一種應(yīng)用于路由器的集中式dns安全監(jiān)控方法
【專利摘要】本發(fā)明公開了一種應(yīng)用于路由器的集中式DNS安全監(jiān)控方法,在路由器上部署監(jiān)控模塊,路由器每次對DNS服務(wù)器發(fā)起DNS解析請求時,記錄請求的詳細(xì)數(shù)據(jù),傳遞給集中管理服務(wù)器;集中管理服務(wù)器提取請求的詳細(xì)數(shù)據(jù)中的域名字段,以此域名字段為域名向權(quán)威DNS服務(wù)器發(fā)起DNS解析權(quán)威請求,收到權(quán)威請求的回復(fù)數(shù)據(jù)后再記錄下,監(jiān)控模塊記錄請求的回復(fù)數(shù)據(jù)并傳遞給集中管理服務(wù)器;與權(quán)威請求的回復(fù)數(shù)據(jù)進(jìn)行比對;對現(xiàn)有DNS解析流程的監(jiān)控獲取DNS解析的請求與回復(fù)數(shù)據(jù),提交至集中管理服務(wù)器,使用該次解析流程的請求數(shù)據(jù)再次請求權(quán)威的DNS域名服務(wù)器,獲取的安全回復(fù)數(shù)據(jù)與回復(fù)數(shù)據(jù)進(jìn)行比較確定DNS解析流程是否安全。
【專利說明】—種應(yīng)用于路由器的集中式DNS安全監(jiān)控方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)信息安全、TCP/IP協(xié)議解析、DNS域名解析等【技術(shù)領(lǐng)域】,具體的說,是一種應(yīng)用于路由器的集中式DNS安全監(jiān)控方法。
【背景技術(shù)】
[0002]隨著信息化的高速發(fā)展,目前的網(wǎng)絡(luò)安全現(xiàn)狀和前幾年相比,已經(jīng)發(fā)生了很大的改變。蠕蟲、病毒、木馬、漏洞攻擊、DDoS攻擊等威脅互相結(jié)合,對網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和應(yīng)用安全造成了較大的威脅和不良影響。其中針對DNS (域名服務(wù)器,Domain Name Service)的攻擊也已成為最嚴(yán)重的威脅之一。DNS是Internet的重要基礎(chǔ),包括WEB訪問、Email服務(wù)在內(nèi)的眾多網(wǎng)絡(luò)服務(wù)都和DNS息息相關(guān),因此DNS的安全直接關(guān)系到整個互聯(lián)網(wǎng)應(yīng)用能否正常使用。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的在于提供一種應(yīng)用于路由器的集中式DNS安全監(jiān)控方法,通過對現(xiàn)有DNS解析流程的監(jiān)控獲取每一次DNS解析的請求與回復(fù)數(shù)據(jù),將這些數(shù)據(jù)提交至專用的安全服務(wù)器(集中管理服務(wù)器),由該安全服務(wù)器使用該次解析流程的請求數(shù)據(jù)再次請求權(quán)威的DNS域名服務(wù)器,通過將獲取的安全回復(fù)數(shù)據(jù)與之前獲得的回復(fù)數(shù)據(jù)進(jìn)行比較從而確定DNS解析流程是否安全。
[0004]本發(fā)明通過下述技術(shù)方案實(shí)現(xiàn):一種應(yīng)用于路由器的集中式DNS安全監(jiān)控方法,包括以下步驟:
步驟I):通過在路由器上部署監(jiān)控模塊,當(dāng)路由器每次對DNS服務(wù)器發(fā)起DNS解析請求時,監(jiān)控模塊記錄請求的詳細(xì)數(shù)據(jù),并傳遞給集中管理服務(wù)器;
步驟2):集中管理服務(wù)器記錄請求的詳細(xì)數(shù)據(jù),之后集中管理服務(wù)器提取請求的詳細(xì)數(shù)據(jù)中的域名字段,以此域名字段為域名向權(quán)威DNS服務(wù)器發(fā)起DNS解析權(quán)威請求,當(dāng)收到權(quán)威請求的回復(fù)數(shù)據(jù)后再記錄下權(quán)威請求的回復(fù)數(shù)據(jù);
步驟3):當(dāng)路由器收到來自DNS服務(wù)器請求的回復(fù)數(shù)據(jù)時,監(jiān)控模塊記錄請求的回復(fù)數(shù)據(jù)并傳遞給集中管理服務(wù)器;
步驟4):集中管理服務(wù)器將請求的回復(fù)數(shù)據(jù)與權(quán)威請求的回復(fù)數(shù)據(jù)進(jìn)行比對,以確定該次DNS解析過程是否安全。
[0005]進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述DNS服務(wù)器為未知DNS服務(wù)器。
[0006]進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述未知DNS服務(wù)器由每臺路由器的網(wǎng)絡(luò)配置具體確定,該配置由路由器管理員進(jìn)行設(shè)置的IP地址,可能因受到攻擊而被篡改。
[0007]進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述權(quán)威DNS服務(wù)器,是指集中管理服務(wù)器上由專業(yè)安全管理人員維護(hù)和設(shè)置的指定的可靠DNS服務(wù)器IP地址。
[0008]進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述集中管理服務(wù)器,是指部署于本局域網(wǎng)中,負(fù)責(zé)管理該網(wǎng)絡(luò)中所有安裝有監(jiān)控模塊的路由器,監(jiān)控模塊獲取的數(shù)據(jù)都傳遞給該集中管理服務(wù)器進(jìn)行進(jìn)一步操作。
[0009]進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述監(jiān)控模塊,部署于路由器上,負(fù)責(zé)監(jiān)控路由器對外發(fā)起的DNS域名解析請求,并將獲取的數(shù)據(jù)傳輸給集中管理服務(wù)器。
[0010]本發(fā)明與現(xiàn)有技術(shù)相比,具有以下優(yōu)點(diǎn)及有益效果:
(I)本發(fā)明通過對現(xiàn)有DNS解析流程的監(jiān)控獲取每一次DNS解析的請求與回復(fù)數(shù)據(jù),將這些數(shù)據(jù)提交至專用的安全服務(wù)器(集中管理服務(wù)器),由該安全服務(wù)器使用該次解析流程的請求數(shù)據(jù)再次請求權(quán)威的DNS域名服務(wù)器,通過將獲取的安全回復(fù)數(shù)據(jù)與之前獲得的回復(fù)數(shù)據(jù)進(jìn)行比較從而確定DNS解析流程是否安全。
[0011](2)本發(fā)明最大限度地利用現(xiàn)有DNS公用資源,具有簡單可靠、集中管理、部署成本小等特點(diǎn)。
[0012](3)本發(fā)明當(dāng)發(fā)現(xiàn)某一次DNS解析請求的回復(fù)與監(jiān)控模塊提供的對應(yīng)權(quán)威回復(fù)內(nèi)容不符時,則可確定該監(jiān)控模塊所部屬的路由器的DNS解析出現(xiàn)安全問題。
【專利附圖】
【附圖說明】
[0013]圖1為本發(fā)明流程原理圖。
【具體實(shí)施方式】
[0014] 申請人:認(rèn)為,如在仔細(xì)閱讀申請文件、準(zhǔn)確理解本發(fā)明的實(shí)現(xiàn)原理和發(fā)明目的以后,在結(jié)合現(xiàn)有公知技術(shù)的情況下,本領(lǐng)域技術(shù)人員完全實(shí)現(xiàn)本發(fā)明。
[0015]下面結(jié)合實(shí)施例對本發(fā)明作進(jìn)一步地詳細(xì)說明,但本發(fā)明的實(shí)施方式不限于此。
[0016]實(shí)施例1:
一種應(yīng)用于路由器的集中式DNS安全監(jiān)控方法,包括以下步驟:
步驟I):通過在路由器上部署監(jiān)控模塊,當(dāng)路由器每次對DNS服務(wù)器發(fā)起DNS解析請求時,監(jiān)控模塊記錄請求的詳細(xì)數(shù)據(jù),并傳遞給集中管理服務(wù)器;
步驟2):集中管理服務(wù)器記錄請求的詳細(xì)數(shù)據(jù),之后集中管理服務(wù)器提取請求的詳細(xì)數(shù)據(jù)中的域名字段,以此域名字段為域名向權(quán)威DNS服務(wù)器發(fā)起DNS解析權(quán)威請求,當(dāng)收到權(quán)威請求的回復(fù)數(shù)據(jù)后再記錄下權(quán)威請求的回復(fù)數(shù)據(jù);
步驟3):當(dāng)路由器收到來自DNS服務(wù)器請求的回復(fù)數(shù)據(jù)時,監(jiān)控模塊記錄請求的回復(fù)數(shù)據(jù)并傳遞給集中管理服務(wù)器;
步驟4):集中管理服務(wù)器將請求的回復(fù)數(shù)據(jù)與權(quán)威請求的回復(fù)數(shù)據(jù)進(jìn)行比對,以確定該次DNS解析過程是否安全。
[0017]實(shí)施例2:
本實(shí)施例是在上述實(shí)施例的基礎(chǔ)上進(jìn)一步優(yōu)化,進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,包括以下步驟:
步驟1-1):通過在路由器上部署監(jiān)控模塊,當(dāng)路由器每次對未知DNS服務(wù)器發(fā)起DNS解析請求時,監(jiān)控模塊記錄請求的詳細(xì)數(shù)據(jù),并傳遞給集中管理服務(wù)器;
步驟2-2):集中管理服務(wù)器記錄請求的詳細(xì)數(shù)據(jù),之后集中管理服務(wù)器提取請求的詳細(xì)數(shù)據(jù)中的域名字段,以該域名字段為域名向權(quán)威DNS服務(wù)器發(fā)起DNS解析權(quán)威請求,當(dāng)收到該權(quán)威請求的回復(fù)數(shù)據(jù)后再記錄下該權(quán)威回復(fù)數(shù)據(jù); 步驟3-3):當(dāng)路由器收到來自未知DNS服務(wù)器對請求的回復(fù)數(shù)據(jù)時,監(jiān)控模塊記錄請求的回復(fù)數(shù)據(jù)并傳遞給集中管理服務(wù)器;
步驟4-4):集中管理服務(wù)器將該請求的回復(fù)數(shù)據(jù)與步驟B中權(quán)威請求的回復(fù)數(shù)據(jù)進(jìn)行比對,即可確定該次DNS解析過程是否安全。
[0018]實(shí)施例3:
本實(shí)施例是在上述實(shí)施例的基礎(chǔ)上進(jìn)一步優(yōu)化,進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述未知DNS服務(wù)器由每臺路由器的網(wǎng)絡(luò)配置具體確定,該配置由路由器管理員進(jìn)行設(shè)置的IP地址,可能因受到攻擊而被篡改。
[0019]實(shí)施例4:
本實(shí)施例是在實(shí)施例1或2或3的基礎(chǔ)上進(jìn)一步優(yōu)化,進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述權(quán)威DNS服務(wù)器,是指集中管理服務(wù)器上由專業(yè)安全管理人員維護(hù)和設(shè)置的指定的可靠DNS服務(wù)器IP地址。
[0020]實(shí)施例5:
本實(shí)施例是在實(shí)施例1或2或3的基礎(chǔ)上進(jìn)一步優(yōu)化,進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述集中管理服務(wù)器,是指部署于本局域網(wǎng)中,負(fù)責(zé)管理該網(wǎng)絡(luò)中所有安裝有監(jiān)控模塊的路由器,監(jiān)控模塊獲取的數(shù)據(jù)都傳遞給該集中管理服務(wù)器進(jìn)行進(jìn)一步操作;集中管理服務(wù)器,集中管理DNS安全狀態(tài)的服務(wù)器,負(fù)責(zé)接收從各路由器上的監(jiān)控模塊接收每一次DNS解析的請求和回復(fù)數(shù)據(jù)。集中管理服務(wù)器還需要將接收到的數(shù)據(jù)進(jìn)行管理,比如總共有多少路由器的監(jiān)控模塊正在工作、這些模塊分別發(fā)送了多少數(shù)據(jù)給集中管理服務(wù)器、這些數(shù)據(jù)(DNS解析請求與回復(fù))的順序與內(nèi)容都需要服務(wù)器來記錄,因?yàn)椴还馐沁@些數(shù)據(jù)本身的內(nèi)容,它們之間的順序與關(guān)系也需要維護(hù)。
[0021]實(shí)施例6:
本實(shí)施例是在實(shí)施例1或2或3的基礎(chǔ)上進(jìn)一步優(yōu)化,進(jìn)一步的,為更好地實(shí)現(xiàn)本發(fā)明,所述監(jiān)控模塊,部署于路由器上,負(fù)責(zé)監(jiān)控路由器對外發(fā)起的DNS域名解析請求,并將獲取的數(shù)據(jù)傳輸給集中管理服務(wù)器。
[0022]實(shí)施例7:
本實(shí)施例是在上述任一實(shí)施例的基礎(chǔ)上進(jìn)一步優(yōu)化,如圖1所示,包括以下步驟:
步驟a:路由器向未知DNS服務(wù)器發(fā)起解析DNS請求,監(jiān)控模塊記錄下請求的詳細(xì)數(shù)據(jù)并把請求的詳細(xì)數(shù)據(jù)發(fā)送給集中管理服務(wù)器;
步驟b:集中管理服務(wù)器獲取數(shù)據(jù),即獲取請求的詳細(xì)數(shù)據(jù),并記錄請求的詳細(xì)數(shù)據(jù),集中管理服務(wù)器將進(jìn)行提取域名,并以請求的域名發(fā)起新的域名解析請求(DNS權(quán)威請求),目標(biāo)是一個安全可靠的DNS服務(wù)器,之后會收到DNS權(quán)威回復(fù),這是一個可信的權(quán)威DNS解析回復(fù);
步驟c:路由器收到之前它自己發(fā)起解析的DNS回復(fù),監(jiān)控模塊記錄下該DNS回復(fù)并把相關(guān)數(shù)據(jù)發(fā)往集中管理服務(wù)器;
步驟d:集中管理服務(wù)器獲取數(shù)據(jù)(即獲取DNS回復(fù)數(shù)據(jù)),將該回復(fù)數(shù)據(jù)與步驟b中權(quán)威回復(fù)中的相關(guān)數(shù)據(jù)進(jìn)行IP比對,用于確定本次路由器的DNS解析是否安全可靠。
[0023]本發(fā)明通過對現(xiàn)有DNS解析流程的監(jiān)控獲取每一次DNS解析的請求與回復(fù)數(shù)據(jù),將這些數(shù)據(jù)提交至專用的安全服務(wù)器(集中管理服務(wù)器),由該安全服務(wù)器使用該次解析流程的請求數(shù)據(jù)再次請求權(quán)威的DNS域名服務(wù)器,通過將獲取的安全回復(fù)數(shù)據(jù)與之前獲得的回復(fù)數(shù)據(jù)進(jìn)行比較從而確定DNS解析流程是否安全。
[0024]以上所述,僅是本發(fā)明的較佳實(shí)施例,并非對本發(fā)明做任何形式上的限制,凡是依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對以上實(shí)施例所作的任何簡單修改、等同變化,均落入本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種應(yīng)用于路由器的集中式0吧安全監(jiān)控方法,其特征在于:包括以下步驟: 步驟1):通過在路由器上部署監(jiān)控模塊,當(dāng)路由器每次對0吧服務(wù)器發(fā)起0吧解析請求時,監(jiān)控模塊記錄請求的詳細(xì)數(shù)據(jù),并傳遞給集中管理服務(wù)器; 步驟2):集中管理服務(wù)器記錄請求的詳細(xì)數(shù)據(jù),之后集中管理服務(wù)器提取請求的詳細(xì)數(shù)據(jù)中的域名字段,以此域名字段為域名向權(quán)威0吧服務(wù)器發(fā)起0吧解析權(quán)威請求,當(dāng)收到權(quán)威請求的回復(fù)數(shù)據(jù)后再記錄下權(quán)威請求的回復(fù)數(shù)據(jù); 步驟3):當(dāng)路由器收到來自0吧服務(wù)器請求的回復(fù)數(shù)據(jù)時,監(jiān)控模塊記錄請求的回復(fù)數(shù)據(jù)并傳遞給集中管理服務(wù)器; 步驟4):集中管理服務(wù)器將請求的回復(fù)數(shù)據(jù)與權(quán)威請求的回復(fù)數(shù)據(jù)進(jìn)行比對,以確定該次0吧解析過程是否安全。
2.根據(jù)權(quán)利要求1所述的一種應(yīng)用于路由器的集中式0吧安全監(jiān)控方法,其特征在于:所述0吧服務(wù)器為未知0吧服務(wù)器。
3.根據(jù)權(quán)利要求2所述的一種應(yīng)用于路由器的集中式0吧安全監(jiān)控方法,其特征在于:所述未知0吧服務(wù)器由每臺路由器的網(wǎng)絡(luò)配置具體確定,該配置由路由器管理員進(jìn)行設(shè)置的I?地址,可能因受到攻擊而被篡改。
4.根據(jù)權(quán)利要求1或2或3所述的一種應(yīng)用于路由器的集中式0吧安全監(jiān)控方法,其特征在于:所述權(quán)威0吧服務(wù)器,是指集中管理服務(wù)器上由專業(yè)安全管理人員維護(hù)和設(shè)置的指定的可靠0吧服務(wù)器I?地址。
5.根據(jù)權(quán)利要求1或2或3所述的一種應(yīng)用于路由器的集中式0吧安全監(jiān)控方法,其特征在于:所述集中管理服務(wù)器,是指部署于本局域網(wǎng)中,負(fù)責(zé)管理該網(wǎng)絡(luò)中所有安裝有監(jiān)控模塊的路由器,監(jiān)控模塊獲取的數(shù)據(jù)都傳遞給該集中管理服務(wù)器進(jìn)行進(jìn)一步操作。
6.根據(jù)權(quán)利要求1或2或3所述的一種應(yīng)用于路由器的集中式0吧安全監(jiān)控方法,其特征在于:所述監(jiān)控模塊,部署于路由器上,負(fù)責(zé)監(jiān)控路由器對外發(fā)起的0吧域名解析請求,并將獲取的數(shù)據(jù)傳輸給集中管理服務(wù)器。
【文檔編號】H04L29/12GK104320501SQ201410585504
【公開日】2015年1月28日 申請日期:2014年10月28日 優(yōu)先權(quán)日:2014年10月28日
【發(fā)明者】周曉軍, 劉韜, 夏欣然, 黎露, 謝莎 申請人:成都千牛信息技術(shù)有限公司