CN110430189A - 一种域名系统访问控制方法及装置 - Google Patents
一种域名系统访问控制方法及装置 Download PDFInfo
- Publication number
- CN110430189A CN110430189A CN201910711843.5A CN201910711843A CN110430189A CN 110430189 A CN110430189 A CN 110430189A CN 201910711843 A CN201910711843 A CN 201910711843A CN 110430189 A CN110430189 A CN 110430189A
- Authority
- CN
- China
- Prior art keywords
- domain
- preset
- name information
- address
- name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种域名系统访问控制方法及装置,其中,所述方法包括:拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。本发明实施例的域名系统访问控制方法,预先构建的预置记录表中记录有需要管控访问的预置域名信息和相对应的预置IP地址,基于该预置记录表能够有效管控第一客户端的访问操作。
Description
技术领域
本发明涉及域名系统技术领域,特别涉及一种域名系统访问控制方法及装置。
背景技术
越来越多的网络环境使用超文本传输安全协议(https)通信,现有技术中针对https通信的访问控制主要有两种形式,一种是在https环境下使用http代理来作数据解密,来实现对报文内容的访问控制。基于http代理的https访问控制,需要对https报文进行解密加密,功能实现较为复杂。另一种是基于域名的https访问控制方法,通过在网络安全设备上配置域名对象,当主机发送域名查询请求查询该域名对应的IP地址时,对反馈的域名响应报文进行阻断,以实现基于域名的访问控制。基于域名的https访问控制,如果客户端直接访问ip地址及服务,基于域名的访问控制就无法阻断。
发明内容
本发明提供了一种操作简单且能够有效管控的域名系统访问控制方法及装置。
为了解决上述技术问题,本发明的实施例采用了如下技术方案:
一种域名系统访问控制方法,包括:
拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;
基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;
当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。
在一些实施例中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:
拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址;
将所述第二域名信息与预置域名信息进行匹配操作;
当所述第二域名信息与所述预置域名信息匹配时,将所述第二IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
在一些实施例中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:
拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息;
将所述第二域名信息与预置域名信息进行匹配操作;
当所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
在一些实施例中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:
拦截第二客户端发送的第二请求,从所述第二请求中提取第二域名信息;
将所述第二域名信息与预置域名信息进行匹配操作;
当所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
在一些实施例中,所述方法还包括:
当所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时,放行所述第一请求。
一种域名系统访问控制装置,包括:
拦截模块,用于拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;
匹配模块,用于基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;
发送模块,用于在所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。
在一些实施例中,所述装置还包括用于构建所述预置记录表的构建模块,所述构建模块包括:
第一拦截单元,用于拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址;
第一匹配单元,用于将所述第二域名信息与预置域名信息进行匹配操作;
第一构建单元,用于在所述第二域名信息与所述预置域名信息匹配时,将所述第二IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
在一些实施例中,所述装置还包括用于构建所述预置记录表的构建模块,所述构建模块包括:
第二拦截单元,用于拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息;
第二匹配单元,用于将所述第二域名信息与预置域名信息进行匹配操作;
第一发送单元,用于在所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
第二构建单元,用于获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
在一些实施例中,所述装置还包括用于构建所述预置记录表的构建模块,所述构建模块包括:
第三拦截单元,用于拦截第二客户端发送的第二请求,从所述第二请求中提取第二域名信息;
第三匹配单元,用于将所述第二域名信息与预置域名信息进行匹配操作;
第二发送单元,用于在所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
第三构建单元,用于获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
在一些实施例中,所述发送模块还用于:
在所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时,放行所述第一请求。
本发明实施例的有益效果在于:
本发明实施例的域名系统访问控制方法,预先构建的预置记录表中不仅记录有需要管控访问的预置域名信息,还记录有与预置域名信息相对应的预置IP地址,拦截第一客户端为访问目标设备所发送的第一请求,并从中提取第一域名信息和/或第一IP地址,将第一域名信息和/或第一IP地址与预置记录表进行匹配操作,在二者中任意一个与预置记录表相匹配时,就禁止向目标设备发送第一请求,能够有效管控第一客户端的访问操作,克服了直接利用IP地址进行访问操作无法有效管控的问题。
附图说明
图1为本发明实施例的域名系统访问控制方法的流程图;
图2为本发明实施例的域名系统访问控制方法中构建预置记录表方法第一种实施例的流程图;
图3为本发明实施例的域名系统访问控制方法中构建预置记录表方法第二种实施例的流程图;
图4为本发明实施例的域名系统访问控制方法中构建预置记录表方法第三种实施例的流程图;
图5为本发明实施例的域名系统访问控制装置的结构框图;
图6为本发明实施例的域名系统访问控制装置中构建模块的第一种实施例的结构框图;
图7为本发明实施例的域名系统访问控制装置中构建模块的第二种实施例的结构框图;
图8为本发明实施例的域名系统访问控制装置中构建模块的第三种实施例的结构框图。
附图标记说明:
100-拦截模块;200-匹配模块;300-发送模块;400-构建模块;411-第一拦截单元;412-第一匹配单元;413-第一构建单元;421-第二拦截单元;422-第二匹配单元;423-第一发送单元;424-第二构建单元;431-第三拦截单元;432-第三匹配单元;433-第二发送单元;434-第三构建单元。
具体实施方式
此处参考附图描述本发明的各种方案以及特征。
应理解的是,可以对此处发明的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本发明的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本发明的实施例,并且与上面给出的对本发明的大致描述以及下面给出的对实施例的详细描述一起用于解释本发明的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本发明的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本发明的具体实施例;然而,应当理解,所发明的实施例仅仅是本发明的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本发明模糊不清。因此,本文所发明的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本发明。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本发明的相同或不同实施例中的一个或多个。
本发明实施例提供了一种域名系统访问控制方法,该域名系统访问控制方法可应用在路由器、调制解调器等网关设备上,或者也可应用在网间设备上,该方法能够对域名系统的访问进行有效管控,且操作简单。图1为本发明实施例的域名系统访问控制方法的流程图,参见图1所示,本发明实施例的域名系统访问控制方法,具体包括如下步骤:
S100,拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址。
其中,该第一客户端为用户所使用的用于进行网络访问的电子设备,具体可为台式电脑、笔记本电脑、平板电脑、智能手机或其他具有网络访问功能的电子设备。目标设备可为电脑、智能手机、服务器或其他能够被网络访问的电子设备。用户利用第一客户端进行访问操作时,需要向目标设备发送第一请求,如果用户利用域名进行访问操作时,则能够从该第一请求中提取指向目标设备的第一域名信息,如果用户利用IP地址进行访问操作时,则能够从该第一请求中提取到指向目标设备的第一IP地址,当然,也可能从第一请求中同时提取到第一域名信息和第一IP地址。
S200,基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作。
其中,该预置记录表为根据用户需要构建的记录表,该预置记录表包括预置域名信息和与预置域名信息相对应的至少一个预置IP地址。该预置域名信息包括用户选取的需要管控访问的域名信息,如恶意网站的域名、敏感网站的域名等,该预置IP地址为预置域名信息对应的主机的IP地址,该预置IP地址可为一个,也可为多个,例如,当一个域名对应多个主机时,则该预置IP地址可为多个。在提取第一域名信息和/或第一IP地址后,将第一域名信息与预置域名信息匹配,将第一IP地址与预置IP地址匹配,以确定该预置记录表中是否包含该第一域名信息或第一IP地址。
S300,当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。
如果第一域名信息与预置域名信息匹配,或者第一IP地址与预置IP地址匹配,亦或者第一域名信息与预置域名信息匹配且第一IP地址与预置IP地址匹配,则确定第一客户端的访问操作需要管控访问。这时,禁止向目标设备发送第一请求,以便于管控第一客户端的访问操作。
本发明实施例的域名系统访问控制方法,预先构建的预置记录表中不仅记录有需要管控访问的预置域名信息,还记录有与预置域名信息相对应的预置IP地址,拦截第一客户端为访问目标设备所发送的第一请求,并从中提取第一域名信息和/或第一IP地址,将第一域名信息和/或第一IP地址与预置记录表进行匹配操作,在二者中任意一个与预置记录表相匹配时,就禁止向目标设备发送第一请求,能够有效管控第一客户端的访问操作,克服了直接利用IP地址进行访问操作无法有效管控的问题。
在一些实施例中,所述方法还包括:当所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时,放行所述第一请求。如果第一域名信息与预置域名信息不匹配,并且第一IP地址与预置IP地址也不匹配,则确定第一客户端的访问操作不需要管控访问,这时,放行该第一请求,以便于目标设备能够接收到该第一请求,进而使第一客户端能够正常访问目标设备。
该域名系统访问控制方法还可包括构建预置记录表,构建该预置记录表的方法可以有多种。配合图2所示,在一个实施例中,所述构建所述预置记录表具体包括如下步骤:
S411,拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址。
其中,第二客户端可如第一客户端一样,为普通用户所使用的用于进行访问操作的电子设备,也可为特设的用于配合构建预置记录表的测试客户端,第一服务器为域名服务器(DNS)。第二客户端基于域名进行访问操作时,需要向第一服务器发送第一域名查询请求,该第一域名查询请求中包含第二域名信息,第一服务器接收到第一域名查询请求后,基于该第二域名信息查找与之相对应的第二IP地址,之后基于该第二域名信息和第二IP地址向第二客户端反馈第一域名响应报文。通过拦截该第一域名响应报文,能够从中提取第二域名信息和第二IP地址。具体的,可从主机记录中提取该第二IP地址。当采用互联网通讯协议第四版(IPv4)时,该主机记录可为A记录;当采用互联网通讯协议第六版(IPv6)时,该主机记录可为AAAA记录。
S412,将所述第二域名信息与预置域名信息进行匹配操作。在提取到第二域名信息后,将其与预置域名信息进行匹配操作,以确定该第二域名信息是否为需要管控的域名。
S413,当所述第二域名信息与所述预置域名信息匹配时,将所述第二IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
如果第二域名信息与预置域名信息相匹配,则确定该第二域名信息为需要管控的域名,这时与之相对应的第二IP地址也需要管控访问,以避免用户直接通过该第二IP地址进行访问操作而导致无法有效管控的问题,之后将第二IP地址作为预置IP地址,基于预置域名信息和预置IP地址构建预置记录表。也就是说,该预置记录表包括两部分,一部分为预置域名信息列表,一部分为对应的预置IP地址列表。
配合图3所示,在另一些实施例中,所述构建所述预置记录表具体可包括如下步骤:
S421,拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息。
其中,第二客户端可如第一客户端一样,为普通用户所使用的用于进行访问操作的电子设备,也可为特设的用于配合构建预置记录表的测试客户端,第一服务器为域名服务器(DNS)。第二客户端基于域名进行访问操作时,需要向第一服务器发送第一域名查询请求,该第一域名查询请求中包含第二域名信息,第一服务器接收到第一域名查询请求后,基于该第二域名信息查找与之相对应的第二IP地址,之后基于该第二域名信息和第二IP地址向第二客户端反馈第一域名响应报文。通过拦截该第一域名响应报文,能够从中提取第二域名信息。
S422,将所述第二域名信息与预置域名信息进行匹配操作。在提取到第二域名信息后,将其与预置域名信息进行匹配操作,以确定该第二域名信息是否为需要管控的域名。
S423,当所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求。
其中,第二服务器为DNS服务器,具体可为本地域名服务器、根域名服务器、顶级域名服务器、权限域名服务器、商用域名服务器等。如果第二域名信息与预置域名信息匹配,则确定该第二域名信息为需要管控的域名。在实际应用过程中,一种情况下,一个域名可以对应一个主机,这时一个域名只包括一个对应的IP地址,另一些情况下,一个域名可能对应多个主机,这时一个域名就对应多个IP地址,为全面记录与域名相对应的IP地址。在确定第二域名信息需要管控的情况下,可基于该第二域名信息向DNS服务器主动查询与之相对应的IP地址。在具体实施过程中,可向多个DNS服务器发送第二域名查询请求,以便能够较为全面的获取与该第二杨建明信息对应的IP地址。
S424,获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
第二服务器接收到第二域名查询请求后,查询与第二域名信息相对应的第三IP地址,基于第二域名信息和第三IP地址查询反馈第二域名响应报文,之后可从中提取第三IP地址。在具体实施过程中,可能会受到多个第二域名响应报文,分别从中提取第三IP地址,并进行汇总。这时,将获取到的全部第三IP地址均作为预置IP地址,然后基于预置域名信息和预置IP地址构建预置记录表。通过该方法能够较为全面的获取到与域名相对应的IP地址,能够避免因IP地址收录不完整而导致的管控失效的问题。
配合图4所示,在又一个实施例中,所述构建所述预置记录表具体包括:
S431,拦截第二客户端发送的第二请求,从所述第二请求中提取第二域名信息。
在实际应用过程中,不仅可以从DNS服务器反馈的域名响应报文中提取用户访问操作的域名信息,也可直接从第二客户端执行访问操作的第二请求中提取,这样能够简化操作步骤。该第二请求可为第二客户端向DNS服务器发送的域名查询请求,也可为向目标设备发送的包括域名信息和IP地址的访问请求。
S432,将所述第二域名信息与预置域名信息进行匹配操作。在提取到第二域名信息后,将其与预置域名信息进行匹配操作,以确定该第二域名信息是否为需要管控的域名。
S433,当所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求。
其中,第二服务器为DNS服务器,具体可为本地域名服务器、根域名服务器、顶级域名服务器、权限域名服务器、商用域名服务器等。如果第二域名信息与预置域名信息匹配,则确定该第二域名信息为需要管控的域名。在实际应用过程中,一种情况下,一个域名可以对应一个主机,这时一个域名只包括一个对应的IP地址,另一些情况下,一个域名可能对应多个主机,这时一个域名就对应多个IP地址,为全面记录与域名相对应的IP地址。在确定第二域名信息需要管控的情况下,可基于该第二域名信息向DNS服务器主动查询与之相对应的IP地址。在具体实施过程中,可向多个DNS服务器发送第二域名查询请求,以便能够较为全面的获取与该第二杨建明信息对应的IP地址。
S434,获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
第二服务器接收到第二域名查询请求后,查询与第二域名信息相对应的第三IP地址,基于第二域名信息和第三IP地址查询反馈第二域名响应报文,之后可从中提取第三IP地址。在具体实施过程中,可能会受到多个第二域名响应报文,分别从中提取第三IP地址,并进行汇总。这时,将获取到的全部第三IP地址均作为预置IP地址,然后基于预置域名信息和预置IP地址构建预置记录表。通过该方法能够较为全面的获取到与域名相对应的IP地址,能够避免因IP地址收录不完整而导致的管控失效的问题。
参见图5所示,本发明实施例还提供了一种域名系统访问控制装置,包括:
拦截模块100,用于拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;
匹配模块200,用于基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;
发送模块300,用于在所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。
配合图6所示,在一些实施例中,所述装置还包括用于构建所述预置记录表的构建模块400,所述构建模块400包括:
第一拦截单元411,用于拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址;
第一匹配单元412,用于将所述第二域名信息与预置域名信息进行匹配操作;
第一构建单元413,用于在所述第二域名信息与所述预置域名信息匹配时,将所述第二IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
配合图7所示,在一些实施例中,所述装置还包括用于构建所述预置记录表的构建模块400,所述构建模块400包括:
第二拦截单元421,用于拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息;
第二匹配单元422,用于将所述第二域名信息与预置域名信息进行匹配操作;
第一发送单元423,用于在所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
第二构建单元424,用于获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
配合图8所示,在一些实施例中,所述装置还包括用于构建所述预置记录表的构建模块400,所述构建模块400包括:
第三拦截单元431,用于拦截第二客户端发送的第二请求,从所述第二请求中提取第二域名信息;
第三匹配单元432,用于将所述第二域名信息与预置域名信息进行匹配操作;
第二发送单元433,用于在所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
第三构建单元434,用于获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
在一些实施例中,所述发送模块300还用于:
在所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时,放行所述第一请求。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (10)
1.一种域名系统访问控制方法,包括:
拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;
基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;
当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。
2.根据权利要求1所述的域名系统访问控制方法,其中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:
拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址;
将所述第二域名信息与预置域名信息进行匹配操作;
当所述第二域名信息与所述预置域名信息匹配时,将所述第二IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
3.根据权利要求1所述的域名系统访问控制方法,其中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:
拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息;
将所述第二域名信息与预置域名信息进行匹配操作;
当所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
4.根据权利要求1所述的域名系统访问控制方法,其中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:
拦截第二客户端发送的第二请求,从所述第二请求中提取第二域名信息;
将所述第二域名信息与预置域名信息进行匹配操作;
当所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
5.根据权利要求1所述的域名系统访问控制方法,其中,所述方法还包括:
当所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时,放行所述第一请求。
6.一种域名系统访问控制装置,包括:
拦截模块,用于拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;
匹配模块,用于基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;
发送模块,用于在所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。
7.根据权利要求6所述的域名系统访问控制装置,其中,所述装置还包括用于构建所述预置记录表的构建模块,所述构建模块包括:
第一拦截单元,用于拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址;
第一匹配单元,用于将所述第二域名信息与预置域名信息进行匹配操作;
第一构建单元,用于在所述第二域名信息与所述预置域名信息匹配时,将所述第二IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
8.根据权利要求6所述的域名系统访问控制装置,其中,所述装置还包括用于构建所述预置记录表的构建模块,所述构建模块包括:
第二拦截单元,用于拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息;
第二匹配单元,用于将所述第二域名信息与预置域名信息进行匹配操作;
第一发送单元,用于在所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
第二构建单元,用于获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
9.根据权利要求6所述的域名系统访问控制装置,其中,所述装置还包括用于构建所述预置记录表的构建模块,所述构建模块包括:
第三拦截单元,用于拦截第二客户端发送的第二请求,从所述第二请求中提取第二域名信息;
第三匹配单元,用于将所述第二域名信息与预置域名信息进行匹配操作;
第二发送单元,用于在所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;
第三构建单元,用于获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。
10.根据权利要求6所述的域名系统访问控制装置,其中,所述发送模块还用于:
在所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时,放行所述第一请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910711843.5A CN110430189A (zh) | 2019-08-02 | 2019-08-02 | 一种域名系统访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910711843.5A CN110430189A (zh) | 2019-08-02 | 2019-08-02 | 一种域名系统访问控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110430189A true CN110430189A (zh) | 2019-11-08 |
Family
ID=68412311
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910711843.5A Pending CN110430189A (zh) | 2019-08-02 | 2019-08-02 | 一种域名系统访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110430189A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021212739A1 (zh) * | 2020-04-22 | 2021-10-28 | 百度在线网络技术(北京)有限公司 | 网络攻击的防御方法、装置、设备、系统和存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820451A (zh) * | 2009-02-26 | 2010-09-01 | 上海数讯信息技术有限公司 | 一种动态域名服务优化系统 |
| CN103546434A (zh) * | 2012-07-13 | 2014-01-29 | 中国电信股份有限公司 | 网络访问控制的方法、装置和系统 |
| CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
| CN106101104A (zh) * | 2016-06-15 | 2016-11-09 | 国家计算机网络与信息安全管理中心 | 一种基于域名解析的恶意域名检测方法及系统 |
| CN106161669A (zh) * | 2015-04-28 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种快速域名解析方法和系统、及其终端和服务器 |
| CN106936791A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 拦截恶意网址访问的方法和装置 |
| CN107454037A (zh) * | 2016-05-30 | 2017-12-08 | 深圳市深信服电子科技有限公司 | 网络攻击的识别方法和系统 |
| CN108023877A (zh) * | 2017-11-20 | 2018-05-11 | 烽火通信科技股份有限公司 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
| CN108156277A (zh) * | 2018-03-19 | 2018-06-12 | 北京泰策科技有限公司 | 基于开放dns服务器的域名对应互联网资源的检测方法 |
-
2019
- 2019-08-02 CN CN201910711843.5A patent/CN110430189A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820451A (zh) * | 2009-02-26 | 2010-09-01 | 上海数讯信息技术有限公司 | 一种动态域名服务优化系统 |
| CN103546434A (zh) * | 2012-07-13 | 2014-01-29 | 中国电信股份有限公司 | 网络访问控制的方法、装置和系统 |
| CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
| CN106161669A (zh) * | 2015-04-28 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种快速域名解析方法和系统、及其终端和服务器 |
| CN106936791A (zh) * | 2015-12-31 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 拦截恶意网址访问的方法和装置 |
| CN107454037A (zh) * | 2016-05-30 | 2017-12-08 | 深圳市深信服电子科技有限公司 | 网络攻击的识别方法和系统 |
| CN106101104A (zh) * | 2016-06-15 | 2016-11-09 | 国家计算机网络与信息安全管理中心 | 一种基于域名解析的恶意域名检测方法及系统 |
| CN108023877A (zh) * | 2017-11-20 | 2018-05-11 | 烽火通信科技股份有限公司 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
| CN108156277A (zh) * | 2018-03-19 | 2018-06-12 | 北京泰策科技有限公司 | 基于开放dns服务器的域名对应互联网资源的检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 梁先宇: "《计算机应用基础》", 30 June 2008 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021212739A1 (zh) * | 2020-04-22 | 2021-10-28 | 百度在线网络技术(北京)有限公司 | 网络攻击的防御方法、装置、设备、系统和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102769529B (zh) | Dnssec签名服务器 | |
| CN101977224B (zh) | 一种基于SSL VPN设备的Web资源认证信息管理方法 | |
| US9648033B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
| CN101375566B (zh) | 利用动态dns的域名系统和动态dns服务器全局地址管理方法 | |
| US10230691B2 (en) | Systems, devices, and methods for improved domain name system firewall protection | |
| CN112272158A (zh) | 一种数据代理方法、系统及代理服务器 | |
| US10432581B2 (en) | Network identification as a service | |
| US20240048579A1 (en) | Identification of malicious domain campaigns using unsupervised clustering | |
| CN105072108B (zh) | 用户信息的传输方法、装置及系统 | |
| AU2003285597A1 (en) | Client web service access | |
| CN105228140A (zh) | 一种数据访问方法及装置 | |
| JP2015525991A (ja) | パケット受信方法、ディープ・パケット・インスペクション装置及びシステム | |
| US11363062B1 (en) | System and method for decentralized internet traffic filtering policy reporting | |
| CN108023877B (zh) | 一种基于家庭网关实现防火墙域名控制的系统方法 | |
| CN108632221A (zh) | 定位内网中的受控主机的方法、设备及系统 | |
| US11979374B2 (en) | Local network device connection control | |
| CN111800426A (zh) | 应用程序中原生代码接口的访问方法、装置、设备及介质 | |
| CN103327008A (zh) | 一种http重定向方法及装置 | |
| CN110430189A (zh) | 一种域名系统访问控制方法及装置 | |
| CN106453399B (zh) | 一种面向用户隐私保护的域名解析服务方法和系统 | |
| US9692761B2 (en) | System and method for controlling a DNS request | |
| KR20130072907A (ko) | 단축 url 생성 방법 및 이를 지원하는 시스템 | |
| WO2023018918A8 (en) | Identification of an edge enabler client (eec) in an edge application server (eas) and an edge enabler server (ees) in an edge data network | |
| Alao et al. | The Need to Improve DNS Security Architecture: An Adaptive Security Approach'' | |
| WO2015160437A1 (en) | System for identifying current internet protocol address for a remote comuting device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191108 |