专利名称:防御域名系统欺骗攻击的方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种防御域名系统欺骗攻击的方法 及装置。
背景技术:
域名系统(DNS, Domain Name System )欺骗攻击,也可以被称为DNS 欺骗(DNS Spoofing),或者DNS缓冲污染(DNS cache poison)等,是指攻 击者在一定条件下将大量伪造的DNS应答包发送给某个DNS服务器(DNS Server)或某台主机,这些应答包将一些合法域名指向恶意网际协议地址(IP, Internet Protocol)地址,从而达到欺骗接收者的目的。
这种攻击可能会导致许多不良后果,例如
1 、 DNS cache poison,能在更大范围内对恶意IP地址进行传播;
2、 i秀导用户访问一个恶意网址;
3、 ^^ 域网成为攻击工具;
4、 对DNS服务器造成拒绝服务攻击,等等。
可能被攻击的对象除了 DNS Server或某台主机,也有可能是某个用户应 用程序,如浏览器(IE, Internet Explorer ),域名查询软件(NS lookup )等, 这些可能被攻击的对象可以被称为DNS客户端(DNS Client )。
为了防御DNS欺骗攻击,通常会利用防火墙(Firewall),常用的方法有 两种
第一种、在双向环境中,防火墙记录DNS Client发出的DNS请求包,防 火墙在收到DNS应答包时,将DNS应答包与存储在防火墙中的记录相匹闺己, 如果有相匹配的记录,则接收这个DNS应答包,并转给DNS Client,否则, 丟弃这个DNS应答包,以防止收到黑客(Hacker )发送的伪造的DNS应答包;
第二种、防火墙在收到DNS应答包时,防火墙根据应答包中的信息构造一个新的DNS请求包,然后发送这个DNS请求包,并在防火墙中记录这个 DNS请求包相关数据;当防火墙再次收到DNS应答包时,检查这个DNS应 答包是否与其记录的DNS请求包相匹配,如果是,则接收此DNS应答包, 并转给目标DNS Client,否则,丢弃之。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题
第一种方法当DNS请求包数据流量过大时,防火墙由于要保存DNS请 求包,存储的数据都会很大,会占用大量防火墙内存;
第二种方法如果接收的DNS应答包数据流量过大,生成的DNS请求包 也会过多过大,防火墙由于要保存生成的DNS请求包相关数据,存储的数据 都会4艮大,系统会不堪重负,甚至产生拒绝M^务。
发明内容
本发明实施例要解决的技术问题是提供一种防御域名系统欺骗攻击的方 法及装置,可以减少对设备存储资源的占用。
为解决上述技术问题,本发明实施例一方面,提供了一种防御域名系统 #太骗攻击的方法,包括
将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写 转换;
发送所述域名系统请求包; 接收域名系统应答包;
获取所述域名系统应答包中查询域名字段的字母大小写分布; 在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定 的规则时,将所述域名系统应答包向目标域名系统客户端转发。
另一方面,提供了一种防御域名系统欺骗攻击的设备,其特征在于,包
括
大小写转换单元,用于将域名系统请求包中的查询域名字段的字母按照 预定的规则进行大小写转换;发送单元,用于发送所述大小写转换单元转换过的域名系统请求包; 第一接收单元,用于接收域名系统应答包;
获取单元,用于获取所述第一接收单元接收到的域名系统应答包中查询
域名字段的字母大小写分布是否符合预定的规则;
转发单元,用于在所述获取单元获取域名系统应答包中查询域名字^:的 字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名 系统客户端转发。
由以上技术方案可以看出,本发明实施例通过从域名系统应答包中获取 查询域名字段字母大小写分布,并判断大小写分布是否符合预定规则来保证 域名系统应答包的可靠性,从而来防御域名系统欺骗攻击,设备不需要记录 DNS请求包即可防御域名系统欺骗攻击,大大节省了设备的存储资源。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲, 在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的防御域名系统欺骗攻击的方法实施例一流程图2为本发明提供的防御域名系统欺骗攻击的方法实施例二流程图3为本发明实施例提供的防御域名系统欺骗攻击的设备结构图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅-f又是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种防御域名系统欺骗攻击的方法及装置,可以有 效降低防御域名系统欺骗攻击的设备存储的数据量,节约防御域名系统欺骗 攻击的设备的存储资源。在本发明实施例提供的防御域名系统欺骗攻击的方法中,防御域名系统 欺骗攻击的设备将域名系统请求包中的查询域名字段的字母按照预定的规则
进行大小写转换;发送该域名系统请求包;接收域名系统应答包;获取该域 名系统应答包中查询域名字段的字母大小写分布;在该域名系统应答包中查 询域名字段的字母大小写分布符合该预定的规则时,将该域名系统应答包向 目标域名系统客户端转发。
由于在实际应用环境中,DNS请求包的查询域名字4殳的字母通常都是全 部大写或者全部小写,全部小写的几率要高于全部大写的几率,DNS服务器 返回的DNS应答包中查询域名字段是和DNS请求包一致的,假如DNS请求 包中的查询域名字段的字母被按照预定的规则进行大小写转换,则DNS服务 器返回的DNS应答包查询域名字段的字母大小写分布也应当符合该预定的规 则;因此,本发明实施例提供的防御域名系统欺骗攻击的方法将DNS请求包 中的查询域名字段的字母按照预定的规则进行大小写转换,接收到DNS应答 包后,获取接收到的DNS应答包中查询域名字段的字母大小写分布,只有符 合该预定的规则的DNS应答包才转发到目标域名系统客户端,防止域名系统 客户端收到黑客伪造的DNS应答包;
采用本发明实施例提供的防御域名系统欺骗攻击的方法后,防御域名系 统欺骗攻击的设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大大 节省了防御域名系统欺骗攻击的设备的存储资源。
实际使用中,防御域名系统欺骗攻击的设备可以是防火墙或其他防御域 名系统欺骗攻击的设备。
进一步,根据使用环境的不同,还包括
在双向环境中,DNS请求包由DNS Client发出,防御域名系统欺骗攻击 的设备接收到DNS Client发出的DNS请求包后,直接将DNS请求包中的查 询域名字段的字母按照预定的规则进行大小写转换;在接收到DNS应答包后, 将查询域名字段的字母大小写分布不符合预定的规则的DNS应答包全部丢
弃;
在单向环境中,防御域名系统欺骗攻击的设备接收到DNS应答包,检查DNS应答包中查询域名字段的字母大小写分布后,在所述域名系统应答包中 查询域名字^:的字母大小写分布为全部大写或全部小写时,根据所述域名系 统应答包构造相应域名系统请求包,将所述相应域名系统请求包中的查询域 名字段的字母按照预定的规则进行大小写转换,并发送;在所述域名系统应 答包中查询域名字段的字母大小写分布不符合所述预定的规则,且不为全部 大写或全部小写时,丢弃所述域名系统应答包。
预定的规则根据实际情况可以有很多种,本发明实施例将以四种为例进 行描述
第一种、将该域名系统请求包中的查询域名字段的字母进行随机大小写 转换;
在收到DNS应答包时,获取接收到的DNS应答包中查询域名字段的字 母大小写分布,是否包含大写字母和小写字母,只要包含即为符合预定的规 则;此方法实现最为简单。
第二种、根据预定的数值,对该域名系统请求包中的查询域名字段的字 母进行大小写转换;
例如,以"1001101110"为预定的数值,为T表示转换为大写,为"0" 表示转换为小写,在字母个数多过预定的数值位数时,可循环使用;忽略DNS i或名部分具体编码,4叚i殳一个i或名为"www.huaweisymantec.com",这个i或名 中有20个字母,预定的数值有10位,字母个数多过预定的数值位数,则需 要循环^f吏用"1001101110"进行大小写转换,"www.huaweisymantec.com"将 被转换为"Www.HUaWEIsYmaNTeC.com";防御域名系统欺骗攻击的设备 收到DNS应答包后,获取DNS应答包中查询域名字段的大小写分布,如果 其字母的大小写顺序符合"1001101110"的分布规律,则可以将该DNS应答 包向目标域名系统客户端转发;
本实施例中,为"1"表示转换为大写,为"0"表示转换为小写,只是 一种示例,根据实际情况,可采用的方法很多,例如为"0"表示转换为大写, 为"1"表示转换为小写;
进一步,预定的数值可以是随机数,防御域名系统欺骗攻击的设备可以保存随机数,在收到DNS应答包,使用保存的随机数和DNS应答包中查询 域名字段的字母大写小写分布进行比对;
进一步,预定的数值也可以是定时更换的随机数值。
第三种、使用该域名系统请求包中的源网际协议地址、或目的网际协议 地址、或源端口、或目的端口、或域名系统标识、或域名系统问题域数据, 进行哈希(Hash)计算,根据该哈希得到的数值,对该域名系统请求包中的
查询域名字^a的字母进行大小写转换。
DNS请求包中通常会包括源网际协议地址、目的网际协议地址、源端 口 、目的端口 、域名系统标识、域名系统问题域数据等关键字段,DNS服务 器返回的DNS应答包中的这些关键字段是和发送出去的DNS请求包一致的, 不会发生变化,因此,使用相同的哈希算法,对DNS应答包的这些关键字段 进行哈希计算,得到的结果应当和对DNS请求包的这些关键字段进行哈希 的结果一致,因此可以对DNS应答包的这些关键字段的任意一个进行哈希, 使用获取的哈希结果对DNS请求包中的查询域名字段的字母进行大小写转 换,具体转换的方法可参考上文的描述。
第四种、如果收到的域名系统应答包中查询域名字^殳的字母大小写分布 为全部大写或全部小写,表明收到的DNS应答包是第一次收到,查询域名字 段的字母尚未经过大小写转换,则转换时可以使用收到的域名系统应答包中 的源网际协i义地址、或目的网际协议地址、或源端口、或目的端口、或域名 系统标识、或域名系统问题域数据、或回答字段进行哈希计算,根据所述哈 希得到的数值,对所述域名系统请求包中的查询域名字^1的字母进行大小写 转换。
其中,在使用回答字段进行哈希计算时,可以避免目标域名系统客户端 收到"回答字段,,被替换的DNS应答包。
现以实例对本发明实施例才是供的防御域名系统,太骗攻击的方法进行i兌 明,在单向环境中,本发明提供的防御域名系统欺骗攻击的方法实施例一流 程如图1所示
101 、防御域名系统欺骗攻击的设备接收域名系统应答包,域名系统应答包中包含有查询域名字段;
由于在单向环境中,域名系统客户端只收不发,因此防御域名系统欺骗 攻击的设备不会收到来自域名系统客户端的DNS请求包;但是本系统也可以 用于双向环境;
102、防御域名系统欺骗攻击的设备获取域名系统应答包中查询域名字段 的字母大小写分布;
在该域名系统应答包中查询域名字段的字母大小写分布为全部大写或全 部小写时,执行步骤103;
在该域名系统应答包中查询域名字段的字母大小写分布符合该预定的规 则时,执行步骤104;
在该域名系统应答包中查询域名字段的字母大小写分布不符合该预定的 规则,且不为全部大写或全部小写时,执行步骤105;
103 、才艮据该域名系统应答包构造相应域名系统请求包,将该相应域名系 统请求包中的查询域名字段的字母按照预定的规则进行大小写转换,并发送, 执行步骤106;
由于本实施例适用于单向环境,在单向环境中,域名系统客户端只收不 发,因此防御域名系统欺骗攻击的设备不会收到来自域名系统客户端的DNS 请求包,DNS服务器直接发向DNS客户端的DNS应答包,由于不是应DNS 请求包发送的DNS应答包,该DNS应答包中查询域名字段的字母尚未经过 大小写转换,防御域名系统欺骗攻击的设备收到该DNS应答包后,会根据该 DNS应答包构造一个DNS请求包,并对该DNS请求包的查询域名字^R的字 母进行大小写转换,之后防御域名系统欺骗攻击的设备将构造好的DNS请求 包向DNS应答包的源地址发送,如果对方是一个合法的DNS服务器,就会 应该DNS请求包的请求向DNS客户端第二次发送DNS应答包,第二次发送 的DNS应答包内容与第一次发送的DNS应答包基本一致,只有查询域名字 段的字母大小写分布与DNS请求包一致,是被转换过的;
因此防御域名系统欺骗攻击的设备需要判断收到的DNS应答包是否是第 一次收到,查询域名字段的字母尚未经过大小写转换,如果是第一次收到,则该DNS应答包的查询域名字段的字母应当全为大写,或全为小写,因此在 该域名系统应答包中查询域名字段的字母大小写分布为全部大写或全部小写 时,可以判断收到了查询域名字段的字母尚未经过大小写转换的DNS应答包, 需要转换为DNS请求包,并对查询域名字段的字母进行大小写转换;
DNS应答包的数据格式通常如表1所示
^_15 16_^
_标识__标志_
_问题数__资源记录数
授权资源记录数 额外资源记录数
_查询域名字段(长度可变)_
_回答字段(长度可变)_
_授权(长度可变)_
_额外信息(长度可变)_
表l、 DNS应答包的数据格式 根据收到的DNS应答包构造DNS请求包时,资源记录数、授权资源记 录数、额外资源记录数字段都置为0;回答、授权、额外信息字段全部丢弃; 标志字段中根据标准规定进行相应变化;标识、问题数字段值不变;
然后冲艮据收到的DNS应答包中的相关字段,例如该DNS应答包中的源 网际协i义地址、或目的网际协议地址、或源端口、或目的端口、或域名系统 标识、或域名系统问题域数据、或回答字段进行哈希计算,根据哈希得到的 数值,对所述域名系统请求包中的查询域名字段的字母进行大小写转换;
此处采用的哈希算法可任意设计,以计算量小、随机性强为好的算法为 优选,哈希值位数(bit) 32位或64位皆可,然后将DNS应答包中查询域名 字段的所有字母按照哈希得到的数值依次进行大小写转换;
假设哈希得到的数值为H,如果H的第一比特为1,查询域名字段的第 一个字母变为大写,否则为小写;如果H的第二比特为1,查询域名字^:的 第二个字母变为大写,否则为小写,直到查询域名字^:的最后一个字母进行完转换。如果查询域名字段的字母个数多于H值位数,H值则可以循环使用;
将用户数据才艮协议(UDP, User Datagram Protocol)头的源端口号与目的 端口号对换,将IP头的源IP与目的IP对换,并将正确的长度、校验和等字 ^L填入对应位置;
此时完成DNS请求包的构造,将该DNS请求包向DNS应答包的源IP 地址发送;
如果收到的DNS应答包是一个合法的DNS应答包,则DNS服务器在收 到该DNS请求包后会返回一个和前一个DNS应答包关4走字段一致,查询域 名字段不变的DNS应答包,此时再用相关字段进行哈希计算,使用哈希结果 进行-睑证则可以通过;如果收到的DNS应答包不是一个合法的DNS应答包, 则其源IP地址大部分都指向无效地址,将无法返回新的DNS应答包;
在使用DNS应答包的回答字段进行哈希计算时,如果收到的DNS应答 包是一个被替换过查询域名字段、回答字段的DNS应答包,其返回的DNS 应答包将无法通过获取。
104、 将该域名系统应答包向目标域名系统客户端转发,执行步骤106;
域名系统应答包中查询域名字段的字母大小写分布符合该预定的规则, 则判断该域名系统应答包是安全的,可以向目标域名系统客户端转发。
105、 丟弃该i^名系统应答包;
域名系统应答包中查询域名字段的字母大小写分布不符合该预定的规 则,且不为全部大写或全部小写时,说明该域名系统应答包不是第一次收到 未经大小写转换的域名系统应答包,也不符合预定的规则,该域名系统应答 包很有可能是被黑客替换过,或黑客发过来的伪装域名系统应答包,因此应 当丢弃处理。
106、 等待接收新的域名系统应答包。 流程结束。
采用本发明提供的防御域名系统欺骗攻击的方法实施例一后,防御域名 系统欺骗攻击的设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大大节省了防御域名系统欺骗攻击的设备的存储资源。
在双向环境中,本发明提供的防御域名系统欺骗攻击的方法实施例二流
程如图2所示
201、 防御域名系统欺骗攻击的设备接收域名系统请求包,域名系统请求 包中包含有查询域名字段;
防御域名系统欺骗攻击的设备接收来自域名系统客户端的域名系统请求
包;
202、 将该相应域名系统请求包中的查询域名字段的字母按照预定的规则 进行大小写转换,继续发送;
转换方式可参考上文描述,在此不再重复;
203 、防御域名系统欺骗攻击的设备接收域名系统应答包;
204、 防御域名系统欺骗攻击的设备判断域名系统应答包中查询域名字段 的字母大小写分布是否符合该预定的规则;是,则执行步骤205;否,则执行 步骤206;
205、 将该域名系统应答包向目标域名系统客户端转发;
域名系统应答包中查询域名字^a的字母大小写分布符合该预定的MJ'J, 则判断该域名系统应答包是安全的,可以向目标域名系统客户端转发。 流程结束。
206、 丟弃该域名系统应答包;
由于在双向环境中每一个DNS应答包都是DNS服务器应一个DNS请求
当丢弃处理; 流程结束。
釆用本发明提供的防御域名系统欺骗攻击的方法实施例二后,防御域名 系统欺骗攻击的设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大 大节省了防御域名系统欺骗攻击的设备的存储资源。
本发明实施例提供的防御域名系统欺骗攻击的设备结构如图3所示,包括
大小写转换单元301,用于将域名系统请求包中的查询域名字段的字母按 照预定的规则进行大小写转换;
发送单元302,用于发送所述大小写转换单元301转换过的域名系统请求
包;
第一接收单元303,用于4妻收域名系统应答包;
获取单元304,用于获取所述第一接收单元303接收到的域名系统应答包 中查询域名字段的字母大小写分布;
转发单元305,用于在所述获取单元304获取域名系统应答包中查询域名 字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目 标域名系统客户端转发。
进一步,在双向环境中,还包括
第二接收单元,用于在所述大小写转换单元将域名系统请求包中的查询 域名字段的字母按照预定的规则进行大小写转换之前,接收域名系统客户端 发送的域名系统请求包。
第一丟弃单元,用于在所述第一接收单元接收到的域名系统应答包中查 询域名字段的字母大小写分布不符合所述预定的规则时,丢弃所述域名系统 应答包。
进一步,在单向环境中,还包括
请求包构造单元,用于在所述获取单元获取所述域名系统应答包中查询 域名字段的字母大小写分布之后,所述第一接收单元接收到的域名系统应答 包中查询域名字段的字母大小写分布为全部大写或全部小写时,根据所述域 名系统应答包构造相应域名系统请求包,控制所述大小写转换单元将所述相 应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转 换,并发送。
第二丟弃单元,用于在所述获取单元获取所述域名系统应答包中查询域 名字^1的字母大小写分布之后,所述第一接收单元接收到的域名系统应答包中查询域名字段的字母大小写分布不符合所述预定的规则,且不为全部大写 或全部小写时,丢弃所述域名系统应答包。
本发明实施例提供的防御域名系统欺骗攻击的设备的具体使用方式可参
考上文对本发明实施例提供的防御域名系统欺骗攻击的方法的描述;
采用本发明实施例提供的防御域名系统欺骗攻击的设备后,防御域名系 统欺骗攻击的设备不需要记录DNS请求包即可防御域名系统欺骗攻击,大大 节省了防御域名系统欺骗攻击的设备的存储资源。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机 可读存储介质中,该程序在执行时,包括如下步骤
一种防御域名系统欺骗攻击的方法,包括
将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写 转换;
发送所述域名系统请求包; 接收域名系统应答包;
获取所述域名系统应答包中查询域名字段的字母大小写分布; 在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定 的规则时,将所述域名系统应答包向目标域名系统客户端转发。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种防御域名系统欺骗攻击的方法及装置进行了
以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对 于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围 上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1、一种防御域名系统欺骗攻击的方法,其特征在于,包括将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;发送所述域名系统请求包;接收域名系统应答包;获取所述域名系统应答包中查询域名字段的字母大小写分布;在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。
2、 如权利要求l所述的方法,其特征在于,在将域名系统请求包中的查 询域名字段的字母按照预定的规则进行大小写转换之前还包括接收域名系统客户端发送的域名系统请求包。
3、 如权利要求2所述的方法,其特征在于,该方法还包括在所述域名系统应答包中查询域名字段的字母大小写分布不符合所述预 定的MJ'j时,丟弃所述域名系统应答包。
4、 如权利要求l所述的方法,其特征在于,在获取所述域名系统应答包 中查询域名字段的字母大小写分布之后还包括当所述域名系统应答包中查询域名字^:的字母大小写分布为全部大写或 全部小写时,根据所述域名系统应答包构造相应域名系统请求包,将所述相 应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转 换,并发送。
5、 如权利要求4所述的方法,其特征在于,在所述域名系统应答包中查 询域名字4爻的字母大小写分布为全部大写或全部小写时,所述预定的MJ'J包 括^f吏用所述域名系统应答包中的源网际协议地址、或目的网际协议地址、 或源端口、或目的端口、或域名系统标识、或域名系统问题域数据、或回答 字段进行哈希计算,根据所述哈希计算得到的数值,对所述域名系统请求包中的查询域名字段的字母进行大小写转换。
6、 如权利要求5所述的方法,其特征在于,在获取所述域名系统应答包 中查询域名字段的字母大小写分布之后还包括在所述域名系统应答包中查询域名字段的字母大小写分布不符合所述预 定的规则,且不为全部大写或全部小写时,丟弃所述域名系统应答包。
7、 如权利要求l、 2、 3或4所述的方法,其特征在于,所述预定的规则 包括将所述域名系统请求包中的查询域名字段的字母进行随机大小写转换;或,根据预定的数值,对所述域名系统请求包中的查询域名字段的字母 进行大小写转换;或, -使用所述域名系统请求包中的源网际协议地址、或目的网际协议地 址、或源端口、或目的端口、或域名系统标识、或域名系统问题域lt据、或 回答字段进行哈希计算,根据所述哈希计算得到的数值,对所述域名系统请 求包中的查询域名字段的字母进行大小写转换。
8、 一种防御域名系统欺骗攻击的设备,其特征在于,包括 大小写转换单元,用于将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;发送单元,用于发送所述大小写转换单元转换过的域名系统请求包; 第一接收单元,用于接收域名系统应答包;获取单元,用于获取所述第一接收单元接收到的域名系统应答包中查询 域名字段的字母大小写分布;转发单元,用于在所述获取单元获取域名系统应答包中查询域名字段的 字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名 系统客户端转发。
9、 如权利要求8所述的设备,其特征在于,还包括 第二接收单元,用于在所述大小写转换单元将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换之前,接收域名系统客户端 发送的域名系统请求包。
10、 如权利要求9所述的设备,其特征在于,还包括第一丟弃单元,用于在所述第一接收单元4秦收到的域名系统应答包中查 询域名字段的字母大小写分布不符合所述预定的规则时,丢弃所述域名系统 应答包。
11、 如权利要求8所述的设备,其特征在于,还包括请求包构造单元,用于在所述获取单元获取所述域名系统应答包中查询 域名字段的字母大小写分布之后,所述第一接收单元接收到的域名系统应答 包中查询域名字段的字母大小写分布为全部大写或全部小写时,根据所述域 名系统应答包构造相应域名系统请求包,控制所述大小写转换单元将所述相 应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转 换,并发送。
12、 如权利要求11所述的设备,其特征在于,还包括第二丢弃单元,用于在所述获取单元获取所述域名系统应答包中查询域 名字段的字母大小写分布之后,所述第一接收单元接收到的域名系统应答包 中查询域名字段的字母大小写分布不符合所述预定的规则,且不为全部大写 或全部小写时,丟弃所述域名系统应答包。
全文摘要
本发明实施例公开了一种防御域名系统欺骗攻击的方法,包括将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转换;发送所述域名系统请求包;接收域名系统应答包;获取所述域名系统应答包中查询域名字段的字母大小写分布;在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定的规则时,将所述域名系统应答包向目标域名系统客户端转发。本发明实施例还公开了相应的设备。应用本发明可以有效减少对设备存储资源的占用。
文档编号H04L29/12GK101420433SQ200810180599
公开日2009年4月29日 申请日期2008年12月1日 优先权日2008年12月1日
发明者马勺布 申请人:成都市华为赛门铁克科技有限公司