的DNS防護(hù)方法���,包括如下步驟:
[0045]步驟SI,在防火墻中配置兩個(gè)或兩個(gè)以上可信域名服務(wù)器的地址����。
[0046]本步驟中可信域名服務(wù)器可以是任意兩個(gè)或兩個(gè)以上授權(quán)域名服務(wù)器或者符合預(yù)設(shè)要求可信度的域名服務(wù)器,這里的符合預(yù)設(shè)要求的可信度����,可根據(jù)用戶的需求或等級(jí)進(jìn)行預(yù)先設(shè)定。通常情況下�����,這里的任意兩個(gè)或兩個(gè)以上���,指的是除防火墻所需要防護(hù)的DNS服務(wù)器之外的任意兩個(gè)或兩個(gè)以上授權(quán)域名服務(wù)器或者符合預(yù)設(shè)要求可信度的域名服務(wù)器。
[0047]步驟S2����,通過所述地址向與所述地址相對(duì)應(yīng)的可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求并分別接收域名服務(wù)器的解析結(jié)果。
[0048]本步驟中�����,發(fā)送解析請(qǐng)求,可以是定期或者周期性發(fā)送����,也就是每隔一定時(shí)間發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求。這里的一定時(shí)間或周期��,可以根據(jù)用戶的需要進(jìn)行設(shè)定�����。
[0049]通常情況下���,域名服務(wù)器接收到所述解析請(qǐng)求后����,各自獨(dú)立的對(duì)所述域名進(jìn)行解析�,并返回解析結(jié)果。
[0050]步驟S3��,將所接收的所有所述解析結(jié)果進(jìn)行對(duì)比�����,當(dāng)所述解析結(jié)果一致的解析結(jié)果個(gè)數(shù)達(dá)到預(yù)定值時(shí),則將所述解析結(jié)果加入安全緩存列表中��。
[0051]當(dāng)所述解析結(jié)果一致的解析結(jié)果個(gè)數(shù)不能達(dá)到預(yù)定值時(shí)���,則不將任何所述解析結(jié)果加入安全緩存列表中���。
[0052]這里的預(yù)定值,可以根據(jù)需要進(jìn)行設(shè)定�。例如,當(dāng)可信域名服務(wù)器為兩個(gè)時(shí)����,則預(yù)定值為2 ;當(dāng)可信域名服務(wù)器為五個(gè)時(shí),預(yù)定值可以設(shè)定為3或者4或者5��,也就是說�����,當(dāng)設(shè)定為4時(shí)�,所接收的5個(gè)解析結(jié)果中����,有4個(gè)達(dá)到一致���,即將一致的所述解析結(jié)果加入安全緩存列表中。
[0053]步驟S4��,將經(jīng)過防火墻的關(guān)于所述域名的應(yīng)答報(bào)文與加入安全緩存列表中所述域名進(jìn)行對(duì)比并過濾�。
[0054]本實(shí)施例中,當(dāng)在防火墻中配置兩個(gè)以上可信域名服務(wù)器的地址時(shí)�,例如,η個(gè)可信域名服務(wù)器(η>2)�����,對(duì)所接收到的解析結(jié)果進(jìn)行對(duì)比����,當(dāng)達(dá)到大于或等于n-a(a的默認(rèn)值為1,也可以為0��,用戶可以根據(jù)自己的意愿手動(dòng)修改)個(gè)可信域名服務(wù)器的解析結(jié)果一致時(shí)���,則將所述解析結(jié)果加入安全緩存列表中����,否則不將任何所述解析結(jié)果加入安全緩存列表中����。
[0055]本發(fā)明第二實(shí)施例的基于防火墻的DNS防護(hù)方法���,包括如下步驟:
[0056]步驟SI,在防火墻中配置三個(gè)可信域名服務(wù)器的地址�。
[0057]步驟S2,通過所述地址向三個(gè)可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求并分別接收域名服務(wù)器的解析結(jié)果��。
[0058]步驟S3����,將三個(gè)所述解析結(jié)果進(jìn)行對(duì)比,如果三個(gè)所述解析結(jié)果一致����,則將所述解析結(jié)果加入安全緩存列表中。
[0059]步驟S4,將經(jīng)過防火墻的關(guān)于所述域名的應(yīng)答報(bào)文與加入安全緩存列表中所述解析結(jié)果進(jìn)行對(duì)比并過濾����。
[0060]在本實(shí)施例中,在防火墻中配置的可信域名服務(wù)器的地址個(gè)數(shù)η = 3���,對(duì)所接收到的解析結(jié)果進(jìn)行對(duì)比,當(dāng)達(dá)到大于或等于n-a個(gè)可信域名服務(wù)器的解析結(jié)果一致時(shí)����,這里a的取值為0�,n-a = 3��,即達(dá)到大于或等于3個(gè)可信域名服務(wù)器的解析結(jié)果一致時(shí)�����,則將所述解析結(jié)果加入安全緩存列表中�。
[0061]本發(fā)明第三實(shí)施例的基于防火墻的DNS防護(hù)方法,包括如下步驟:
[0062]步驟SI��,在防火墻中配置四個(gè)可信域名服務(wù)器的地址���。
[0063]步驟S2���,通過所述地址中的四個(gè)地址向四個(gè)可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求并分別接收域名服務(wù)器的解析結(jié)果。
[0064]步驟S3���,將四個(gè)所述解析結(jié)果進(jìn)行對(duì)比�����,如果大于或等于三個(gè)的所述解析結(jié)果一致�����,則將一致的所述解析結(jié)果加入安全緩存列表中�����。
[0065]步驟S4����,將經(jīng)過防火墻的關(guān)于所述域名的應(yīng)答報(bào)文與加入安全緩存列表中所述解析結(jié)果進(jìn)行對(duì)比并過濾。
[0066]在本實(shí)施例中����,在防火墻中配置的可信域名服務(wù)器的地址個(gè)數(shù)η = 4,對(duì)所接收到的解析結(jié)果進(jìn)行對(duì)比�,當(dāng)達(dá)到大于或等于n-a個(gè)可信域名服務(wù)器的解析結(jié)果一致時(shí),這里a的取值為l��,n-a = 3���,即達(dá)到大于或等于3個(gè)可信域名服務(wù)器的解析結(jié)果一致時(shí)����,則將一致的所述解析結(jié)果加入安全緩存列表中。
[0067]圖3是本發(fā)明第四實(shí)施例的基于防火墻的DNS防護(hù)方法流程示意圖�。
[0068]如圖3所示����,本實(shí)施例的基于防火墻的DNS防護(hù)方法,包括如下步驟:
[0069]步驟S0��,在防火墻中配置需要進(jìn)行安全防護(hù)的域名�����。
[0070]本步驟中��,通過預(yù)先配置的方式�����,確定需要進(jìn)行安全防護(hù)的DNS域名服務(wù)器的域名��。
[0071]步驟SI��,在防火墻中配置兩個(gè)可信域名服務(wù)器的地址����。
[0072]這里的步驟SO和步驟SI沒有先后的順序之分,可以先執(zhí)行步驟S0,也可以先執(zhí)行步驟SI��,兩個(gè)步驟也可以同時(shí)進(jìn)行���。
[0073]步驟S2�����,通過所述地址向兩個(gè)可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求并分別接收域名服務(wù)器的解析結(jié)果��。
[0074]步驟S3��,將兩個(gè)所述解析結(jié)果進(jìn)行對(duì)比���,如果兩個(gè)所述解析結(jié)果一致,則將所述解析結(jié)果加入安全緩存列表中����。
[0075]步驟S4,將經(jīng)過防火墻的關(guān)于所述域名的應(yīng)答報(bào)文與加入安全緩存列表中所述解析結(jié)果進(jìn)行對(duì)比并過濾。
[0076]圖4是本發(fā)明第五實(shí)施例的基于防火墻的DNS防護(hù)方法流程示意圖�。
[0077]如圖4所示,本實(shí)施例的基于防火墻的DNS防護(hù)方法����,包括如下步驟:
[0078]步驟S00�,累計(jì)經(jīng)過防火墻的關(guān)于某域名的DNS請(qǐng)求報(bào)文數(shù)�。
[0079]本步驟中對(duì)經(jīng)過防火墻的關(guān)于某域名的DNS請(qǐng)求報(bào)文進(jìn)行累計(jì)統(tǒng)計(jì),利用對(duì)報(bào)文數(shù)量的監(jiān)控實(shí)現(xiàn)自動(dòng)添加安全緩存的目的��。
[0080]步驟S01����,當(dāng)所述DNS請(qǐng)求報(bào)文數(shù)大于或等于預(yù)設(shè)閾值后�,將所述某域名加入域名緩存列表中作為需要進(jìn)行安全防護(hù)的域名。
[0081]本步驟中�,還可以包括根據(jù)用戶需要或網(wǎng)絡(luò)的實(shí)際情況預(yù)先設(shè)置所述預(yù)設(shè)閾值。當(dāng)步驟SOO中所累計(jì)的請(qǐng)求報(bào)文數(shù)達(dá)到這一預(yù)設(shè)閾值后��,將所述某域名加入域名緩存列表中作為需要進(jìn)行安全防護(hù)的域名�。
[0082]也就是說,這里的域名緩存列表��,是通過自學(xué)習(xí)或自監(jiān)控的方式獲得的���。同時(shí)��,這一域名緩存列表����,存在一定的老化時(shí)間,也就是說�,域名緩存列表中的域名,會(huì)在加入列表中一段時(shí)間后自動(dòng)清除或被后來(lái)加入列表中的其他域名替代��,這樣�,保證了域名緩存列表不會(huì)占用多余資源,同時(shí)�����,也使得對(duì)DNS域名的監(jiān)控更接近網(wǎng)絡(luò)的實(shí)際情況��。
[0083]步驟SI����,在防火墻中配置兩個(gè)可信域名服務(wù)器的地址。
[0084]步驟SOO和步驟SOl是兩個(gè)密切相聯(lián)的步驟���,但是這兩個(gè)步驟作為一個(gè)整體�����,與步驟SI沒有順序上的要求��,也就是說���,這三個(gè)步驟的順序可以是步驟S00�、步驟S01���、步驟SI����,也可以是步驟S1�、步驟S00、步驟S01���,或者步驟SI執(zhí)行的同時(shí),先后執(zhí)行步驟SOO和步驟SOlo
[0085]步驟S2�����,通過所述地址向兩個(gè)可信域名服務(wù)器發(fā)送對(duì)需要進(jìn)行安全防護(hù)的域名進(jìn)行解析的解析請(qǐng)求并分別接收域名服務(wù)器的解析結(jié)果�。
[0086]步驟S3,將兩個(gè)所述解析結(jié)果進(jìn)行對(duì)比���,如果兩個(gè)所述解析結(jié)果一致����,則將所述解析結(jié)果加入安全緩存列表中。
[0087]步驟S4,將經(jīng)過防火墻的關(guān)于所述域名的應(yīng)答報(bào)文與加入安全緩存列表中所述解析結(jié)果進(jìn)行對(duì)比并過濾��。
[0088]本發(fā)明實(shí)施例所提供的基于防火墻的DNS防護(hù)方法��,通過兩個(gè)或兩個(gè)以上可信域名服務(wù)器確認(rèn)域名的安全性�,從而將經(jīng)過確認(rèn)的解析結(jié)果添加進(jìn)用于該域名的應(yīng)答報(bào)文對(duì)比過濾的安全緩存列表中,摒棄了傳統(tǒng)的手動(dòng)添加方式��,靈活�����、有效的實(shí)現(xiàn)對(duì)DNS攻擊報(bào)文的攔截�����。
[0089]圖5是本發(fā)明第六實(shí)施例的基于防火墻的DNS防護(hù)系統(tǒng)結(jié)構(gòu)示意圖�。
[0090]如圖5所示,本實(shí)施例的基于防火墻的DNS防護(hù)系統(tǒng)����,包括:
[0091]可信域名服務(wù)器配置模塊1,用于在防火墻中配置兩個(gè)或兩個(gè)以上可信域名服務(wù)器的地址��。
[0092]這里的可信域名服務(wù)器可以是任意兩個(gè)或兩個(gè)以上授權(quán)域名服務(wù)器或者具有一定可信度的域名服務(wù)器����,這里的一定的可信度��,可根據(jù)用戶的需求或等級(jí)進(jìn)行預(yù)先設(shè)定��。通常情況下���,這里的任意兩個(gè)或兩個(gè)以上,指的是除防火墻所需要防護(hù)的DNS服務(wù)器之外的任意兩個(gè)或兩個(gè)以上授權(quán)域名服務(wù)器