The invention discloses a protection method, system of domain name hijacking and firewall equipment, the method comprises: capturing domain name query message and extracting domain information; detection domain information is on the white list; if not, the extraction domain name query message destination IP address; IP address to send the control request message when the message based on the control request; received in response to the control request message control request message return request response message sent domain name query message, the first extraction request survival time response message value; when receiving a response to the domain name domain name query response message message returned, extracting second survival time domain response message value; comparing the results with second survival value the value of the first survival time based on the decision whether to hijack domain response message message. By comparing the first survival time value of the request response message and the second survival time value of the domain name response message, the invention judges whether the domain name hijacking behavior is based on the comparison result.
【技术实现步骤摘要】
本专利技术涉及互联网
,特别涉及一种域名劫持的防护方法、系统及防火墙设备。
技术介绍
域名解析系统(简称域名),能够帮助用户更加方便的访问互联网。由于域名的存在,互联网用户在访问网站的时候可以直接使用域名来实现,而不用记住网站所使用的IP地址。通过域名最终找到对应的IP地址的行为叫做域名解析。然而,近来部分恶意用户及厂商为了获取流量和不法的目的,进行监听正常用户的域名会话,抢先将虚假的域名响应返回给客户端。最终会导致用户无法打开目标网站,甚至打开带有病毒木马的网站。在实现本专利技术的过程中,专利技术人发现至少存在如下问题:现有技术对域名劫持没有有效的防护方法,只能在用户已经发现被劫持后采取一些警惕受骗和躲避危险页面的方法。当前技术还不能有效的预防域名事件的发生,只能在域名劫持发生后采取一定的措施,例如,通过及时关闭钓鱼页面或者修改网关的域名服务器地址等来避免域名劫持带来危害。
技术实现思路
本专利技术实施例的目的是提供一种域名劫持的防护方法、系统及防火墙设备,本专利技术实施例通过获取请求应答报文的生存时间值,将该生存时间值与域名应答报文的生存时间值进行对比,根据对比结果判断是否发生域名劫持行为。根据本专利技术实施例的一个方面提供了一种域名劫持的防护方法,应用于防火墙,该方法包括:当接收到域名查询报文时,截取所述域名查询报文并提取所述域名查询报文中的域名信息;检测所述域名信息是否在白名单中;若检测到所述域名信息不在白名单中,提取所述域名查询报文的目的IP地址;基于所述目的IP地址,发送控制请求报文控制请求报文;当接收到响应于所述控制请求报文控制请求报文返 ...
【技术保护点】
一种域名劫持的防护方法,其特征在于,应用于防火墙,所述方法包括:当接收到域名查询报文时,截取所述域名查询报文并提取所述域名查询报文中的域名信息;检测所述域名信息是否在白名单中;若检测到所述域名信息不在白名单中,提取所述域名查询报文的目的IP地址;基于所述目的IP地址,发送控制请求报文控制请求报文;当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时,发送所述域名查询报文,并提取所述请求应答报文中的第一生存时间值;当接收到响应于所述域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值;基于所述第一生存时间值与所述第二生存时间值的比较结果,判定所述域名应答报文是否为劫持报文。
【技术特征摘要】
1.一种域名劫持的防护方法,其特征在于,应用于防火墙,所述方法包括:当接收到域名查询报文时,截取所述域名查询报文并提取所述域名查询报文中的域名信息;检测所述域名信息是否在白名单中;若检测到所述域名信息不在白名单中,提取所述域名查询报文的目的IP地址;基于所述目的IP地址,发送控制请求报文控制请求报文;当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时,发送所述域名查询报文,并提取所述请求应答报文中的第一生存时间值;当接收到响应于所述域名查询报文返回的域名应答报文时,提取域名应答报文的第二生存时间值;基于所述第一生存时间值与所述第二生存时间值的比较结果,判定所述域名应答报文是否为劫持报文。2.根据权利要求1所述的方法,其特征在于,所述基于所述第一生存时间值与所述第二生存时间值,判定所述域名应答报文是否为劫持报文的步骤包括:比较所述第一生存时间值与所述第二生存时间值的大小;若第二生存时间值大于第一生存时间值,则判定所述域名应答报文为域名劫持报文。3.根据权利要求2所述的方法,其特征在于,若第二生存时间值小于或等于第一生存时间值,则判定所述域名应答报文不是域名劫持报文;将所述域名查询报文所查询的域名信息添加到域名白名单中,并将域名应答报文作为解析结果返回。4.根据权利要求1-3中任一项所述的方法,其特征在于,若检测到域名查询报文中的所述域名信息在白名单中,转发所述域名查询报文。5.一种域名劫持的防护系统,其特征在于,应用于防火墙,所述系统包括:域名提取单元(10),用于当接收到域名查询报文时,截取所述域名查询报文并提取所述域名查询报文中的域名信息;检测单元(20),用...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。