一種基于防火墻的dns防護(hù)方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及一種基于防火墻的DNS防護(hù)方法和系統(tǒng)����。
【背景技術(shù)】
[0002]域名系統(tǒng)(Domain Name System,DNS)作為因特網(wǎng)上域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)���,具有數(shù)據(jù)龐大�、資源開放、結(jié)構(gòu)復(fù)雜的特性����,因此�,在設(shè)計(jì)之初,無(wú)法全面考慮DNS的安全性��,再加上DNS進(jìn)入運(yùn)營(yíng)后人為的惡意攻擊和破壞��,導(dǎo)致DNS面臨非常嚴(yán)重的安全威脅��。
[0003]目前大多數(shù)防火墻都設(shè)計(jì)有DNS防護(hù)模塊��,來對(duì)DNS攻擊進(jìn)行有效的攔截處理����。其中一種攔截DNS攻擊的方法,就是在防火墻的DNS防護(hù)模塊中手動(dòng)添加安全緩存�,并對(duì)相應(yīng)的DNS應(yīng)答報(bào)文進(jìn)行檢查,將應(yīng)答報(bào)文的檢查結(jié)果與之前已經(jīng)添加的安全緩存進(jìn)行對(duì)比�,如果應(yīng)答報(bào)文的檢查結(jié)果與安全緩存不一致則丟掉該應(yīng)答報(bào)文,從而達(dá)到過濾的效果����。
[0004]但是��,現(xiàn)有技術(shù)中的安全緩存�����,是通過手動(dòng)的方式添加的���,一方面需要用戶投入時(shí)間和精力,另外一個(gè)方面這種添加方式不靈活���。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是提供一種DNS防護(hù)方法和系統(tǒng)����,通過確認(rèn)的方式添加安全緩存�,靈活、有效的攔截DNS攻擊�����。
[0006]根據(jù)本發(fā)明的一個(gè)方面���,提供了一種基于防火墻的DNS防護(hù)方法�,所述方法包括:
[0007]在防火墻中配置兩個(gè)或兩個(gè)以上可信域名服務(wù)器的地址;
[0008]通過所述地址向與所述地址相對(duì)應(yīng)的可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求并分別接收對(duì)應(yīng)的域名服務(wù)器的解析結(jié)果�����;
[0009]將所接收的所有所述解析結(jié)果進(jìn)行對(duì)比����,當(dāng)所述解析結(jié)果一致的解析結(jié)果個(gè)數(shù)達(dá)到預(yù)定值時(shí)�����,則將一致的所述解析結(jié)果加入安全緩存列表中�;
[0010]將經(jīng)過防火墻的關(guān)于所述域名的應(yīng)答報(bào)文與加入安全緩存列表中所述解析結(jié)果進(jìn)行對(duì)比并過濾。
[0011]上述方案中���,所述可信域名服務(wù)器為授權(quán)域名服務(wù)器或者符合預(yù)設(shè)要求可信度的DNS域名服務(wù)器�����。
[0012]上述方案中�,通過所述地址向與所述地址相對(duì)應(yīng)的可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求��,具體為:
[0013]通過所述地址定期向與所述地址相對(duì)應(yīng)的可信域名服務(wù)器發(fā)送解析請(qǐng)求���。
[0014]上述方案中���,所述方法還包括:可信域名服務(wù)器接收到所述解析請(qǐng)求后�,對(duì)所述域名分別進(jìn)行解析得到解析結(jié)果����,并分別發(fā)送所述解析結(jié)果。
[0015]上述方案中�����,所述方法還包括:在防火墻中配置需要進(jìn)行安全防護(hù)的域名���。
[0016]上述方案中�����,所述方法還包括:
[0017]累計(jì)經(jīng)過防火墻的關(guān)于域名的DNS請(qǐng)求報(bào)文數(shù)����;
[0018]當(dāng)所述DNS請(qǐng)求報(bào)文數(shù)大于或等于預(yù)設(shè)閾值后��,將所述域名加入域名緩存列表中作為需要進(jìn)行安全防護(hù)的域名�。
[0019]根據(jù)本發(fā)明的另一個(gè)方面��,還提供了一種基于防火墻的DNS防護(hù)系統(tǒng)���,所述系統(tǒng)包括:
[0020]可信域名服務(wù)器配置模塊,用于在防火墻中配置兩個(gè)或兩個(gè)以上可信域名服務(wù)器的地址����;
[0021]請(qǐng)求模塊,所述請(qǐng)求模塊與所述可信域名服務(wù)器配置模塊相連���,用于通過所述地址向與所述地址相對(duì)應(yīng)的可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求并分別接收對(duì)應(yīng)的域名服務(wù)器的解析結(jié)果�;
[0022]比較添加模塊��,與請(qǐng)求模塊相連�,用于將所接收的所有所述解析結(jié)果進(jìn)行對(duì)比��,當(dāng)所述解析結(jié)果一致的解析結(jié)果個(gè)數(shù)達(dá)到預(yù)定值時(shí)�,則將一致的所述解析結(jié)果加入安全緩存列表中;
[0023]對(duì)比過濾模塊����,用于將經(jīng)過防火墻的關(guān)于所述域名的應(yīng)答報(bào)文與加入安全緩存列表中所述解析結(jié)果進(jìn)行對(duì)比并過濾。
[0024]上述方案中��,所述請(qǐng)求模塊具體用于通過所述地址定期向與所述地址相對(duì)應(yīng)的可信域名服務(wù)器發(fā)送解析請(qǐng)求。
[0025]上述方案中��,所述系統(tǒng)還包括:
[0026]域名配置模塊���,用于在防火墻中配置的需要進(jìn)行安全防護(hù)的域名����。
[0027]上述方案中���,所述系統(tǒng)還包括:
[0028]累計(jì)模塊�����,用于累計(jì)經(jīng)過防火墻的關(guān)于域名的DNS請(qǐng)求報(bào)文數(shù)��;
[0029]域名確定模塊��,用于當(dāng)所述DNS請(qǐng)求報(bào)文數(shù)大于或等于預(yù)設(shè)閾值后����,將所述域名加入域名緩存列表中作為需要進(jìn)行安全防護(hù)的域名����。
[0030]本發(fā)明提供了一種基于防火墻的DNS防護(hù)方法���,其方法首先在防火墻中配置兩個(gè)或兩個(gè)以上可信域名服務(wù)器的地址,通過所述地址向與所述地址相對(duì)應(yīng)的可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求并分別接收對(duì)應(yīng)的域名服務(wù)器的解析結(jié)果����,將所述解析結(jié)果進(jìn)行對(duì)比,當(dāng)所述解析結(jié)果一致的解析結(jié)果個(gè)數(shù)達(dá)到預(yù)定值時(shí)�����,則將一致的所述解析結(jié)果加入安全緩存列表中��,將經(jīng)過防火墻的關(guān)于所述域名的應(yīng)答報(bào)文與加入安全緩存列表中所述解析結(jié)果進(jìn)行對(duì)比并過濾���。本發(fā)明通過兩個(gè)或兩個(gè)以上可信域名服務(wù)器確認(rèn)域名的安全性��,從而將經(jīng)過確認(rèn)的解析結(jié)果添加進(jìn)用于該域名的應(yīng)答報(bào)文對(duì)比過濾的安全緩存列表中,摒棄了傳統(tǒng)的手動(dòng)添加方式���,靈活��、有效的實(shí)現(xiàn)對(duì)DNS攻擊報(bào)文的攔截�。
【附圖說明】
[0031]圖1是本發(fā)明優(yōu)選實(shí)施例的基于防火墻的DNS防護(hù)方法原理圖�����;
[0032]圖2是本發(fā)明第一實(shí)施例的基于防火墻的DNS防護(hù)方法流程示意圖;
[0033]圖3是本發(fā)明第四實(shí)施例的基于防火墻的DNS防護(hù)方法流程示意圖��;
[0034]圖4是本發(fā)明第五實(shí)施例的基于防火墻的DNS防護(hù)方法流程示意圖�����;
[0035]圖5是本發(fā)明第六實(shí)施例的基于防火墻的DNS防護(hù)系統(tǒng)結(jié)構(gòu)示意圖���;
[0036]圖6是本發(fā)明第七實(shí)施例的基于防火墻的DNS防護(hù)系統(tǒng)結(jié)構(gòu)示意圖���;
[0037]圖7是本發(fā)明第八實(shí)施例的基于防火墻的DNS防護(hù)系統(tǒng)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0038]為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了,下面結(jié)合【具體實(shí)施方式】并參照附圖�,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。應(yīng)該理解�,這些描述只是示例性的,而并非要限制本發(fā)明的范圍���。此外�,在以下說明中,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述��,以避免不必要地混淆本發(fā)明的概念�。
[0039]本發(fā)明首先通過多方確認(rèn)的方式,自動(dòng)添加域名到安全緩存列表中��,其次通過添加到安全緩存列表中的域名的表項(xiàng)�����,與該表項(xiàng)下的域名所對(duì)應(yīng)的應(yīng)答報(bào)文與該表項(xiàng)進(jìn)行對(duì)比�,過濾掉對(duì)DNS存在安全隱患的報(bào)文。
[0040]圖1是本發(fā)明優(yōu)選實(shí)施例的基于防火墻的DNS防護(hù)方法組網(wǎng)原理圖�����。
[0041]如圖1所示�,防火墻05為被攻擊的DNS服務(wù)器03的正常狀態(tài)下的防火墻,也就是說����,DNS服務(wù)器03的域名為防火墻05需要進(jìn)行安全防護(hù)的域名�。為了攔截攻擊主機(jī)01對(duì)DNS服務(wù)器03以應(yīng)答報(bào)文的方式發(fā)出的攻擊報(bào)文,防火墻05中預(yù)先配置了兩個(gè)可信域名服務(wù)器02和04的地址���,防火墻05通過所配置的所述地址向兩個(gè)可信域名服務(wù)器02和04發(fā)出請(qǐng)求解析DNS服務(wù)器03的域名的請(qǐng)求�����。兩個(gè)可信域名服務(wù)器02和04分別根據(jù)所接收到的解析請(qǐng)求對(duì)DNS服務(wù)器03的域名進(jìn)行解析����,并返回解析結(jié)果。防火墻收到解析結(jié)果后�,對(duì)兩個(gè)解析結(jié)果進(jìn)行比較,當(dāng)兩個(gè)解析結(jié)果相同時(shí)��,將所述DNS服務(wù)器03的域名自動(dòng)添加到自身的安全緩存列表中��。
[0042]當(dāng)主機(jī)01向DNS服務(wù)器發(fā)出應(yīng)答報(bào)文時(shí)��,防火墻05通過自動(dòng)添加到自身的安全緩存列表中的相應(yīng)表項(xiàng)進(jìn)行應(yīng)答報(bào)文的檢查�,當(dāng)所述檢查結(jié)果與相應(yīng)表項(xiàng)一致時(shí),則報(bào)文為正常用報(bào)文�,當(dāng)所述檢查結(jié)果與相應(yīng)表項(xiàng)不一致時(shí),則應(yīng)答報(bào)文存在安全隱患從而被過濾掉���。這里���,防火墻所配置的可信域名服務(wù)器的地址可以是兩個(gè)����,也可以是兩個(gè)以上���。當(dāng)可信域名服務(wù)器配置為兩個(gè)時(shí)���,則向兩個(gè)可信域名服務(wù)器發(fā)出解析請(qǐng)求,并對(duì)兩個(gè)解析結(jié)果進(jìn)行對(duì)比����,當(dāng)兩個(gè)解析結(jié)果一致時(shí),則將所述解析結(jié)果加入安全緩存列表中�����;當(dāng)可信域名服務(wù)器配置為兩個(gè)以上時(shí)�,向所配置的域名服務(wù)器發(fā)送解析請(qǐng)求并接收域名服務(wù)器各自的解析結(jié)果,并對(duì)所接收的解析結(jié)果進(jìn)行對(duì)比��,判斷所接收的解析結(jié)果是否一致及解析結(jié)果達(dá)到一致的個(gè)數(shù)��,當(dāng)解析結(jié)果一致的解析結(jié)果個(gè)數(shù)達(dá)到預(yù)定值時(shí)�,則將一致的所述解析結(jié)果加入安全緩存列表中。下面結(jié)合具體的實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明�����。
[0043]圖2是本發(fā)明第一實(shí)施例的基于防火墻的DNS防護(hù)方法流程示意圖�����。
[0044]如圖2所示��,本實(shí)施例的基于防火墻