CN104320501A - 一种应用于路由器的集中式dns安全监控方法 - Google Patents

一种应用于路由器的集中式dns安全监控方法 Download PDF

Info

Publication number
CN104320501A
CN104320501A CN201410585504.4A CN201410585504A CN104320501A CN 104320501 A CN104320501 A CN 104320501A CN 201410585504 A CN201410585504 A CN 201410585504A CN 104320501 A CN104320501 A CN 104320501A
Authority
CN
China
Prior art keywords
dns
request
router
management server
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410585504.4A
Other languages
English (en)
Other versions
CN104320501B (zh
Inventor
周晓军
刘韬
夏欣然
黎露
谢莎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Qianniucao Information Technology Co Ltd
Original Assignee
Chengdu Qianniucao Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Qianniucao Information Technology Co Ltd filed Critical Chengdu Qianniucao Information Technology Co Ltd
Priority to CN201410585504.4A priority Critical patent/CN104320501B/zh
Publication of CN104320501A publication Critical patent/CN104320501A/zh
Application granted granted Critical
Publication of CN104320501B publication Critical patent/CN104320501B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种应用于路由器的集中式DNS安全监控方法,在路由器上部署监控模块,路由器每次对DNS服务器发起DNS解析请求时,记录请求的详细数据,传递给集中管理服务器;集中管理服务器提取请求的详细数据中的域名字段,以此域名字段为域名向权威DNS服务器发起DNS解析权威请求,收到权威请求的回复数据后再记录下,监控模块记录请求的回复数据并传递给集中管理服务器;与权威请求的回复数据进行比对;对现有DNS解析流程的监控获取DNS解析的请求与回复数据,提交至集中管理服务器,使用该次解析流程的请求数据再次请求权威的DNS域名服务器,获取的安全回复数据与回复数据进行比较确定DNS解析流程是否安全。

Description

一种应用于路由器的集中式DNS安全监控方法
技术领域
本发明涉及计算机信息安全、TCP/IP协议解析、DNS域名解析等技术领域,具体的说,是一种应用于路由器的集中式DNS安全监控方法。
背景技术
随着信息化的高速发展,目前的网络安全现状和前几年相比,已经发生了很大的改变。蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁互相结合,对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其中针对DNS(域名服务器,Domain Name Service)的攻击也已成为最严重的威胁之一。DNS是Internet的重要基础,包括WEB访问、Email服务在内的众多网络服务都和DNS息息相关,因此DNS的安全直接关系到整个互联网应用能否正常使用。
发明内容
本发明的目的在于提供一种应用于路由器的集中式DNS安全监控方法,通过对现有DNS解析流程的监控获取每一次DNS解析的请求与回复数据,将这些数据提交至专用的安全服务器(集中管理服务器),由该安全服务器使用该次解析流程的请求数据再次请求权威的DNS域名服务器,通过将获取的安全回复数据与之前获得的回复数据进行比较从而确定DNS解析流程是否安全。
本发明通过下述技术方案实现:一种应用于路由器的集中式DNS安全监控方法,包括以下步骤:
步骤1):通过在路由器上部署监控模块,当路由器每次对DNS服务器发起DNS解析请求时,监控模块记录请求的详细数据,并传递给集中管理服务器;
步骤2):集中管理服务器记录请求的详细数据,之后集中管理服务器提取请求的详细数据中的域名字段,以此域名字段为域名向权威DNS服务器发起DNS解析权威请求,当收到权威请求的回复数据后再记录下权威请求的回复数据;
步骤3):当路由器收到来自DNS服务器请求的回复数据时,监控模块记录请求的回复数据并传递给集中管理服务器;
步骤4):集中管理服务器将请求的回复数据与权威请求的回复数据进行比对,以确定该次DNS解析过程是否安全。
进一步的,为更好地实现本发明,所述DNS服务器为未知DNS服务器。
进一步的,为更好地实现本发明,所述未知DNS服务器由每台路由器的网络配置具体确定,该配置由路由器管理员进行设置的IP地址,可能因受到攻击而被篡改。
进一步的,为更好地实现本发明,所述权威DNS服务器,是指集中管理服务器上由专业安全管理人员维护和设置的指定的可靠DNS服务器IP地址。
进一步的,为更好地实现本发明,所述集中管理服务器,是指部署于本局域网中,负责管理该网络中所有安装有监控模块的路由器,监控模块获取的数据都传递给该集中管理服务器进行进一步操作。
进一步的,为更好地实现本发明,所述监控模块,部署于路由器上,负责监控路由器对外发起的DNS域名解析请求,并将获取的数据传输给集中管理服务器。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明通过对现有DNS解析流程的监控获取每一次DNS解析的请求与回复数据,将这些数据提交至专用的安全服务器(集中管理服务器),由该安全服务器使用该次解析流程的请求数据再次请求权威的DNS域名服务器,通过将获取的安全回复数据与之前获得的回复数据进行比较从而确定DNS解析流程是否安全。
(2)本发明最大限度地利用现有DNS公用资源,具有简单可靠、集中管理、部署成本小等特点。
(3)本发明当发现某一次DNS解析请求的回复与监控模块提供的对应权威回复内容不符时,则可确定该监控模块所部属的路由器的DNS解析出现安全问题。
附图说明
图1为本发明流程原理图。
具体实施方式
申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全实现本发明。
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
一种应用于路由器的集中式DNS安全监控方法,包括以下步骤:
步骤1):通过在路由器上部署监控模块,当路由器每次对DNS服务器发起DNS解析请求时,监控模块记录请求的详细数据,并传递给集中管理服务器;
步骤2):集中管理服务器记录请求的详细数据,之后集中管理服务器提取请求的详细数据中的域名字段,以此域名字段为域名向权威DNS服务器发起DNS解析权威请求,当收到权威请求的回复数据后再记录下权威请求的回复数据;
步骤3):当路由器收到来自DNS服务器请求的回复数据时,监控模块记录请求的回复数据并传递给集中管理服务器;
步骤4):集中管理服务器将请求的回复数据与权威请求的回复数据进行比对,以确定该次DNS解析过程是否安全。
实施例2:
本实施例是在上述实施例的基础上进一步优化,进一步的,为更好地实现本发明,包括以下步骤:
步骤1-1):通过在路由器上部署监控模块,当路由器每次对未知DNS服务器发起DNS解析请求时,监控模块记录请求的详细数据,并传递给集中管理服务器;
步骤2-2):集中管理服务器记录请求的详细数据,之后集中管理服务器提取请求的详细数据中的域名字段,以该域名字段为域名向权威DNS服务器发起DNS解析权威请求,当收到该权威请求的回复数据后再记录下该权威回复数据;
步骤3-3):当路由器收到来自未知DNS服务器对请求的回复数据时,监控模块记录请求的回复数据并传递给集中管理服务器;
步骤4-4):集中管理服务器将该请求的回复数据与步骤B中权威请求的回复数据进行比对,即可确定该次DNS解析过程是否安全。
实施例3:
本实施例是在上述实施例的基础上进一步优化,进一步的,为更好地实现本发明,所述未知DNS服务器由每台路由器的网络配置具体确定,该配置由路由器管理员进行设置的IP地址,可能因受到攻击而被篡改。
实施例4:
本实施例是在实施例1或2或3的基础上进一步优化,进一步的,为更好地实现本发明,所述权威DNS服务器,是指集中管理服务器上由专业安全管理人员维护和设置的指定的可靠DNS服务器IP地址。
实施例5:
本实施例是在实施例1或2或3的基础上进一步优化,进一步的,为更好地实现本发明,所述集中管理服务器,是指部署于本局域网中,负责管理该网络中所有安装有监控模块的路由器,监控模块获取的数据都传递给该集中管理服务器进行进一步操作;集中管理服务器,集中管理DNS安全状态的服务器,负责接收从各路由器上的监控模块接收每一次DNS解析的请求和回复数据。集中管理服务器还需要将接收到的数据进行管理,比如总共有多少路由器的监控模块正在工作、这些模块分别发送了多少数据给集中管理服务器、这些数据(DNS解析请求与回复)的顺序与内容都需要服务器来记录,因为不光是这些数据本身的内容,它们之间的顺序与关系也需要维护。
实施例6:
本实施例是在实施例1或2或3的基础上进一步优化,进一步的,为更好地实现本发明,所述监控模块,部署于路由器上,负责监控路由器对外发起的DNS域名解析请求,并将获取的数据传输给集中管理服务器。
实施例7:
本实施例是在上述任一实施例的基础上进一步优化,如图1所示,包括以下步骤:
步骤a:路由器向未知DNS服务器发起解析DNS请求,监控模块记录下请求的详细数据并把请求的详细数据发送给集中管理服务器;
步骤b:集中管理服务器获取数据,即获取请求的详细数据,并记录请求的详细数据,集中管理服务器将进行提取域名,并以请求的域名发起新的域名解析请求(DNS权威请求),目标是一个安全可靠的DNS服务器,之后会收到DNS权威回复,这是一个可信的权威DNS解析回复;
步骤c:路由器收到之前它自己发起解析的DNS回复,监控模块记录下该DNS回复并把相关数据发往集中管理服务器;
步骤d:集中管理服务器获取数据(即获取DNS回复数据),将该回复数据与步骤b中权威回复中的相关数据进行IP比对,用于确定本次路由器的DNS解析是否安全可靠。
本发明通过对现有DNS解析流程的监控获取每一次DNS解析的请求与回复数据,将这些数据提交至专用的安全服务器(集中管理服务器),由该安全服务器使用该次解析流程的请求数据再次请求权威的DNS域名服务器,通过将获取的安全回复数据与之前获得的回复数据进行比较从而确定DNS解析流程是否安全。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。 

Claims (6)

1.一种应用于路由器的集中式DNS安全监控方法,其特征在于:包括以下步骤:
步骤1):通过在路由器上部署监控模块,当路由器每次对DNS服务器发起DNS解析请求时,监控模块记录请求的详细数据,并传递给集中管理服务器;
步骤2):集中管理服务器记录请求的详细数据,之后集中管理服务器提取请求的详细数据中的域名字段,以此域名字段为域名向权威DNS服务器发起DNS解析权威请求,当收到权威请求的回复数据后再记录下权威请求的回复数据;
步骤3):当路由器收到来自DNS服务器请求的回复数据时,监控模块记录请求的回复数据并传递给集中管理服务器;
步骤4):集中管理服务器将请求的回复数据与权威请求的回复数据进行比对,以确定该次DNS解析过程是否安全。
2.根据权利要求1所述的一种应用于路由器的集中式DNS安全监控方法,其特征在于:所述DNS服务器为未知DNS服务器。
3.根据权利要求2所述的一种应用于路由器的集中式DNS安全监控方法,其特征在于:所述未知DNS服务器由每台路由器的网络配置具体确定,该配置由路由器管理员进行设置的IP地址,可能因受到攻击而被篡改。
4.根据权利要求1或2或3所述的一种应用于路由器的集中式DNS安全监控方法,其特征在于:所述权威DNS服务器,是指集中管理服务器上由专业安全管理人员维护和设置的指定的可靠DNS服务器IP地址。
5.根据权利要求1或2或3所述的一种应用于路由器的集中式DNS安全监控方法,其特征在于:所述集中管理服务器,是指部署于本局域网中,负责管理该网络中所有安装有监控模块的路由器,监控模块获取的数据都传递给该集中管理服务器进行进一步操作。
6.根据权利要求1或2或3所述的一种应用于路由器的集中式DNS安全监控方法,其特征在于:所述监控模块,部署于路由器上,负责监控路由器对外发起的DNS域名解析请求,并将获取的数据传输给集中管理服务器。
CN201410585504.4A 2014-10-28 2014-10-28 一种应用于路由器的集中式dns安全监控方法 Active CN104320501B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410585504.4A CN104320501B (zh) 2014-10-28 2014-10-28 一种应用于路由器的集中式dns安全监控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410585504.4A CN104320501B (zh) 2014-10-28 2014-10-28 一种应用于路由器的集中式dns安全监控方法

Publications (2)

Publication Number Publication Date
CN104320501A true CN104320501A (zh) 2015-01-28
CN104320501B CN104320501B (zh) 2018-10-16

Family

ID=52375668

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410585504.4A Active CN104320501B (zh) 2014-10-28 2014-10-28 一种应用于路由器的集中式dns安全监控方法

Country Status (1)

Country Link
CN (1) CN104320501B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104883282A (zh) * 2015-06-19 2015-09-02 中国互联网络信息中心 终端的dns服务器的监控方法及系统
CN114827085A (zh) * 2022-06-24 2022-07-29 鹏城实验室 根服务器正确性监测方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640679A (zh) * 2009-04-13 2010-02-03 山石网科通信技术(北京)有限公司 域名解析代理方法和装置
US20110191455A1 (en) * 2010-02-02 2011-08-04 Patrick Gardner Using Aggregated DNS Information Originating from Multiple Sources to Detect Anomalous DNS Name Resolutions
CN103561120A (zh) * 2013-10-08 2014-02-05 北京奇虎科技有限公司 检测可疑dns的方法、装置和可疑dns的处理方法、系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640679A (zh) * 2009-04-13 2010-02-03 山石网科通信技术(北京)有限公司 域名解析代理方法和装置
US20110191455A1 (en) * 2010-02-02 2011-08-04 Patrick Gardner Using Aggregated DNS Information Originating from Multiple Sources to Detect Anomalous DNS Name Resolutions
CN103561120A (zh) * 2013-10-08 2014-02-05 北京奇虎科技有限公司 检测可疑dns的方法、装置和可疑dns的处理方法、系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104883282A (zh) * 2015-06-19 2015-09-02 中国互联网络信息中心 终端的dns服务器的监控方法及系统
CN114827085A (zh) * 2022-06-24 2022-07-29 鹏城实验室 根服务器正确性监测方法、装置、设备及存储介质
CN114827085B (zh) * 2022-06-24 2022-09-09 鹏城实验室 根服务器正确性监测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN104320501B (zh) 2018-10-16

Similar Documents

Publication Publication Date Title
CN107404465B (zh) 网络数据分析方法及服务器
CN101924757B (zh) 追溯僵尸网络的方法和系统
US11516257B2 (en) Device discovery for cloud-based network security gateways
CN112398782A (zh) 网络资产的识别方法、装置、介质及设备
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
Detken et al. SIEM approach for a higher level of IT security in enterprise networks
Dainotti et al. Estimating internet address space usage through passive measurements
CN105025025A (zh) 一种基于云平台的域名主动检测方法和系统
CN102833262B (zh) 基于whois信息的钓鱼网站收集、鉴定方法和系统
CN106101300B (zh) 通过私有域名系统控制访问自建服务器的方法
US11777960B2 (en) Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis
CN109819068B (zh) 用户终端及其区块链域名解析方法、计算机设备、计算机可读存储介质
CN109474575A (zh) 一种dns隧道的检测方法及装置
JP6524789B2 (ja) ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
CN108737385A (zh) 一种基于dns映射ip的恶意域名匹配方法
CN104639391A (zh) 一种生成网络流量记录的方法及相应的流量检测设备
CN104980423A (zh) 一种高级可持续威胁诱捕系统及方法
WO2017067443A1 (zh) 一种安全域名系统及其故障处理方法
CN102594885B (zh) 传感器网络解析互通平台、传感器网络互通方法及系统
Caselli et al. On the feasibility of device fingerprinting in industrial control systems
CN105447385B (zh) 一种多层次检测的应用型数据库蜜罐实现系统及方法
KR102128008B1 (ko) 사이버 위협 정보 처리 방법 및 장치
Rytilahti et al. Masters of time: An overview of the NTP ecosystem
CN104320501A (zh) 一种应用于路由器的集中式dns安全监控方法
EP3275150A1 (en) Extracted data classification to determine if a dns packet is malicious

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant