【技术实现步骤摘要】
用于阻止、检测和/或防止恶意流量的方法和设备
[0001]本申请是国家申请日为2019年6月13日、国家申请号为201910510528.6、专利技术名称为“用于阻止、检测和/或防止恶意流量的方法和设备”的中国专利技术专利申请的分案申请。
[0002]本公开的实施例一般涉及网络流量领域,并且更具体地涉及用于阻止、检测和/或防止恶意流量的方法和设备。
技术介绍
[0003]域名系统(DNS)是被称为互联网协议套件的用于计算机如何在互联网和许多专用网络上交换数据的标准集合内的协议。DNS服务被用来解析与域名相关联的互联网协议(IP)地址。DNS沉洞(DNS sinkholing)可以被用来提供不正确的DNS解析,通过其可以将互联网流量的路径定向到不同的资源(例如,沉洞服务器)而不是允许访问恶意内容或不可访问的内容。DNS沉洞是一种重定向恶意互联网流量使得可以捕获和分析恶意互联网流量的方法。
技术实现思路
[0004]根据一些可能的实现,一种方法可以包括由处理器获得与多个列入黑名单的域相关联的信息,其中信息包括与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器基于收集与列入黑名单的域标识符相关联的域名系统(DNS)数据来确定托管多个列入黑名单的域的设备的网络地址,以及由处理器在数据结构中存储托管多个列入黑名单的域的设备的网络地址和与多个列入黑名单的域中的列入黑名单的域相对应的列入黑名单的域标识符。方法可以包括由处理器接收发往与目的地网络地址相关联的目的地设备的一 ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:由处理器在数据结构中存储托管多个列入黑名单的域的设备的网络地址和与所述多个列入黑名单的域相对应的列入黑名单的域标识符;由所述处理器接收发往与目的地网络地址相关联的目的地设备的流量;由所述处理器确定所述目的地网络地址对应于被存储在所述数据结构中的所述网络地址中的网络地址;由所述处理器基于确定所述目的地网络地址对应于所述网络地址,来确定所述网络地址对应于所述列入黑名单的域标识符中的列入黑名单的域标识符;由所述处理器从与所述列入黑名单的域标识符相关联的多个沉洞服务器标识符中选择沉洞服务器标识符,其中,所述沉洞服务器标识符基于以下而被选择:与客户端设备的位置的地理邻近度,或者循环调度过程;以及由所述处理器朝向与所述沉洞服务器标识符相关联的沉洞服务器重定向所述流量。2.根据权利要求1所述的方法,其中选择所述沉洞服务器标识符包括:执行地理邻近度算法以选择最接近所述客户端设备的所述位置的所述沉洞服务器。3.根据权利要求1所述的方法,其中选择所述沉洞服务器标识符包括:标识与所述客户端设备相对应的第一地理位置,所述流量从所述客户端设备被接收;标识与所述多个沉洞服务器标识符相对应的多个第二地理位置;并且其中选择所述沉洞服务器标识符包括:选择与地理上最接近所述第一地理位置的所述沉洞服务器相关联的所述沉洞服务器标识符。4.根据权利要求1所述的方法,其中选择所述沉洞服务器标识符包括:当与所述客户端设备的所述位置的所述地理邻近度不能被确定时,经由所述循环调度过程对多个沉洞服务器进行负载平衡。5.根据权利要求1所述的方法,还包括:确定分组源网络地址满足与所述多个列入黑名单的域相关联的匹配标准;生成包括所述沉洞服务器标识符的消息;以及将所述消息发送到与所述分组源网络地址相对应的设备,其中所述消息包括域名系统DNS响应,所述DNS响应具有被设置为零的生存时间值。6.根据权利要求1所述的方法,还包括:生成包括所述列入黑名单的域标识符的DNS请求;将所述DNS请求发送到DNS服务器;从所述DNS服务器接收对所述DNS请求的响应,其中,所述响应包括托管所述多个列入黑名单的域的设备的所述网络地址;以及缓存被包括在对所述DNS请求的所述响应中的所述网络地址。7.根据权利要求1所述的方法,还包括:拦截在DNS解析器设备和DNS服务器设备之间被交换的DNS消息,其中所述DNS消息包括托管所述多个列入黑名单的域的设备的所述网络地址;以及
缓存被包括在所述DNS消息中的所述网络地址。8.一种网络设备,包括:一个或多个存储器;以及一个或多个处理器,被通信地耦合到所述一个或多个存储器,所述一个或多个处理器被配置为:在数据结构中存储托管多个列入黑名单的域的设备的网络地址和与所述多个列入黑名单的域相对应的列入黑名单的域标识符;接收发往与目的地网络地址相关联的目的地设备的流量;确定所述目的地网络地址对应于托管所述多个列入黑名单的域的设备的所述网络地址中的网络地址;从与对应于所述网络地址的列入黑名单的域标识符相关联的多个沉洞服务器标识符中选择沉洞服务器标识符,其中,所述沉洞服务器标识符基于以下而被选择:与客户端设备的位置的地理邻近度,或者循环调度过程;以及朝向与所述沉洞服务器标识符相关联的沉洞服务器重定向所述流量。9.根据权利要求8所述的网络设备,其中所述一个或多个处理器还用以:基于托管所述多个列入黑名单的域的设备的所述网络地址来建立过滤器;以及在与所述网络设备相关联的转发组件上安装所述过滤器。10.根据权利要求8所述的网络设备,其中所述一个或多个处理器还用以:确定所述流量对应于超文本传输协议HTTP流量;解析HTTP流量的报头以确定域标识符;将所述域标识符与被存储在所述数据结构中的所述列入黑名单的域标识符相比较;确定所述域标识符对应于所述列入黑名单的域标识符中的列入黑名单的域标识符;其中所述一个或多个处理器在选择所述沉洞服务器标识符时用以:基于确定所述域标识符对应于所述列...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。