DE102013208923A1 - System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung - Google Patents
System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung Download PDFInfo
- Publication number
- DE102013208923A1 DE102013208923A1 DE102013208923A DE102013208923A DE102013208923A1 DE 102013208923 A1 DE102013208923 A1 DE 102013208923A1 DE 102013208923 A DE102013208923 A DE 102013208923A DE 102013208923 A DE102013208923 A DE 102013208923A DE 102013208923 A1 DE102013208923 A1 DE 102013208923A1
- Authority
- DE
- Germany
- Prior art keywords
- address
- resolution response
- network
- dns resolution
- dns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
- Querverweis auf verwandte Offenlegungen
- Diese Patentanmeldung steht mit der Patentanmeldung
US 13/479,418 - Technischer Anwendungsbereich
- Die Erfindung bezieht sich im Allgemeinen auf die Identifizierung nicht vertrauenswürdiger oder manipulierter Quellen von Netzwerkinformationen. Im Besonderen bezieht sich die Erfindung auf die Identifizierung eines bösartigen DNS-Servers durch passive Überwachung.
- Hintergrund
- Der Domain Name Service (DNS) löst alphanumerische Domainnamen in numerische IP-Adressen auf. Dieser Dienst (bzw. Service) wird durch eine große Ansammlung von Servern bereitgestellt, die im Internet wie auch in lokalen Intranets verteilt sind. Wenn jedoch die über diesen Dienst bereitgestellten Informationen nicht von einer autorisierten Quelle stammen, sondern vielmehr von einem System eines Angreifers, das nicht korrekte Informationen liefert, oder von einer autorisierten Quelle, die manipuliert wurde, kann der Netzwerkverkehr durch einen Denial-of-Service-(DOS)-Angriff manipuliert werden oder in einem Spoofing-(Fälschungs-) oder Man-in-the-Middle-Angriff falsch weitergeleitet werden. Dies kann dazu führen, dass sensibler Datenverkehr an nicht vertrauenswürdige Systeme zugestellt wird bzw. überhaupt nicht zugestellt wird.
- Eine Möglichkeit, diese Dienste zu unterlaufen, besteht darin, dass ein Angreifer einen “Evil Twin”-WiFi-Hotspot einrichtet, der ich als vertrauenswürdiger drahtloser Zugangspunkt ausgibt und sich als Man-in-the-Middle (MITM) einrichtet, der den Netzwerkverkehr umleitet. Der MITM kann den gesamten Datenverkehr, der in das bösartige Netzwerk hineinfließt und herausgeht, untersuchen und verändern. Eine andere Möglichkeit für den Angreifer besteht darin, einen bösartigen Server einzurichten, der Netzwerkdienste kapert, indem an alle Knoten im Netzwerk eine Rundsendung abgesetzt wird, dass er online und zur Verarbeitung von DNS-Anforderungen verfügbar ist. Eine wiederum andere Möglichkeit für den Angreifer wäre es, einen vertrauenswürdigen DNS-Server zu manipulieren und ihn dazu zu veranlassen, fehlerhafte Ergebnisse zu erzeugen. In vielen Fällen wird der letzte Server, der eine Rundsendung vornimmt, von den anderen Knoten im Netzwerk als maßgeblich betrachtet.
- Eine Lösung zum Erfassen solcher nicht vertrauenswürdiger oder manipulierter Quellen von Netzwerkinformationen ist die Verwendung eines DNS-Watchers (bzw. DNS-Überwachungsprogramm), der eine „Gesundheitsprüfung“ (bzw. Prüfen des unversehrten Zustands) durch Polling einer vorkonfigurierten Liste vertrauenswürdiger DNS-Server ausführt, um sicherzustellen, dass sie betriebsbereit sind und korrekte Ergebnisse zurückliefern. Dieses Verfahren weist jedoch verschiedene Nachteile auf. Polling-Operationen generieren zusätzlichen, überflüssigen Netzwerkverkehr und können von einem Angreifer durch Ausspähen des Zielnetzwerks entdeckt werden. Ein Polling-Ansatz überprüft auch nur, ob die Ausführung bekannter DNS-Server korrekt ist. Aufgrund der aktiven Natur des Pollings bestimmter bekannter DNS-Server kann damit die Korrektheit von DNS-Auflösungen nicht geprüft werden, die von anderen als den bekannten abgefragten Hosts zurückgegeben werden. Da bösartige DNS-Provider nicht vorab bekannt sind, würden sie von einer Polling-Lösung nicht entdeckt werden.
- Kurzbeschreibung
- Im Allgemeinen stellen Aspekte der vorliegenden Erfindung eine passive Überwachungslösung zur Identifizierung eines bösartigen DNS-Servers in einem Netzwerk bereit, die keinen zusätzlichen Netzwerkverkehr generiert und die in der Lage ist, DNS-Auflösungen zu überwachen, die sowohl von bekannten als auch nicht bekannten DNS-Servern bereitgestellt werden.
- Ein erster Aspekt der Offenlegung stellt ein Verfahren zur Identifizierung eines bösartigen Domain-Name-Service-(DNS)-Servers bereit. Das Verfahren weist auf: passives Überwachen von Datenverkehr in einem Netzwerk; Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und Bestimmen, ob die DNS-Auflösungsantwort basierend auf dem Vergleich korrekt ist.
- Ein zweiter Aspekt der Offenlegung stellt ein System zur Identifizierung eines bösartigen Domain-Name-Service-(DNS)-Servers bereit. Das System weist auf: eine Überwachungskomponente zum passiven Überwachen von Datenverkehr in einem Netzwerk; eine Identifizierungskomponente zum Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; eine Vergleichskomponente zum Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und eine Bestimmungskomponente zum Bestimmen, ob die DNS-Auflösungsantwort basierend auf dem Vergleich korrekt ist.
- Ein dritter Aspekt der Offenlegung stellt ein in einem computerlesbaren Speichermedium ausgeführtes Computerprogrammprodukt bereit, bei dessen Ausführung durch eine Computingvorrichtung das Computersystem dazu veranlasst wird, ein Verfahren zur Identifizierung eines bösartigen Domain-Name-Service-(DNS)-Server zu implementieren. Das Verfahren weist auf: passives Überwachen von Datenverkehr in einem Netzwerk; Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und Bestimmen, ob die DNS-Auflösungsantwort basierend auf dem Vergleich korrekt ist.
- Diese und andere Aspekte, Vorteile und herausragende Merkmale der Erfindung werden aus der folgenden Detailbeschreibung ersichtlich, die in Verbindung mit den Zeichnungen im Anhang, wo in den Zeichnungen ähnliche Teile durch ähnliche Bezugszeichen bezeichnet werden, Ausführungsformen der Erfindung offenlegt.
- Kurzbeschreibung der Zeichnungen
-
1 zeigt ein Datenverarbeitungssystem, das für die Implementierung einer Ausführungsform der Erfindung geeignet ist. -
2 zeigt ein schematisches Datenflussdiagramm, das die Überwachung eines Netzwerks gemäß einer Ausführungsform der Erfindung veranschaulicht. -
3 zeigt ein schematisches Datenflussdiagramm, das die Identifizierung eines bösartigen DNS-Servers gemäß einer Ausführungsform der Erfindung veranschaulicht. -
4 zeigt eine vorkonfigurierte DNS-Auflösungstabelle gemäß einer Ausführungsform der Erfindung. -
5 zeigt ein Flussdiagramm eines Verfahrens zur Identifizierung eines bösartigen DNS-Servers gemäß einer Ausführungsform der Erfindung. - Die Zeichnungen müssen nicht skaliert werden. Die Zeichnungen stellen nur Schemadarstellungen dar, die nicht dazu gedacht sind, spezielle Parameter der Erfindung abzubilden. Die Zeichnungen sind dazu gedacht, nur typische Ausführungsformen der Erfindung darzustellen und sollten daher nicht als Einschränkung des Umfangs der Erfindung betrachtet werden. In den Zeichnungen stellen ähnliche Referenznummern ähnliche Elemente dar.
- Detaillierte Beschreibung der Erfindung
- Wie oben ausgeführt, stellen Aspekte der vorliegenden Erfindung eine Lösung zum Erfassen des Vorhandenseins eines bösartigen DNS-Servers über die Verwendung eines Monitors bereit, der den Fluss des Datenverkehrs zwischen den Knoten in einem Netzwerk passiv beobachtet und in dem Netzwerk nach gefälschtem DNS-Datenverkehr sucht. In einigen Ausführungsformen kann das Netzwerk ein lokales Internet sein und in anderen kann das Netzwerk das Internet sein.
- Es wird nun auf die Zeichnungen Bezug genommen.
1 zeigt einen veranschaulichenden Monitor100 zum Erfassen des Vorhandenseins eines bösartigen DNS-Servers215 , der im Netzwerk200 vorhanden sein kann. In diesem Umfang weist der Monitor101 ein Computersystem102 auf, das einen wie in diesem Dokument beschriebenen Prozess durchführen kann, um eine ungültige DNS-Auflösungsantwort von einem bösartigen DNS-Server215 zu identifizieren. Im Besonderen wird ein Computersystem102 mit einer Computingvorrichtung104 dargestellt, die ein Identifizierungsprogramm140 für einen bösartigen DNS-Server aufweist, durch das die Computingvorrichtung104 funktionsfähig wird, einen bösartigen DNS-Server215 zu identifizieren, indem ein in diesem Dokument beschriebener Prozess durchgeführt wird. - Die Computingvorrichtung
104 ist dargestellt mit einer Verarbeitungseinheit106 (z. B. einen oder mehreren Prozessoren), einem Speicher (Memory)110 , einem Speichersystem (Storage System)118 (z. B, einer Speicherhierarchie), einer Eingabe-/Ausgabe(Input/Output, I/O)-Schnittstellenkomponente114 (z. B. eine oder mehrere I/O-Schnittstellen und/oder -vorrichtungen) und einen Kommunikations-Pathway112 . Im Allgemeinen führt die Verarbeitungseinheit106 Programmcode aus, wie das Identifizierungsprogramm140 für einen bösartigen DNS-Server, das wenigstens teilweise fest im Speicher110 vorliegt. In diesem Umfang kann die Verarbeitungseinheit106 eine einzelne Verarbeitungseinheit aufweisen oder über eine oder mehrere Verarbeitungseinheit an einem oder mehreren Standorten verteilt sein. - Der Speicher
110 kann auch lokalen Speicher aufweisen, der bei der konkreten Ausführung des Programmcodes genutzt wird, Massenspeicher (Speicher118 ) und/oder Cachespeicher (nicht dargestellt), die einen temporären Speicher für wenigsten einen Teil des Programmcode bereitstellen, damit Code bei der Ausführung nicht so oft aus dem Massenspeicher118 abgerufen werden muss. So kann der Speicher110 jeden bekannten Typ von Datenspeichern und/oder Übertragungsmedien aufweisen, einschließlich magnetischer Medien, optischer Medien, Direktzugriffsspeicher (Random Access Memory, RAM), Festspeicher (Read-only Memory, ROM), eines Datencaches, eines Datenobjekts usw. Darüber hinaus kann der Speicher110 , ähnlich wie die Verarbeitungseinheit116 , sich an einem einzigen physischen Standort befinden, einen oder mehrere Typen von Datenspeichern aufweisen oder über eine Vielzahl physischer Systeme in verschiedenen Formen verteilt sein. - Bei der Ausführung des Programmcodes kann die Verarbeitungskomponente
106 Daten verarbeiten, was zum Lesen und/oder Schreiben umgewandelter Daten aus/in den Speicher110 und/oder der I/O-Komponente114 zur weiteren Verarbeitung führen kann. Der Pathway112 stellt eine direkte oder indirekte Kommunikationsverbindung zwischen jeder der Komponenten im Computersystem102 bereit. Die I/O-Schnittstellenkomponente114 kann einen oder mehrere für menschliche Benutzer konzipierte I/O-Vorrichtungen aufweisen, die einem menschlichen Benutzer120 die Interaktion mit dem Computersystem102 und/oder einen oder mehreren Kommunikationsvorrichtungen ermöglichen, um einem Systembenutzer120 die Kommunikation mit dem Computersystem102 über jede beliebige Art von Kommunikationsverbindung zu ermöglichen. - In diesem Umfang kann ein Identifizierungsprogramm
140 für einen bösartigen DNS-Server eine Gruppe von Schnittstellen (z. B. grafische Benutzeroberfläche(n), Anwendungsprogrammschnittstelle und/oder Ähnliches) verwalten, mit denen menschliche und/oder Systembenutzer120 mit dem Identifizierungsprogramm140 für einen bösartigen DNS-Server interagieren können. Weiterhin kann das Identifizierungsprogramm140 für einen bösartigen DNS-Server die Daten, wie die in der Tab.220 (2 –4 ) gespeicherten Daten, unter Verwendung jeder beliebigen Lösung verwalten (z. B. speichern, abrufen, erstellen, bearbeiten, organisieren, darstellen usw.). - In jeden Fall kann ein Computersystem
102 eine oder mehrere allgemeine Computing-Fertigungsprodukte104 (wie Computingvorrichtungen) aufweisen, die in der Lage sind, darauf installierten Programmcode, wie das Identifizierungsprogramm140 für einen bösartigen DNS-Server, auszuführen. Wie in diesem Dokument verwendet, versteht es sich, dass „Programmcode“ eine beliebige Zusammenstellung von Anweisungen in einer beliebigen Sprache, einem beliebigen Code oder einer beliebigen Notation bedeutet, die/der eine Computingvorrichtung mit einer Informationsverarbeitungsfähigkeit veranlasst, eine bestimmte Aktion entweder direkt oder nach einer beliebigen Kombination des Folgenden durchzuführen: (a) Konvertierung in eine andere Sprache, einen anderen Code oder eine andere Notation; (b) Reproduktion in einer anderen materiellen Form; und/oder (c) Dekomprimierung. In diesem Umfang kann ein Identifizierungsprogramm140 für einen bösartigen DNS-Server als eine beliebige Kombination von Systemsoftware und/oder Anwendungssoftware ausgeführt werden. In jeden Fall besteht die technische Wirkung des Computersystems102 darin, Verarbeitungsanweisungen für die Computingvorrichtung104 bereitzustellen, um einen bösartigen DNS-Server zu identifizieren. - Weiterhin kann ein Identifizierungsprogramm
140 für einen bösartigen DNS-Server mit einer Gruppe von Modulen142 –150 implementiert werden. In diesem Fall kann ein Modul142 –150 dem Computersystem102 ermöglichen, eine von dem Identifizierungsprogramm140 des bösartigen DNS-Servers verwendete Gruppe von Aufgaben durchzuführen und kann eigenständig, getrennt von anderen Bereichen des Identifizierungsprogramms140 für einen bösartigen DNS-Server entwickelt und/oder implementiert werden. Gemäß der Verwendung in diesem Dokument bedeutet der Begriff „Komponente“ eine beliebige Hardwarekonfiguration mit oder ohne Software, die die in Verbindung damit beschriebene Funktionalität unter Verwendung einer beliebigen Lösung implementiert, während der Begriff „Modul“ für Programmcode steht, der einem Computersystem102 die Implementierung der in Verbindung damit beschriebenen Aktionen unter Verwendung einer beliebigen Lösung ermöglicht. Wenn ein Modul in einem Speicher110 eines Computersystems102 , das eine Verarbeitungskomponente106 aufweist, fest vorliegt, ist es ein wesentlicher Bestandteil einer Komponente, die die Aktionen implementiert. Unabhängig davon versteht es sich, dass zwei oder mehr Komponenten, Module und/oder Systeme einige Teile/alle Teile der zugehörigen Hardware und/oder Software gemeinsam verwenden können. Weiterhin versteht es sich, dass einige Teile der hier erörterten Funktionalität nicht als Bestandteil des Computersystems102 implementiert werden können oder dass weitere Funktionalität als Teil des Computersystems102 enthalten sein kann. - Wenn das Computersystem
102 mehrere Computingvorrichtungen104 aufweist, kann jede Computingvorrichtung104 nur einen Bereich des Identifizierungsprogramms140 eines bösartigen DNS-Servers darauf fest vorliegend haben (z. B. ein oder mehrere Module142 –150 ). Es versteht sich aber, dass das Computersystem102 und ein Identifizierungsprogramm140 für einen bösartigen DNS-Server nur für verschiedene mögliche gleichwertige Computersysteme stehen, die einen in diesem Dokument beschriebenen Prozess ausführen können. In diesem Umfang kann die vom Computersystem102 und dem Identifizierungsprogramm140 für einen bösartigen DNS-Server bereitgestellte Funktionalität in anderen Ausführungsformen wenigstens teilweise durch eine oder mehrere Computingvorrichtungen implementiert werden, die eine beliebige Kombination allgemeiner und/oder Spezialhardware mit oder ohne Programmcode aufweisen. In jeder Ausführungsform kann die Hardware und der Programmcode, falls enthalten, jeweils mit standardmäßigen Engineering-und Programmiertechniken erstellt werden. - Wenn das Computersystem
102 mehrere Computingvorrichtungen104 aufweist, können die Computingvorrichtungen über jede Art von Kommunikationsverbindung kommunizieren. Weiterhin kann das Computersystem102 bei der Durchführung eines in diesem Dokument beschriebenen Prozesses mit einem oder mehreren Computersystemen unter Verwendung einer beliebigen Art von Kommunikationsverbindung kommunizieren. In jedem Fall kann die Kommunikationsverbindung eine beliebige Kombination von verschiedenen Arten von kabelgebundenen und/oder drahtlosen Verbindungen aufweisen; eine beliebige Kombination von einem oder mehreren Typen von Netzwerken aufweisen; und/oder eine beliebige Kombination von verschiedenen Arten von Übertragungstechniken und -protokollen nutzen. - Wie in dem vorliegenden Dokument erörtert, ermöglicht das Identifizierungsprogramm
140 für einen bösartigen DNS-Server dem Computersystem102 , eine Identifizierung eines bösartigen DNS-Servers zu implementieren. In diesem Umfang wird ein Identifizierungsprogramm140 für einen bösartigen DNS-Server einschließlich eines Überwachungsmoduls142 , eines Identifizierungsmoduls144 , eines Vergleichsmoduls146 , eines Bestimmungsmoduls148 und eines Alarmmoduls150 dargestellt. - Im Folgenden wird nun auf
2 –3 Bezug genommen, wo die Netzwerkumgebung200 , in der der Monitor100 verwendet werden kann, dargestellt wird. Wie dargestellt, kann ein Netzwerk200 einen Anforderer (Requester)205 enthalten, der eine von einem Benutzer oder einem Server betriebene Client-Workstation sein kann. Weitere Anforderer205 können im Netzwerk200 enthalten sein, sie wurden aber aus Gründen der Einfachheit in der Darstellung des Netzwerks200 in den2 –3 weggelassen. Der Anforderer205 kann eine DNS-Auflösungsanforderung201 zur Auflösung eines alphanumerischen Domainnamens eines bestimmten Hosts in eine numerische IP-Adresse senden. - Wie in
2 dargestellt, wird unter normalen Betriebsbedingungen, bei denen im Netzwerk200 kein Angreifer vorhanden ist, die DNS-Auflösungsanforderung201 empfangen und vom autorisierten DNS-Server210 verarbeitet, der eine DNS-Auflösungsantwort202 sendet. In diesem Fall kann die DNS-Auflösungsantwort202 eine gültige und exakte Zuordnung des Domainnamens zur IP-Adresse enthalten. - In anderen Fällen, wie in
3 dargestellt, kann ein bösartiger DNS-Server215 eines Angreifers im Netzwerk200 zum Zweck der Nachahmung eines anderen Computingsystems vorhanden sein. In diesem Fall wird von einem bösartigen DNS-Server215 eine DNS-Auflösungsanforderung201 empfangen und verarbeitet und die DNS-Auflösungsantwort202 wird vom bösartigen DNS-Server215 bereitgestellt. Eine solche DNS-Auflösungsantwort202 kann eine nicht korrekte Zuordnung des Domainnamens zur IP-Adresse aufweisen, was entweder zu einer falschen Weiterleitung des Netzwerkverkehrs in einem Spoofing-Angriff führt, bei dem sensibler Datenverkehr an ein nicht vertrauenswürdiges System geliefert wird, oder der Netzwerkverkehr in einem Denial-of-Service(DOS)-Angriff behindert wird. - In beiden Fällen ist der Monitor
100 an einem strategischen Punkt im Netzwerk200 positioniert, sodass der Monitor100 den Fluss des Netzwerkverkehrs zwischen den Knoten im Netzwerk200 beobachten kann. Wie oben mit Bezugnahme auf1 erörtert, weist der Monitor100 die Module142 –150 auf, die bei der Ausführung durch ein Computersystem102 die passive Überwachung des Datenverkehrs im Netzwerk200 durchführen, darunter unter anderem des Netzwerkverkehrs, der DNS-Auflösungsanforderung201 und der DNS-Auflösungsantwort202 . - Es wird gleichzeitig auf die
1 –3 Bezug genommen, wobei das Überwachungsmodul142 als Bestandteil des Monitors100 die Überwachung143 des Datenverkehrs im Netzwerk200 durchführt, darunter die DNS-Auflösungsanforderungen201 und die DNS-Auflösungsantworten202 . Die Identifizierungskomponente144 kann in dem im Netzwerk200 überwachten Datenverkehr eine DNS-Auflösungsantwort202 identifizieren. Wie oben erwähnt, weist eine DNS-Auflösungsantwort202 eine Zuordnung eines Domainnamens225 zu einer IP-Adresse230 als Reaktion auf eine vom Anforderer205 gesendete DNS-Auflösungsanforderung201 auf. - Sobald eine DNS-Auflösungsantwort
202 identifiziert ist, kann ein Vergleichsmodul146 einen Vergleich der DNS-Auflösungsantwort202 vornehmen, wobei die bekannten Zuordnungen in einer vorkonfigurierten Liste bekannter Zuordnungen von Domainnamen zu IP-Adressen, die in einer bekannten DNS-Auflösungstabelle220 enthaltenen sind, gespeichert sind. Es ist bekannt, dass die in Tabelle220 enthaltenen Zuordnungen von Domainnamen zu IP-Adressen gültig sind. Wie in4 dargestellt, kann die in Tabelle220 gespeicherte IP-Adresse230 als eine spezielle IP-Adresse ausgedrückt werden, wie yyy·yyy·yyy·yyy, die IP-Adresse der Domain mybank.com. In anderen Ausführungsformen können die in der Tabelle200 gespeicherten IP-Adressen230 als Bereich von IP-Adressen unter Verwendung von wenigstens einem Platzhalter ausgedrückt werden. Ein Bereich von IP-Adressen kann breit gefächert sein, darunter verschiedene Platzhalter wie zum Beispiel xxx.*.*.*, der IP-Adressbereich für die Domain company.com. In anderen Ausführungsformen kann der Bereich von IP-Adressen enger gefasst sein, zum Beispiel mit nur einem Platzhalter, wie zzz.zzz.zzz.1??, der IP-Adressbereich für die Domain email.org. - Gemäß Ausführungsformen der Erfindung muss die in der Tabelle
220 gespeicherte Liste der zugewiesenen Domainnamen225 und IP-Adressen230 keine erschöpfende Liste von Domains sein, auf die ein Benutzer von Netzwerk200 zugreifen kann oder für die ein Anforderer205 DNS-Auflösungen anfordern kann. Stattdessen kann eine ausgewählte Anzahl an Hosts in der Tabelle220 als repräsentative Stichprobe enthalten sein. In einigen Ausführungsformen kann die Tabelle220 eine vorkonfigurierte Liste von Domains und deren zugehörige IP-Adressen enthalten, deren Auswahl zur Aufnahme in Tabelle220 auf der Domain basiert, die besonders sensible Informationen, auf die die Netzwerkbenutzer zugreifen, hostet. In anderen Ausführungsformen kann die Tabelle220 eine vorkonfigurierte Liste von Domains und deren zugehörige IP-Adressen aufweisen, deren Auswahl zur Aufnahme in Tabelle220 auf einer hohen Anzahl von Besuchen durch Benutzer des Netzwerks200 und daher auf einer hohen Wahrscheinlichkeit eines großen zu überwachenden Stichprobenpools von DNS-Auflösungsanforderungen und – antworten basiert. - Es wird wieder auf
1 –3 Bezug genommen. Das Bestimmungsmodul148 führt eine Bestimmung durch, ob die DNS-Auflösungsantwort202 eine korrekte und gültige Zuordnung der IP-Adresse zum Domainnamen enthält. Diese Bestimmung basiert auf dem vom Vergleichsmodul146 durchgeführten Vergleich. Wenn die Zuordnung in der DNS-Auflösungsantwort202 der Zuordnung für den in der Tabelle220 gespeicherten entsprechenden Domainnamen entspricht, wird die DNS-Auflösungsantwort202 als korrekt bestimmt. Dies gibt an, dass die DNS-Auflösungsantwort202 zu dem autorisierten DNS-Server210 gesendet wurde (2 ). Wenn die Zuordnung in der DNS-Auflösungsantwort202 nicht der Zuordnung für den in der Tabelle220 gespeicherten entsprechenden Domainnamen entspricht, wird die DNS-Auflösungsantwort202 als nicht korrekt bestimmt. Es gibt an, dass die DNS-Auflösungsantwort202 an einen bösartigen DNS-Server215 gesendet wurde (3 ), und kann auf das Auftreten eines Spoofing- oder DOS-Angriffs hinweisen. In diesem Fall sendet das Alarmmodul150 einen Alarm240 , um den Anforderer205 über den gefälschten DNS-Datenverkehr zu informieren. In verschiedenen Ausführungsformen kann der Alarm240 die Form einer Nachricht (E-Mail, SMS usw.), eines Logeintrags oder einer anderen Form von Benachrichtigung über ein Sicherheitsereignis annehmen, das das verdächtige Verhalten dokumentiert und die Aufmerksamkeit darauf lenkt. - Das obige Verfahren wird in einem Flussdiagramm in
5 dargestellt. Wie oben beschrieben, überwacht ein Monitor passiv den Datenverkehr in einem Netzwerk. Über dieses Netzwerk fordert eine anfordernde Workstation eine DNS-Auflösung einer bestimmten Domain an. - Eine DNS-Auflösungsantwort wird von einem DNS-Server an den Anforderer über das Netzwerk zurückgegeben. Die DNS-Auflösungsantwort wird vom Monitor aus dem überwachten Netzwerkverkehr identifiziert. Nach der Identifizierung wird die Zuordnung einer IP-Adresse zu einer Domain, die in der DNS-Auflösungsantwort enthaltenen ist, mit einer vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains verglichen. Wenn weder die Domain noch die IP-Adresse in der DNS-Auflösungsantwort in der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains erscheint, kehrt der Monitor einfach zur Überwachung des Netzwerks zurück.
- Wenn entweder die Domain oder die IP-Adresse in der DNS-Auflösungsantwort in der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains erscheint, wird die in der DNS-Auflösungsanforderung enthaltene Zuordnung mit der entsprechenden Zuordnung in der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains verglichen. Wenn die Zuordnung übereinstimmt, d.h. sowohl die IP-Adresse und die entsprechende Domain in der DNS-Auflösungsantwort und der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains identisch sind, dann kann bestimmt werden, dass die DNS-Auflösungsantwort korrekt ist und der DNS-Server, der sie gesendet hat, autorisiert ist. Wenn jedoch die Zuordnung nicht übereinstimmt, d.h. die Domains unterschiedlichen IP-Adressen in der DNS-Auflösungsantwort und der vorkonfigurierten Liste bekannter Zuordnung von IP-Adressen zu Domains entspricht (oder die IP-Adresse entspricht unterschiedlichen Domains in der DNS-Auflösungsantwort und der vorkonfigurierten Liste bekannter Zuordnungen von IP-Adressen zu Domains), dann kann bestimmt werden, dass die DNS-Auflösungsantwort ungültig ist. In diesem Fall kann daraus geschlossen werden, dass der DNS-Server, der sie gesendet hat, nicht autorisiert ist und ein bösartiger DNS-Server sein kann. In diesem Fall wird ein Alarm ausgelöst, der den Anforderer über das Sicherheitsrisiko benachrichtigt.
- Wenngleich die Erfindung in diesem Dokument als ein Verfahren und System zur Identifizierung eines bösartigen DNS-Servers dargestellt und beschrieben wird, versteht es sich, dass Aspekte der Erfindung weiterhin verschiedene alternative Ausführungsformen vorsehen können. Zum Beispiel sieht die Erfindung in einer Ausführungsform ein Computerprogramm vor, das auf wenigstens einem computerlesbaren Medium fest vorliegt, das bei der Ausführung einem Computersystem ermöglicht, die Identifizierung eines bösartigen DNS-Servers zu implementieren. In diesem Umfang weist das computerlesbare Medium Programmcode auf, wie das Identifizierungsprogramm
140 für einen bösartigen DNS-Server (1 ), der einige oder alle der in diesem Dokument beschriebenen Prozesse implementiert. Es versteht sich, dass der Begriff „computerlesbares Medium“ ein oder mehrere eines beliebigen Typs eines materiellen Ausdruckmediums aufweist, dass nicht bekannt oder in Zukunft entwickelt wird, von dem ein Exemplar des Programmcode erhalten, wiedergegeben oder anderweitig durch eine Computingvorrichtung kommuniziert werden kann. Zum Beispiel kann das computerlesbare Medium aufweisen: eine oder mehrere tragbare Speicherfertigungsprodukte; ein oder mehrere Speicherkomponenten (Memory/Storage) einer Computingvorrichtung; Papier und/oder Ähnliches. - In einer anderen Ausführungsform stellt die Erfindung ein Verfahren bereit, das ein Exemplar von Programmcode bereitstellt, wie das Identifizierungsprogramm
140 für einen bösartigen DNS-Server (1 ), das einige oder alle der in diesem Dokument beschriebenen Prozesse implementiert. In diesem Fall kann ein Computersystem ein Exemplar von Programmcode verarbeiten, der einen Teil oder den gesamten des in diesem Dokument beschriebenen Prozesses implementiert, um für den Empfang an einem zweiten entfernten Standort eine Gruppe von Datensignalen zu generieren und zu übertragen, die einen oder mehrere seiner Eigenschaften dergestalt festgelegt und/oder geändert haben, um ein Exemplar des Programmcodes in der Gruppe von Datensignalen zu kodieren. Ebenso stellt eine Ausführungsform der Erfindung ein Verfahren zum Erfassen eines Exemplars von Programmcode bereit, der einen Teil oder den gesamten des in diesem Dokument beschriebenen Prozesses implementiert, was ein Computersystem aufweist, dass die in diesem Dokument beschriebene Gruppe von Datensignale empfängt und die Gruppe von Datensignalen in ein Exemplar des Computerprogramms übersetzt, das wenigstens auf einem computerlesbaren Medium fest vorliegt. In jedem Fall kann die Gruppe von Datensignalen mit jeder beliebigen Art von Kommunikationsverbindung übertragenen/empfangen werden. - In wiederum einer anderen Ausführungsform stellt die Erfindung ein Verfahren zum Generieren eines Systems zur Identifizierung eines bösartigen DNS-Servers bereit. In diesem Fall kann ein Computersystem, wie das Computersystem
102 (1 ), erhalten werden (z. B. erstellt, verwaltet, verfügbar gemacht werden usw.) und eine oder mehrere Komponenten zum Durchführen eines in diesem Dokument beschriebenen Prozesses können erhalten (z. B. erstellt, erworben, verwendet, geändert usw.) und auf dem Computersystem bereitgestellt werden. In diesem Umfang kann die Bereitstellung (Deployment) eines oder mehrere aufweisen von: (1) Installation von Programmcode auf einer Computingvorrichtung; (2) Hinzufügen von einer oder mehreren Computing-und/oder I/O-Vorrichtungen zu dem Computersystem; (3) Aufnahme und/oder Modifikation des Computersystems, um die Durchführung eines in diesem Dokument beschriebenen Prozesses zu ermöglichen; und/oder Ähnliches. - Wie in diesem Dokument verwendet, bezeichnen die Begriffe „ erstes“, „zweites“ und Ähnliche nicht eine Reihenfolge, Menge oder Bedeutung, sondern werden nur zur Unterscheidung eines Elements von einem anderen verwendet, und die Begriffe „ein“ oder „eine“ bezeichnen hier keine Mengenbeschränkung, sondern geben stattdessen das Vorhandensein von wenigstens einem der referenzierten Elemente an. Der in Verbindung mit einer Mengenangabe verwendete Modifizierer „etwa“ schließt den angegebenen Wert mit ein und hat die vom Kontext vorgegebene Bedeutung (enthält zum Beispiel den Fehlergrad, der der Messung einer bestimmten Menge zugeordnet ist). Das Suffix „(en)“ ist gemäß der Verwendungen in diesem Dokument dazu gedacht, sowohl die Singular- wie auch die Pluralform des zu modifizierenden Begriffs zu beinhalten, wodurch ein oder mehrere Vorkommen des Begriffes (wie zum Beispiel Verarbeitungseinheit(en) ein oder mehrere Bearbeitungseinheiten beinhaltet) beinhalten. Die in diesem Dokument offengelegten Bereiche sind inkludierend und unabhängig kombinierbar (z. B. Bereiche von „bis zu etwa drei Platzhaltern“ oder im Besonderen beinhaltet „etwa ein Platzhalter bis etwa drei Platzhalter“ die Endpunkte und alle Zwischenwerte der Bereiche von „etwa ein Platzhalter bis etwa zwei Platzhalter” usw.).
- Die Beschreibungen der verschiedenen Ausführungsformen der vorliegenden Erfindung wurden für Veranschaulichungszwecke dargestellt, ist jedoch nicht dazu gedacht, als erschöpfend oder auf die offengelegten Ausführungsformen beschränkt zu sein. Für Fachleute werden viele Modifikationen und Variationen ersichtlich sein, ohne dabei vom Umfang und Geist der beschriebenen Ausführungsformen abzuweichen. Die hier verwendete Terminologie wurde gewählt, um die Prinzipien der Ausführungsformen, der praktischen Anwendung oder der technischen Verbesserung gegenüber im Markt erhältlichen Technologien am besten zu erklären, oder um anderen Fachleuten das Verständnis der hier offengelegten Ausführungsformen zu ermöglichen.
- ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- US 13479418 A [0001]
Claims (15)
- Folgendes wird beansprucht: Ein Verfahren zum Identifizieren eines bösartigen Domain Name Service(DNS)-Servers, wobei das Verfahren aufweist: passives Überwachen von Datenverkehr in einem Netzwerk; Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und Bestimmen basierend auf dem Vergleich, ob die DNS-Auflösungsantwort korrekt ist.
- Das Verfahren nach Anspruch 1, das weiterhin ein Senden eines Alarms in dem Fall aufweist, in dem die DNS-Auflösungsantwort als nicht korrekt bestimmt wird.
- Das Verfahren nach Anspruch 2, wobei der Alarm wenigstens eines aufweist von einer E-Mail-Nachricht, einer SMS-Nachricht, einem Logeintrag oder einer Benachrichtigung über einen Sicherheitsvorfall.
- Das Verfahren nach Anspruch 1, wobei jede IP-Adresse in der vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen eine bestimmte IP-Adresse ist.
- Das Verfahren nach Anspruch 1, wobei jede IP-Adresse in der vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen ein Bereich von IP-Adressen ist, der durch wenigstens einen Platzhalter ausgedrückt wird.
- Das Verfahren nach Anspruch 1, wobei die vorkonfigurierte Liste bekannter Zuordnungen von Domains zu IP-Adressen eine vorkonfigurierte Liste von Domains aufweist, die von Benutzern eines Netzwerks am häufigsten besucht werden.
- Das Verfahren nach Anspruch 1, wobei die vorkonfigurierte Liste bekannter Zuordnungen von Domains zu IP-Adressen eine vorkonfigurierte Liste von Domains aufweist, die sensible Informationen hosten, auf die von Netzwerkbenutzern zugegriffen wird.
- Das Verfahren nach Anspruch 1, wobei das Netzwerk ein Internet aufweist.
- Ein System zum Identifizieren eines bösartigen Domain Name Service(DNS)-Servers, wobei das Verfahren aufweist: eine Überwachungskomponente zur passiven Überwachung von Datenverkehr in einem Netzwerk; eine Identifizierungskomponente zum Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; eine Vergleichskomponente zum Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und eine Bestimmungskomponente zum Bestimmen basierend auf dem Vergleich, ob die DNS-Auflösungsantwort korrekt ist.
- Das System nach Anspruch 9, das weiterhin eine Alarmkomponente zum Senden eines Alarms in dem Fall aufweist, wenn die DNS-Auflösungsantwort als nicht korrekt bestimmt wird.
- Das System nach Anspruch 10, wobei die Alarmkomponente wenigstens eines aufweist von einer E-Mail-Nachricht, einer SMS-Nachricht, einem Logeintrag oder einer Benachrichtigung über einen Sicherheitsvorfall.
- Das System nach Anspruch 9, wobei jede IP-Adresse in der vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen eine bestimmte IP-Adresse ist, und/oder wobei jede IP-Adresse in der vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen ein Bereich von IP-Adressen ist, der durch wenigstens einen Platzhalter ausgedrückt wird, und/oder wobei die vorkonfigurierte Liste bekannter Zuordnungen von Domains zu IP-Adressen eine vorkonfigurierte Liste von Domains aufweist, die von Benutzern eines Netzwerks am häufigsten besucht werden, und/oder wobei die vorkonfigurierte Liste bekannter Zuordnungen von Domains zu IP-Adressen eine vorkonfigurierte Liste Domains aufweist, die sensible Informationen hosten, auf die von Netzwerkbenutzer zugegriffen wird.
- Das Verfahren nach Anspruch 9, wobei das Netzwerk ein Internet aufweist.
- Ein in einem computerlesbaren Speichermedium ausgeführtes Computerprogrammprodukt, das bei dessen Ausführung durch eine Computingvorrichtung das Computersystem dazu veranlasst, ein Verfahren zur Identifizierung eines bösartigen Domain Name Service(DNS)-Servers zu implementieren, wobei das Verfahren aufweist: passives Überwachen von Datenverkehr in einem Netzwerk; Identifizieren einer DNS-Auflösungsantwort im Datenverkehr im Netzwerk, wobei die DNS-Auflösungsantwort eine Zuordnung einer Domain zu einer Internetprotokoll(IP)-Adresse aufweist; Vergleichen der DNS-Auflösungsantwort mit einer vorkonfigurierten Liste bekannter Zuordnungen von Domains zu IP-Adressen; und Bestimmen basierend auf dem Vergleich, ob die DNS-Auflösungsantwort korrekt ist.
- Das Computerprogrammprodukt nach Anspruch 14, wobei das Verfahren weiterhin das Senden eines Alarms in dem Fall aufweist, in dem die DNS-Auflösungsantwort als nicht korrekt bestimmt wird, und/oder wobei jede IP-Adresse in der vorkonfigurierten Liste der bekannten Zuordnungen von Domains zu IP-Adressen eine ist von: einer bestimmten IP-Adresse, oder einem Bereich von IP-Adressen, die mit wenigstens einem Platzhalter ausgedrückt werden, und/oder wobei das Netzwerk ein Intranet aufweist.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/479,412 US9225731B2 (en) | 2012-05-24 | 2012-05-24 | System for detecting the presence of rogue domain name service providers through passive monitoring |
US13/479,412 | 2012-05-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102013208923A1 true DE102013208923A1 (de) | 2013-11-28 |
DE102013208923B4 DE102013208923B4 (de) | 2014-10-16 |
Family
ID=49547172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102013208923.6A Active DE102013208923B4 (de) | 2012-05-24 | 2013-05-14 | System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung |
Country Status (4)
Country | Link |
---|---|
US (2) | US9225731B2 (de) |
JP (1) | JP2013247674A (de) |
CN (1) | CN103428200A (de) |
DE (1) | DE102013208923B4 (de) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9225731B2 (en) | 2012-05-24 | 2015-12-29 | International Business Machines Corporation | System for detecting the presence of rogue domain name service providers through passive monitoring |
US20130318605A1 (en) * | 2012-05-24 | 2013-11-28 | International Business Machines Corporation | System for detecting rogue network protocol service providers |
US8613089B1 (en) | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
GB2518460B (en) * | 2013-12-09 | 2015-10-28 | F Secure Corp | Unauthorised/Malicious redirection |
CN105338123B (zh) * | 2014-05-28 | 2018-10-02 | 国际商业机器公司 | 用于在网络中解析域名的方法、装置和系统 |
CN104168339A (zh) * | 2014-06-30 | 2014-11-26 | 汉柏科技有限公司 | 防止域名劫持的方法及设备 |
GB2545491B (en) * | 2015-12-18 | 2020-04-29 | F Secure Corp | Protection against malicious attacks |
US10230743B1 (en) | 2016-05-12 | 2019-03-12 | Wells Fargo Bank, N.A. | Rogue endpoint detection |
CN106060067B (zh) * | 2016-06-29 | 2018-12-25 | 上海交通大学 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
US10594728B2 (en) | 2016-06-29 | 2020-03-17 | AVAST Software s.r.o. | Detection of domain name system hijacking |
US10574674B2 (en) * | 2016-07-08 | 2020-02-25 | Nec Corporation | Host level detect mechanism for malicious DNS activities |
CN108156262B (zh) * | 2018-02-13 | 2019-06-25 | 中国联合网络通信集团有限公司 | 一种检查dns配置文件的有效性的方法及装置 |
CN110912925A (zh) * | 2019-12-04 | 2020-03-24 | 北京小米移动软件有限公司 | 检测域名系统dns劫持的方法及装置、存储介质 |
CN114039943A (zh) * | 2021-07-28 | 2022-02-11 | 中国建设银行股份有限公司 | 一种域名系统的数据处理方法及装置 |
CN116319113B (zh) * | 2023-05-23 | 2023-08-11 | 阿里云计算有限公司 | 一种域名解析异常的检测方法和电子设备 |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020093527A1 (en) | 2000-06-16 | 2002-07-18 | Sherlock Kieran G. | User interface for a security policy system and method |
US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
US7873985B2 (en) | 2002-01-08 | 2011-01-18 | Verizon Services Corp. | IP based security applications using location, port and/or device identifier information |
US8001271B1 (en) * | 2002-10-21 | 2011-08-16 | Arbor Networks, Inc. | Method and apparatus for locating naming discrepancies |
US7966661B2 (en) | 2004-04-29 | 2011-06-21 | Microsoft Corporation | Network amplification attack mitigation |
US7756933B2 (en) | 2004-12-13 | 2010-07-13 | Collactive Ltd. | System and method for deterring rogue users from attacking protected legitimate users |
US20060176822A1 (en) * | 2005-02-09 | 2006-08-10 | International Business Machines Corporation | Method, system, service, and computer program product for identifying incorrect domain name to internet protocol (IP) address mappings |
WO2006090392A2 (en) * | 2005-02-24 | 2006-08-31 | Rsa Security Inc. | System and method for detecting and mitigating dns spoofing trojans |
US7436783B2 (en) | 2005-04-04 | 2008-10-14 | Apple Inc. | Method and apparatus for detecting a router that improperly responds to ARP requests |
GB2425681A (en) | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
JP4213689B2 (ja) * | 2005-07-08 | 2009-01-21 | 株式会社クローバー・ネットワーク・コム | ファーミング詐欺防止システム、ネットワーク端末装置及びプログラム |
US9015090B2 (en) * | 2005-09-06 | 2015-04-21 | Daniel Chien | Evaluating a questionable network communication |
US7716740B2 (en) | 2005-10-05 | 2010-05-11 | Alcatel Lucent | Rogue access point detection in wireless networks |
US7873993B2 (en) | 2005-11-09 | 2011-01-18 | Cisco Technology, Inc. | Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation |
US20070186276A1 (en) | 2006-02-09 | 2007-08-09 | Mcrae Matthew | Auto-detection and notification of access point identity theft |
US20070271220A1 (en) * | 2006-05-19 | 2007-11-22 | Chbag, Inc. | System, method and apparatus for filtering web content |
US8000698B2 (en) | 2006-06-26 | 2011-08-16 | Microsoft Corporation | Detection and management of rogue wireless network connections |
US20080060054A1 (en) | 2006-09-05 | 2008-03-06 | Srivastava Manoj K | Method and system for dns-based anti-pharming |
US8069483B1 (en) | 2006-10-19 | 2011-11-29 | The United States States of America as represented by the Director of the National Security Agency | Device for and method of wireless intrusion detection |
US7706267B2 (en) * | 2007-03-06 | 2010-04-27 | Hewlett-Packard Development Company, L.P. | Network service monitoring |
US7823202B1 (en) | 2007-03-21 | 2010-10-26 | Narus, Inc. | Method for detecting internet border gateway protocol prefix hijacking attacks |
US8219800B2 (en) | 2007-06-06 | 2012-07-10 | Cisco Technology, Inc. | Secure neighbor discovery router for defending host nodes from rogue routers |
US8312541B2 (en) | 2007-07-17 | 2012-11-13 | Cisco Technology, Inc. | Detecting neighbor discovery denial of service attacks against a router |
CA2711467A1 (en) | 2008-01-23 | 2009-07-30 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for pooling network resources |
US20090327487A1 (en) | 2008-06-30 | 2009-12-31 | Eric Olson | Method and system for discovering dns resolvers |
US8191137B2 (en) | 2008-07-30 | 2012-05-29 | International Business Machines Corporation | System and method for identification and blocking of malicious use of servers |
US7930428B2 (en) * | 2008-11-11 | 2011-04-19 | Barracuda Networks Inc | Verification of DNS accuracy in cache poisoning |
CN101420433B (zh) | 2008-12-01 | 2013-03-13 | 成都市华为赛门铁克科技有限公司 | 防御域名系统欺骗攻击的方法及装置 |
US20100262688A1 (en) | 2009-01-21 | 2010-10-14 | Daniar Hussain | Systems, methods, and devices for detecting security vulnerabilities in ip networks |
CN101567815B (zh) * | 2009-05-27 | 2011-05-11 | 清华大学 | 域名服务器dns放大攻击的有效检测与抵御方法 |
JP2011049745A (ja) * | 2009-08-26 | 2011-03-10 | Toshiba Corp | Dnsキャッシュ・ポイズニング攻撃を防御する装置 |
US8924519B2 (en) | 2009-11-03 | 2014-12-30 | Microsoft Corporation | Automated DNS configuration with local DNS server |
US8370933B1 (en) * | 2009-11-24 | 2013-02-05 | Symantec Corporation | Systems and methods for detecting the insertion of poisoned DNS server addresses into DHCP servers |
CN102082836B (zh) * | 2009-11-30 | 2013-08-14 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
US8321551B2 (en) * | 2010-02-02 | 2012-11-27 | Symantec Corporation | Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions |
US8719900B2 (en) * | 2010-05-18 | 2014-05-06 | Amazon Technologies, Inc. | Validating updates to domain name system records |
CN102223422B (zh) * | 2011-08-02 | 2014-07-09 | 杭州迪普科技有限公司 | 一种dns报文处理方法及网络安全设备 |
US9225731B2 (en) | 2012-05-24 | 2015-12-29 | International Business Machines Corporation | System for detecting the presence of rogue domain name service providers through passive monitoring |
US20130318605A1 (en) | 2012-05-24 | 2013-11-28 | International Business Machines Corporation | System for detecting rogue network protocol service providers |
US20130332986A1 (en) * | 2012-06-08 | 2013-12-12 | Bluebox | Methods and apparatus for dynamically reducing virtual private network traffic from mobile devices |
-
2012
- 2012-05-24 US US13/479,412 patent/US9225731B2/en not_active Expired - Fee Related
-
2013
- 2013-04-09 JP JP2013080924A patent/JP2013247674A/ja active Pending
- 2013-05-14 DE DE102013208923.6A patent/DE102013208923B4/de active Active
- 2013-05-24 CN CN2013101957773A patent/CN103428200A/zh active Pending
-
2015
- 2015-10-16 US US14/884,899 patent/US9648033B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
DE102013208923B4 (de) | 2014-10-16 |
US9225731B2 (en) | 2015-12-29 |
US9648033B2 (en) | 2017-05-09 |
CN103428200A (zh) | 2013-12-04 |
US20130318170A1 (en) | 2013-11-28 |
US20160036845A1 (en) | 2016-02-04 |
JP2013247674A (ja) | 2013-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102013208923B4 (de) | System zum Erfassen des Vorhandenseins eines bösartigen Domain-Name-Service-Providers durch passive Überwachung | |
DE112013000387B4 (de) | Dynamisches Abtasten einer Webanwendung durch Verwendung von Webdatenverkehrs- Informationen | |
DE69922857T2 (de) | Rechnersicherheit durch Virusuntersuchung | |
DE202018006616U1 (de) | Beschleunigung des Arbeitsablaufs von Cyberanalysen | |
DE60210408T2 (de) | Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes | |
DE69926147T2 (de) | Verfahren und gerät um die sicherheitsverletzlichkeit vernetzter geräte zu kontrollieren | |
DE602005000017T2 (de) | Kommunikationsvorrichtung, Verfahren und Programm zur Namenauflösung | |
DE102014113582B4 (de) | Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung | |
DE112011103273B4 (de) | Verfahren, Computerprogrammprodukt und Vorrichtung zur Weitergabe von Identitäten über Anwendungsebenen unter Verwendung von kontextabhängiger Zuordnung und gesetzten Werten | |
DE202016009026U1 (de) | Regelbasierte Netzwerkbedrohungsdetektion | |
DE202016008885U1 (de) | Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen | |
CN107438079A (zh) | 一种网站未知异常行为的检测方法 | |
US20070124806A1 (en) | Techniques for tracking actual users in web application security systems | |
US9379952B2 (en) | Monitoring NAT behaviors through URI dereferences in web browsers | |
DE202012013734U1 (de) | System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation | |
DE202012013482U1 (de) | Verteilung von Zugriffsinformationen auf Overlay-Netzwerken | |
DE102012218704A1 (de) | Erkennung von schwachstellen für dom-basiertes cross-site-scripting | |
DE102012220716A1 (de) | Verfahren, Datenverarbeitungsvorrichtung und Programm zum Identifizieren vertraulicher Daten | |
DE102008016197A1 (de) | Identifizieren eines Anwendungsbenutzers als Quelle einer Datenbank-Aktivität | |
DE60114763T2 (de) | Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt | |
DE112014002789T5 (de) | Netzwerksicherheitssystem | |
DE102012218575A1 (de) | Schützen der Privatsphäre beim Austauschen von Daten mit einem Webserver | |
CN108270778A (zh) | 一种dns域名异常访问检测方法及装置 | |
DE112017006993T5 (de) | System und Verfahren zum Erfassen einer Netztopologie | |
CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R082 | Change of representative |
Representative=s name: SPIES DANNER & PARTNER PATENTANWAELTE PARTNERS, DE Representative=s name: LIFETECH IP SPIES DANNER & PARTNER PATENTANWAE, DE Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R084 | Declaration of willingness to licence | ||
R082 | Change of representative |
Representative=s name: LIFETECH IP SPIES DANNER & PARTNER PATENTANWAE, DE Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R020 | Patent grant now final | ||
R082 | Change of representative |
Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R082 | Change of representative |
Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012260000 Ipc: H04L0043000000 |