一种基于防火墙系统的DNS劫持防御方法、装置及系统制造方法及图纸

本申请公开一种基于防火墙系统的DNS劫持防御方法、装置及系统，所述方法包括配置第一可信域名服务器和第二可信域名服务器，判断第一可信域名服务器和第二可信域名服务器返回的关于域名信息的解析结果是否相同，如果相同，存储在所述域名缓存列表中，再次比较本地授权域名服务器返回的第三解析结果是否与域名缓存列表中的解析结果相同，如果不同，说明第三解析结果被劫持，所述防火墙系统将其拦截。本申请是利用三方，即第一可信域名服务器，第二可信域名服务器以及本地授权域名服务器，确认的方法来实现防火墙系统对DNS劫持的防御功能，能够更加合理有效的对DNS劫持攻击行为进行检测拦截，避免钓鱼网站对用户造成危害。

【技术实现步骤摘要】
一种基于防火墙系统的DNS劫持防御方法、装置及系统
本申请涉及DNS劫持防御
，尤其涉及一种基于防火墙系统的DNS劫持防御方法、装置及系统。
技术介绍
DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，返回假的IP地址，其效果就是对特定的网络访问的是假网址，比如钓鱼网站。DNS劫持主要是通过伪造DNS服务器作为一个主要攻击手段，攻击者劫持用户发往授权域名服务器的DNS请求报文，然后通过伪造DNS服务器把钓鱼网站的IP返回给用户进行欺骗。对于上述的DNS劫持，现有技术主要是采用一种被动的方案进行防御，具体为网站服务商可以提供两个域名，当其中一个域名发现被劫持行为后，可以使用另一个域名进行访问。但是，现有技术防御方案过于被动，当DNS劫持攻击出现后依然可能引起危害。因为现有技术中发现一个域名被劫持后使用另一个域名进行访问，也就是说防御是在发现域名劫持行为后，所以可能在这个时候域名劫持行为已经对用户产生了危害，用户已经通过域名劫持行为返回的钓鱼网站IP地址访问了第三方虚假的网站，因此仍可能会造成诈骗等危害。
技术实现思路
本申请提供一种基于防火墙系统的DNS劫持防御方法、装置及系统，以解决现有技术中DNS劫持防御方法过于被动，防御能力过低，仍然可能引起危害的技术问题。第一方面，本申请提供一种基于防火墙系统的DNS劫持防御方法，所述方法包括：S100、配置第一可信域名服务器地址和第二可信域名服务器至防火墙系统中；S200、确定域名信息；S300、发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；S400、接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名解析结果；S500、判断所述第一域名解析结果与所述第二域名解析结果是否相同；S600、如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；S700、接收本地授权域名服务器返回的第三解析结果；S800、遍历所述域名缓存列表，判断是否存在与第三解析结果相同的综合解析结果；S900、如果不存在与第三解析结果相同的综合解析结果，所述防火墙系统拦截所述第三解析结果。结合第一方面，在第一方面的第一种可能的实现方式中，所述确定域名信息的步骤包括：S201、防火墙系统监测DNS请求，并提取DNS请求中的域名；S202、统计每个所述域名的请求次数；S203、判断每个所述域名的请求次数是否达到请求次数阈值；S204、如果达到所述请求次数阈值，确定所述域名为学习域名，添加所述学习域名至域名缓存列表。结合第一方面的第一种可能的实现方式中，在第一方面的第二种可能的实现方式中，所述确定域名信息的步骤还包括：配置自定义域名至所述域名缓存列表。结合第一方面的第一种可能的实现方式中，在第一方面的第三种可能的实现方式中，所述方法还包括：统计所述学习域名在域名缓存列表中的存在时间；判断所述存在时间是否达到预设老化时间；如果所述存在时间达到预设老化时间，删除域名缓存列表中的所述学习域名，以及，所述学习域名对应的综合解析结果。第二方面，本申请提供一种基于防火墙系统的DNS劫持防御装置，所述装置包括：配置单元100，用于配置第一可信域名服务器地址和第二可信域名服务器至防火墙系统中；确定单元200，用于确定域名信息；发送单元300，用于发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；第一接收单元400，用于接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名结果；第一判断单元500，用于判断所述第一域名解析结果与所述第二域名解析结果是否相同；第一添加单元600，用于如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；第二接收单元700，用于接收本地授权域名服务器返回的第三解析结果；第二判断单元800，用于遍历所述域名缓存列表，判断是否存在与第三解析结果相同的综合解析结果；拦截单元900、用于如果不存在与第三解析结果相同的综合解析结果，所述防火墙系统拦截所述第三解析结果。结合第二方面，在第二方面的第一种可能的实现方式中，所述确定单元包括：提取单元201，用于防火墙系统监测DNS请求，并提取DNS请求中的域名；第一统计单元202，用于统计每个所述域名的请求次数；第三判断单元203，用于判断每个所述域名的请求次数是否达到请求次数阈值；第二添加单元204，用于如果达到所述请求次数阈值，确定所述域名为学习域名，添加所述学习域名至域名缓存列表。结合第二方面的第一种可能的实现方式中，在第二方面的第二种可能的实现方式中，所述确定单元还包括：配置单元，用于配置自定义域名至所述域名缓存列表。结合第二方面的第一种可能的实现方式中，在第二方面的第三种可能的实现方式中，所述装置还包括：第二统计单元，用于统计所述学习域名在域名缓存列表中的存在时间；第四判断单元，用于判断所述存在时间是否达到预设老化时间；删除单元，用于如果所述存在时间达到预设老化时间，删除域名缓存列表中的所述学习域名，以及，所述学习域名对应的综合解析结果。第三方面，本申请提供一种基于防火墙系统的DNS劫持防御系统，所述系统包括：本地授权域名服务器、第一可信域名服务器、第二可信域名服务器，以及，防火墙系统；所述本地授权域名服务器、第一可信域名服务器、第二可信域名服务器分别与防火墙系统连接；所述本地授权域名服务器，用于根据域名信息，确定第三域名解析结果，并发送所述第三域名解析结果至防火墙系统；所述第一可信域名服务器，用于根据域名信息，确定第一域名解析结果，并发送所述第一域名解析结果至防火墙系统；所述第二可信域名服务器，用于根据域名信息，确定第二域名解析结果，并发送所述第二域名解析结果至防火墙系统；所述防火墙系统，用于存储所述域名缓存列表；还用于确定域名信息；发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名解析结果；判断所述第一域名解析结果与所述第二域名解析结果是否相同；如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；接收本地授权域名服务器返回的第三解析结果；遍历所述域名缓存列表，判断是否存在与第三解析结果相同的综合解析结果；如果不存在与第三解析结果相同的综合解析结果，拦截所述第三解析结果。由以上技术可知，本申请提供了一种基于防火墙系统的DNS劫持防御方法、装置及系统，所述方法包括配置第一可信域名服务器和第二可信域名服务器，判断第一可信域名服务器和第二可信域名服务器返回的关于域名信息的解析结果是否相同，如果相同，存储在所述域名缓存列表中，再次比较本地授权域名服务器返回的第三解析结果是否与域名缓存列表中的解析结果相同，如果相同，才能说明第三解析结果是可信赖的，如果不同，说明第三解析结果被劫持，所述防火墙系统将其拦截。本申请是利用三方，即第一可信域名服务器，第二可信域名服务器以及本地授权本文档来自技高网...

【技术保护点】
1.一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述方法包括：S100、配置第一可信域名服务器地址和第二可信域名服务器至防火墙系统中；S200、确定域名信息；S300、发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；S400、接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名解析结果；S500、判断所述第一域名解析结果与所述第二域名解析结果是否相同；S600、如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；S700、接收本地授权域名服务器返回的第三解析结果；S800、遍历所述域名缓存列表，判断是否存在与第三解析结果相同的综合解析结果；S900、如果不存在与第三解析结果相同的综合解析结果，所述防火墙系统拦截所述第三解析结果。

【技术特征摘要】
1.一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述方法包括：S100、配置第一可信域名服务器地址和第二可信域名服务器至防火墙系统中；S200、确定域名信息；S300、发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；S400、接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名解析结果；S500、判断所述第一域名解析结果与所述第二域名解析结果是否相同；S600、如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；S700、接收本地授权域名服务器返回的第三解析结果；S800、遍历所述域名缓存列表，判断是否存在与第三解析结果相同的综合解析结果；S900、如果不存在与第三解析结果相同的综合解析结果，所述防火墙系统拦截所述第三解析结果。2.根据权利要求1所述的一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述确定域名信息的步骤包括：S201、防火墙系统监测DNS请求，并提取DNS请求中的域名；S202、统计每个所述域名的请求次数；S203、判断每个所述域名的请求次数是否达到请求次数阈值；S204、如果达到所述请求次数阈值，确定所述域名为学习域名，添加所述学习域名至域名缓存列表。3.根据权利要求2所述的一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述确定域名信息的步骤还包括：配置自定义域名至所述域名缓存列表。4.根据权利要求2所述的一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述方法还包括：统计所述学习域名在域名缓存列表中的存在时间；判断所述存在时间是否达到预设老化时间；如果所述存在时间达到预设老化时间，删除域名缓存列表中的所述学习域名，以及，所述学习域名对应的综合解析结果。5.一种基于防火墙系统的DNS劫持防御装置，其特征在于，所述装置包括：配置单元100，用于配置第一可信域名服务器地址和第二可信域名服务器至防火墙系统中；确定单元200，用于确定域名信息；发送单元300，用于发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；第一接收单元400，用于接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名结果；第一判断单元500，用于判断所述第一域名解析结果与所述第二域名解析结果是否相同；第一添加单元600，用于如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；第二接收单元700，用于接收本地授权域名服...

【专利技术属性】
技术研发人员：张辉，
申请(专利权)人：天津睿邦安通技术有限公司，
类型：发明
国别省市：天津,12