或者具有一定可信度的域名服务器。
[0093]请求模块2,与可信域名服务器配置模块I相连,用于通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收域名服务器的解析结果。
[0094]这里请求模块发送解析请求,可以是定期或者周期性发送,也就是每隔一定时间发送对需要进行安全防护的域名进行解析的解析请求。这里的一定时间或周期,可以根据用户的需要进行设定。
[0095]通常情况下,域名服务器接收到所述解析请求后,各自独立的对所述域名进行解析,并返回解析结果。
[0096]比较添加模块3,与请求模块2相连,用于将所接收的所有所述解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将所述域名加入安全缓存列表中;当所述解析结果一致的解析结果个数不能达到预定值时,则不将任何所述解析结果加入安全缓存列表中。
[0097]对比过滤模块4,用于将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。这里的对比并过滤的过程为现有技术,在此不再赘述。
[0098]图6是本发明第七实施例的基于防火墙的DNS防护系统结构示意图。
[0099]如图6所示,本实施例的基于防火墙的DNS防护系统,包括:
[0100]域名配置模块5,用于在防火墙中配置的需要进行安全防护的域名。
[0101]可信域名服务器配置模块1,用于在防火墙中配置两个或两个以上可信域名服务器的地址。
[0102]请求模块2,与可信域名服务器配置模块I相连,用于通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收域名服务器的解析结果。
[0103]比较添加模块3,与请求模块2相连,用于将所接收的所有所述解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将所述解析结果加入安全缓存列表中。
[0104]对比过滤模块4,用于将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。
[0105]图7是本发明第八实施例的基于防火墙的DNS防护系统结构示意图。
[0106]如图7所示,本实施例的基于防火墙的DNS防护系统,包括:
[0107]累计模块6,用于累计经过防火墙的关于某域名的DNS请求报文数。
[0108]域名确定模块7,用于当所述DNS请求报文数大于或等于预设阈值后,将所述某域名加入域名缓存列表中作为需要进行安全防护的域名。
[0109]可信域名服务器配置模块1,用于在防火墙中配置两个或两个以上可信域名服务器的地址。
[0110]请求模块2,与可信域名服务器配置模块I相连,用于通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收域名服务器的解析结果。
[0111]比较添加模块3,与请求模块2相连,用于将所接收的所有所述解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将所述解析结果加入安全缓存列表中。
[0112]对比过滤模块4,用于将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。
[0113]本发明实施例所提供的基于防火墙的DNS防护系统,通过两个或两个以上可信域名服务器确认域名的安全性,从而将经过确认的解析结果添加进用于该域名的应答报文对比过滤的安全缓存列表中,摒弃了传统的手动添加方式,灵活、有效的实现对DNS攻击报文的拦截。
[0114]本领域普通技术人员可以理解实现上述实施例的全部或部分步骤和系统可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括存储器、磁盘或光盘等。
[0115]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【主权项】
1.一种基于防火墙的DNS防护方法,其特征在于,所述方法包括: 在防火墙中配置两个或两个以上可信域名服务器的地址; 通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收对应的域名服务器的解析结果; 将所接收的所有所述解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将一致的所述解析结果加入安全缓存列表中; 将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。
2.根据权利要求1所述的DNS防护方法,其特征在于,所述可信域名服务器为授权域名服务器或者符合预设要求可信度的DNS域名服务器。
3.根据权利要求1所述的DNS防护方法,其特征在于,通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求,具体为: 通过所述地址定期向与所述地址相对应的可信域名服务器发送解析请求。
4.根据权利要求1所述的DNS防护方法,其特征在于,所述方法还包括:可信域名服务器接收到所述解析请求后,对所述域名分别进行解析得到解析结果,并分别发送所述解析结果。
5.根据权利要求1至4任一项所述的DNS防护方法,其特征在于,所述方法还包括:在防火墙中配置需要进行安全防护的域名。
6.根据权利要求1至4任一项所述的DNS防护方法,其特征在于,所述方法还包括: 累计经过防火墙的关于域名的DNS请求报文数; 当所述DNS请求报文数大于或等于预设阈值后,将所述域名加入域名缓存列表中作为需要进行安全防护的域名。
7.一种基于防火墙的DNS防护系统,其特征在于,所述系统包括: 可信域名服务器配置模块,用于在防火墙中配置两个或两个以上可信域名服务器的地址; 请求模块,所述请求模块与所述可信域名服务器配置模块相连,用于通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收对应的域名服务器的解析结果; 比较添加模块,与请求模块相连,用于将所接收的所有所述解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将一致的所述解析结果加入安全缓存列表中;对比过滤模块,用于将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。
8.根据权利要求7所述的DNS防护系统,其特征在于,所述请求模块具体用于通过所述地址定期向与所述地址相对应的可信域名服务器发送解析请求。
9.根据权利要求7或8所述的DNS防护系统,其特征在于,所述系统还包括: 域名配置模块,用于在防火墙中配置的需要进行安全防护的域名。
10.根据权利要求7或8所述的DNS防护系统,其特征在于,所述系统还包括: 累计模块,用于累计经过防火墙的关于域名的DNS请求报文数; 域名确定模块,用于当所述DNS请求报文数大于或等于预设阈值后,将所述域名加入域名缓存列表中作为需要进行安全防护的域名。
【专利摘要】本发明公开了一种基于防火墙的DNS防护方法和系统,所述方法包括:在防火墙中配置两个或两个以上可信域名服务器的地址,通过地址向可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收域名服务器的解析结果,将解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将所述解析结果加入安全缓存列表中,将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。本发明通过两个或两个以上可信域名服务器确认域名的安全性,从而将经过确认的解析结果添加进用于对比过滤的安全缓存列表中,摒弃了传统的手动添加方式,灵活、有效的实现对DNS攻击报文的拦截。
【IPC分类】H04L29-12, H04L29-06
【公开号】CN104836809
【申请号】CN201510241209
【发明人】张辉
【申请人】汉柏科技有限公司
【公开日】2015年8月12日
【申请日】2015年5月13日