单B树,并把更新信息同步到备份数据库文件中;
(3)如果下发的IP黑名单、域名白名单或域名黑名单控制策略,同样使用步骤2的方法更新B树。
3.根据权利要求1所述的一种域名服务器的前端控制方法,其特征在于步骤4具体包括以下步骤:
步骤4-1:首先判断拦截到的数据包是DNS请求包还是应答包,如果是应答包,则转步骤4-5;否则首先检查该请求包的源IP地址是否在IP白名单中,然后根据IP地址生成两个整形哈希关键字Key1和Key2,用 Key1 对哈希桶数 MAXBUCKETS 取模,以此值为索引找到哈希表中的对应项,如果对应的 B 树不为空,以 Key2 为关键字查询 B树,寻找其相关索引项,找到索引项后,给定IP地址与索引项对应列表中的IP地址一一比较以判断是否匹配,若存在一个完全匹配的IP地址,则对该包放行,发往DNS服务器去做正常解析;否则转步骤4-2;
步骤4-2:使用如步骤4-1的方法在IP黑名单中查找,若找到一个完全匹配的IP地址,则返回存在标志和该项的控制规则,转到步骤5对该DNS请求包进行控制和处理,否则返回不存在标志;
步骤4-3:如果步骤4-2返回不存在标志,则检查中文、英文域名开关是否打开,如果打开,则判断该DNS请求包所请求域名是否在域名白名单中,具体包括:(1)根据输入的请求域名生成两个整形哈希关键字Key1和Key2,用 Key1 对哈希桶数 MAXBUCKETS 取模,以此值为索引找到哈希表中的对应项,如果对应的 B 树不为空,以 Key2 为关键字查询 B树,寻找其相关索引项;(2)找到索引项后,给定域名与索引项对应列表中的域名一一比较以判断其是否匹配,若存在一个完全匹配的域名,则该包放行,发往DNS服务器去做正常解析,否则转步骤4-4;
步骤4-4:使用如步骤4-3的方法在域名黑名单中查找,若找到一个完全匹配的域名,则转到步骤5对该DNS请求包进行控制和处理,否则对该包放行,发往DNS服务器去做正常解析;
步骤4-5:如果拦截到的数据包是DNS应答包,则需判断应答包的目的IP地址、域名和资源记录中的IP地址是否在相应的白名单和黑名单中,具体匹配过程与步骤4-1至步骤4-4相同,即首先判断应答包的目的IP地址是否在白名单和黑名单中;如果没有则判断应答包的域名是否在白名单和黑名单中;如果没有则要判断应答包资源记录解析到的IP地址是否在白名单和黑名单中,这一步与前两步不同的是,应答包的资源记录中的IP地址可能会有多个,需逐个进行匹配。
4.根据权利要求1所述的一种域名服务器的前端控制方法,其特征在于步骤5中控制策略模块控制处理具体包括:
步骤5-1:判断控制方式,并依据匹配到的结果取出规则策略,所述规则策略包括三种,分别为隔离与阻断、欺骗、重定向,如果为隔离与阻断策略,则直接丢弃该包,如果为欺骗策略,则返回查询结果不存在;如果为重定向策略,则返回重定向IP地址;
步骤5-2:日志记录生成,对每一个拦截到的数据包及系统对其控制方式等信息生成相应的日志记录。
5.一种利用如权利要求1-4中任意一项所述的域名服务器的前端控制方法的系统,包括设于域名服务器前端的前端管理器、与前端管理器相连接的监控管理模块、与前端管理器相连接的数据库模块以及与数据库模块相连接的管理端,其特征在于前端管理器设有DNS数据包捕获模块,与DNS数据包捕获模块输出端相连接的控制策略模块,与控制策略模块相连接的黑/白名单查询模块,与控制策略模块输出端相连接的DNS解析应答转发模块,与黑/白名单查询模块相连接的黑/白名单索引数据库模块,以及分别与控制策略模块、DNS解析应答转发模块相连接的用于记录处理结果的日志模块,其中日志模块和黑/白名单索引数据库模块与数据库模块相连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310619162.9A CN103634315B (zh) | 2013-11-29 | 2013-11-29 | 域名服务器的前端控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310619162.9A CN103634315B (zh) | 2013-11-29 | 2013-11-29 | 域名服务器的前端控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103634315A true CN103634315A (zh) | 2014-03-12 |
| CN103634315B CN103634315B (zh) | 2017-11-10 |
Family
ID=50214942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310619162.9A Expired - Fee Related CN103634315B (zh) | 2013-11-29 | 2013-11-29 | 域名服务器的前端控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103634315B (zh) |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105278984A (zh) * | 2015-09-14 | 2016-01-27 | 北京京东尚科信息技术有限公司 | 服务器端包含技术改进的方法和装置 |
| CN105991557A (zh) * | 2015-02-05 | 2016-10-05 | 精硕世纪科技(北京)有限公司 | 基于dns智能解析系统的网络攻击防御方法 |
| CN106790762A (zh) * | 2017-01-11 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 域名解析方法和装置 |
| CN106899711A (zh) * | 2017-05-09 | 2017-06-27 | 南京赢纳信息科技有限公司 | 一种基于Linux的动态域名解析模块及其黑白名单实现方法 |
| WO2017113082A1 (en) * | 2015-12-29 | 2017-07-06 | Thomson Licensing | Url filtering method and device |
| CN106936791A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 拦截恶意网址访问的方法和装置 |
| CN107231339A (zh) * | 2016-03-25 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种DDoS攻击的检测方法以及装置 |
| CN107707569A (zh) * | 2017-11-10 | 2018-02-16 | 北京知道创宇信息技术有限公司 | Dns请求处理方法及dns系统 |
| CN107948234A (zh) * | 2016-10-13 | 2018-04-20 | 北京国双科技有限公司 | 数据的处理方法及装置 |
| CN108156270A (zh) * | 2017-11-27 | 2018-06-12 | 北京金山安全管理系统技术有限公司 | 域名请求处理方法和装置 |
| CN108234486A (zh) * | 2017-12-29 | 2018-06-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络监测方法及监测服务器 |
| CN108259544A (zh) * | 2016-12-29 | 2018-07-06 | 新华三技术有限公司 | Url查询方法和url查询服务器 |
| CN108353083A (zh) * | 2015-11-04 | 2018-07-31 | 比特梵德知识产权管理有限公司 | 用于检测域产生算法(dga)恶意软件的系统及方法 |
| CN108418780A (zh) * | 2017-02-10 | 2018-08-17 | 阿里巴巴集团控股有限公司 | Ip地址的过滤方法及装置、系统、dns服务器 |
| CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
| CN108848049A (zh) * | 2018-04-18 | 2018-11-20 | 山石网科通信技术有限公司 | 域名解析系统的代理方法及装置、存储介质和处理器 |
| CN109361676A (zh) * | 2018-11-01 | 2019-02-19 | 天津睿邦安通技术有限公司 | 一种基于防火墙系统的dns劫持防御方法、装置及系统 |
| CN110430189A (zh) * | 2019-08-02 | 2019-11-08 | 北京天融信网络安全技术有限公司 | 一种域名系统访问控制方法及装置 |
| US10474820B2 (en) | 2014-06-17 | 2019-11-12 | Hewlett Packard Enterprise Development Lp | DNS based infection scores |
| CN110545335A (zh) * | 2018-05-29 | 2019-12-06 | 阿里巴巴集团控股有限公司 | 一种互联网协议地址获取方法、服务器和系统 |
| CN110598426A (zh) * | 2019-08-14 | 2019-12-20 | 平安科技(深圳)有限公司 | 基于信息安全的数据通信方法、装置、设备和存储介质 |
| CN111988447A (zh) * | 2020-09-01 | 2020-11-24 | 北京微步在线科技有限公司 | 网络安全防护方法及dns递归服务器 |
| CN112040023A (zh) * | 2020-08-26 | 2020-12-04 | 杭州宏杉科技股份有限公司 | 对象访问方法、装置、电子设备及机器可读存储介质 |
| CN112040027A (zh) * | 2020-09-14 | 2020-12-04 | 网易(杭州)网络有限公司 | 一种数据处理的方法及装置、电子设备、存储介质 |
| CN112583692A (zh) * | 2020-12-04 | 2021-03-30 | 中国移动通信集团黑龙江有限公司 | 流量清洗的方法、装置、设备及计算机存储介质 |
| CN112632427A (zh) * | 2020-12-25 | 2021-04-09 | 航天信息股份有限公司 | 一种基于前端代理的页面静态资源管理系统及方法 |
| CN113204442A (zh) * | 2021-05-31 | 2021-08-03 | 成都安恒信息技术有限公司 | 一种基于MVVM模式的操作IndexedDB的javascript库 |
| CN114553820A (zh) * | 2022-02-11 | 2022-05-27 | 北京云思智学科技有限公司 | 一种精细化解析控制的dns解析方法、系统及存储介质 |
| CN115174249A (zh) * | 2022-07-18 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 安全日志的处理方法及电子设备、存储介质 |
| CN115412611A (zh) * | 2022-08-29 | 2022-11-29 | 北京新唐思创教育科技有限公司 | 基于dns服务器的查询方法、装置、设备及介质 |
| CN115412366A (zh) * | 2022-10-28 | 2022-11-29 | 成都数默科技有限公司 | 基于服务提供商动态ip白名单的流量采集过滤方法 |
| US12058137B1 (en) | 2021-10-20 | 2024-08-06 | Wells Fargo Bank, N.A. | Internet protocol (IP) curator |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109729098A (zh) * | 2019-03-01 | 2019-05-07 | 国网新疆电力有限公司信息通信公司 | Dns服务器中自动阻断恶意端口扫描的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
| US20120084423A1 (en) * | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| CN102932375A (zh) * | 2012-11-22 | 2013-02-13 | 北京奇虎科技有限公司 | 网络访问行为的防护方法和装置 |
| CN103051743A (zh) * | 2012-12-27 | 2013-04-17 | 茂名市群英网络有限公司 | 一种基于分布式层级化的dns防御系统和方法 |
| CN103220302A (zh) * | 2013-05-07 | 2013-07-24 | 腾讯科技(深圳)有限公司 | 恶意网址的访问防御方法和相关装置 |
-
2013
- 2013-11-29 CN CN201310619162.9A patent/CN103634315B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120084423A1 (en) * | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
| CN102932375A (zh) * | 2012-11-22 | 2013-02-13 | 北京奇虎科技有限公司 | 网络访问行为的防护方法和装置 |
| CN103051743A (zh) * | 2012-12-27 | 2013-04-17 | 茂名市群英网络有限公司 | 一种基于分布式层级化的dns防御系统和方法 |
| CN103220302A (zh) * | 2013-05-07 | 2013-07-24 | 腾讯科技(深圳)有限公司 | 恶意网址的访问防御方法和相关装置 |
Cited By (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10474820B2 (en) | 2014-06-17 | 2019-11-12 | Hewlett Packard Enterprise Development Lp | DNS based infection scores |
| CN105991557A (zh) * | 2015-02-05 | 2016-10-05 | 精硕世纪科技(北京)有限公司 | 基于dns智能解析系统的网络攻击防御方法 |
| CN105991557B (zh) * | 2015-02-05 | 2019-05-10 | 精硕科技(北京)股份有限公司 | 基于dns智能解析系统的网络攻击防御方法 |
| CN105278984A (zh) * | 2015-09-14 | 2016-01-27 | 北京京东尚科信息技术有限公司 | 服务器端包含技术改进的方法和装置 |
| CN105278984B (zh) * | 2015-09-14 | 2018-12-18 | 北京京东尚科信息技术有限公司 | 服务器端包含技术改进的方法和装置 |
| CN108353083A (zh) * | 2015-11-04 | 2018-07-31 | 比特梵德知识产权管理有限公司 | 用于检测域产生算法(dga)恶意软件的系统及方法 |
| WO2017113082A1 (en) * | 2015-12-29 | 2017-07-06 | Thomson Licensing | Url filtering method and device |
| CN106936791A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 拦截恶意网址访问的方法和装置 |
| CN106936791B (zh) * | 2015-12-31 | 2021-02-19 | 阿里巴巴集团控股有限公司 | 拦截恶意网址访问的方法和装置 |
| CN107231339B (zh) * | 2016-03-25 | 2020-03-24 | 阿里巴巴集团控股有限公司 | 一种DDoS攻击的检测方法以及装置 |
| CN107231339A (zh) * | 2016-03-25 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种DDoS攻击的检测方法以及装置 |
| CN107948234B (zh) * | 2016-10-13 | 2021-02-12 | 北京国双科技有限公司 | 数据的处理方法及装置 |
| CN107948234A (zh) * | 2016-10-13 | 2018-04-20 | 北京国双科技有限公司 | 数据的处理方法及装置 |
| CN108259544A (zh) * | 2016-12-29 | 2018-07-06 | 新华三技术有限公司 | Url查询方法和url查询服务器 |
| CN106790762B (zh) * | 2017-01-11 | 2022-05-24 | 腾讯科技(深圳)有限公司 | 域名解析方法和装置 |
| CN106790762A (zh) * | 2017-01-11 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 域名解析方法和装置 |
| CN108418780A (zh) * | 2017-02-10 | 2018-08-17 | 阿里巴巴集团控股有限公司 | Ip地址的过滤方法及装置、系统、dns服务器 |
| CN106899711A (zh) * | 2017-05-09 | 2017-06-27 | 南京赢纳信息科技有限公司 | 一种基于Linux的动态域名解析模块及其黑白名单实现方法 |
| CN107707569A (zh) * | 2017-11-10 | 2018-02-16 | 北京知道创宇信息技术有限公司 | Dns请求处理方法及dns系统 |
| CN108156270B (zh) * | 2017-11-27 | 2021-04-30 | 北京金山安全管理系统技术有限公司 | 域名请求处理方法和装置 |
| CN108156270A (zh) * | 2017-11-27 | 2018-06-12 | 北京金山安全管理系统技术有限公司 | 域名请求处理方法和装置 |
| CN108234486A (zh) * | 2017-12-29 | 2018-06-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络监测方法及监测服务器 |
| CN108848049A (zh) * | 2018-04-18 | 2018-11-20 | 山石网科通信技术有限公司 | 域名解析系统的代理方法及装置、存储介质和处理器 |
| CN108737385A (zh) * | 2018-04-24 | 2018-11-02 | 杭州安恒信息技术股份有限公司 | 一种基于dns映射ip的恶意域名匹配方法 |
| CN110545335A (zh) * | 2018-05-29 | 2019-12-06 | 阿里巴巴集团控股有限公司 | 一种互联网协议地址获取方法、服务器和系统 |
| CN109361676A (zh) * | 2018-11-01 | 2019-02-19 | 天津睿邦安通技术有限公司 | 一种基于防火墙系统的dns劫持防御方法、装置及系统 |
| CN110430189A (zh) * | 2019-08-02 | 2019-11-08 | 北京天融信网络安全技术有限公司 | 一种域名系统访问控制方法及装置 |
| CN110598426B (zh) * | 2019-08-14 | 2024-06-04 | 平安科技(深圳)有限公司 | 基于信息安全的数据通信方法、装置、设备和存储介质 |
| CN110598426A (zh) * | 2019-08-14 | 2019-12-20 | 平安科技(深圳)有限公司 | 基于信息安全的数据通信方法、装置、设备和存储介质 |
| CN112040023A (zh) * | 2020-08-26 | 2020-12-04 | 杭州宏杉科技股份有限公司 | 对象访问方法、装置、电子设备及机器可读存储介质 |
| CN111988447A (zh) * | 2020-09-01 | 2020-11-24 | 北京微步在线科技有限公司 | 网络安全防护方法及dns递归服务器 |
| CN112040027A (zh) * | 2020-09-14 | 2020-12-04 | 网易(杭州)网络有限公司 | 一种数据处理的方法及装置、电子设备、存储介质 |
| CN112583692A (zh) * | 2020-12-04 | 2021-03-30 | 中国移动通信集团黑龙江有限公司 | 流量清洗的方法、装置、设备及计算机存储介质 |
| CN112632427A (zh) * | 2020-12-25 | 2021-04-09 | 航天信息股份有限公司 | 一种基于前端代理的页面静态资源管理系统及方法 |
| CN113204442A (zh) * | 2021-05-31 | 2021-08-03 | 成都安恒信息技术有限公司 | 一种基于MVVM模式的操作IndexedDB的javascript库 |
| CN113204442B (zh) * | 2021-05-31 | 2023-11-24 | 成都安恒信息技术有限公司 | 一种基于MVVM模式的操作IndexedDB的javascript库系统 |
| US12058137B1 (en) | 2021-10-20 | 2024-08-06 | Wells Fargo Bank, N.A. | Internet protocol (IP) curator |
| CN114553820A (zh) * | 2022-02-11 | 2022-05-27 | 北京云思智学科技有限公司 | 一种精细化解析控制的dns解析方法、系统及存储介质 |
| CN115174249A (zh) * | 2022-07-18 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 安全日志的处理方法及电子设备、存储介质 |
| CN115412611A (zh) * | 2022-08-29 | 2022-11-29 | 北京新唐思创教育科技有限公司 | 基于dns服务器的查询方法、装置、设备及介质 |
| CN115412611B (zh) * | 2022-08-29 | 2024-03-01 | 北京新唐思创教育科技有限公司 | 基于dns服务器的查询方法、装置、设备及介质 |
| CN115412366A (zh) * | 2022-10-28 | 2022-11-29 | 成都数默科技有限公司 | 基于服务提供商动态ip白名单的流量采集过滤方法 |
| CN115412366B (zh) * | 2022-10-28 | 2023-01-31 | 成都数默科技有限公司 | 基于服务提供商动态ip白名单的流量采集过滤方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103634315B (zh) | 2017-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103634315A (zh) | 域名服务器的前端控制方法及系统 | |
| CN103581363A (zh) | 对恶意域名和非法访问的控制方法及装置 | |
| US10397273B1 (en) | Threat intelligence system | |
| US11201881B2 (en) | Behavioral profiling of service access using intent to access in discovery protocols | |
| CN103957195B (zh) | Dns系统以及dns攻击的防御方法和防御装置 | |
| US11025588B2 (en) | Identify assets of interest in enterprise using popularity as measure of importance | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| CN108173850A (zh) | 一种基于区块链智能合约的身份认证系统和身份认证方法 | |
| EP2408166B1 (en) | Filtering method, system and network device therefor | |
| US20200137021A1 (en) | Using intent to access in discovery protocols in a network for analytics | |
| WO2017004947A1 (zh) | 防止域名劫持的方法和装置 | |
| US10565372B1 (en) | Subscription-based multi-tenant threat intelligence service | |
| US20200137093A1 (en) | Gain customer trust with early engagement through visualization and data driven configuration | |
| CN112261172B (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
| US11627148B2 (en) | Advanced threat detection through historical log analysis | |
| CN107291862A (zh) | 业务数据存储方法、装置、存储介质及电子设备 | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| CN104396220A (zh) | 用于安全内容检索的方法和设备 | |
| CN104378283A (zh) | 一种基于客户端/服务器模式的敏感邮件过滤系统及方法 | |
| CN104363253A (zh) | 网站安全检测方法与装置 | |
| CN106130962A (zh) | 一种报文处理方法和装置 | |
| CN107135266A (zh) | Http代理框架安全数据传输方法 | |
| CN111740868A (zh) | 告警数据的处理方法和装置及存储介质 | |
| CN104301180A (zh) | 一种业务报文处理方法和设备 | |
| CN109117628A (zh) | 一种白名单程序控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Zhang Zhaoxin Inventor after: Yan Jianen Inventor after: Xu Haiyan Inventor after: Guo Chengqing Inventor after: Li Zhengmin Inventor after: Huang Daochao Inventor before: Zhang Zhaoxin Inventor before: Yan Jianen Inventor before: Guo Chengqing Inventor before: Xu Haiyan Inventor before: Li Bin Inventor before: Chi Lejun |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170926 Address after: 264200 Weihai Cultural Road West, Shandong, No. 2 Applicant after: HARBIN INSTITUTE OF TECHNOLOGY (WEIHAI) Address before: 264200 Weihai Cultural Road West, Shandong, No. 2 Applicant before: Du Yuejin |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171110 |