CN110266684B - 一种域名系统安全防护方法及装置 - Google Patents
一种域名系统安全防护方法及装置 Download PDFInfo
- Publication number
- CN110266684B CN110266684B CN201910531807.0A CN201910531807A CN110266684B CN 110266684 B CN110266684 B CN 110266684B CN 201910531807 A CN201910531807 A CN 201910531807A CN 110266684 B CN110266684 B CN 110266684B
- Authority
- CN
- China
- Prior art keywords
- domain name
- address
- safety protection
- information
- query request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种域名系统安全防护方法及装置,其中,该方法包括:接收第一电子设备发送的第一域名查询请求,其中所述第一域名查询请求中包含域名信息;基于所述域名信息获取第一域名响应报文;基于所述第一域名响应报文中的主机记录获取第一IP地址,其中所述第一IP地址为所述第一域名查询请求所指向的目标设备的IP地址;判断所述第一IP地址是否符合安全防护条件,如果否,则不向所述第一电子设备反馈所述第一域名响应报文。本发明实施例的域名系统安全防护方法,能够避免用户访问恶意设备而受到恶意攻击,不会因为递归查询和迭代查询而造成安全防护失效,能够为用户提供稳定、可靠的安全防护,且维护成本较低。
Description
技术领域
本发明涉及域名系统技术领域,特别涉及一种域名系统安全防护方法及装置。
背景技术
域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS服务器暴露于公共网络中,极易受到不法分子的攻击,现有技术中的DNS服务器主要通过对待反馈给终端浏览器的反馈信息中的源IP和目的IP进行安全检查来实现安全防护。由于因特网规模很大,将整个因特网中的域名存储在一个域名服务器中是不可能的,因此,早在1983年因特网就开始采用层次树状结构的命名方法,并使用分布式的域名系统。当DNS服务器发现其本地缓存中没有与查询请求相对应的IP地址时,就需要通过递归查询或迭代查询的方式,通过其他DNS服务器查找与查询请求相对应的IP地址。但利用递归查询或迭代查询时,源IP和目标IP会发生变化,如目标IP可能变化为顶级域名服务器,而源IP有可能会变化为本地域名服务器。如果黑客会搭建自己的域名服务器,利用递归查询或迭代查询,就可以绕过现有技术中基于源IP和目的IP安全防护策略,造成安全防护失效。
发明内容
本发明提供了一种域名系统安全防护方法及装置,利用该方法能够提供较为稳定、可靠的安全防护。
为了解决上述技术问题,本发明的实施例采用了如下技术方案:
一种域名系统安全防护方法,包括:
接收第一电子设备发送的第一域名查询请求,其中所述第一域名查询请求中包含域名信息;
基于所述域名信息获取第一域名响应报文;
基于所述第一域名响应报文中的主机记录获取第一IP地址,其中所述第一IP地址为所述第一域名查询请求所指向的目标设备的IP地址;
判断所述第一IP地址是否符合安全防护条件,如果否,则不向所述第一电子设备反馈所述第一域名响应报文。
在一些实施例中,所述方法还包括:
如果所述第一IP地址符合安全防护条件,则基于所述第一域名响应报文生成第一反馈信息,并向所述第一电子设备发送所述第一反馈信息,以响应所述第一域名查询请求。
在一些实施例中,所述基于所述域名信息获取第一域名响应报文,包括:
基于所述域名信息生成第二域名查询请求,并向第二电子设备发送所述第二域名查询请求;
接收所述第二电子设备反馈的第二反馈信息,并从所述第二反馈信息中获取所述第一域名响应报文。
在一些实施例中,所述基于所述域名信息获取第一域名响应报文,包括:
基于所述域名信息生成并向第三电子设备发送第三域名查询请求,并接收所述第三电子设备反馈的第三反馈信息,其中所述第三反馈信息中包含用于标识第四电子设备的第二IP地址;
基于所述第二IP地址向所述第四电子设备发送第四域名查询请求,并接收所述第四电子设备反馈的第四反馈信息;
从所述第四反馈信息中获取所述第一域名响应报文。
在一些实施例中,所述判断所述第一IP地址是否符合安全防护条件,包括:
基于所述第一IP地址获取所述目标设备的地理位置信息;
基于所述地理位置信息判断所述目标设备是否位于第一区域,其中所述第一区域为禁止访问的区域;
如果是,则确定所述第一IP地址不符合安全防护条件。
在一些实施例中,所述判断所述第一IP地址是否符合安全防护条件,还包括:
基于所述地理位置信息判断所述目标设备是否位于第二区域,其中所述第二区域为监控访问的区域;
如果是,则确定所述第一IP地址符合安全防护条件并记录安全日志。
在一些实施例中,所述判断所述第一IP地址是否符合安全防护条件,包括:
判断所述第一IP地址是否位于黑名单中;
如果是,则确定所述第一IP地址不符合安全防护条件。
在一些实施例中,如果所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈所述第一域名响应报文,包括:
如果所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈信息;或
如果所述第一IP地址不符合安全防护条件,则基于第二域名响应报文生成第五反馈信息,并向所述第一电子设备反馈所述第五反馈信息以响应所述第一域名查询请求,其中所述第二域名响应报文中的主机记录包含第三IP地址,所述第三IP地址符合所述安全防护条件。
一种域名系统安全防护装置,包括:
接收模块,用于接收第一电子设备发送的第一域名查询请求,其中所述第一域名查询请求中包含域名信息;
第一获取模块,用于基于所述域名信息获取第一域名响应报文;
第二获取模块,用于基于所述第一域名响应报文中的主机记录获取第一IP地址,其中所述第一IP地址为所述第一域名查询请求所指向的目标设备的IP地址;
判断模块,用于判断所述第一IP地址是否符合安全防护条件,如果所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈所述第一域名响应报文。
在一些实施例中,所述判断模块还用于:
如果所述第一IP地址符合安全防护条件,则基于所述第一域名响应报文生成第一反馈信息,并向所述第一电子设备发送所述第一反馈信息,以响应所述第一域名查询请求。
本发明实施例的有益效果在于:
本发明实施例的域名系统安全防护方法,从主机记录中获取目标设备的IP地址,判断该IP地址是否符合安全防护条件,并在该IP地址不符合安全防护条件时,不反馈包含该主机记录的第一域名响应报文,以避免用户访问恶意设备而受到恶意攻击。主机记录是用于向发起访问的电子设备反馈目标设备IP地址的信息,以供发起访问的电子设备基于其中的IP地址进行目标设备访问,所以从主机记录中获取的IP地址为目标设备的真实的IP地址。该域名系统安全防护方法不会因为递归查询和迭代查询而造成安全防护失效,能够为用户提供稳定、可靠的安全防护,且维护成本较低。
附图说明
图1为本发明实施例的域名系统安全防护方法的流程图;
图2为本发明实施例的域名系统安全防护方法中基于域名信息获取第一域名响应报文的一种获取方法的流程图;
图3为本发明实施例的域名系统安全防护方法中基于域名信息获取第一域名响应报文的另一种获取方法的流程图;
图4为本发明实施例的域名系统安全防护方法中判断第一IP地址是否符合安全防护条件的方法的流程图;
图5为本发明实施例的域名系统安全防护装置的结构框图;
图6为本发明实施例的域名系统安全防护装置的第一获取模块的一种实施例的结构框图;
图7为本发明实施例的域名系统安全防护装置的第一获取模块的另一种实施例的结构框图;
图8为本发明实施例的域名系统安全防护装置的判断模块的结构框图。
附图标记说明:
10-接收模块;20-第一获取模块;21-第一生成单元;22-第一获取单元;23-第二生成单元;24-第三成成单元;25-第二获取单元;30-第二获取模块;40-判断模块;41-第三获取单元;42-第一判断单元。
具体实施方式
此处参考附图描述本发明的各种方案以及特征。
应理解的是,可以对此处发明的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本发明的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本发明的实施例,并且与上面给出的对本发明的大致描述以及下面给出的对实施例的详细描述一起用于解释本发明的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本发明的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本发明的具体实施例;然而,应当理解,所发明的实施例仅仅是本发明的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本发明模糊不清。因此,本文所发明的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本发明。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本发明的相同或不同实施例中的一个或多个。
本发明实施例提供了一种域名系统安全防护方法,该安全防护方法可应用在域名服务器(DNS服务器)、DNS防火墙、DNS代理硬件设备上,或者也可应用在发起访问的电子设备上,亦或者也可应用在内网或公网中,用于在通过域名进行IP地址查询过程中进行安全防护,避免用户访问受到病毒攻击的服务器等恶意设备而受到恶意攻击,能够提供较为稳定、可靠的安全防护。图1为本发明实施例的域名系统安全防护方法的流程图,参见图1所示,该域名系统安全防护方法具体包括如下步骤:
S100,接收第一电子设备发送的第一域名查询请求,其中所述第一域名查询请求中包含域名信息。
其中,该第一电子设备可为例如笔记本电脑、平板电脑及智能手机等具有网络访问功能的电子设备,此处不再一一赘述。该第一域名查询请求可为第一电子设备上的浏览器利于域名进行目标设备访问时,向域名服务器(DNS服务器)发送的域名查询请求,以期利用域名信息查询目标设备的IP地址。
该DNS服务器可为DNS代理服务器,DNS代理服务器主要是对内网到外网的DNS查询流量进行处理,具有DNS缓存和加速功能,收到内网到外网的域名查询请求后,首先判断域名查询请求中记载的目的IP、目的端口、源地址、域名信息等是否符合预设条件,如果符合则提供DNS代理服务。
S200,基于所述域名信息获取第一域名响应报文。
其中,该第一域名响应报文为基于域名信息获取到的包含目标设备的IP地址的信息。基于域名信息获取第一域名响应报文的方式有多种,DNS服务器获取到第一域名查询请求后,首先基于域名信息在其本地缓存中查找是否有与之相对应的第一域名响应报文,如果在本体缓存查找到对应的第一域名响应报文,则从本体获取;如果在本地缓存未查找到对应的第一域名响应报文,则可从外部设备获取。
S300,基于所述第一域名响应报文中的主机记录获取第一IP地址,其中所述第一IP地址为所述第一域名查询请求所指向的目标设备的IP地址。
其中,该目标设备通常为用户欲访问的域名所对应的主机设备或服务器,在DNS服务器受到恶意攻击时,该第一IP地址所对应的目标设备也可能是非法网站所对应的主机设备、受到病毒攻击的服务器或者黑客搭建的用于进行恶意攻击的主机设备。
该第一域名响应报文通常包括域名信息和主机记录等信息。当该第一电子设备和DNS服务器采用互联网通讯协议第四版(IPv4)时,该主机记录可为A记录。当该第一电子设备和DNS服务器采用互联网协议第六版(IPv6)时,该主机记录可为AAAA记录。主机记录中记载有目标设备的IP地址,通过对主机记录进行解析能够获取到目标设备的IP地址。
S400,判断第一IP地址是否符合安全防护条件,如果否,则不向第一电子设备反馈第一域名响应报文。
其中,该安全防护条件为用于表征第一IP地址所对应的目标设备是安全设备的条件。当判断第一IP地址不符合安全防护条件时,则第一IP地址所对应的目标设备有可能时恶意设备,为避免用户访问恶意设备,可不向第一电子设备反馈获得的第一域名响应报文,以保护用户的网络安全。
由于主机记录是用于向发起访问的电子设备反馈目标设备的IP地址的信息,以供发起访问的电子设备基于其中的IP地址进行目标设备访问,所以从主机记录中获取的IP地址为发起访问的电子设备将要访问的目标设备的真实的IP地址,判断该IP地址是否符合安全防护条件,并在该IP地址不符合安全防护条件时,不反馈包含该主机记录的第一域名响应报文,以有效避免用户访问恶意设备而受到恶意攻击。特别是针对DNS缓存投毒攻击和通过搭建DNS服务器的方式进行的网络攻击行为。如攻击者使用例如域名查询请求,将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在用户发送域名查询请求时反馈给用户,从而把用户对正常域名的访问引导至一个非法网站。该域名系统安全防护方法不会因为递归查询和迭代查询而造成安全防护失效,能够为用户提供稳定、可靠的安全防护,且维护成本较低。
在一些实施例中,所述方法还包括:
S500,如果所述第一IP地址符合安全防护条件,则基于所述第一域名响应报文生成第一反馈信息,并向所述第一电子设备发送所述第一反馈信息,以响应所述第一域名查询请求。从而使第一电子设备能够从第一反馈信息中提取目标设备的第一IP地址,并基于该第一IP地址访问目标设备。
配合图2所示,在一个实施例中,基于域名信息获取第一域名响应报文,具体可包括如下步骤:
S211,基于域名信息生成第二域名查询请求,并向第二电子设备发送第二域名查询请求。
S212,接收第二电子设备反馈的第二反馈信息,并从第二反馈信息中获取第一域名响应报文。
本发明实施例的域名系统安全防护方法的执行主体可为本地DNS服务器,该第二电子设备可为例如根域名服务器,也即,当本地DNS服务器在本地缓存中未查找到对应的第一域名响应报文时,则基于域名信息生成第二域名查询请求,并向根域名服务器发送第二域名查询请求,根域名服务器可基于域名信息向顶级域名服务器发送另一域名查询请求,之后顶级域名服务器向权限域名服务器发送又一域名查询请求,权限域名服务器查询到与域名信息对应的第一域名响应报文后依次反馈至根域名服务器,根域名服务器能够基于该第一域名响应报文向本地DNS服务器反馈第二反馈信息。本地DNS服务器接收到根域名服务器反馈的第二反馈信息后,能够从第二反馈信息中提取第一域名响应报文。当然,该第二电子设备不仅限于根域名服务器,也可为网站或者网络服务商等设置的商用DNS服务器,或者其他类型的DNS服务器。
配合图3所示,在另一实施例中,基于域名信息获取第一域名响应报文,具体可包括如下步骤:
S221,基于域名信息生成并向第三电子设备发送第三域名查询请求,并接收第三电子设备反馈的第三反馈信息,其中第三反馈信息中包含用于标识第四电子设备的第二IP地址;
S222,基于第二IP地址向第四电子设备发送第四域名查询请求,并接收第四电子设备反馈的第四反馈信息;
S223,从第四反馈信息中获取第一域名响应报文。
仍然以本地DNS服务器为本方法的执行主体为例,当本地DNS服务器在本地缓存中未查找到与域名信息对应的第一域名响应报文时,则基于域名信息生成域名查询请求,并向根域名服务器发送该域名查询请求,根域名服务器查询与域名信息对应的顶级域名服务器的IP地址,并将该IP地址反馈给本地DNS服务器,然后本地DNS服务器基于顶级域名服务器的IP地址向该顶级域名服务器发送域名查询请求,顶级域名服务器基于域名信息向本地DNS服务器反馈权限域名服务器的IP地址,再之后,本地DNS服务器向权限域名服务器发送域名查询请求,权限域名服务器基于域名信息查询第一域名响应报文,并向本地DNS服务器反馈信息。本地DNS服务器接收到该反馈信息后从中提取第一域名响应报文。需要说明的是,上述实施方式并非是对获取第一域名响应报文方法的穷举,也可采用其他获取方式。
在获取到第一IP地址后,判断该第一IP地址是否符合安全防护条件的方法有多种。配合图4所示,在一个实施例中,步骤S400,所述判断所述第一IP地址是否符合安全防护条件,具体可包括如下步骤:
S411,基于所述第一IP地址获取所述目标设备的地理位置信息。
如可将该第一IP地址输入至预置地理位置信息库,并从中检索该第一IP地址对应的目标设备的地理位置信息。该地理位置信息可包括目标设备所在的大洲、国家、省、市、华南、华北、华中、华东或其他自定义的地理位置划分区域信息。当然,也可通过其他方式获取目标设备的地理位置信息。
S412,基于所述地理位置信息判断所述目标设备是否位于第一区域,其中所述第一区域为禁止访问的区域;如果是,则确定所述第一IP地址不符合安全防护条件,如果否,则确定该第一IP地址符合安全防护条件。
在获取到地理位置信息后,可基于该地理位置信息判断目标设备是否位于第一区域,该第一区域可为黑客服务器活动地区、恐怖组织活动地区或其他禁止访问的区域。如果目标设备位于该第一区域内,则确定该第一IP地址不符合安全防护条件。例如,当客户端访问域名为www.abc.com的网址时,DNS服务器基于该域名信息可获取第一域名响应报文,对该第一域名响应报文进行解析后可从中提取A记录/AAAA记录,基于该A记录/AAAA记录可获取目标设备的IP地址,然后查询该IP地址对应的目标设备的地理位置信息,如位于A地区,如果A地区为黑客服务器活动地区,则确定该第一IP地址不符合安全防护条件,拒绝向客户端反馈该第一域名响应报文。
当目标设备不在第一区域时,步骤S400,所述判断所述第一IP地址是否符合安全防护条件,还可包括如下步骤:
S413,基于所述地理位置信息判断所述目标设备是否位于第二区域,其中所述第二区域为监控访问的区域;如果是,则确定所述第一IP地址符合安全防护条件并记录安全日志。
仍以客户端访问域名为www.abc.com的网址为例,当基于第一IP地址查询到目标设备位于B地区,B地区不再第一区域内,但位于第二区域内,也即目标设备位于受到监控访问的区域,这时,可确定第一IP地址符合安全防护条件,向客户端反馈包含第一域名响应报文的反馈信息,但与此同时记录安全日志,以记录并监控用户的访问行为。
在另一个实施例中,也可基于所述地理位置信息判断所述目标设备是否位于第三区域,其中第三区域为允许访问的区域;如果是,则确定第一IP地址符合安全防护条件,如果否,则确定第一IP地址不符合安全防护条件。应用在在例如DNS代理服务器时,可判断该目标设备是否位于被代理域名的主机所在区域,如果目标设备位于被代理域名的主机所在区域,则确定该第一IP地址符合安全防护条件,如果不在被代理域名的主机所在区域,则目标设备的IP地址有可能被黑客篡改过,方位该第一IP地址可能会受到病毒攻击,确定该第一IP地址不符合安全防护条件。例如,被代理的域名www.abc.com的主机布设在北京、上海、广州、四川…等地区,如果基于地理位置信息判断目标设备位于这些区域之内,则确定该第一IP地址符合安全防护条件,如果目标设备位于这些区域之外,则确定该第一IP地址不符合安全防护条件。
在又一个实施例中,所述判断第一IP地址是否符合安全防护条件,具体可包括如下步骤:
S421,判断所述第一IP地址是否位于黑名单中;如果是,则确定所述第一IP地址不符合安全防护条件。该黑名单可为公安局、行业协会、企业或组织制作的记录有恶意IP地址的黑名单,黑名单中的IP地址均是被确定的恶意IP地址或可疑度较高的IP地址。
需要说明的是,不仅限于通过上述方式判断该第一IP地址是否符合安全防护条件,也可通过与该第一IP地址相关的历史记录信息判断其是否符合安全防护条件,如访问记录、通信记录等,或者在安全系统环境模拟访问该目标设备并检测该目标设备是否提供恶意文件下载等方式,如病毒、木马、恶意插件等。
在一些实施例中,步骤S400中,如果判断所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈所述第一域名响应报文,可包括:
如果所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈信息。也即,不向第一电子设备反馈任何用于响应第一域名查询请求的信息。
或者,如果所述第一IP地址不符合安全防护条件,则基于第二域名响应报文生成第五反馈信息,并向所述第一电子设备反馈所述第五反馈信息以响应所述第一域名查询请求,其中所述第二域名响应报文中的主机记录包含第三IP地址,所述第三IP地址符合所述安全防护条件。例如,当确定第一IP地址不符合安全防护条件时,可将第一IP地址替换为第三IP地址(如127.000.000.000),以避免用户因访问第一IP地址对应的目标设备而产生安全隐患。
本发明实施例还提供了一种域名系统安全防护装置,图5为本发明实施例的域名系统安全防护装置的结构框图,参见图5所示,该域名系统安全防护装置包括:
接收模块10,用于接收第一电子设备发送的第一域名查询请求,其中所述第一域名查询请求中包含域名信息;
第一获取模块20,用于基于所述域名信息获取第一域名响应报文;
第二获取模块30,用于基于所述第一域名响应报文中的主机记录获取第一IP地址,其中所述第一IP地址为所述第一域名查询请求所指向的目标设备的IP地址;
判断模块40,用于判断所述第一IP地址是否符合安全防护条件,如果所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈所述第一域名响应报文。
在一些实施例中,所述判断模块40还用于:
如果所述第一IP地址符合安全防护条件,则基于所述第一域名响应报文生成第一反馈信息,并向所述第一电子设备发送所述第一反馈信息,以响应所述第一域名查询请求。
配合图6所示,在一些实施例中,所述第一获取模块20包括:
第一生成单元21,用于基于所述域名信息生成第二域名查询请求,并向第二电子设备发送所述第二域名查询请求;
第一获取单元22,用于接收所述第二电子设备反馈的第二反馈信息,并从所述第二反馈信息中获取所述第一域名响应报文。
配合图7所示,在一些实施例中,所述第一获取模块20包括:
第二生成单元23,用于基于所述域名信息生成并向第三电子设备发送第三域名查询请求,并接收所述第三电子设备反馈的第三反馈信息,其中所述第三反馈信息中包含用于标识第四电子设备的第二IP地址;
第三生成单元24,用于基于所述第二IP地址向所述第四电子设备发送第四域名查询请求,并接收所述第四电子设备反馈的第四反馈信息;
第二获取单元25,用于从所述第四反馈信息中获取所述第一域名响应报文。
配合图8所示,在一些实施例中,所述判断模块40包括:
第三获取单元41,用于基于所述第一IP地址获取所述目标设备的地理位置信息;
第一判断单元42,用于基于所述地理位置信息判断所述目标设备是否位于第一区域,其中所述第一区域为禁止访问的区域;如果是,则确定所述第一IP地址不符合安全防护条件。
在一些实施例中,所述判断模块40还包括:
第二判断单元,用于基于所述地理位置信息判断所述目标设备是否位于第二区域,其中所述第二区域为监控访问的区域;如果是,则确定所述第一IP地址符合安全防护条件并记录安全日志。
在一些实施例中,所述判断模块40包括:
第三判断单元,用于判断所述第一IP地址是否位于黑名单中;如果是,则确定所述第一IP地址不符合安全防护条件。
在一些实施例中,所述判断模块40具体用于:
在所述第一IP地址不符合安全防护条件的情况下,不向所述第一电子设备反馈信息;或
在所述第一IP地址不符合安全防护条件的情况下,基于第二域名响应报文生成第五反馈信息,并向所述第一电子设备反馈所述第五反馈信息以响应所述第一域名查询请求,其中所述第二域名响应报文中的主机记录包含第三IP地址,所述第三IP地址符合所述安全防护条件。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (10)
1.一种域名系统安全防护方法,应用于DNS代理服务器,所述DNS代理服务器用于对内网到外网的DNS查询流量进行处理,所述方法包括:
接收第一电子设备发送的第一域名查询请求,其中所述第一域名查询请求中包含域名信息;
基于所述域名信息获取第一域名响应报文;
基于所述第一域名响应报文中的主机记录获取第一IP地址,其中,所述主机记录用于向发起访问的第一电子设备反馈目标设备的IP地址,以供发起访问的第一电子设备基于其中的IP地址访问目标设备,所述第一IP地址为所述第一域名查询请求所指向的目标设备的IP地址;
判断所述第一IP地址是否符合安全防护条件,如果否,则不向所述第一电子设备反馈所述第一域名响应报文;
其中,所述判断所述第一IP地址是否符合安全防护条件,包括:
基于所述第一IP地址获取所述目标设备的地理位置信息;
基于所述地理位置信息,判断所述目标设备是否位于被代理域名的主机所在区域;
如果是,则确定所述第一IP地址符合安全防护条件;
如果否,则确定所述第一IP地址不符合安全防护条件。
2.根据权利要求1所述的域名系统安全防护方法,其中,所述方法还包括:
如果所述第一IP地址符合安全防护条件,则基于所述第一域名响应报文生成第一反馈信息,并向所述第一电子设备发送所述第一反馈信息,以响应所述第一域名查询请求。
3.根据权利要求1所述的域名系统安全防护方法,其中,所述基于所述域名信息获取第一域名响应报文,包括:
基于所述域名信息生成第二域名查询请求,并向第二电子设备发送所述第二域名查询请求;
接收所述第二电子设备反馈的第二反馈信息,并从所述第二反馈信息中获取所述第一域名响应报文。
4.根据权利要求1所述的域名系统安全防护方法,其中,所述基于所述域名信息获取第一域名响应报文,包括:
基于所述域名信息生成并向第三电子设备发送第三域名查询请求,并接收所述第三电子设备反馈的第三反馈信息,其中所述第三反馈信息中包含用于标识第四电子设备的第二IP地址;
基于所述第二IP地址向所述第四电子设备发送第四域名查询请求,并接收所述第四电子设备反馈的第四反馈信息;
从所述第四反馈信息中获取所述第一域名响应报文。
5.根据权利要求1所述的域名系统安全防护方法,其中,所述判断所述第一IP地址是否符合安全防护条件,包括:
基于所述第一IP地址获取所述目标设备的地理位置信息;
基于所述地理位置信息判断所述目标设备是否位于第一区域,其中所述第一区域为禁止访问的区域;
如果是,则确定所述第一IP地址不符合安全防护条件。
6.根据权利要求5所述的域名系统安全防护方法,其中,所述判断所述第一IP地址是否符合安全防护条件,还包括:
基于所述地理位置信息判断所述目标设备是否位于第二区域,其中所述第二区域为监控访问的区域;
如果是,则确定所述第一IP地址符合安全防护条件并记录安全日志。
7.根据权利要求1所述的域名系统安全防护方法,其中,所述判断所述第一IP地址是否符合安全防护条件,包括:
判断所述第一IP地址是否位于黑名单中;
如果是,则确定所述第一IP地址不符合安全防护条件。
8.根据权利要求1所述的域名系统安全防护方法,其中,如果所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈所述第一域名响应报文,包括:
如果所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈信息;或
如果所述第一IP地址不符合安全防护条件,则基于第二域名响应报文生成第五反馈信息,并向所述第一电子设备反馈所述第五反馈信息以响应所述第一域名查询请求,其中所述第二域名响应报文中的主机记录包含第三IP地址,所述第三IP地址符合所述安全防护条件。
9.一种域名系统安全防护装置,该装置为DNS代理服务器,所述DNS代理服务器用于对内网到外网的DNS查询流量进行处理,该装置包括:
接收模块,用于接收第一电子设备发送的第一域名查询请求,其中所述第一域名查询请求中包含域名信息;
第一获取模块,用于基于所述域名信息获取第一域名响应报文;
第二获取模块,用于基于所述第一域名响应报文中的主机记录获取第一IP地址,其中,所述主机记录用于向发起访问的第一电子设备反馈目标设备的IP地址,以供发起访问的第一电子设备基于其中的IP地址访问目标设备,所述第一IP地址为所述第一域名查询请求所指向的目标设备的IP地址;
判断模块,用于判断所述第一IP地址是否符合安全防护条件,如果所述第一IP地址不符合安全防护条件,则不向所述第一电子设备反馈所述第一域名响应报文;
所述判断模块具体用于:
基于所述第一IP地址获取所述目标设备的地理位置信息;
基于所述地理位置信息,判断所述目标设备是否位于被代理域名的主机所在区域;
如果是,则确定所述第一IP地址符合安全防护条件;
如果否,则确定所述第一IP地址不符合安全防护条件。
10.根据权利要求9所述的域名系统安全防护装置,其中,所述判断模块还用于:
如果所述第一IP地址符合安全防护条件,则基于所述第一域名响应报文生成第一反馈信息,并向所述第一电子设备发送所述第一反馈信息,以响应所述第一域名查询请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910531807.0A CN110266684B (zh) | 2019-06-19 | 2019-06-19 | 一种域名系统安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910531807.0A CN110266684B (zh) | 2019-06-19 | 2019-06-19 | 一种域名系统安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110266684A CN110266684A (zh) | 2019-09-20 |
| CN110266684B true CN110266684B (zh) | 2022-06-24 |
Family
ID=67919414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910531807.0A Active CN110266684B (zh) | 2019-06-19 | 2019-06-19 | 一种域名系统安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266684B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112182601A (zh) * | 2020-09-21 | 2021-01-05 | 中国科学院计算技术研究所 | 基于区块链的域名数据存储方法及系统 |
| CN113872953B (zh) * | 2021-09-18 | 2024-03-26 | 杭州迪普信息技术有限公司 | 一种访问报文处理方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101816148A (zh) * | 2007-08-06 | 2010-08-25 | 伯纳德·德莫森纳特 | 用于验证、数据传送和防御网络钓鱼的系统和方法 |
| KR20140063245A (ko) * | 2012-11-16 | 2014-05-27 | 주식회사 시큐아이 | 서브 도메인 네임을 수집하는 보안 장치 및 그것의 동작 방법 |
| CN104301311A (zh) * | 2014-09-28 | 2015-01-21 | 北京奇虎科技有限公司 | Dns过滤网络数据内容的方法及设备 |
| CN106161436A (zh) * | 2016-06-27 | 2016-11-23 | 汉柏科技有限公司 | 一种防止域名系统dns污染的方法和网关 |
| CN106936945A (zh) * | 2017-04-25 | 2017-07-07 | 中国联合网络通信集团有限公司 | 分布式域名解析方法及装置 |
| CN106953837A (zh) * | 2015-11-03 | 2017-07-14 | 丛林网络公司 | 具有威胁可视化的集成安全系统 |
| CN108418780A (zh) * | 2017-02-10 | 2018-08-17 | 阿里巴巴集团控股有限公司 | Ip地址的过滤方法及装置、系统、dns服务器 |
| CN109120579A (zh) * | 2017-06-26 | 2019-01-01 | 中国电信股份有限公司 | 恶意域名的检测方法、装置及计算机可读存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104219200B (zh) * | 2013-05-30 | 2017-10-17 | 杭州迪普科技股份有限公司 | 一种防范dns缓存攻击的装置和方法 |
| CN103685318B (zh) * | 2013-12-31 | 2017-09-12 | 山石网科通信技术有限公司 | 用于网络安全防护的数据处理方法和装置 |
-
2019
- 2019-06-19 CN CN201910531807.0A patent/CN110266684B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101816148A (zh) * | 2007-08-06 | 2010-08-25 | 伯纳德·德莫森纳特 | 用于验证、数据传送和防御网络钓鱼的系统和方法 |
| KR20140063245A (ko) * | 2012-11-16 | 2014-05-27 | 주식회사 시큐아이 | 서브 도메인 네임을 수집하는 보안 장치 및 그것의 동작 방법 |
| CN104301311A (zh) * | 2014-09-28 | 2015-01-21 | 北京奇虎科技有限公司 | Dns过滤网络数据内容的方法及设备 |
| CN106953837A (zh) * | 2015-11-03 | 2017-07-14 | 丛林网络公司 | 具有威胁可视化的集成安全系统 |
| CN106161436A (zh) * | 2016-06-27 | 2016-11-23 | 汉柏科技有限公司 | 一种防止域名系统dns污染的方法和网关 |
| CN108418780A (zh) * | 2017-02-10 | 2018-08-17 | 阿里巴巴集团控股有限公司 | Ip地址的过滤方法及装置、系统、dns服务器 |
| CN106936945A (zh) * | 2017-04-25 | 2017-07-07 | 中国联合网络通信集团有限公司 | 分布式域名解析方法及装置 |
| CN109120579A (zh) * | 2017-06-26 | 2019-01-01 | 中国电信股份有限公司 | 恶意域名的检测方法、装置及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110266684A (zh) | 2019-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10911399B2 (en) | Robust domain name resolution | |
| US10230760B2 (en) | Real-time cloud-based detection and mitigation of DNS data exfiltration and DNS tunneling | |
| CN103152357B (zh) | 一种针对dns服务的防御方法、装置和系统 | |
| EP1866783B1 (en) | System and method for detecting and mitigating dns spoofing trojans | |
| US9026676B1 (en) | Systems and methods for prepending nonce labels to DNS queries to enhance security | |
| EP2715522B1 (en) | Using dns communications to filter domain names | |
| US7827607B2 (en) | Enhanced client compliancy using database of security sensor data | |
| US7694343B2 (en) | Client compliancy in a NAT environment | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| US8316440B1 (en) | System for detecting change of name-to-IP resolution | |
| US20080060054A1 (en) | Method and system for dns-based anti-pharming | |
| US20060230039A1 (en) | Online identity tracking | |
| US20100121981A1 (en) | Automated verification of dns accuracy | |
| US8955123B2 (en) | Method and system for preventing malicious communication | |
| WO2014116857A1 (en) | Domain classification based on client request behavior | |
| US20120124087A1 (en) | Method and apparatus for locating naming discrepancies | |
| CN107689965A (zh) | 网络设备的防护方法、装置及系统 | |
| CN110266684B (zh) | 一种域名系统安全防护方法及装置 | |
| CN111988447A (zh) | 网络安全防护方法及dns递归服务器 | |
| JP3590394B2 (ja) | パケット転送装置、パケット転送方法およびプログラム | |
| US20230156044A1 (en) | System and method for dns misuse detection | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
| CN111371917B (zh) | 一种域名检测方法及系统 | |
| CN115297083B (zh) | 基于数据量和行为特征的域名系统隧道检测方法和系统 | |
| WO2024214478A1 (ja) | プログラム、情報処理装置および情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |