CN108667769B - 一种域名溯源方法及设备 - Google Patents
一种域名溯源方法及设备 Download PDFInfo
- Publication number
- CN108667769B CN108667769B CN201710197413.7A CN201710197413A CN108667769B CN 108667769 B CN108667769 B CN 108667769B CN 201710197413 A CN201710197413 A CN 201710197413A CN 108667769 B CN108667769 B CN 108667769B
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- message
- http
- traced
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种域名溯源方法及设备,涉及通信技术领域,能够解决无法确定真正请求访问待溯源域名的设备的问题。该方法包括:获取域名为待溯源域名的第一域名系统DNS报文,第一DNS报文的域名为待溯源域名;获取多个HTTP报文;获取第一特征集合,第一特征集合包括每个HTTP报文的特征,一个HTTP报文的特征包括HTTP报文的域名、HTTP报文的时间信息以及HTTP报文的源地址信息;将第一特征集合中,符合预设条件的特征包括的源地址信息所指示的终端设备确定为请求访问待溯源域名的设备,预设条件为域名为待溯源域名、且时间信息与第一DNS报文的时间信息之间的时间差小于或等于预设阈值。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种域名溯源方法及设备。
背景技术
在互联网高度开放的今天,各种各样的恶意程序充斥在互联网中。木马程序是一种典型的恶意程序,通常包含两个可执行程序:服务端程序和客户端程序。服务端程序安装在被控制端设备上,即被木马程序攻击的设备;客户端程序安装在控制端设备上,即攻击者使用的设备。
目前,攻击者常常将控制端设备的互联网协议(英文:Internet Protocol,IP)地址绑定在攻击者注册的域名系统(英文:Domain Name System,DNS)域名中,此类域名通常称为恶意域名。在被控端设备所归属的网络存在代理(Proxy)服务器的应用场景中,被控端设备向Proxy服务器发送超文本传输协议(英文:HyperText Transfer Protocol,HTTP)请求,该HTTP请求触发Proxy服务器向DNS服务器发送域名请求,以获取控制端设备的IP地址。Proxy服务器在获取到控制端设备的IP地址之后,根据控制端设备的IP地址发送其接收到的HTTP请求,从而实现被控端设备与控制端设备之间的通信,导致被控端设备受到威胁。
当前的各个安全厂商已经掌握用于检测恶意域名的技术。但是,在被控制端设备所归属的网络存在Proxy服务器的应用场景中,由于域名请求是由Proxy服务器发送的,因此,即使可以检测出域名请求中携带的恶意域名,也仅可确定出该域名请求是由Proxy服务器发送的,而无法溯源到被控制端设备。
发明内容
本申请提供一种域名溯源方法及设备,能够解决在被控制端设备所归属的网络中存在Proxy服务器的应用场景中,无法确定真正请求访问恶意域名的被控制端设备的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种域名溯源方法,该域名溯源方法为:在终端设备与代理服务器位于相同网络,代理服务器向DNS服务器发送多个DNS报文、且终端设备向代理服务器发送多个HTTP报文的场景中,域名溯源设备获取代理服务器发送的域名为待溯源域名的第一DNS报文,并获取终端设备向代理服务器发送的多个HTTP报文;在获取到多个HTTP报文后,域名溯源设备获取包括每个HTTP报文的特征的第一特征集合,这里,一个HTTP报文的特征包括一个HTTP报文的域名、一个HTTP报文的时间信息以及一个HTTP报文的源地址信息;域名溯源设备将第一特征集合中,符合预设条件的特征包括的源地址信息所指示的终端设备确定为请求访问待溯源域名的设备,预设条件为域名为待溯源域名、且时间信息与第一DNS报文的时间信息之间的时间差小于或等于预设阈值。
第一DNS报文为代理服务器向DNS服务器发送的DNS报文,第一DNS报文的域名为待溯源域名,若终端设备向代理服务器发送的某一HTTP报文的域名为待溯源域名,且该HTTP报文的时间信息与第一DNS报文的时间信息之间的时间差小于或等于预设阈值,则说明该HTTP报文触发代理服务器发送了第一DNS报文,因此,该HTTP报文的源地址信息所指示的终端设备为真正请求访问待溯源域名的设备。如此,采用本申请实施例提供的域名溯源方法,即使网络中存在代理服务器,域名溯源设备也可迅速、准确地确定出真正请求访问待溯源域名的终端设备。
进一步地,若待溯源域名为恶意域名,即使被控制端设备所归属的网络中存在Proxy服务器,采用本申请实施例提供的域名溯源方法,域名溯源设备也可快速、准确地确定出真正请求访问恶意域名的终端设备。
可选的,在本申请的一种可能的实现方式中,待溯源域名为预设域名,则上述域名溯源设备获取第一DNS报文的方法为:域名溯源设备获取多个DNS报文,多个DNS报文中的每个DNS报文均为代理服务器向DNS服务器发送的DNS报文;域名溯源设备获取每个DNS报文的域名;域名溯源设备根据每个DNS报文的域名,从多个DNS报文中选取第一DNS报文。
可选的,在本申请的另一种可能的实现方式中,待溯源域名为恶意域名,则上述域名溯源设备获取第一DNS报文的方法为:域名溯源设备获取多个DNS报文,多个DNS报文中的每个DNS报文均为代理服务器向DNS服务器发送的DNS报文;域名溯源设备获取每个DNS报文的域名;域名溯源设备利用预设的恶意域名检测方法,依次检测每个DNS报文的域名,以确定每个DNS报文的域名是否为恶意域名;域名溯源设备将多个DNS报文中,域名为恶意域名的DNS报文确定为待溯源报文,并从待溯源报文中获取第一DNS报文。
本申请实施例中,预设的恶意域名检测方法可以为随机森林(英文:randomforest)算法,也可以为adaboost算法,还可以为其他任意一种用于检测恶意域名的算法,本申请实施例对此不作具体限定。
可选的,域名溯源设备获取到代理服务器向DNS服务器发送的多个DNS报文之后,也可从多个DNS报文中选取某一DNS报文,在检测到选取的DNS报文的域名为恶意域名之后,从多个DNS报文中获取域名为选取的DNS报文的域名的DNS报文。
第二方面,提供一种域名溯源设备,该域名溯源设备包括获取单元和确定单元。
本申请提供的各个单元模块所实现的功能具体如下:
上述获取单元,用于获取第一域名系统DNS报文,第一DNS报文为代理服务器向DNS服务器发送的DNS报文,第一DNS报文的域名为待溯源域名,并用于获取多个超文本传输协议HTTP报文,多个HTTP报文中的每个HTTP报文均为终端设备向代理服务器发送的HTTP报文,终端设备与代理服务器位于相同网络,以及用于获取第一特征集合,第一特征集合包括每个HTTP报文的特征,一个HTTP报文的特征包括一个HTTP报文的域名、一个HTTP报文的时间信息以及一个HTTP报文的源地址信息;上述确定单元,还用于将上述获取单元获取到的第一特征集合中,符合预设条件的特征包括的源地址信息所指示的终端设备确定为请求访问待溯源域名的设备,预设条件为域名为待溯源域名、且时间信息与第一DNS报文的时间信息之间的时间差小于或等于预设阈值。
可选的,在本申请的一种可能的实现方式中,上述待溯源域名为预设域名,上述获取单元具体用于:获取多个DNS报文,多个DNS报文中的每个DNS报文均为代理服务器向DNS服务器发送的DNS报文;获取每个DNS报文的域名;根据每个DNS报文的域名,从多个DNS报文中选取第一DNS报文。
可选的,在本申请的另一种可能的实现方式中,上述待溯源域名为恶意域名,上述获取单元具体用于:获取多个DNS报文,多个DNS报文中的每个DNS报文均为代理服务器向DNS服务器发送的DNS报文;获取每个DNS报文的域名;利用预设的恶意域名检测方法,依次检测每个DNS报文的域名,以确定每个DNS报文的域名是否为恶意域名;将多个DNS报文中,域名为恶意域名的DNS报文确定为待溯源报文;从待溯源报文中获取第一DNS报文。
第三方面,提供一种域名溯源设备,该域名溯源设备包括处理器、存储器和通信接口。其中,存储器用于存储计算机程序代码,计算机程序代码包括指令,处理器、通信接口与存储器通过总线连接,当域名溯源设备运行时,处理器执行存储器存储的指令,以使域名溯源设备执行如上述第一方面及其各种可能的实现方式所述的域名溯源方法。
第四方面,还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令;当其在域名溯源设备上运行时,使得域名溯源设备执行如上述第一方面及其各种可能的实现方式的域名溯源方法。
第五方面,还提供一种包含指令的计算机程序产品,当其在域名溯源设备上运行时,使得域名溯源设备执行如上述第一方面及其各种可能的实现方式的域名溯源方法。
在本申请中,上述域名溯源设备的名字对设备或功能模块本身不构成限定,在实际实现中,这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本申请类似,属于本申请权利要求及其等同技术的范围之内。
本申请中第二方面、第三方面、第四方面、第五方面及其各种实现方式的具体描述,可以参考第一方面及其各种实现方式中的详细描述;并且,第二方面、第三方面、第四方面、第五方面及其各种实现方式的有益效果,可以参考第一方面及其各种实现方式中的有益效果分析,此处不再赘述。
本申请的这些方面或其他方面在以下的描述中会更加简明易懂。
附图说明
图1为现有的网络系统的结构示意图;
图2为本申请实施例提供的网络系统的结构示意图;
图3为本申请实施例中域名溯源设备的硬件结构示意图;
图4为本申请实施例提供的域名溯源方法的流程示意图一;
图5为本申请实施例提供的域名溯源设备的结构示意图一。
具体实施方式
本申请的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同对象,而不是用于限定特定顺序。
在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请实施例中将安装了服务端程序的被控制的主机称为被控端设备。本申请实施例将攻击者使用的控制主机称为控制端设备,控制端设备安装有客户端程序。
如图1所示,企业的内部网络(也称为私网)中包括多个终端设备和Proxy服务器,Proxy服务器与每个终端设备连接,且该内部网络受到防火墙的保护,企业的内部网络中的某一终端设备安装有木马程序的服务端程序,该终端设备为被控制端设备。攻击者使用的控制端设备位于外部网络(也称为公网)。被控制端设备与控制端设备采用下述方法实现二者之间的通信。
1、攻击者通过DNS服务器注册域名A,并将控制端设备的IP地址与域名A绑定。
2、被控制端设备中的服务端程序确定Proxy服务器与该被控制端设备连接后,主动向Proxy服务器发送携带域名A的HTTP请求。
3、Proxy服务器在接收到携带域名A的HTTP请求后,先向DNS服务器发送域名请求,以获取与域名A对应的IP地址。
4、由于域名A与控制端设备的IP地址已经绑定,因此,DNS服务器在接收到携带域名A的HTTP请求后,获取与域名A绑定的控制端设备的IP地址,并向Proxy服务器发送携带控制端设备的IP地址的域名响应。
5、Proxy服务器根据其接收到的IP地址,向控制端设备转发HTTP请求,这样,控制端设备与被控制端设备之间建立连接,攻击者可实现对被控端设备的控制。
需要说明的是,企业的内部网络中,在终端设备与Proxy服务器之间还存在若干网络设备,例如路由器、交换机等,Proxy服务器与防火墙之间也存在若干网络设备。图1中并未示出这些网络设备。
上述域名A属于恶意域名。在图1所示的应用场景中,现有的检测技术仅仅可以确定出携带域名A的域名请求是由Proxy服务器发送的,而无法溯源到被控制端设备。
针对上述问题,本申请实施例提供一种域名溯源方法,域名溯源设备获取到域名为待溯源域名的第一DNS报文后,分析终端设备向代理服务器发送的多个HTTP报文,以获取域名为待溯源域名、且时间信息与第一DNS报文的时间信息之间的时间差小于或等于预设阈值的HTTP报文,这样,域名溯源设备可将该HTTP报文的源地址信息所指示的终端设备确定为请求访问待溯源域名的设备。
本申请实施例提供的域名溯源方法应用于网络系统。图2是本申请实施例提供的网络系统的结构示意图。参见图2,该网络系统包括位于公网中的控制端设备20以及DNS服务器21、位于受保护网络中的至少一个终端设备22、Proxy服务器23和域名溯源设备。该域名溯源设备可以为Proxy服务器23,也可以为网络设备24。可选的,该网络系统还包括防火墙设备25,该防火墙设备25保护受保护网络内的设备不受木马程序的威胁。每个终端设备22均通过若干网络设备,例如路由器或交换机,与Proxy服务器23连接,图2中用网络设备26表示。Proxy服务器23通过防火墙25与DNS服务器21连接。Proxy服务器23通过若干网络设备与防火墙25连接,图2中用网络设备27表示。网络设备26和网络设备27分别与网络设备24连接。由于防火墙24为可选的,因此,图2中用虚线表示。
结合图1,受保护网络可以是图1中的企业的内部网络,公网可以是图1中的外部网络。
控制端设备20和终端设备22均可以是无线终端,也可以是有线终端。无线终端可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,也可以是便携式、袖珍式、手持式、计算机内置的移动装置。
示例性的,在本申请实施例中,图2所示的控制端设备20和终端设备22为通用计算机设备。
本申请实施例中的域名溯源设备可以是任一具备大数据分析功能、且存储空间较大的通用计算机设备,该设备具有网络接口。域名溯源设备可以图2中的Proxy服务器23,也可以为图2中的网络设备24,本申请实施例对此不作具体限定。
下面结合图3,具体介绍本申请实施例中的域名溯源设备的各个构成部件。
如图3所示,域名溯源设备包括:通信接口30、处理器31、存储器32。其中,通信接口30、处理器31与存储器32之间通过系统总线33连接,并完成相互间通信。
通信接口30用于与其他设备通信,例如获得域名溯源设备与其他设备的通信报文的镜像报文。如果域名溯源设备是附图2中的网络设备24,那么镜像报文来自于附图2中的网络设备26和网络设备27。来自于网络设备26的镜像报文为从终端设备22传输到Proxy服务器23的HTTP报文。来自于网络设备27的镜像报文为Proxy服务器23发送的DNS报文。
存储器32可用于存储多个DNS报文中每个DNS报文的时间信息和每个DNS报文的域名,以及用于存储多个HTTP报文中每个HTTP报文的时间信息、每个HTTP报文的域名和每个HTTP报文的源地址信息,也可以用于存储软件程序以及应用模块,处理器31通过运行存储在存储器32的软件程序以及应用模块,从而执行域名溯源设备的各种功能应用以及数据处理。
存储器32可主要包括存储程序区320和存储数据区321,其中,存储程序区320可存储操作系统、至少一个功能所需的应用程序,比如获取每个HTTP报文的时间信息等;存储数据区321可存储多个DNS报文中每个DNS报文的时间信息和每个DNS报文的域名,以及用于存储多个HTTP报文中每个HTTP报文的时间信息、每个HTTP报文的域名和每个HTTP报文的源地址信息。在本申请实施方式中,所述操作系统可以为Windows操作系统,也可以是Vxworks这类的嵌入式操作系统。
在本申请实施例中,存储器32可以包括易失性存储器,例如非挥发性动态随机存取内存(英文:Nonvolatile Random Access Memory,NVRAM)、相变化随机存取内存(英文:Phase Change RAM,PRAM)、磁阻式随机存取内存(英文:Magnetic Random Access Memory,MRAM)等;存储器32还可以包括非易失性存储器,例如至少一个磁盘存储器件、电子可擦除可编程只读存储器(英文:Electrically Erasable Programmable Read-Only Memory,EEPROM)、闪存器件,例如反或闪存(英文:NOR flash memory)或是反及闪存(英文:NANDflash memory)。非易失存储器储存处理器31所执行的操作系统及应用程序。处理器31从非易失存储器加载运行程序与数据到内存并将数据内容储存于大量储存装置中。
存储器32可以是独立存在,通过系统总线33与处理器31相连接。存储器32也可以和处理器31集成在一起。
处理器31是域名溯源设备的控制中心。处理器31利用各种接口和线路连接整个域名溯源设备的各个部分,通过运行或执行存储在存储器32内的软件程序和/或应用模块,以及调用存储在存储器32内的数据,执行域名溯源设备的各种功能和处理数据,从而对域名溯源设备整体监控。
处理器31可以仅包括中央处理器(英文:Central Processing Unit,CPU),也可以是CPU、数字信号处理器(英文:Digital Signal Processor,DSP)以及通信单元中的控制芯片的组合。在本申请实施方式中,CPU可以是单运算核心,也可以包括多运算核心。在具体实现中,作为一种实施例,处理器31可以包括一个或多个CPU,例如图3中的处理器31包括CPU0和CPU 1。
系统总线33可以是工业标准体系结构(英文:Industry Standard Architecture,ISA)总线、外部设备互连(英文:Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(英文:Extended Industry Standard Architecture,EISA)总线等。该系统总线33可以分为地址总线、数据总线、控制总线等。本申请实施例中为了清楚说明,在图3中将各种总线都示意为系统总线33。
可选的,如图3所示,域名溯源设备还包括显示器34。显示器34用于显示待溯源域名与确定出的源地址信息之间的对应关系,以供管理人员参考。由于显示器34为可选的,因此,图3中用虚线框表示。
图4是本申请实施例提供的域名溯源方法的流程示意图,该域名溯源方法可以应用在图2所示的网络系统中。本申请实施例中提及到的代理服务器可以视为图2中的Proxy服务器23。
参见图4,该域名溯源方法包括:
S400、域名溯源设备获取多个DNS报文。
多个DNS报文中的每个DNS报文均为代理服务器向DNS服务器发送的DNS报文。
结合图2,本申请实施例中的域名溯源设备可以为Proxy服务器23,也可以是网络设备24。
在本申请实施例中,域名溯源设备检测代理服务器发送的域名请求。一般的,域名请求采用DNS报文来表示。具体的,域名溯源设备获取代理服务器向DNS服务器发送的多个DNS报文,以便后续分析。
对于多个DNS报文中的每个DNS报文,若域名溯源设备为Proxy服务器23,则Proxy服务器23在监测到某一DNS报文时,对该DNS报文镜像,以获取该DNS报文。
若域名溯源设备为网络设备24,则网络设备27在监测到某一DNS报文时,对该DNS报文镜像,并向网络设备24发送对该DNS报文镜像后的镜像报文,这样,网络设备24可获取到该DNS报文。
S401、域名溯源设备从多个DNS报文中选取第一DNS报文,该第一DNS报文的域名为待溯源域名。
第一DNS报文的时间信息用于表示上述Proxy服务器23或上述网络设备27对第一DNS报文镜像处理的时间,或者用于表示上述Proxy服务器23发送第一DNS报文的时间。
可选的,待溯源域名为预设域名,则域名溯源设备在获取到多个DNS报文之后,获取第一DNS报文的方法为:域名溯源设备获取多个DNS报文中每个DNS报文的域名,并根据每个DNS报文的域名,从多个DNS报文中选取域名为预设域名的DNS报文,这样,域名溯源设备即可选取出第一DNS报文。
可以理解的是,多个DNS报文中,存在至少一个域名为预设域名的DNS报文。本申请实施例中的第一DNS报文为至少一个域名为预设域名的DNS报文中的其中一个。
可选的,待溯源域名为恶意域名,则域名溯源设备在获取到多个DNS报文之后,获取第一DNS报文的方法为:域名溯源设备获取多个DNS报文中每个DNS报文的域名,并利用预设的恶意域名检测方法,依次检测每个DNS报文的域名,以确定每个DNS报文的域名是否为恶意域名;域名溯源设备根据检测结果,将多个DNS报文中域名为恶意域名的DNS报文确定为待溯源报文,并从待溯源报文中获取第一DNS报文。
其中,预设的恶意域名检测方法可以为随机森林(英文:random forest)算法,也可以为adaboost算法,还可以为其他任意一种用于检测恶意域名的算法,本申请实施例对此不作具体限定。
S402、域名溯源设备获取多个HTTP报文。
多个HTTP报文中的每个HTTP报文均为终端设备向代理服务器发送的HTTP报文,终端设备与代理服务器位于相同网络。
域名溯源设备在获取到第一DNS报文后,需要确定出真正请求访问该待溯源域名的设备。具体的,域名溯源设备通过分析终端设备向代理服务器发送的HTTP报文,以确定真正请求访问待溯源域名的设备。
域名溯源设备获取多个HTTP报文的方法与域名溯源设备获取多个DNS报文的方法类似。
若域名溯源设备为Proxy服务器23,则Proxy服务器23在监测到位于受保护网络的终端设备发送的某一HTTP报文时,对该HTTP报文镜像,以获取一个HTTP报文。
若域名溯源设备为网络设备24,则网络设备27在监测到位于受保护网络的终端设备向Proxy服务器23发送的某一HTTP报文时,对该HTTP报文镜像,并向网络设备24发送对该HTTP报文镜像后的镜像报文,这样,网络设备24可获取到一个HTTP报文。
由于与Proxy服务器23连接的终端设备的数量为多个,因此域名溯源设备可获取到多个HTTP报文。
需要说明的是,本申请实施例中的域名溯源设备可先执行S402,后执行S400,也可以同时执行S400和S402。
S403、域名溯源设备获取包括每个HTTP报文的特征的第一特征集合。
对于多个HTTP报文中的每个HTTP报文而言,该HTTP报文的特征包括该HTTP报文的域名、该HTTP报文的时间信息以及该HTTP报文的源地址信息。
域名溯源设备在获取到多个HTTP报文后,获取多个HTTP报文中每个HTTP报文的时间信息、每个HTTP报文的域名以及每个HTTP报文的源地址信息,即获取每个HTTP报文的特征,便于分析各个HTTP报文的特征,以确定第一DNS报文是由哪个HTTP报文触发生成发送的。
可选的,对于某一HTTP报文,域名溯源设备可以从该HTTP报文的主机HOST字段获取该HTTP报文的域名。
示例性的,第一特征集合可以用表格的形式表示,表1示出了本申请实施例中的第一特征集合。
表1
| 报文的标识 | 报文的时间信息 | 报文的域名 | 报文的源地址信息 |
| 1 | 2017-3-1 13:00 | A | 192.168.3.1 |
| 2 | 2017-3-1 13:08 | B | 192.168.34.5 |
| …… | …… | …… | …… |
这里,每个HTTP报文的时间信息用于表示上述Proxy服务器23或上述网络设备26对该HTTP报文镜像处理的时间,或者用于表示上述Proxy服务器23接收HTTP报文的时间。
可选的,域名溯源设备在生成第一特征集合后,将第一特征集合包括的多个特征按照时间先后顺序依次排列,便于域名溯源设备在后续步骤中快速确定目标特征。
S404、域名溯源设备从第一特征集合中,获取符合预设条件的特征。
预设条件为域名为待溯源域名、且时间信息与第一DNS报文的时间信息之间的时间差小于或等于预设阈值。
容易理解的是,域名溯源设备在S401中选取出第一DNS报文后,可直接获取到该第一DNS报文的时间信息。
S405、域名溯源设备将符合预设条件的特征包括的源地址信息所指示的终端设备确定为请求访问待溯源域名的设备。
容易理解的是,若特征集合中某一特征所包括的域名为待溯源域名、且时间信息与第一DNS报文的时间信息之间的时间差小于或等于预设阈值,则说明该特征所表示的HTTP报文触发代理服务器发送了第一DNS报文。这样,该特征所包括的源地址信息所表示的设备即为真正访问待溯源域名的设备。
可选的,本申请实施例中的域名溯源设备在获取到目标特征包括的源地址信息后,可将待溯源域名和获取到的源地址信息对应存储,并显示该对应关系,以供管理人员参考。
可以看出,采用本申请实施例提供的域名溯源方法,域名溯源设备可迅速、准确地确定出真正请求访问待溯源域名的终端设备。
本申请实施例提供一种域名溯源设备,该域名溯源设备用于执行以上方法实施例中的域名溯源设备所执行的步骤。本申请实施例提供的域名溯源设备可以包括相应步骤所对应的模块。
本申请实施例可以根据上述方法示例对域名溯源设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图5示出了上述实施例中所涉及的域名溯源设备的一种可能的结构示意图。如图5所示,域名溯源设备包括确定单元50、获取单元51以及选取单元52。确定单元50用于支持该域名溯源设备执行上述图4所示实施例中的S404和S405。获取单元51用于指示该域名溯源设备执行上述图4所示实施例中的S400、S402和S403。选取单元52用于支持该域名溯源设备执行上述图4所示实施例中的S404。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。此外,如图5所示,本申请实施例中的域名溯源设备还包括存储单元53和输出单元54。存储单元53用于存储每个DNS报文的时间信息和每个DNS报文的域名,以及用于存储每个HTTP报文的时间信息、每个HTTP报文的域名和每个HTTP报文的源地址信息,还可以用于存储该域名溯源设备的程序代码和数据。输出单元54用于输出所述确定单元50确定真正访问待溯源域名的终端设备的结果,以供管理人员参考。由于存储单元53和输出单元54是可选的,因此图5中用虚线框表示。
在硬件实现上,上述获取单元51可以为上述图3中的通信接口30,上述存储单元53可以是上述图3中的存储器32。上述确定单元50和选取单元52可以为上述图3中的处理器31。输出单元83可以为上述图3中的显示器34等等。此处不再进行详细赘述。
在上述实施例中,可以全部或部分的通过软件,硬件,固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式出现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质,(例如,软盘,硬盘、磁带)、光介质(例如,DVD)或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (8)
1.一种域名溯源方法,其特征在于,包括:
获取第一域名系统DNS报文,所述第一DNS报文为代理服务器向DNS服务器发送的DNS报文,所述第一DNS报文的域名为待溯源域名;
获取多个超文本传输协议HTTP报文,所述多个HTTP报文中的每个HTTP报文均为终端设备向所述代理服务器发送的HTTP报文,所述终端设备与所述代理服务器位于相同网络;
获取第一特征集合,所述第一特征集合包括所述每个HTTP报文的特征,一个HTTP报文的特征包括所述一个HTTP报文的域名、所述一个HTTP报文的时间信息以及所述一个HTTP报文的源地址信息;
将所述第一特征集合中,符合预设条件的特征包括的源地址信息所指示的终端设备确定为请求访问所述待溯源域名的设备,所述预设条件为域名为所述待溯源域名、且时间信息与所述第一DNS报文的时间信息之间的时间差小于或等于预设阈值。
2.根据权利要求1所述的域名溯源方法,其特征在于,所述待溯源域名为预设域名,所述获取第一域名系统DNS报文,具体包括:
获取多个DNS报文,所述多个DNS报文中的每个DNS报文均为所述代理服务器向所述DNS服务器发送的DNS报文;
获取所述每个DNS报文的域名;
根据所述每个DNS报文的域名,从所述多个DNS报文中选取所述第一DNS报文。
3.根据权利要求1所述的域名溯源方法,其特征在于,所述待溯源域名为恶意域名,所述获取第一域名系统DNS报文,具体包括:
获取多个DNS报文,所述多个DNS报文中的每个DNS报文均为所述代理服务器向所述DNS服务器发送的DNS报文;
获取所述每个DNS报文的域名;
利用预设的恶意域名检测方法,依次检测所述每个DNS报文的域名,以确定所述每个DNS报文的域名是否为所述恶意域名;
将所述多个DNS报文中,域名为所述恶意域名的DNS报文确定为待溯源报文;
从所述待溯源报文中获取所述第一DNS报文。
4.一种域名溯源设备,其特征在于,包括:
获取单元,用于获取第一域名系统DNS报文,所述第一DNS报文为代理服务器向DNS服务器发送的DNS报文,所述第一DNS报文的域名为待溯源域名,并用于获取多个超文本传输协议HTTP报文,所述多个HTTP报文中的每个HTTP报文均为终端设备向所述代理服务器发送的HTTP报文,所述终端设备与所述代理服务器位于相同网络,以及用于获取第一特征集合,所述第一特征集合包括所述每个HTTP报文的特征,一个HTTP报文的特征包括所述一个HTTP报文的域名、所述一个HTTP报文的时间信息以及所述一个HTTP报文的源地址信息;
确定单元,用于将所述获取单元获取到的所述第一特征集合中,符合预设条件的特征包括的源地址信息所指示的终端设备确定为请求访问所述待溯源域名的设备,所述预设条件为域名为所述待溯源域名、且时间信息与所述第一DNS报文的时间信息之间的时间差小于或等于预设阈值。
5.根据权利要求4所述的域名溯源设备,其特征在于,所述待溯源域名为预设域名,所述获取单元具体用于:
获取多个DNS报文,所述多个DNS报文中的每个DNS报文均为所述代理服务器向所述DNS服务器发送的DNS报文;
获取所述每个DNS报文的域名;
根据所述每个DNS报文的域名,从所述多个DNS报文中选取所述第一DNS报文。
6.根据权利要求4所述的域名溯源设备,其特征在于,所述待溯源域名为恶意域名,所述获取单元具体用于:
获取多个DNS报文,所述多个DNS报文中的每个DNS报文均为所述代理服务器向所述DNS服务器发送的DNS报文;
获取所述每个DNS报文的域名;
利用预设的恶意域名检测方法,依次检测所述每个DNS报文的域名,以确定所述每个DNS报文的域名是否为所述恶意域名;
将所述多个DNS报文中,域名为所述恶意域名的DNS报文确定为待溯源报文;
从所述待溯源报文中获取所述第一DNS报文。
7.一种域名溯源设备,其特征在于,所述域名溯源设备包括存储器、处理器和通信接口;所述存储器、所述处理器和所述通信接口通过系统总线连接;
所述存储器用于存储计算机指令,所述处理器用于执行所述存储器存储的计算机指令,以使所述域名溯源设备执行如权利要求1-3中任意一项所述的域名溯源方法。
8.一种计算机可读存储介质,该计算机可读存储介质中存储有指令;当其在域名溯源设备上运行时,使得域名溯源设备执行如权利要求1-3中任意一项所述的域名溯源方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710197413.7A CN108667769B (zh) | 2017-03-29 | 2017-03-29 | 一种域名溯源方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710197413.7A CN108667769B (zh) | 2017-03-29 | 2017-03-29 | 一种域名溯源方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108667769A CN108667769A (zh) | 2018-10-16 |
| CN108667769B true CN108667769B (zh) | 2021-06-08 |
Family
ID=63786220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710197413.7A Active CN108667769B (zh) | 2017-03-29 | 2017-03-29 | 一种域名溯源方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108667769B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110300193B (zh) * | 2019-07-01 | 2021-07-06 | 北京微步在线科技有限公司 | 一种获取实体域名的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277306A (zh) * | 2008-05-14 | 2008-10-01 | 华为技术有限公司 | 一种处理dns业务的方法、系统及设备 |
| CN101282209A (zh) * | 2008-05-13 | 2008-10-08 | 杭州华三通信技术有限公司 | 防范dns请求报文泛洪攻击的方法及设备 |
| CN101789940A (zh) * | 2010-01-28 | 2010-07-28 | 联想网御科技(北京)有限公司 | 一种防范dns请求报文洪泛攻击的方法及装置 |
| CN102790807A (zh) * | 2011-05-16 | 2012-11-21 | 奇智软件(北京)有限公司 | 域名解析代理方法和系统、域名解析代理服务器 |
| CN105897947A (zh) * | 2016-04-08 | 2016-08-24 | 网宿科技股份有限公司 | 移动终端的网络访问方法和装置 |
| CN106161664A (zh) * | 2015-04-15 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 域名解析方法及装置、数据传输方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769060B2 (en) * | 2011-01-28 | 2014-07-01 | Nominum, Inc. | Systems and methods for providing DNS services |
-
2017
- 2017-03-29 CN CN201710197413.7A patent/CN108667769B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282209A (zh) * | 2008-05-13 | 2008-10-08 | 杭州华三通信技术有限公司 | 防范dns请求报文泛洪攻击的方法及设备 |
| CN101277306A (zh) * | 2008-05-14 | 2008-10-01 | 华为技术有限公司 | 一种处理dns业务的方法、系统及设备 |
| CN101789940A (zh) * | 2010-01-28 | 2010-07-28 | 联想网御科技(北京)有限公司 | 一种防范dns请求报文洪泛攻击的方法及装置 |
| CN102790807A (zh) * | 2011-05-16 | 2012-11-21 | 奇智软件(北京)有限公司 | 域名解析代理方法和系统、域名解析代理服务器 |
| CN106161664A (zh) * | 2015-04-15 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 域名解析方法及装置、数据传输方法及装置 |
| CN105897947A (zh) * | 2016-04-08 | 2016-08-24 | 网宿科技股份有限公司 | 移动终端的网络访问方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108667769A (zh) | 2018-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6543714B2 (ja) | 周辺デバイス、周辺デバイスによりエミュレートするための方法 | |
| CN107360184B (zh) | 终端设备认证方法和装置 | |
| US10834105B2 (en) | Method and apparatus for identifying malicious website, and computer storage medium | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| US20160050559A1 (en) | Preventing Location Tracking Via Smartphone MAC Address | |
| CN109889511B (zh) | 进程dns活动监控方法、设备及介质 | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| CN111106983B (zh) | 一种检测网络连通性的方法及装置 | |
| CN104219230A (zh) | 识别恶意网站的方法及装置 | |
| CN111752770A (zh) | 服务请求的处理方法、系统、计算机设备和存储介质 | |
| WO2014180145A1 (en) | Methods and systems for connecting a mobile device to a network | |
| CN107872548A (zh) | 网页链接方法、装置及可读存储介质 | |
| US9781601B1 (en) | Systems and methods for detecting potentially illegitimate wireless access points | |
| CN111970262B (zh) | 网站的第三方服务启用状态的检测方法、装置和电子装置 | |
| CN108667769B (zh) | 一种域名溯源方法及设备 | |
| CN115913597A (zh) | 确定失陷主机的方法及装置 | |
| CN113923008A (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| US8694659B1 (en) | Systems and methods for enhancing domain-name-server responses | |
| CN111767481B (zh) | 访问处理方法、装置、设备和存储介质 | |
| JP6484166B2 (ja) | 名前解決装置、名前解決方法及び名前解決プログラム | |
| JP2020502703A (ja) | ネットワーク・マッピングのためのフィンガープリントの決定 | |
| CN115190062A (zh) | 业务处理方法及装置、电子设备和计算机可读存储介质 | |
| US20110270970A1 (en) | Network device testing system and method | |
| CN113938317A (zh) | 一种网络安全监测方法及计算机设备 | |
| US8990425B1 (en) | Determining device location based on domain name response |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |