一种域名劫持的防护方法、系统及防火墙设备技术方案

本发明专利技术公开了一种域名劫持的防护方法、系统及防火墙设备，该方法包括：截取域名查询报文并提取域名信息；检测域名信息是否在白名单中；若否，提取域名查询报文的目的IP地址；基于目的IP地址发送控制请求报文控制请求报文；当接收到响应于控制请求报文控制请求报文返回的请求应答报文时发送域名查询报文，提取请求应答报文中的第一生存时间值；当接收到响应于域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；基于第一生存时间值与第二生存时间值的比较结果，判定域名应答报文是否为劫持报文。本发明专利技术通过比较请求应答报文的第一生存时间值与域名应答报文的第二生存时间值，根据比较结果判断是否发生域名劫持行为。

Method, system and device for protecting domain name hijacking

The invention discloses a protection method, system of domain name hijacking and firewall equipment, the method comprises: capturing domain name query message and extracting domain information; detection domain information is on the white list; if not, the extraction domain name query message destination IP address; IP address to send the control request message when the message based on the control request; received in response to the control request message control request message return request response message sent domain name query message, the first extraction request survival time response message value; when receiving a response to the domain name domain name query response message message returned, extracting second survival time domain response message value; comparing the results with second survival value the value of the first survival time based on the decision whether to hijack domain response message message. By comparing the first survival time value of the request response message and the second survival time value of the domain name response message, the invention judges whether the domain name hijacking behavior is based on the comparison result.

【技术实现步骤摘要】

本专利技术涉及互联网
，特别涉及一种域名劫持的防护方法、系统及防火墙设备。
技术介绍
域名解析系统(简称域名)，能够帮助用户更加方便的访问互联网。由于域名的存在，互联网用户在访问网站的时候可以直接使用域名来实现，而不用记住网站所使用的IP地址。通过域名最终找到对应的IP地址的行为叫做域名解析。然而，近来部分恶意用户及厂商为了获取流量和不法的目的，进行监听正常用户的域名会话，抢先将虚假的域名响应返回给客户端。最终会导致用户无法打开目标网站，甚至打开带有病毒木马的网站。在实现本专利技术的过程中，专利技术人发现至少存在如下问题：现有技术对域名劫持没有有效的防护方法，只能在用户已经发现被劫持后采取一些警惕受骗和躲避危险页面的方法。当前技术还不能有效的预防域名事件的发生，只能在域名劫持发生后采取一定的措施，例如，通过及时关闭钓鱼页面或者修改网关的域名服务器地址等来避免域名劫持带来危害。
技术实现思路
本专利技术实施例的目的是提供一种域名劫持的防护方法、系统及防火墙设备，本专利技术实施例通过获取请求应答报文的生存时间值，将该生存时间值与域名应答报文的生存时间值进行对比，根据对比结果判断是否发生域名劫持行为。根据本专利技术实施例的一个方面提供了一种域名劫持的防护方法，应用于防火墙，该方法包括：当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；检测所述域名信息是否在白名单中；若检测到所述域名信息不在白名单中，提取所述域名查询报文的目的IP地址；基于所述目的IP地址，发送控制请求报文控制请求报文；当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时，发送所述域名查询报文，并提取所述请求应答报文中的第一生存时间值；当接收到响应于所述域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；基于所述第一生存时间值与所述第二生存时间值的比较结果，判定所述域名应答报文是否为劫持报文。进一步地，所述基于所述第一生存时间值与所述第二生存时间值，判定所述域名应答报文是否为劫持报文的步骤包括：比较所述第一生存时间值与所述第二生存时间值的大小；若第二生存时间值大于第一生存时间值，则判定所述域名应答报文为域名劫持报文。进一步地，若第二生存时间值小于或等于第一生存时间值，则判定所述域名应答报文不是域名劫持报文；将所述域名查询报文所查询的域名信息添加到域名白名单中，并将域名应答报文作为解析结果返回。进一步地，若检测到域名查询报文中的所述域名信息在白名单中，转发所述域名查询报文。根据本专利技术实施例的另一个方面提供了一种域名劫持的防护系统，应用于防火墙，该系统包括：域名提取单元、检测单元、地址提取单元、报文发送单元、第一生存时间提取单元、第二生存时间提取单元和比较单元；域名提取单元，用于当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；检测单元，用于检测所述域名信息是否在白名单中；地址提取单元，用于若检测到所述域名信息不在白名单中，提取所述域名查询报文的目的IP地址；报文发送单元，用于基于所述目的IP地址，发送控制请求报文控制请求报文；第一生存时间提取单元，用于当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时，发送所述域名查询报文，并提取所述请求应答报文中的第一生存时间值；第二生存时间提取单元，用于当接收到响应于所述域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；比较单元，用于基于所述第一生存时间值与第二生存时间值的比较结果，判定所述域名应答报文是否为劫持报文。进一步地，所述比较单元包括：比较子单元和判定子单元；比较子单元，用于比较所述第一生存时间值与第二生存时间值的大小；判定子单元，用于当比较子单元的比较结果为第二生存时间值大于第一生存时间值时，则判定所述域名应答报文为域名劫持报文。进一步地，还包括：域名添加单元，用于比较子单元的比较结果为第二生存时间值小于或等于一生存时间值，则判定所述域名应答报文不是域名劫持报文，将所述域名查询报文所查询的域名信息添加到域名白名单中，并将域名应答报文作为解析结果返回。进一步地，还包括：数据转发单元，用于当检测单元检测到域名查询报文中的所述域名信息在白名单中时，转发所述域名查询报文。根据本专利技术实施例的又一方面提供了一种防火墙设备，包括上述域名劫持的防护系统。本专利技术实施例的有益效果在于，通过ping域名服务器获取请求应答报文的生存时间值，然后将该生存时间值与域名应答报文的生存时间值进行对比，从而进行域名劫持行为的判定。判断依据为：若域名应答报文的第二生存时间值大于请求应答报文的第一生存时间值，说明域名应答报文的发送主机距离防火墙的路由跳数小于域名服务器距离防火墙的路由跳数，因此判定该域名应答报文存在域名劫持行为。若域名应答报文的生存时间值小于或等于请求应答报文的生存时间值，则判定该域名应答报文不存在域名劫持行为，所以克服了现有技术中只能在域名劫持发生后采取一定的措施(比如及时关闭钓鱼页面或者修改网关的域名服务器地址等)来避免域名劫持带来危害的技术问题，能够有效的防御域名劫持行为。附图说明图1是本专利技术提供的正常打开网站的原理示意图；图2是本专利技术第一实施例提供的一种域名劫持的防护方法的流程图；图3是本专利技术第二实施例提供的一种域名劫持的防护方法的流程示意图；图4是本专利技术第三实施例提供的一种域名劫持的防护系统的结构示意图；图5是本专利技术第四实施例提供的比较单元的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本专利技术进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本专利技术的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本专利技术的概念。需要说明的是：控制请求报文是基于ICMP协议(Internet控制报文协议，InternetControlMessageProtocol)的，用于在IP主机、路由器之间传递控制请求报文。控制请求报文用于检测网络通不通、主机是否可达、路由是否可用等。这些控制请求报文虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。如图1所示，本专利技术实施例的应用场景如下：包括客户端以及与客户端通信连接的防火墙、运营商网关、劫持服务器和域名服务器(DNS服务器)。参见图1，下面对用户正常打开一个正常网站(如www.test.com)的流程进行说明：首先，用户通过客户端在浏览器中输入域名www.test.com时，客户端的操作系统向域名服务器发起域名解析控制请求报文，询问www.test.com对应的IP地址；其次，域名解析控制请求报文依次经过防火墙，运营商网关，到达域名服务器。再次，域名服务器查询到该域名(www.test.com)的查询结果后，将查询结果作为解析结果返回，解析结果报文依次经过运营商网关，防火墙到达客户端。最后，用户获得域名解析结果后,根据网站服务器的IP地址向网站服务器发起TCP三次握手打开网站页面。参见图1，下面对运营商网关的劫持原理进行说明：当运营商网关检测到用户通过客户端发起的域名解析请求时，直接通过旁路部署的劫持服务器返回一个域名解析结果给用户，但解析结果中的IP地址不是正确的IP地址，本文档来自技高网...

【技术保护点】
一种域名劫持的防护方法，其特征在于，应用于防火墙，所述方法包括：当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；检测所述域名信息是否在白名单中；若检测到所述域名信息不在白名单中，提取所述域名查询报文的目的IP地址；基于所述目的IP地址，发送控制请求报文控制请求报文；当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时，发送所述域名查询报文，并提取所述请求应答报文中的第一生存时间值；当接收到响应于所述域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；基于所述第一生存时间值与所述第二生存时间值的比较结果，判定所述域名应答报文是否为劫持报文。

【技术特征摘要】
1.一种域名劫持的防护方法，其特征在于，应用于防火墙，所述方法包括：当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；检测所述域名信息是否在白名单中；若检测到所述域名信息不在白名单中，提取所述域名查询报文的目的IP地址；基于所述目的IP地址，发送控制请求报文控制请求报文；当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时，发送所述域名查询报文，并提取所述请求应答报文中的第一生存时间值；当接收到响应于所述域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；基于所述第一生存时间值与所述第二生存时间值的比较结果，判定所述域名应答报文是否为劫持报文。2.根据权利要求1所述的方法，其特征在于，所述基于所述第一生存时间值与所述第二生存时间值，判定所述域名应答报文是否为劫持报文的步骤包括：比较所述第一生存时间值与所述第二生存时间值的大小；若第二生存时间值大于第一生存时间值，则判定所述域名应答报文为域名劫持报文。3.根据权利要求2所述的方法，其特征在于，若第二生存时间值小于或等于第一生存时间值，则判定所述域名应答报文不是域名劫持报文；将所述域名查询报文所查询的域名信息添加到域名白名单中，并将域名应答报文作为解析结果返回。4.根据权利要求1-3中任一项所述的方法，其特征在于，若检测到域名查询报文中的所述域名信息在白名单中，转发所述域名查询报文。5.一种域名劫持的防护系统，其特征在于，应用于防火墙，所述系统包括：域名提取单元(10)，用于当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；检测单元(20)，用...

【专利技术属性】
技术研发人员：张辉，
申请(专利权)人：汉柏科技有限公司，
类型：发明
国别省市：天津;12