CN113676561A - 域名访问控制方法及装置 - Google Patents
域名访问控制方法及装置 Download PDFInfo
- Publication number
- CN113676561A CN113676561A CN202110805514.4A CN202110805514A CN113676561A CN 113676561 A CN113676561 A CN 113676561A CN 202110805514 A CN202110805514 A CN 202110805514A CN 113676561 A CN113676561 A CN 113676561A
- Authority
- CN
- China
- Prior art keywords
- target
- domain name
- access rule
- address
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 230000004044 response Effects 0.000 claims abstract description 51
- 230000008569 process Effects 0.000 claims description 34
- 238000001914 filtration Methods 0.000 description 37
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种域名访问控制方法,包括:从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;根据所述目标域名和所述目标IP地址,得到目标IP访问规则;根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。采用上述方法,以解决现有技术下存在的域名访问规则的粒度不够细致,不能针对不同的应用程序访问相同的域名时进行不同方式的处理的问题。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种域名访问控制方法和一种域名访问控制装置。
背景技术
在网络安全和数据安全领域,为了防止访问恶意域名导致感染计算机病毒,或者防止员工使用即时聊天软件、邮箱、网盘等软件将内部资料外发出去,企事业单位的信息安全部门通常会限制计算机域名的访问。传统的产品和解决方案是安装部署软硬件网络防火墙,配置域名访问规则。
现有技术下,应用程序访问域名时,使用网络过滤模块,过滤DNS请求数据包(dnsrequest packet),解析出要访问的域名,匹配域名访问规则,如果命中域名拦截规则,将该DNS请求数据包扔掉,这样就不能将域名解析成IP地址,达到了域名访问控制的目的。
该方案的缺点在于:发送DNS请求数据包的进程,是系统进程,不是真正发起DNS查询的应用进程(比如浏览器进程),所以在执行拦截操作时,不能区分不同的应用进程。无论是哪个应用程序访问,只要是访问的相同域名,都会根据针对域名配置的域名访问规则,对应用程序的域名访问执行放行或者拦截操作。例如,域名A的域名访问规则中的处理方式为拦截,则无论应用程序1或应用程序2访问域名A,都执行拦截操作。
现有技术下存在域名访问规则的粒度不够细致,不能针对不同的应用程序访问相同的域名时进行不同方式的处理的问题。
发明内容
本申请提供一种域名访问控制方法和一种域名访问控制装置,以解决现有技术下存在的域名访问规则的粒度不够细致,不能针对不同的应用程序访问相同的域名时进行不同方式的处理的问题。
本申请提供一种域名访问控制方法,包括:
从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;
根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;
根据所述目标域名和所述目标IP地址,得到目标IP访问规则;
根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。
作为一种实施方式,所述从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包,包括:
获得系统组件发送的应用程序访问域名时的DNS请求数据包;
将所述DNS请求数据包转发给域名系统服务器;
获得域名系统服务器返回的应用程序访问域名时对应的DNS应答数据包。
作为一种实施方式,所述根据所述目标域名和所述目标IP地址,得到目标IP访问规则,包括:
根据所述目标域名、所述目标IP地址和域名访问规则列表,获得目标IP访问规则。
作为一种实施方式,所述根据所述目标域名、所述目标IP地址和域名访问规则列表,获得目标IP访问规则,包括:
将所述目标域名与域名访问规则列表进行匹配,获得域名访问规则列表中与目标域名匹配的目标域名访问规则;
根据所述匹配的目标域名访问规则,生成目标IP访问规则。
作为一种实施方式,所述根据所述匹配的目标域名访问规则,生成目标IP访问规则,包括:
将目标域名访问规则中的目标域名替换成所述目标域名对应的目标IP地址,生成包含所述目标IP地址的目标IP访问规则。
作为一种实施方式,还包括:将目标IP访问规则插入IP访问规则列表中。
作为一种实施方式,所述将目标IP访问规则插入IP访问规则列表中,包括:
判断IP访问规则列表中是否存在所述目标IP访问规则;
若否,将所述目标IP访问规则插入IP访问规则列表中。
作为一种实施方式,所述根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行转发处理或者拦截处理,包括:
获得应用程序通过目标域名对应的目标IP地址访问网络服务器时发送的网络数据包;
根据所述网络数据包,获得所述目标IP地址和所述应用程序对应的目标进程名称;
将所述目标IP地址和所述应用程序对应的目标进程名称与IP访问规则列表进行匹配,得到匹配的IP访问规则;
根据匹配的IP访问规则,对所述网络数据包进行转发处理或者拦截处理。
作为一种实施方式,所述将所述目标IP地址和所述应用程序对应的目标进程名称与IP访问规则列表进行匹配,得到匹配的IP访问规则,包括:
遍历IP访问规则列表;
如果当前IP访问规则中的IP地址和目标进程名称分别与所述目标IP地址和所述应用程序对应的目标进程名称一致,则确定当前IP访问规则为匹配的IP访问规则。
作为一种实施方式,所述根据匹配的IP访问规则,对所述网络数据包进行放行处理或者拦截处理,包括:
根据匹配的IP访问规则,得到对所述网络数据包的处理方式;
根据所述处理方式,对所述网络数据包进行放行处理或者拦截处理。
作为一种实施方式,所述目标IP访问规则包括:目标IP地址,应用程序对应的进程名称,处理方式。
本申请还提供一种域名访问控制装置,包括:
应答数据包获得单元,用于从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;
目标IP地址获得单元,用于根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;
目标IP访问规则得到单元,用于根据所述目标域名和所述目标IP地址,得到目标IP访问规则;
网络数据包处理单元,用于根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行转发处理或者拦截处理。
作为一种实施方式,所述应答数据包获得单元具体用于:
获得系统组件发送的应用程序访问域名时的DNS请求数据包;
将所述DNS请求数据包转发给域名系统服务器;
获得域名系统服务器返回的应用程序访问域名时对应的DNS应答数据包。
作为一种实施方式,所述目标IP访问规则得到单元具体用于:
根据所述目标域名、所述目标IP地址和域名访问规则列表,获得目标IP访问规则。
作为一种实施方式,所述目标IP访问规则得到单元具体用于:
将所述目标域名与域名访问规则列表进行匹配,获得域名访问规则列表中与目标域名匹配的目标域名访问规则;
根据所述匹配的目标域名访问规则,生成目标IP访问规则。
作为一种实施方式,所述目标IP访问规则得到单元具体用于:
将目标域名访问规则中的目标域名替换成所述目标域名对应的目标IP地址,生成包含所述目标IP地址的目标IP访问规则。
作为一种实施方式,所述装置还包括:IP访问规则插入单元,用于将目标IP访问规则插入IP访问规则列表中。
作为一种实施方式,所述装置IP访问规则插入单元具体用于:
判断IP访问规则列表中是否存在所述目标IP访问规则;
若否,将所述目标IP访问规则插入IP访问规则列表中。
作为一种实施方式,所述网络数据包处理单元具体用于:
获得应用程序通过目标域名对应的目标IP地址访问网络服务器时发送的网络数据包;
根据所述网络数据包,获得所述目标IP地址和所述应用程序对应的目标进程名称;
将所述目标IP地址和所述应用程序对应的目标进程名称与IP访问规则列表进行匹配,得到匹配的IP访问规则;
根据匹配的IP访问规则,对所述网络数据包进行转发处理或者拦截处理。
作为一种实施方式,所述网络数据包处理单元具体用于:
遍历IP访问规则列表;
如果当前IP访问规则中的IP地址和目标进程名称分别与所述目标IP地址和所述应用程序对应的目标进程名称一致,则确定当前IP访问规则为匹配的IP访问规则。
作为一种实施方式,所述网络数据包处理单元具体用于:
根据匹配的IP访问规则,得到对所述网络数据包的处理方式;
根据所述处理方式,对所述网络数据包进行放行处理或者拦截处理。
作为一种实施方式,所述目标IP访问规则包括:目标IP地址,应用程序对应的进程名称,处理方式。
本申请还提供一种存储介质,存储有域名访问控制方法的程序,该程序被处理器运行,执行下述步骤:从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;
根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;
根据所述目标域名和所述目标IP地址,得到目标IP访问规则;
根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。
与现有技术相比,本申请具有以下优点:
本申请提供一种域名访问控制方法,包括:从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;根据所述目标域名和所述目标IP地址,得到目标IP访问规则;根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行转发处理或者拦截处理。本申请提供的域名访问控制方法,不是对DNS请求数据包进行拦截,而是根据DNS应答数据包,获得目标IP访问规则,根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行转发处理或者拦截处理,实现了针对不同的应用程序访问相同的域名时进行不同方式的处理。
附图说明
图1A是本申请第一实施例提供的应用域名访问控制方法访问域名时的场景图。
图1是本申请第一实施例提供的一种域名访问控制方法的流程图。
图2是本申请第一实施例提供的一种应用域名访问控制方法访问域名时的场景图。
图3是本申请第二实施例提供的一种域名访问控制装置的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施的限制。
为了使本领域的技术人员更好的理解本申请方案,首先对本申请的一个具体应用场景实施例进行详细描述。
如图1A所示,在步骤1中,用户启动浏览器A访问域名www.xxx.com;
在步骤2中,系统组件获得域名,根据此域名生成DNS请求数据包(dns requetpacket),并将DNS请求数据包发送到网络过滤模块,网络过滤模块获得DNS请求数据包;
在步骤3中,网络过滤模块将其转发给域名系统服务器;
在步骤4中,域名系统服务器在获得DNS请求数据包后,生成域名对应的DNS应答数据包(dns answer packet),将其返回给网络过滤模块;
在步骤5中,网络过滤模块根据DNS应答数据包,获得目标域名www.xxx.com和目标域名对应的目标IP地址a.b.c.d;并根据目标域名和目标IP地址,得到目标IP访问规则;
在步骤6中,网络过滤模块将DNS应答数据包发送给系统组件;
在步骤7中,系统组件将目标IP地址返回给浏览器A;
在步骤8中,浏览器A通过目标IP地址访问网络服务器;
在步骤9中,网络过滤模块获得网络数据包,如果目标IP访问规则中处理方式为block,对网络数据包进行拦截处理;如果目标IP访问规则中处理方式为allow,对网络数据包进行放行处理。
本申请第一实施例提供一种域名访问控制方法,其执行主体为网络过滤模块,网络过滤模块指用于检测、修改、拦截特定的网络数据包。Linux操作系统上是netfilter驱动模块;windows操作系统上是WFP(Windows Filter Platform,Windows个人防火墙)或者TDI(Transport Driver Interface,传输驱动接口)驱动模块。以下结合图1和图2进行介绍。
如图1所示,在步骤S101中,从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包。
域名,是Internet网络上的一个计算机或者计算机组的名字,由若干个英文字母或者数字组成,并用“.”分隔成几部分。例如,www.xxx.com。
所述应用程序,包括浏览器和其他能访问域名的应用程序。例如,当用户使用浏览器1访问域名www.xxx.com时,浏览器1即为应用程序。
DNS:全称是Domain Name System,即域名系统。
域名系统服务器,即DNS服务器,指负责将域名解析成IP地址的服务器。
具体实施时,从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包,可以包括下述步骤:
获得系统组件发送的应用程序访问域名时的DNS请求数据包;
将所述DNS请求数据包转发给域名系统服务器;
获得域名系统服务器返回的应用程序访问域名时对应的DNS应答数据包。
如图2所示,应用程序访问域名时,步骤1中,应用程序将域名发送到系统组件;步骤2中,系统组件将域名对应的DNS请求数据包(dns requet packet)发送到网络过滤模块,网络过滤模块获得DNS请求数据包,并将其转发给域名系统服务器(步骤3),域名系统服务器在获得DNS请求数据包后,生成域名对应的DNS应答数据包,将其返回给网络过滤模块,如图2中的步骤4所示。
网络过滤模块除了采用上述方法从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包外,还可以采用下述方法:系统组件将应用程序访问域名时的DNS请求数据包直接发送给域名系统服务器;域名系统服务器在获得DNS请求数据包后,生成域名对应的DNS应答数据包,将其发送给网络过滤模块。
如图1所示,在步骤S102中,根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址。
具体的,网络过滤模块在获得DNS应答数据包后,对DNS应答数据包进行解析,获得目标域名和目标域名对应的目标IP地址。
需要说明的是,如果DNS应答数据包对应的DNS的类型为DNS A RECORD(地址记录),则网络过滤模块可以直接根据DNS应答数据包获得标域名和目标域名对应的目标IP地址。如果DNS应答数据包对应的DNS的类型为DNS CNAME RECORD(别名记录),则需要系统组件根据DNS应答数据包解析出查询的域名;根据查询的域名,系统组件发送请求数据包到域名系统服务器,域名系统服务器再次获得请求数据包,生成对应的DNS应答数据包,直到对应的DNS应答数据包的DNS的类型为DNS ARECORD为止。因此,网络过滤模块可能在获得一次DNS应答数据包后即可获得目标域名和目标域名对应的目标IP地址,也可能是在获得多次DNS应答数据包后,才获得最终的目标域名和目标域名对应的目标IP地址。
例如,如果应用程序访问的域名为www.xxx.com,网络过滤模块第一次解析DNS应答数据包的类型为DNS CNAME RECORD,解析后得到域名www.xxx.com和对应的域名yyy.zzz.com,则需要系统组件根据DNS应答数据包解析出查询的域名yyy.zzz.com;根据查询的域名,系统组件发送请求数据包到域名系统服务器,域名系统服务器再次获得请求数据包,生成对应的DNS应答数据包,网络过滤模块获得对应的DNS应答数据包,第二次解析DNS应答数据包的类型为DNS ARECORD,解析后得到目标域名yyy.zzz.com和目标IP地址a.b.c.d。
再如,如果应用程序访问的域名为www.xxx.com,网络过滤模块第一次解析DNS应答数据包的类型为DNS A RECORD,解析DNS应答数据包后直接得到目标域名www.xxx.com和目标IP地址a.b.c.d。
如图1所示,在步骤S103中,根据所述目标域名和所述目标IP地址,得到目标IP访问规则。
所述目标IP访问规则,包括:目标IP地址,应用程序对应的进程名称,处理方式。其中,处理方式包括拦截(block)处理或者放行(allow)处理。图2中的2-1为一条IP访问规则,其含义是当进程名称为p.exe的应用程序采用a.b.c.d的IP地址访问网络服务器时,对其网络数据包进行拦截。
所述根据所述目标域名和所述目标IP地址,得到目标IP访问规则,包括:
根据所述目标域名、所述目标IP地址和域名访问规则列表,获得目标IP访问规则。
域名访问规则列表,指域名访问规则组成的列表。网络过滤模块会预先设置域名访问规则列表,域名访问规则中包括:域名、应用程序对应的进程名称及处理方式。
所述根据所述目标域名、所述目标IP地址和域名访问规则列表,获得目标IP访问规则,包括:
将所述目标域名与域名访问规则列表进行匹配,获得域名访问规则列表中与目标域名匹配的目标域名访问规则;
根据所述匹配的目标域名访问规则,生成目标IP访问规则。
具体的,将所述目标域名与域名访问规则列表进行匹配,获得域名访问规则列表中与目标域名匹配的目标域名访问规则,可以包括下述步骤:
获得访问规则列表中的域名访问规则中的域名;
将获得的域名与目标域名进行比较,如果二者相同,则将包含此域名的域名访问规则作为与目标域名匹配的目标域名访问规则。
例如,如果目标域名为yyy.zzz.com,域名访问规则2中的域名也为yyy.zzz.com,则将域名访问规则2(如图2中的2-2)作为与目标域名匹配的目标域名访问规则。
所述根据所述匹配的目标域名访问规则,生成目标IP访问规则,包括:
将目标域名访问规则中的目标域名替换成所述目标域名对应的目标IP地址,生成包含所述目标IP地址的目标IP访问规则。
仍沿用前面的例子,如果目标域名访问规则中的目标域名为yyy.zzz.com,则将domain:yyy.zzz.com替换成目标ip:a.b.c.d,生成包含目标IP地址的目标IP访问规则。如图2所示的2-1。
作为一种实施方式,本申请第一实施例还包括:将目标IP访问规则插入IP访问规则列表中。
所述将目标IP访问规则插入IP访问规则列表中,包括:
判断IP访问规则列表中是否存在所述目标IP访问规则;
若否,将所述目标IP访问规则插入IP访问规则列表中。
需要说明的是,具体实施时,运维人员可以管理域名访问规则,设置某个应用程序访问某个域名时应该拦截还是放行。
作为一种实施方式,本申请实施例还可以统计每个应用程序访问每个域名的拦截/放行次数,并且能够将统计的结果提供给运维人员查看。
如图1所示,在步骤S104中,根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。
如果目标IP访问规则中的处理方式是拦截(block)处理,则对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行拦截处理;如果目标IP访问规则中的处理方式是放行(allow)处理,则对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进放行处理。
所述根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行转发处理或者拦截处理,包括:
获得应用程序通过目标域名对应的目标IP地址访问网络服务器时发送的网络数据包;
根据所述网络数据包,获得所述目标IP地址和所述应用程序对应的目标进程名称;
将所述目标IP地址和所述应用程序对应的目标进程名称与IP访问规则列表进行匹配,得到匹配的IP访问规则;
根据匹配的IP访问规则,对所述网络数据包进行转发处理或者拦截处理。
所述将所述目标IP地址和所述应用程序对应的目标进程名称与IP访问规则列表进行匹配,得到匹配的IP访问规则,包括:
遍历IP访问规则列表;
如果当前IP访问规则中的IP地址和目标进程名称分别与所述目标IP地址和所述应用程序对应的目标进程名称一致,则确定当前IP访问规则为匹配的IP访问规则。
所述根据匹配的IP访问规则,对所述网络数据包进行转发处理或者拦截处理,包括:
根据匹配的IP访问规则,得到对所述网络数据包的处理方式;
根据所述处理方式,对所述网络数据包进行转发处理或者拦截处理。
下面结合图2介绍两个具体场景实施例。
第一个场景实施例:域名www.xxx.com的DNS协议的类型为DNS CNAME RECORD。
在步骤1中,用户启动浏览器A(即应用程序)访问域名www.xxx.com;
在步骤2中,系统组件获得域名,根据此域名生成DNS请求数据包(dns requetpacket),并将DNS请求数据包发送到网络过滤模块,网络过滤模块获得DNS请求数据包;
在步骤3中,网络过滤模块将其转发给域名系统服务器;
在步骤4中,域名系统服务器在获得DNS请求数据包后,生成域名对应的DNS应答数据包(dns answer packet),将其返回给网络过滤模块;
在步骤5中,网络过滤模块根据DNS应答数据包,第一次解析DNS应答数据包的类型为DNS CNAME RECORD,解析后得到域名www.xxx.com和对应的域名yyy.zzz.com,将域名www.xxx.com与域名访问规则列表进行匹配,域名www.xxx.com与第一条域名访问规则中的域名相同,则将第一条域名访问规则中的域名www.xxx.com替换成yyy.zzz.com,生成新的域名访问规则,将新的域名访问规则加入域名访问规则列表中,作为第二条域名访问规则。系统组件再次发送请求数据包(域名为yyy.zzz.com)到域名系统服务器,域名系统服务器再次获得请求数据包,生成对应的DNS应答数据包,网络过滤模块获得对应的DNS应答数据包,第二次解析DNS应答数据包的类型为DNS A RECORD,解析后得到目标域名yyy.zzz.com和目标IP地址a.b.c.d;然后将域名yyy.zzz.com与域名访问规则列表进行匹配,域名yyy.zzz.com与第二条域名访问规则中的域名相同,则将第二条域名访问规则中的域名domain:yyy.zzz.com替换成ip:a.b.c.d,生成IP访问规则,将IP访问规则加入IP访问规则列表中;
在步骤6中,网络过滤模块将DNS应答数据包发送给系统组件;
在步骤7中,系统组件将目标IP地址返回给浏览器A;
在步骤8中,浏览器A通过目标IP地址访问网络服务器;
在步骤9中,网络过滤模块获得网络数据包,由于目标IP访问规则中处理方式为block,根据目标IP访问规则,对网络数据包进行拦截处理。
第二个场景实施例:域名www.xxx.com的DNS协议的类型为DNS A RECORD。
在步骤1中,用户启动浏览器A(即应用程序)访问域名www.xxx.com;
在步骤2中,系统组件获得域名,根据此域名生成DNS请求数据包(dns requetpacket),并将DNS请求数据包发送到网络过滤模块,网络过滤模块获得DNS请求数据包;
在步骤3中,网络过滤模块将其转发给域名系统服务器;
在步骤4中,域名系统服务器在获得DNS请求数据包后,生成域名对应的DNS应答数据包(dns answer packet),将其返回给网络过滤模块;
在步骤5中,网络过滤模块根据DNS应答数据包,获得目标域名www.xxx.com和目标域名对应的目标IP地址a.b.c.d;将域名www.xxx.com与域名访问规则列表进行匹配,域名www.xxx.com与第一条域名访问规则中的域名相同,则将第一条域名访问规则中的域名domain:www.xxx.com替换成ip:a.b.c.d,生成IP访问规则,将IP访问规则加入IP访问规则列表中;
在步骤6中,网络过滤模块将DNS应答数据包发送给系统组件;
在步骤7中,系统组件将目标IP地址返回给浏览器A;
在步骤8中,浏览器A通过目标IP地址访问网络服务器;
在步骤9中,网络过滤模块获得网络数据包,由于目标IP访问规则中处理方式为block,根据目标IP访问规则,对网络数据包进行拦截处理。
需要说明的是,在步骤5中,由于DNS协议的类型为DNS A RECORD,因此解析DNS应答数据包可以直接得目标域名和目标域名对应的目标IP地址。
至此,完成了对本申请第一实施例的介绍。本申请提供的域名访问控制方法,不是对DNS请求数据包进行拦截,而是根据DNS应答数据包,获得目标IP访问规则,根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行转发处理或者拦截处理,实现了针对不同的应用程序访问相同的域名时进行不同方式的处理。
与本申请第一实施例提供的域名访问控制方法相对应的,本申请第二实施例提供一种域名访问控制装置。
所述域名访问控制装置,包括:
应答数据包获得单元301,用于从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;
目标IP地址获得单元302,用于根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;
目标IP访问规则得到单元303,用于根据所述目标域名和所述目标IP地址,得到目标IP访问规则;
网络数据包处理单元304,用于根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。
作为一种实施方式,所述应答数据包获得单元具体用于:
获得系统组件发送的应用程序访问域名时的DNS请求数据包;
将所述DNS请求数据包转发给域名系统服务器;
获得域名系统服务器返回的应用程序访问域名时对应的DNS应答数据包。
作为一种实施方式,所述目标IP访问规则得到单元具体用于:
根据所述目标域名、所述目标IP地址和域名访问规则列表,获得目标IP访问规则。
作为一种实施方式,所述目标IP访问规则得到单元具体用于:
将所述目标域名与域名访问规则列表进行匹配,获得域名访问规则列表中与目标域名匹配的目标域名访问规则;
根据所述匹配的目标域名访问规则,生成目标IP访问规则。
作为一种实施方式,所述目标IP访问规则得到单元具体用于:
将目标域名访问规则中的目标域名替换成所述目标域名对应的目标IP地址,生成包含所述目标IP地址的目标IP访问规则。
作为一种实施方式,所述装置还包括:IP访问规则插入单元,用于将目标IP访问规则插入IP访问规则列表中。
作为一种实施方式,所述装置IP访问规则插入单元具体用于:
判断IP访问规则列表中是否存在所述目标IP访问规则;
若否,将所述目标IP访问规则插入IP访问规则列表中。
作为一种实施方式,所述网络数据包处理单元具体用于:
获得应用程序通过目标域名对应的目标IP地址访问网络服务器时发送的网络数据包;
根据所述网络数据包,获得所述目标IP地址和所述应用程序对应的目标进程名称;
将所述目标IP地址和所述应用程序对应的目标进程名称与IP访问规则列表进行匹配,得到匹配的IP访问规则;
根据匹配的IP访问规则,对所述网络数据包进行转发处理或者拦截处理。
作为一种实施方式,所述网络数据包处理单元具体用于:
遍历IP访问规则列表;
如果当前IP访问规则中的IP地址和目标进程名称分别与所述目标IP地址和所述应用程序对应的目标进程名称一致,则确定当前IP访问规则为匹配的IP访问规则。
作为一种实施方式,所述网络数据包处理单元具体用于:
根据匹配的IP访问规则,得到对所述网络数据包的处理方式;
根据所述处理方式,对所述网络数据包进行放行处理或者拦截处理。
作为一种实施方式,所述目标IP访问规则包括:目标IP地址,应用程序对应的进程名称,处理方式。
需要说明的是,对于本申请第二实施例提供的装置的详细描述可以参考对本申请第一实施例的相关描述,这里不再赘述。
与本申请第一实施例提供的域名访问控制方法相对应的,本申请第三实施例提供一种存储介质,存储有域名访问控制方法的程序,该程序被处理器运行,执行下述步骤:
从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;
根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;
根据所述目标域名和所述目标IP地址,得到目标IP访问规则;
根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。
需要说明的是,对于本申请第三实施例提供的存储介质的详细描述可以参考对本申请第一实施例的相关描述,这里不再赘述。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、存储器映射输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (13)
1.一种域名访问控制方法,其特征在于,包括:
从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;
根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;
根据所述目标域名和所述目标IP地址,得到目标IP访问规则;
根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。
2.根据权利要求1所述的方法,其特征在于,所述从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包,包括:
获得系统组件发送的应用程序访问域名时的DNS请求数据包;
将所述DNS请求数据包转发给域名系统服务器;
获得域名系统服务器返回的应用程序访问域名时对应的DNS应答数据包。
3.据权利要求1所述的方法,其特征在于,所述根据所述目标域名和所述目标IP地址,得到目标IP访问规则,包括:
根据所述目标域名、所述目标IP地址和域名访问规则列表,获得目标IP访问规则。
4.根据权利要求3所述的方法,其特征在于,所述根据所述目标域名、所述目标IP地址和域名访问规则列表,获得目标IP访问规则,包括:
将所述目标域名与域名访问规则列表进行匹配,获得域名访问规则列表中与目标域名匹配的目标域名访问规则;
根据所述匹配的目标域名访问规则,生成目标IP访问规则。
5.根据权利要求4所述的方法,其特征在于,所述根据所述匹配的目标域名访问规则,生成目标IP访问规则,包括:
将目标域名访问规则中的目标域名替换成所述目标域名对应的目标IP地址,生成包含所述目标IP地址的目标IP访问规则。
6.根据权利要求4所述的方法,其特征在于,还包括:将目标IP访问规则插入IP访问规则列表中。
7.根据权利要求6所述的方法,其特征在于,所述将目标IP访问规则插入IP访问规则列表中,包括:
判断IP访问规则列表中是否存在所述目标IP访问规则;
若否,将所述目标IP访问规则插入IP访问规则列表中。
8.根据权利要求6所述的方法,其特征在于,所述根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行转发处理或者拦截处理,包括:
获得应用程序通过目标域名对应的目标IP地址访问网络服务器时发送的网络数据包;
根据所述网络数据包,获得所述目标IP地址和所述应用程序对应的目标进程名称;
将所述目标IP地址和所述应用程序对应的目标进程名称与IP访问规则列表进行匹配,得到匹配的IP访问规则;
根据匹配的IP访问规则,对所述网络数据包进行转发处理或者拦截处理。
9.根据权利要求8所述的方法,其特征在于,所述将所述目标IP地址和所述应用程序对应的目标进程名称与IP访问规则列表进行匹配,得到匹配的IP访问规则,包括:
遍历IP访问规则列表;
如果当前IP访问规则中的IP地址和目标进程名称分别与所述目标IP地址和所述应用程序对应的目标进程名称一致,则确定当前IP访问规则为匹配的IP访问规则。
10.根据权利要求6所述的方法,其特征在于,所述根据匹配的IP访问规则,对所述网络数据包进行放行或者拦截处理,包括:
根据匹配的IP访问规则,得到对所述网络数据包的处理方式;
根据所述处理方式,对所述网络数据包进行放行处理或者拦截处理。
11.根据权利要求1所述的方法,其特征在于,所述目标IP访问规则包括:目标IP地址,应用程序对应的进程名称,处理方式。
12.一种域名访问控制装置,其特征在于,包括:
应答数据包获得单元,用于从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;
目标IP地址获得单元,用于根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;
目标IP访问规则得到单元,用于根据所述目标域名和所述目标IP地址,得到目标IP访问规则;
网络数据包处理单元,用于根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。
13.一种存储介质,其特征在于,存储有域名访问控制方法的程序,该程序被处理器运行,执行下述步骤:从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包;
根据DNS应答数据包,获得目标域名和所述目标域名对应的目标IP地址;
根据所述目标域名和所述目标IP地址,得到目标IP访问规则;
根据目标IP访问规则,对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110805514.4A CN113676561A (zh) | 2021-07-16 | 2021-07-16 | 域名访问控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110805514.4A CN113676561A (zh) | 2021-07-16 | 2021-07-16 | 域名访问控制方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113676561A true CN113676561A (zh) | 2021-11-19 |
Family
ID=78539422
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110805514.4A Pending CN113676561A (zh) | 2021-07-16 | 2021-07-16 | 域名访问控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113676561A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114650220A (zh) * | 2022-03-31 | 2022-06-21 | 深信服科技股份有限公司 | 一种数据包引流方法及相关装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
CN107317816A (zh) * | 2017-07-05 | 2017-11-03 | 北京信息职业技术学院 | 一种基于客户端应用程序鉴别的网络访问控制方法 |
CN107992547A (zh) * | 2017-11-27 | 2018-05-04 | 深信服科技股份有限公司 | 一种网站应用部署方法及装置 |
CN110336805A (zh) * | 2019-06-27 | 2019-10-15 | 维沃移动通信有限公司 | 网络访问管理方法和移动终端 |
CN110381068A (zh) * | 2019-07-23 | 2019-10-25 | 迈普通信技术股份有限公司 | 强制访问控制方法、装置、网络设备及存储介质 |
WO2019218441A1 (zh) * | 2018-05-16 | 2019-11-21 | 平安科技(深圳)有限公司 | 请求处理方法、装置、设备及存储介质 |
CN110602048A (zh) * | 2019-08-14 | 2019-12-20 | 中国平安财产保险股份有限公司 | 防止域名劫持的方法、装置及计算机设备 |
-
2021
- 2021-07-16 CN CN202110805514.4A patent/CN113676561A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
CN107317816A (zh) * | 2017-07-05 | 2017-11-03 | 北京信息职业技术学院 | 一种基于客户端应用程序鉴别的网络访问控制方法 |
CN107992547A (zh) * | 2017-11-27 | 2018-05-04 | 深信服科技股份有限公司 | 一种网站应用部署方法及装置 |
WO2019218441A1 (zh) * | 2018-05-16 | 2019-11-21 | 平安科技(深圳)有限公司 | 请求处理方法、装置、设备及存储介质 |
CN110336805A (zh) * | 2019-06-27 | 2019-10-15 | 维沃移动通信有限公司 | 网络访问管理方法和移动终端 |
CN110381068A (zh) * | 2019-07-23 | 2019-10-25 | 迈普通信技术股份有限公司 | 强制访问控制方法、装置、网络设备及存储介质 |
CN110602048A (zh) * | 2019-08-14 | 2019-12-20 | 中国平安财产保险股份有限公司 | 防止域名劫持的方法、装置及计算机设备 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114650220A (zh) * | 2022-03-31 | 2022-06-21 | 深信服科技股份有限公司 | 一种数据包引流方法及相关装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9300623B1 (en) | Domain name system cache integrity check | |
US11831785B2 (en) | Systems and methods for digital certificate security | |
US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
US8707429B2 (en) | DNS resolution, policies, and views for large volume systems | |
US8533581B2 (en) | Optimizing security seals on web pages | |
US20150288711A1 (en) | Network analysis apparatus and method | |
US20160036845A1 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
CN106068639A (zh) | 通过dns处理的透明代理认证 | |
CN109450858B (zh) | 资源请求的方法、装置、设备及存储介质 | |
CN108632221B (zh) | 定位内网中的受控主机的方法、设备及系统 | |
US20230336524A1 (en) | In-line detection of algorithmically generated domains | |
US11477167B2 (en) | Systems and methods for performing dynamic firewall rule evaluation | |
US11729171B1 (en) | Preventing leakage of cookie data | |
CN111988447A (zh) | 网络安全防护方法及dns递归服务器 | |
CN113992382B (zh) | 业务数据处理方法、装置、电子设备及存储介质 | |
CN113676561A (zh) | 域名访问控制方法及装置 | |
US11271894B1 (en) | Systems, devices, and methods for private query and exchange of domain information | |
CN112115436B (zh) | 一种ad域账号密码修改的方法及设备 | |
Schwarz et al. | Design of Professional Laboratory Exercises for Effective State-of-the-Art OSINT Investigation Tools-Part 1: RiskIQ Passive-Total | |
CN110875903B (zh) | 一种安全防御方法及设备 | |
CN114301872B (zh) | 基于域名的访问方法及装置、电子设备、存储介质 | |
CN111818038B (zh) | 一种网络数据获取识别方法以及装置 | |
US11960623B2 (en) | Intelligent and reversible data masking of computing environment information shared with external systems | |
CN111865976A (zh) | 一种访问控制方法、装置及网关 | |
US20230370492A1 (en) | Identify and block domains used for nxns-based ddos attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40069620 Country of ref document: HK |