阻止dns缓存攻击方法及装置的制造方法

文档序号:10578147阅读:234来源:国知局
阻止dns缓存攻击方法及装置的制造方法
【专利摘要】本申请提供一种阻止DNS缓存攻击的方法及装置,所述方法包括:获取客户端发送的请求报文及第一查询ID;接收返回的应答报文及第二查询ID;判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;若不相同,则拦截所述应答报文。应用本申请实施例,防护设备可以在DNS缓存攻击时,避免拦截正常的应答报文,从而实现准确拦截DNS缓存攻击的应答报文。
【专利说明】
阻止DNS缓存攻击方法及装置
技术领域
[0001]本申请涉及网络安全技术领域,尤其涉及阻止DNS缓存攻击方法及装置。
【背景技术】
[0002]DNS是域名系统(Domain Name System)的缩写,它是由解析器和域名服务器组成的。域名服务器(DNS Server)是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。DNS域名解析的流程大体如下:首先由客户端发起域名解析请求(以下称为请求报文),本地DNS服务器收到该客户端的请求报文后,会在本地的DNS缓存(DNS Cache)中查找,如果查找到了,则将结果返回给客户端;如果没有查找到,则会向上一级DNS服务器发起请求,上一级DNS服务器将解析结果通过DNS应答报文(DNSRepIy,以下简称应答报文)返回给本地DNS服务器;此时,本地DNS服务器将所述应答报文中的解析结果存入缓存,以便所述客户端再次请求解析该域名时,可以直接返回解析结果,同时会将解析结果返回给发起本次请求报文的客户端。
[0003]近些年来针对DNS缓存进行攻击的行为越来越多。由于DNS缓存采用先到先得的机制,即只对先收到的应答报文中的解析结果进行存储,而舍弃后续到达的应答报文;这样,如果攻击者通过发送大量伪造的应答报文,只要有一个伪装的应答报文在正常的应答报文达到之前先达到本地DNS服务器,那么DNS缓存攻击就会成功;相应地,在DNS缓存中正常域名对应的IP就会记录为虚假的IP。
[0004]现有技术中,对于上述问题,主要是在本地DNS服务器上设置防护设备,通过所述防护设备对接收到的应答报文中域名、源IP、目的IP这些元素进行统计,如果在预设时间内上述元素相同的应答报文数量大于一定阈值,则判定为存在DNS缓存攻击,并将大于阈值的应答报文拦截。然而,在实际应用中,由于伪装的应答报文中上述元素都是和正常的应答报文相同的,所以当正常的应答报文夹杂在大量伪装的应答报文中间时,也会被统计入数量中,从而在数量大于阈值后,正常的应答报文也会被拦截。

【发明内容】

[0005]本申请提供一种阻止DNS缓存攻击方法及装置,以解决现有技术中存在无法准确拦截DNS缓存攻击的应答报文的问题。
[0006]根据本申请实施例提供的一种阻止DNS缓存攻击方法,所述方法包括:
[0007]获取客户端发送的请求报文及第一查询ID;
[0008]接收返回的应答报文及第二查询ID;
[0009]判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;
[0010]若不相同,则拦截所述应答报文。
[0011]根据本申请实施例提供的一种阻止DNS缓存攻击装置,所述装置包括:
[0012]获取单元,用于获取客户端发送的请求报文及第一查询ID;
[0013]接收单元,用于接收返回的应答报文及第二查询ID;
[0014]判断单元,用于判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;
[0015]拦截单元,用于在所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID不相同时,拦截所述应答报文。
[0016]本申请实施例中,通过设置查询ID,而一次正常的DNS请求中,应答报文和请求报文中的端口号和查询ID通常是一致的,而攻击者由于无法获取上述查询ID,所以返回的伪装的应答报文中端口号和查询ID通常与请求报文是不一致的。如此,通过对比应答报文和请求报文中端口号和查询ID是否相同,对于不相同的,说明是伪装的应答报文,从而拦截该应答报文。实现了准确拦截DNS缓存攻击的应答报文的目的。
【附图说明】
[0017]图1是本申请一示例性实施例示出的一种阻止DNS缓存攻击的示意图;
[0018]图2是本申请一示例性实施例示出的一种阻止DNS缓存攻击的方法流程图;
[0019]图3是本申请一示例性实施例示出的一种阻止DNS缓存攻击的方法流程图;
[0020]图4是本申请一示例性实施例示出的一种阻止DNS缓存攻击的方法流程图;
[0021]图5是本申请一示例性实施例示出的以防护设备为主体的方法流程图;
[0022]图6是本申请一示例性实施例示出的以防护设备为主体的方法流程图;
[0023]图7是本申请一示例性实施例示出的以防护设备为主体的方法流程图;
[0024]图8是本申请提供的一种阻止DNS缓存攻击装置所在设备的一种硬件结构图;
[0025]图9是本申请一示例性实施例示出的一种阻止DNS缓存攻击装置的模块示意图。
【具体实施方式】
[0026]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0027]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0028]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0029]如图1所示为本申请一示例性实施例示出的一种阻止DNS缓存攻击的示意图,可以包括客户端、本地DNS服务器和上级DNS服务器。
[0030]所述客户端与本地DNS服务器、所述本地DNS服务器与上级DNS服务器通过网络可以实现信息的通信,继而完成交互和数据的处理。所述网络可以包括有线或无线电信装置。例如,所述网络可以包括局域网(“LAN”)、广域网(“WAN”)、内部网、互联网、移动电话网络、虚拟专用网(VPN)、蜂窝式或其它移动通信网络、蓝牙、NFC或其任何组合。
[0031]所述客户端可以向本地DNS服务器发送请求报文,并接收所述本地DNS服务器返回的应答报文。所述客户端可以包括台式计算机、膝上型计算机、平板计算机、智能手机、手持式计算机、个人数字助理(“PDA” ),或者其它任何的有线或无线处理器驱动装置。
[0032]所述本地DNS服务器可以向上级DNS服务器转发客户端发送的请求报文,并接收经由上级DNS服务器解析后返回的应答报文。所述本地DNS服务器上可以设置防护设备。所述防护设备可以拦截DNS缓存攻击的应答报文,转发正常的应答报文至客户端。
[0033]如图2所示为本申请一示例性实施例示出的一种阻止DNS缓存攻击的方法的流程图,所述方法可以包括如下步骤:
[0034]步骤1:客户端向防护设备发送请求报文及第一查询ID。
[0035]所述第一查选ID可以是客户端随机生成的一个身份标识。即,客户端每当需要发送一次请求报文时都会随机生成一个第一查询ID,并将该第一查询ID和请求报文发送至防护设备。
[0036]步骤2:所述防护设备转发所述客户端发送的请求报文及第一查询ID至上级DNS月艮务器。
[0037]步骤3:所述防护设备接收返回的应答报文及第二查询ID。
[0038]所述应答报文可以是来自上级DNS服务器根据所述请求报文解析返回的正常的应答报文;也可能是来自攻击者根据所述请求报文解析后返回的伪装的应答报文。本实施例就是为了找出伪装的应答报文,从而进行拦截,而将正常的应答报文转发给客户端。
[0039]所述第二查询ID是对应与所述第一查询ID。如果是正常的应答报文,由于上级服务器能接收到防护设备转发的第一查询ID,所述返回的第二查询ID就是第一查询ID。如果是伪装的应答报文,由于攻击者无法获得第一查询ID,所述返回的第二查询ID通常与第一查询ID不同。
[0040]步骤4:所述防护设备判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同。如果相同,则执行步骤步骤51;如果不相同,则执行步骤步骤52。
[0041]参照图1中所示的内容,客户端向防护设备发送请求报文及第一查询ID,所述请求报文中端口号为6000,第一查询ID为1000。相应地,来自上级DNS服务器返回的应答报文中端口号为6000,第二查询ID为1000;而来自攻击者发送的大量应答报文中端口号为5000,第二查询ID为3335。
[0042]防护设备判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同。显然,来自上级DNS服务器返回的应答报文中端口号(为6000)及第二查询ID(为1000)与所述请求报文中端口号(为6000)及第一查询ID(为1000)相同,则执行步骤S51;而,来自攻击者发送的应答报文中端口号(为5000)及第二查询ID(为3335)与所述请求报文中端口号(为6000)及第一查询ID(为1000)不相同,则执行步骤S52。
[0043]步骤51:所述防护设备转发所述应答报文至客户端。
[0044]如果相同,说明所述应答报文是正常的应答报文,防护设备就可以转发所述应答报文至客户端。
[0045]步骤52:所述防护设备拦截所述应答报文。
[0046]如果不相同,说明所述应答报文是攻击者伪装的应答报文,防护设备就可以拦截所述应答报文。
[0047]在步骤51之后,还包括步骤6:所述客户端接收所述防护设备转发的所述应答报文。
[0048]本实施例中,通过设置查询ID,在一次正常的DNS请求中,应答报文和请求报文中端口号和查询ID是一致的,而攻击者由于无法获取上述查询ID,所以发送伪装的应答报文中端口号和查询ID通常与请求报文是不一致的。如此,通过对比应答报文和请求报文中端口号和查询ID是否相同,对于不相同的,说明是伪装的应答报文,从而拦截该应答报文。实现了准确拦截DNS缓存攻击的应答报文的目的。
[0049]上述本申请图2所示实施例基础上,在步骤52之后,还可以包括:
[0050]终端设备将所述被拦截的应答报文中的应答IP记录到攻击信息表中。
[0051]本实施例中,所述攻击信息表用于记录被拦截应答报文中的应答IP。如前所述,伪装的应答报文中应答IP通常是虚假的IP,即与请求报文中域名真实对应的IP不同的虚假IP0
[0052]参照图1中所示的内容,拦截的应答报文中的应答IP:1.1.1.1,那么终端设备可以将该应答IP: 1.1.1.1记录到攻击信息表中。
[0053]所述攻击信息表可以包括攻击信息HASH表(哈希表、散列表)dASH表可以根据键值对(key value)存放和访问数据,使用HASH表可以快速的查找到表中记录的数据,从而提高数据访问的效率。
[0054]本实施例中,通过将所述被拦截的应答报文中的应答IP记录到攻击信息表中,从而可以建立攻击信息库。对于应答报文中应答IP如果出现在所述攻击信息表中,则可以直接拦截,从而提供防护设备的拦截效率。
[0055]在实际应用中,由于网络上会有大量的DNS缓存攻击行为,而防护设备的内存是有限的,随着时间增加,攻击信息表占用内存的空间会越来越多,从而导致防护设备内存不足影响了拦截效率。
[0056]为了应对上述问题,在本申请的一个具体的实施例中,终端设备将所述被拦截的应答报文中的应答IP记录到攻击信息表中之前,还可以包括:
[0057]所述终端设备判断所述被拦截的应答报文中的应答IP是否已存在于攻击信息表中;
[0058]若不存在,则执行所述终端设备将所述被拦截的应答报文中的应答IP记录到攻击信息表中的步骤。
[0059]通过本实施例,可以避免重复数据记录到所述攻击信息表中,从而提高了防护设备内存的使用率。
[0060]上一实施例中,虽然可以一定程度上提高防护设备内存的使用率,但时间一长,所述防护设备还是会出现内存不足的问题。在本申请的一个具体的实施例中,所述攻击信息表每隔预设时长清空一次。
[0061]所述预设时长可以是人为设置的一个经验值。例如,攻击时间表每隔3秒(预设时长)清空一次。
[0062]在本申请中,通过每隔预设时长清空一次所述攻击信息表,从而可以避免防护设备内存不足的问题。
[0063 ]上述本申请图2所示实施例基础上,如图3所示,在步骤4之后,在步骤51之前,还可以包括:
[0064]步骤50:如果相同,则所述防护设备查询攻击信息表中是否存在所述应答报文中的应答IP;
[0065]相应地,所述步骤51包括:
[0066]如果不存在,则所述防护设备转发所述应答报文至客户端
[0067]相应地,如果存在,则执行步骤52。
[0068]本实施例中,通过将正常应答报文中应答IP与攻击信息表进行匹配,避免了正常应答报文中的应答IP存在风险的情况。
[0069]上述本申请图2所示实施例基础上,如图4所示,在步骤4之前,还可以包括:
[0070]步骤31:所述防护设备判断所述应答报文中四元组和所述请求报文中的四元组是否相同。
[0071 ]如果相同,则执行步骤4。
[0072]如果不相同,则执行步骤52。
[0073]本实施例中,所述四元组可以包括域名、源IP、目的IP和端口号。
[0074]通过本实施例,防护设备需要对应答报文四元组与请求报文的四元组进行比对,在相同时,说明应答报文是对应所述请求报文的,避免不同域名解析请求之间出现混乱。
[0075]以下结合图5介绍本申请以防护设备为主体的方法实施例,该实施例可以对应图2:
[0076]步骤110:获取客户端发送的请求报文及第一查询ID。
[0077]步骤120:接收返回的应答报文及第二查询ID。
[0078]步骤130:判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;如果不相同,则执行步骤140;如果相同,则执行步骤141。
[0079]步骤140:拦截所述应答报文。
[0080]步骤141:转发所述应答报文至客户端。
[0081 ] 本实施例中,通过设置查询ID,在一次正常的DNS请求中,应答报文和请求报文中端口号和查询ID是一致的,而攻击者由于无法获取上述查询ID,所以发送伪装的应答报文中端口号和查询ID通常与请求报文是不一致的。如此,通过对比应答报文和请求报文中端口号和查询ID是否相同,对于不相同的,说明是伪装的应答报文,从而拦截该应答报文。实现了准确拦截DNS缓存攻击的应答报文的目的。
[0082 ] 上述本申请图5所示实施例基础上,在所述步骤140之后,还可以包括:
[0083]将所述被拦截的应答报文中的应答IP记录到攻击信息表中。
[0084]本实施例中,所述攻击信息表可以包括攻击信息HASH表(哈希表、散列表)。
[0085]本实施例中,通过将所述被拦截的应答报文中的应答IP记录到攻击信息表中,从而可以建立攻击信息库。对于应答报文中应答IP如果出现在所述攻击信息表中,则可以直接拦截,从而提供防护设备的拦截效率。
[0086]在本申请的一个具体的实施例中,将所述被拦截的应答报文中的应答IP记录到攻击信息表中之前,还可以包括:
[0087]判断所述被拦截的应答报文中的应答IP是否已存在于攻击信息表中;
[0088]若不存在,则执行将所述被拦截的应答报文中的应答IP记录到攻击信息表中的步骤。
[0089]通过本实施例,可以避免重复数据记录到所述攻击信息表中,从而提高了防护设备内存的使用率。
[0090]在本申请的一个具体的实施例中,所述攻击信息表每隔预设时长清空一次。
[0091]所述预设时长可以是人为设置的一个经验值。例如,攻击时间表每隔3秒(预设时长)清空一次。
[0092]在本申请中,通过每隔预设时长清空一次所述攻击信息表,从而可以避免防护设备内存不足的问题。
[0093]以下结合图6介绍本申请以防护设备为主体的方法实施例,该实施例可以对应图3:
[0094]步骤110:获取客户端发送的请求报文及第一查询ID。
[0095]步骤120:接收返回的应答报文及第二查询ID。
[0096]步骤130:判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;如果不相同,则执行步骤S140;如果相同,则执行步骤S131。
[0097]步骤140:拦截所述应答报文。
[0098]步骤131:查询攻击信息表中是否存在所述应答报文中的应答IP;如果存在,则执行步骤140;如果不存在,则执行步骤141。
[0099]本实施例中,通过将正常应答报文中应答IP与攻击信息表进行匹配,避免了正常应答报文中的应答IP存在风险的情况。
[0100]以下结合图7介绍本申请以防护设备为主体的方法实施例,该实施例可以对应图4:
[0101]步骤110:获取客户端发送的请求报文及第一查询ID。
[0102]步骤120:接收返回的应答报文及第二查询ID。
[0103]步骤121:判断所述应答报文中四元组和所述请求报文中的四元组是否相同。如果相同,则执行步骤S130;如果不相同,则执行步骤140。
[0104]本实施例中,所述四元组可以包括域名、源IP、目的IP和端口号。
[0105]步骤130:判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;如果不相同,则执行步骤140;如果相同,则执行步骤141。
[0106]步骤140:拦截所述应答报文。
[0107]步骤141:转发所述应答报文至客户端。
[0108]通过本实施例,防护设备需要对应答报文四元组与请求报文的四元组进行比对,在相同时,说明应答报文是对应所述请求报文的,避免不同域名解析请求之间出现混乱。
[0109]与前述报文传输方法实施例相对应,本申请还提供了阻止DNS缓存攻击装置的实施例。
[0110]本申请阻止DNS缓存攻击装置的实施例可以分别应用在防护设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图8所示,为本申请阻止DNS缓存攻击装置所在设备的一种硬件结构图,除了图8所示的处理器、外部接口、内存以及非易失性存储器之外,实施例中装置所在的设备通常根据该阻止DNS缓存攻击的实际功能,还可以包括其他硬件,对此不再赘述。
[0111]图9为本申请一示例性实施例示出的阻止DNS缓存攻击的装置的模块示意图。本实施例中,所述装置包括:获取单元210、接收单元220、判断单元230和拦截单元240。
[0112]其中,所述获取单元610,用于获取客户端发送的请求报文及第一查询ID;
[0113]接收单元220,用于接收返回的应答报文及第二查询ID;
[0114]判断单元230,用于判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;
[0115]拦截单元240,用于在所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID不相同时,拦截所述应答报文。
[0116]在一个可选的实现方式中:
[0117]在所述拦截单元240之后,所述装置还可以包括:
[0118]存储单元,用于将所述被拦截的应答报文中的应答IP记录到攻击信息表中。所述攻击信息表包括攻击信息哈希表。所述攻击信息表每隔预设时长清空一次。
[0119]在一个可选的实现方式中:
[0120]在所述判断单元230之后,所述装置还可以包括:
[0121]查询单元,用于在所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID相同时,查询攻击信息表中是否存在所述应答报文中的应答IP;
[0122]相应地,所述拦截单240元,还用于在查询到攻击信息表中存在所述应答报文中的应答IP时,拦截所述应答报文。
[0123]在一个可选的实现方式中:
[0124]在所述判断单元230之前,所述装置还可以包括:
[0125]第二判断单元,用于判断所述应答报文中四元组和所述请求报文中的四元组是否相同,所述四元组包括域名、源IP、目的IP和端口号;
[0126]相应地,所述判断单元230,还用于在所述应答报文中四元组和所述请求报文中的四元组相同时,判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同;
[0127]所述拦截单元240,还用于在所述应答报文中四元组和所述请求报文中的四元组不相同时,拦截所述应答报文。
[0128]在本申请实施例中,通过设置查询ID,在一次正常的DNS请求中,应答报文和请求报文中端口号和查询ID是一致的,而攻击者由于无法获取上述查询ID,所以发送伪装的应答报文中端口号和查询ID通常与请求报文是不一致的。如此,通过对比应答报文和请求报文中端口号和查询ID是否相同,对于不相同的,说明是伪装的应答报文,从而拦截该应答报文。实现了准确拦截DNS缓存攻击的应答报文的目的。
[0129]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
[0130]对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0131]本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
[0132]应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
【主权项】
1.一种阻止DNS缓存攻击的方法,其特征在于,所述方法包括: 获取客户端发送的请求报文及第一查询ID; 接收返回的应答报文及第二查询ID; 判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同; 如果不相同,则拦截所述应答报文。2.根据权利要求1所述的方法,其特征在于,在所述拦截所述应答报文之后,所述方法还包括: 将所述被拦截的应答报文中的应答IP记录到攻击信息表中。3.根据权利要求2所述的方法,其特征在于,所述攻击信息表包括攻击信息哈希表。4.根据权利要求2所述的方法,其特征在于,所述攻击信息表每隔预设时长清空一次。5.根据权利要求2所述的方法,其特征在于,在判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同之后,所述方法还包括: 如果相同,则查询攻击信息表中是否存在所述应答报文中的应答IP; 如果存在,则拦截所述应答报文。6.根据权利要求1所述的方法,其特征在于,在判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同之前,所述方法还包括: 判断所述应答报文中四元组和所述请求报文中的四元组是否相同;所述四元组包括域名、源IP、目的IP和端口号; 如果相同,则执行判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同的步骤; 如果不相同,则拦截所述应答报文。7.一种阻止DNS缓存攻击的装置,其特征在于,所述装置包括: 获取单元,用于获取客户端发送的请求报文及第一查询ID; 接收单元,用于接收返回的应答报文及第二查询ID; 判断单元,用于判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同; 拦截单元,用于在所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID不相同时,拦截所述应答报文。8.根据权利要求7所述的装置,其特征在于,在所述拦截单元之后,所述装置还包括: 存储单元,用于将所述被拦截的应答报文中的应答IP记录到攻击信息表中。9.根据权利要求8所述的装置,其特征在于,所述攻击信息表包括攻击信息哈希表。10.根据权利要求8所述的装置,其特征在于,所述攻击信息表每隔预设时长清空一次。11.根据权利要求8所述的装置,其特征在于,在所述判断单元之后,所述装置还包括: 查询单元,用于在所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID相同时,查询攻击信息表中是否存在所述应答报文中的应答IP; 相应地,所述拦截单元,还用于在查询到攻击信息表中存在所述应答报文中的应答IP时,拦截所述应答报文。12.根据权利要求7所述的装置,其特征在于,在所述判断单元之前,所述装置还包括: 第二判断单元,用于判断所述应答报文中四元组和所述请求报文中的四元组是否相同,所述四元组包括域名、源IP、目的IP和端口号; 相应地,所述判断单元,还用于在所述应答报文中四元组和所述请求报文中的四元组相同时,判断所述应答报文中端口号及第二查询ID与所述请求报文中端口号及第一查询ID是否相同; 所述拦截单元,还用于在所述应答报文中四元组和所述请求报文中的四元组不相同时,拦截所述应答报文。
【文档编号】H04L29/06GK105939346SQ201610289251
【公开日】2016年9月14日
【申请日】2016年5月4日
【发明人】焦磊磊
【申请人】杭州迪普科技有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1