CN106603501A - 一种域名劫持的防护方法、系统及防火墙设备 - Google Patents

一种域名劫持的防护方法、系统及防火墙设备 Download PDF

Info

Publication number
CN106603501A
CN106603501A CN201611046338.6A CN201611046338A CN106603501A CN 106603501 A CN106603501 A CN 106603501A CN 201611046338 A CN201611046338 A CN 201611046338A CN 106603501 A CN106603501 A CN 106603501A
Authority
CN
China
Prior art keywords
domain name
message
domain
lifetime value
response message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611046338.6A
Other languages
English (en)
Inventor
张辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201611046338.6A priority Critical patent/CN106603501A/zh
Publication of CN106603501A publication Critical patent/CN106603501A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种域名劫持的防护方法、系统及防火墙设备,该方法包括:截取域名查询报文并提取域名信息;检测域名信息是否在白名单中;若否,提取域名查询报文的目的IP地址;基于目的IP地址发送控制请求报文控制请求报文;当接收到响应于控制请求报文控制请求报文返回的请求应答报文时发送域名查询报文,提取请求应答报文中的第一生存时间值;当接收到响应于域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值;基于第一生存时间值与第二生存时间值的比较结果,判定域名应答报文是否为劫持报文。本发明通过比较请求应答报文的第一生存时间值与域名应答报文的第二生存时间值,根据比较结果判断是否发生域名劫持行为。

Description

一种域名劫持的防护方法、系统及防火墙设备
技术领域
本发明涉及互联网技术领域,特别涉及一种域名劫持的防护方法、系统及防火墙设备。
背景技术
域名解析系统(简称域名),能够帮助用户更加方便的访问互联网。由于域名的存在,互联网用户在访问网站的时候可以直接使用域名来实现,而不用记住网站所使用的IP地址。通过域名最终找到对应的IP地址的行为叫做域名解析。然而,近来部分恶意用户及厂商为了获取流量和不法的目的,进行监听正常用户的域名会话,抢先将虚假的域名响应返回给客户端。最终会导致用户无法打开目标网站,甚至打开带有病毒木马的网站。
在实现本发明的过程中,发明人发现至少存在如下问题:
现有技术对域名劫持没有有效的防护方法,只能在用户已经发现被劫持后采取一些警惕受骗和躲避危险页面的方法。当前技术还不能有效的预防域名事件的发生,只能在域名劫持发生后采取一定的措施,例如,通过及时关闭钓鱼页面或者修改网关的域名服务器地址等来避免域名劫持带来危害。
发明内容
本发明实施例的目的是提供一种域名劫持的防护方法、系统及防火墙设备,本发明实施例通过获取请求应答报文的生存时间值,将该生存时间值与域名应答报文的生存时间值进行对比,根据对比结果判断是否发生域名劫持行为。
根据本发明实施例的一个方面提供了一种域名劫持的防护方法,应用于防火墙,该方法包括:当接收到域名查询报文时,截取所述域名查询报文并提取所述域名查询报文中的域名信息;检测所述域名信息是否在白名单中;若检测到所述域名信息不在白名单中,提取所述域名查询报文的目的IP地址;基于所述目的IP地址,发送控制请求报文控制请求报文;当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时,发送所述域名查询报文,并提取所述请求应答报文中的第一生存时间值;当接收到响应于所述域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值;基于所述第一生存时间值与所述第二生存时间值的比较结果,判定所述域名应答报文是否为劫持报文。
进一步地,所述基于所述第一生存时间值与所述第二生存时间值,判定所述域名应答报文是否为劫持报文的步骤包括:比较所述第一生存时间值与所述第二生存时间值的大小;若第二生存时间值大于第一生存时间值,则判定所述域名应答报文为域名劫持报文。
进一步地,若第二生存时间值小于或等于第一生存时间值,则判定所述域名应答报文不是域名劫持报文;将所述域名查询报文所查询的域名信息添加到域名白名单中,并将域名应答报文作为解析结果返回。
进一步地,若检测到域名查询报文中的所述域名信息在白名单中,转发所述域名查询报文。
根据本发明实施例的另一个方面提供了一种域名劫持的防护系统,应用于防火墙,该系统包括:域名提取单元、检测单元、地址提取单元、报文发送单元、第一生存时间提取单元、第二生存时间提取单元和比较单元;域名提取单元,用于当接收到域名查询报文时,截取所述域名查询报文并提取所述域名查询报文中的域名信息;检测单元,用于检测所述域名信息是否在白名单中;地址提取单元,用于若检测到所述域名信息不在白名单中,提取所述域名查询报文的目的IP地址;报文发送单元,用于基于所述目的IP地址,发送控制请求报文控制请求报文;第一生存时间提取单元,用于当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时,发送所述域名查询报文,并提取所述请求应答报文中的第一生存时间值;第二生存时间提取单元,用于当接收到响应于所述域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值;比较单元,用于基于所述第一生存时间值与第二生存时间值的比较结果,判定所述域名应答报文是否为劫持报文。
进一步地,所述比较单元包括:比较子单元和判定子单元;比较子单元,用于比较所述第一生存时间值与第二生存时间值的大小;判定子单元,用于当比较子单元的比较结果为第二生存时间值大于第一生存时间值时,则判定所述域名应答报文为域名劫持报文。
进一步地,还包括:域名添加单元,用于比较子单元的比较结果为第二生存时间值小于或等于一生存时间值,则判定所述域名应答报文不是域名劫持报文,将所述域名查询报文所查询的域名信息添加到域名白名单中,并将域名应答报文作为解析结果返回。
进一步地,还包括:数据转发单元,用于当检测单元检测到域名查询报文中的所述域名信息在白名单中时,转发所述域名查询报文。
根据本发明实施例的又一方面提供了一种防火墙设备,包括上述域名劫持的防护系统。
本发明实施例的有益效果在于,通过ping域名服务器获取请求应答报文的生存时间值,然后将该生存时间值与域名应答报文的生存时间值进行对比,从而进行域名劫持行为的判定。判断依据为:若域名应答报文的第二生存时间值大于请求应答报文的第一生存时间值,说明域名应答报文的发送主机距离防火墙的路由跳数小于域名服务器距离防火墙的路由跳数,因此判定该域名应答报文存在域名劫持行为。若域名应答报文的生存时间值小于或等于请求应答报文的生存时间值,则判定该域名应答报文不存在域名劫持行为,所以克服了现有技术中只能在域名劫持发生后采取一定的措施(比如及时关闭钓鱼页面或者修改网关的域名服务器地址等)来避免域名劫持带来危害的技术问题,能够有效的防御域名劫持行为。
附图说明
图1是本发明提供的正常打开网站的原理示意图;
图2是本发明第一实施例提供的一种域名劫持的防护方法的流程图;
图3是本发明第二实施例提供的一种域名劫持的防护方法的流程示意图;
图4是本发明第三实施例提供的一种域名劫持的防护系统的结构示意图;
图5是本发明第四实施例提供的比较单元的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
需要说明的是:控制请求报文是基于ICMP协议(Internet控制报文协议,InternetControl Message Protocol)的,用于在IP主机、路由器之间传递控制请求报文。控制请求报文用于检测网络通不通、主机是否可达、路由是否可用等。这些控制请求报文虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
如图1所示,本发明实施例的应用场景如下:包括客户端以及与客户端通信连接的防火墙、运营商网关、劫持服务器和域名服务器(DNS服务器)。
参见图1,下面对用户正常打开一个正常网站(如www.test.com)的流程进行说明:
首先,用户通过客户端在浏览器中输入域名www.test.com时,客户端的操作系统向域名服务器发起域名解析控制请求报文,询问www.test.com对应的IP地址;
其次,域名解析控制请求报文依次经过防火墙,运营商网关,到达域名服务器。
再次,域名服务器查询到该域名(www.test.com)的查询结果后,将查询结果作为解析结果返回,解析结果报文依次经过运营商网关,防火墙到达客户端。
最后,用户获得域名解析结果后,根据网站服务器的IP地址向网站服务器发起TCP三次握手打开网站页面。
参见图1,下面对运营商网关的劫持原理进行说明:
当运营商网关检测到用户通过客户端发起的域名解析请求时,直接通过旁路部署的劫持服务器返回一个域名解析结果给用户,但解析结果中的IP地址不是正确的IP地址,由于劫持服务器属于旁路部署,所以错误的域名解析报文会先于正确的域名解析报文到达客户端,默认情况下,客户端的操作系统会将后到达的域名解析报文丢弃,因此,用户就会打开一个错误的网站。
请参阅图2,图2是本发明第一实施例提供的一种域名劫持的防护方法的流程图。
如图2所示,本发明第一实施例提供的一种域名劫持的防护方法,应用于防火墙,该方法包括:
S1,当接收到域名查询报文时,截取域名查询报文并提取域名查询报文中的域名信息。
本步骤中,用户通过客户端发送域名查询报文,防火墙用于实时接收并截取客户端发送的域名查询报文,当接收到域名查询报文时,提取接收到的域名查询报文中的域名信息,假设客户端发送一域名查询报文,该域名查询报文至少包含www.test.com域名信息、源IP地址、目的IP地址。
这里,源IP地址标识了发送域名查询报文的源IP地址,目的IP地址标识了所要访问的目标设备的IP地址,在本发明中,源IP地址为客户端的IP地址,目的IP地址为域名服务器的IP地址。
S2,检测域名信息是否在白名单中。
本步骤中,检测域名信息是否在白名单中,如前所述,承接上述例子,检测www.test.com域名信息是否在白名单中,如果所要查询的域名信息不在白名单中,则表示该域名信息可能存在劫持行为,需要执行下面的步骤才能进一步判断是否真的存在劫持行为。
S3,若检测到域名信息不在白名单中,提取域名查询报文的目的IP地址。
本步骤中,当检测到域名信息(www.test.com)不在白名单中时,则提取域名查询报文的域名服务器的目的IP地址。
在本发明一实施例中,还包括:
步骤S31,若检测到域名查询报文中的域名信息在白名单中,转发域名查询报文。
本步骤中,若检测到域名查询报文中的域名信息在白名单中,则表示该域名信息合法,提取该域名查询报文中的目的IP地址,根据该目的IP地址,直接将该域名查询报文转发给相应的目标设备。
本发明中,白名单存储有至少一个域名信息,每个域名信息都对应一个超时时间t,默认情况下超时时间t为1h。在超时时间t内访问同一域名信息,不需要执行本发明的域名防护方法,若超出超时时间t,则需要执行本发明的域名防护方法。
S4,基于目的IP地址,发送控制请求报文控制请求报文。
本步骤中,防火墙根据目的IP地址,向域名服务器发送控制请求报文控制请求报文,域名服务器接收到控制请求报文控制请求报文后,响应于该控制请求报文控制请求报文向防火墙返回请求应答报文,请求应答报文包括第一生存时间等字段信息。
S5,当接收到响应于控制请求报文控制请求报文返回的请求应答报文时,发送域名查询报文,并提取请求应答报文中的第一生存时间值。
本步骤中,防火墙接收域名服务器返回的请求应答报文后,将步骤S1 截取到的域名查询报文转发给域名服务器,并提取请求应答报文中的第一生存时间值。
在本发明中,生存时间(简称,TTL是Time To Live的缩写),表示IP包被路由器丢弃之前允许通过的最大网段数量。在IP数据包从源到目的的整个转发路径上,每经过一个路由器,路由器都会修改TTL字段值,具体的做法是把该TTL的值减1,然后再将IP数据包转发出去,因此当一台主机ping另一台主机时,得到的请求应答报文的ttl值越大,说明两台主机中间经过的路由器的数量越少,两台主机的距离越近。
S6,当接收到响应于域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值。
本步骤中,当防火墙接收到返回的域名应答报文后,提取域名应答报文中的第二生存时间值,域名应答报文包括第二生存时间等字段信息。
S7,基于第一生存时间值与第二生存时间值的比较结果,判定域名应答报文是否为劫持报文。
本步骤中,比较第一生存时间值与第二生存时间值的大小,根据第一生存时间值与第二生存时间值的比较结果,判定域名应答报文是否为劫持报文。
本步骤的具体执行过程可参见下图3所示。
图3是本发明第二实施例提供的一种域名劫持的防护方法的流程示意图。
参见图3,在本发明第一实施例的基础上,前述步骤S7进一步包括:
S71,比较第一生存时间值与第二生存时间值的大小。
S72,若第二生存时间值大于第一生存时间值,则判定域名应答报文为域名劫持报文。
S72,若第二生存时间值小于或等于第一生存时间值,则判定域名应答报文不是域名劫持报文,将域名查询报文所查询的域名信息添加到域名白名单中,并将域名应答报文作为解析结果返回。
具体地,比较第一生存时间与第二生存时间的大小,如果第二生存时间大于第一生存时间,表示发送域名应答报文的主机不是域名服务器,且发送该域名应答报文的主机距离防火墙的路由跳数比域名服务器距离防火墙的路由跳数少,因此判定该域名应答报文为域名劫持报文,防火墙对其不做转发处理,即不将该域名应答报文转发给客户端,从而避免了客户端接收到错误的域名解析结果,能够有效的防御域名劫持行为。
如果第二生存时间小于或等于第一生存时间,表示发送域名应答报文的主机是域名服务器或者域名服务器的上级服务器(比如根域名服务器或者负责顶级域的授权域名服务器),且发送该域名应答报文的主机距离防火墙的路由跳数大于或者等于域名服务器距离防火墙的路由跳数,则判定该域名应答报文不存在域名劫持行为,将该域名信息添加到白名单中,并将该域名应答报文转发给客户端,客户端基于收到的域名应答报文访问相应的网站。
图4是本发明第三实施例提供的一种域名劫持的防护系统的结构示意图。
如图4所示,本发明第三实施例提供的一种域名劫持的防护系统,应用于防火墙,该系统包括:域名提取单元10、检测单元20、地址提取单元30、报文发送单元40、第一生存时间提取单元50、第二生存时间提取单元60和比较单元70。
域名提取单元10,用于当接收到域名查询报文时,截取域名查询报文并提取域名查询报文中的域名信息。具体地,用户通过客户端发送域名查询报文,防火墙用于实时接收并截取客户端发送的域名查询报文,当接收到域名查询报文时,提取接收到域名查询报文中的域名信息,该域名查询报文至少包含www.test.com域名信息、源IP地址、目的IP地址。
这里,源IP地址标识了发送域名查询报文的源IP地址,目的IP地址标识了所要访问的目标设备的IP地址,在本发明中,源IP地址为客户端的IP地址,目的IP地址为域名服务器的IP地址。
检测单元20与域名提取单元10连接,用于检测域名信息是否在白名单中。
地址提取单元30与检测单元20连接,用于若检测到域名信息不在白名单中,提取域名查询报文的目的IP地址。
具体地,当检测到域名信息(www.test.com)不在白名单中时,则提取域名查询报文的域名服务器的目的IP地址。
在一实施方式中,本发明的系统还包括:
数据转发单元90,用于当检测单元20检测到域名查询报文中的所述域名信息在白名单中时,转发域名查询报文。
本发明中,白名单存储有至少一个域名信息,每个域名信息都对应一个超时时间t,默认情况下超时时间t为1h。在超时时间t内访问同一域名信息,不需要执行本发明的域名防护方法,若超出超时时间t,则需要执行本发明的域名防护方法。
报文发送单元40与地址提取单元30连接,用于基于目的IP地址,发送控制请求报文控制请求报文。
本步骤中,防火墙根据目的IP地址,向域名服务器发送控制请求报文控制请求报文,域名服务器接收到控制请求报文控制请求报文后,响应于该控制请求报文控制请求报文向防火墙返回请求应答报文,请求应答报文包括第一生存时间等字段信息。
第一生存时间提取单元50与报文发送单元40连接,用于当接收到响应于控制请求报文控制请求报文返回的请求应答报文时,发送域名查询报文,并提取请求应答报文中的第一生存时间值。
具体地,防火墙接收域名服务器返回的请求应答报文后,将步骤S1截取到的域名查询报文转发给域名服务器,并提取请求应答报文中的第一生存时间值。
在本发明中,生存时间(简称,TTL是Time To Live的缩写),表示IP包被路由器丢弃之前允许通过的最大网段数量。在IP数据包从源到目的的整个转发路径上,每经过一个路由器,路由器都会修改TTL字段值,具体的做法是把该TTL的值减1,然后再将IP数据包转发出去,因此当一台主机ping另一台主机时,得到的请求应答报文的ttl值越大,说明两台主机中间经过的路由器的数量越少,两台主机的距离越近。
第二生存时间提取单元60与第一生存时间提取单元50连接,用于当接收到响应于域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值。
具体地,当防火墙接收到返回的域名应答报文后,提取域名应答报文中的第二生存时间值,域名应答报文包括第二生存时间等字段信息。
比较单元70,用于基于第一生存时间值与第二生存时间值的比较结果,判定域名应答报文是否为劫持报文。具体地,比较第一生存时间值与第二生存时间值的大小,根据第一生存时间值与第二生存时间值的比较结果,判定域名应答报文是否为劫持报文。
图5是本发明第四实施例提供的比较单元的结构示意图。
如图5所示,在本发明第三实施例的基础上,比较单元70进一步包括:
比较子单元71,用于比较所述第一生存时间值与第二生存时间值的大小;
判定子单元72与比较子单元71连接,用于当比较子单元71的比较结果为第二生存时间值大于第一生存时间值时,则判定所述域名应答报文为域名劫持报文。
在一实施方式中,本发明的系统还包括:
域名添加单元80,用于比较子单元71的比较结果为第二生存时间值小于或等于第一生存时间值,则判定所述域名应答报文不是域名劫持报文,将所述域名查询报文所查询的域名信息添加到域名白名单中,并将域名应答报文作为解析结果返回。
上述各模块的具体执行过程可参见方法部分相应的步骤,此处不再赘述。
本发明实施例还提供了一种防火墙设备,包括上述所述的域名劫持的防护系统。
在本发明上述实施例中,客户端可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备MobileInternetDevices,MID)、PAD等电子设备中。
如上所述,详细介绍了本发明实施例的一种域名劫持的防护方法、系统和防火墙设备,本发明实施例通过ping域名服务器获取请求应答报文的生存时间值,然后将该生存时间值与域名应答报文的生存时间值进行对比,从而进行域名劫持行为的判定。判断依据为:若域名应答报文中的第二生存时间值大于请求应答报文的第一生存时间值,说明发送域名应答报文的主机距离防火墙的路由跳数小于域名服务器距离防火墙的路由跳数,因此判定该域名应答报文存在域名劫持行为。若域名应答报文的第二生存时间值小于或等于请求应答报文的第一生存时间值,则判定该域名应答报文不存在域名劫持行为,将该域名信息添加到白名单中,并将该域名应答报文转发给客户端,客户端基于收到的域名应答报文访问相应的网站。通过本发明的技术方案,解决了现有技术中只能在域名劫持发生后采取一定的措施(比如及时关闭钓鱼页面或者修改网关的域名服务器地址等)来避免域名劫持带来危害的技术问题,能够有效的防御域名劫持行为。
本发明能够有效的预防域名劫持行为给用户返回虚假域名应答报文,从而保证用户获取正确的域名解析报文,提高网络访问质量。维护用户网络安全。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例系统中的单元可以根据实际需要进行合并、划分和删减。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (9)

1.一种域名劫持的防护方法,其特征在于,应用于防火墙,所述方法包括:
当接收到域名查询报文时,截取所述域名查询报文并提取所述域名查询报文中的域名信息;
检测所述域名信息是否在白名单中;
若检测到所述域名信息不在白名单中,提取所述域名查询报文的目的IP地址;
基于所述目的IP地址,发送控制请求报文控制请求报文;
当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时,发送所述域名查询报文,并提取所述请求应答报文中的第一生存时间值;
当接收到响应于所述域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值;
基于所述第一生存时间值与所述第二生存时间值的比较结果,判定所述域名应答报文是否为劫持报文。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一生存时间值与所述第二生存时间值,判定所述域名应答报文是否为劫持报文的步骤包括:
比较所述第一生存时间值与所述第二生存时间值的大小;
若第二生存时间值大于第一生存时间值,则判定所述域名应答报文为域名劫持报文。
3.根据权利要求2所述的方法,其特征在于,
若第二生存时间值小于或等于第一生存时间值,则判定所述域名应答报文不是域名劫持报文;
将所述域名查询报文所查询的域名信息添加到域名白名单中,并将域名应答报文作为解析结果返回。
4.根据权利要求1-3中任一项所述的方法,其特征在于,
若检测到域名查询报文中的所述域名信息在白名单中,转发所述域名查询报文。
5.一种域名劫持的防护系统,其特征在于,应用于防火墙,所述系统包括:
域名提取单元(10),用于当接收到域名查询报文时,截取所述域名查询报文并提取所述域名查询报文中的域名信息;
检测单元(20),用于检测所述域名信息是否在白名单中;
地址提取单元(30),用于若检测到所述域名信息不在白名单中,提取所述域名查询报文的目的IP地址;
报文发送单元(40),用于基于所述目的IP地址,发送控制请求报文控制请求报文;
第一生存时间提取单元(50),用于当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时,发送所述域名查询报文,并提取所述请求应答报文中的第一生存时间值;
第二生存时间提取单元(60),用于当接收到响应于所述域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值;
比较单元(70),用于基于所述第一生存时间值与第二生存时间值的比较结果,判定所述域名应答报文是否为劫持报文。
6.根据权利要求5所述的系统,其特征在于,所述比较单元(70)包括:
比较子单元(71),用于比较所述第一生存时间值与第二生存时间值的大小;
判定子单元(72),用于当比较子单元(71)的比较结果为第二生存时间值大于第一生存时间值时,则判定所述域名应答报文为域名劫持报文。
7.根据权利要求6所述的系统,其特征在于,还包括:
域名添加单元(80),用于比较子单元(71)的比较结果为第二生存时间值小于或等于第一生存时间值,则判定所述域名应答报文不是域名劫持报文,将所述域名查询报文所查询的域名信息添加到域名白名单中,并将域名应答报文作为解析结果返回。
8.根据权利要求5-7中任一项所述的系统,其特征在于,还包括:
数据转发单元(90),用于当检测单元(20)检测到域名查询报文中的所述域名信息在白名单中时,转发所述域名查询报文。
9.一种防火墙设备,其特征在于,包括权利要求5-8任一项所述的域名劫持的防护系统。
CN201611046338.6A 2016-11-22 2016-11-22 一种域名劫持的防护方法、系统及防火墙设备 Pending CN106603501A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611046338.6A CN106603501A (zh) 2016-11-22 2016-11-22 一种域名劫持的防护方法、系统及防火墙设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611046338.6A CN106603501A (zh) 2016-11-22 2016-11-22 一种域名劫持的防护方法、系统及防火墙设备

Publications (1)

Publication Number Publication Date
CN106603501A true CN106603501A (zh) 2017-04-26

Family

ID=58592962

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611046338.6A Pending CN106603501A (zh) 2016-11-22 2016-11-22 一种域名劫持的防护方法、系统及防火墙设备

Country Status (1)

Country Link
CN (1) CN106603501A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108282495A (zh) * 2018-03-14 2018-07-13 北京奇艺世纪科技有限公司 一种dns劫持防御方法和装置
CN109218461A (zh) * 2018-08-09 2019-01-15 北京奇安信科技有限公司 一种检测隧道域名的方法及装置
CN109413015A (zh) * 2018-04-28 2019-03-01 武汉思普崚技术有限公司 一种dns劫持的防御方法和装置
CN111031048A (zh) * 2019-12-17 2020-04-17 紫光云(南京)数字技术有限公司 一种dns劫持防御方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108282495A (zh) * 2018-03-14 2018-07-13 北京奇艺世纪科技有限公司 一种dns劫持防御方法和装置
CN109413015A (zh) * 2018-04-28 2019-03-01 武汉思普崚技术有限公司 一种dns劫持的防御方法和装置
CN109413015B (zh) * 2018-04-28 2021-06-08 武汉思普崚技术有限公司 一种dns劫持的防御方法和装置
CN109218461A (zh) * 2018-08-09 2019-01-15 北京奇安信科技有限公司 一种检测隧道域名的方法及装置
CN111031048A (zh) * 2019-12-17 2020-04-17 紫光云(南京)数字技术有限公司 一种dns劫持防御方法

Similar Documents

Publication Publication Date Title
US11489858B2 (en) Malware detection for proxy server networks
CN110677379B (zh) 用于阻止、检测和/或防止恶意流量的方法和设备
WO2021008028A1 (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US9654494B2 (en) Detecting and marking client devices
US9444835B2 (en) Method for tracking machines on a network using multivariable fingerprinting of passively available information
US8661544B2 (en) Detecting botnets
US9407650B2 (en) Unauthorised/malicious redirection
CN105681353A (zh) 防御端口扫描入侵的方法及装置
CN106603501A (zh) 一种域名劫持的防护方法、系统及防火墙设备
US10397225B2 (en) System and method for network access control
CN107690004B (zh) 地址解析协议报文的处理方法及装置
US10021176B2 (en) Method and server for managing traffic-overload on a server
US11979374B2 (en) Local network device connection control
CN106534141A (zh) 一种防止域名服务器被攻击的方法、系统及防火墙
JP5267893B2 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
Okada et al. Oblivious ddos mitigation with locator/id separation protocol
CN117424711A (zh) 网络安全管理方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination