【技术实现步骤摘要】
本专利技术涉及计算机,尤其涉及一种用于防范dns隧道攻击的方法及装置。
技术介绍
1、dns(domain name system,域名系统)隧道技术是一种隐蔽的传输技术,通过在dns协议中嵌入恶意数据,将其传输到内部网络,从而实现对内部网络的攻击。dns隧道防范的难点主要在于其隐蔽性。由于dns协议本身是合法的,所以很难被检测和阻止。此外,dns隧道还可以通过外部网络实现对内部网络的攻击,这也增加了防范的难度。比如黑客可以利用这种技术来掩盖其攻击行为,以避免被发现;比如攻击者将被窃取的数据进行加密,并将加密后的数据嵌入到正常的dns查询报文中,通过正常的dns查询请求通过dns递归查询机制,将被窃取数据发送到指定的外部服务器上。攻击者就可以从外部服务器中获得被窃取的数据。
2、现有的技术方案在应对dns隧道远程控制类网络安全风险方面存在以下缺陷:
3、1、检测难度高:dns隧道攻击是一种隐蔽的攻击方式,很难被传统的网络安全措施发现和检测。攻击者可以通过在正常dns请求中隐藏恶意指令或数据,绕过防火墙和入侵检测系统的监控,从而达到远程控制的目的。
4、2、防御技术门槛高:现有的防御技术需要专业的安全团队或者专业的安全设备进行防护,而且需要进行精细的配置和监控,因此技术门槛较高,对于一般的企业和用户来说,很难做到有效的防护。
5、3、防御范围有限:现有的防御方案往往只针对已知的攻击类型进行防御,对于未知的攻击类型和变种攻击,其防御能力较弱。因此,需要不断更新和升级防御措施,以应对不断
6、综上所述,现有的技术方案在应对dns隧道远程控制类网络安全风险方面仍存在诸多不足之处,难以有效预防和告警。
技术实现思路
1、本专利技术的目的是为了解决现有技术中存在的缺点,实现在大型企业办公网络各不同分支机构网络间使用互联网进行办公通讯的场景下,利用现有防火墙或行为管理设备,实现一种用于防范dns隧道的攻击的方法及装置。
2、为实现上述目的,本专利技术采用了如下技术方案:一种用于防范dns隧道攻击的方法,包括以下步骤:
3、s1、制定白名单策略;
4、所述白名单策略包括:域名白名单规则和域名解析服务器白名单规则;
5、s11、制定域名白名单规则;
6、域名白名单规则是指通过配置域名解析的规则,限制域名的访;
7、具体包括以下子步骤:
8、s111、预定义域名白名单;
9、创建域名白名单,在域名白名单内添加允许进行域名解析的域名;
10、包括允许的协议、端口和其他相关参数;
11、s112、配置访问控制设备;
12、在网络中的访问控制设备,如:防火墙、代理服务器或应用程序防火墙上配置域名白名单规则;
13、s113、测试和验证域名白名单规则;
14、包括测试允许和禁止的域名、协议和端口,以确保符合规则;
15、s114、持续维护和更新域名白名单;
16、包括添加新的域名、更新规则和删除不再需要的规则;
17、定期审查域名白名单规则,确保其有效性。
18、s12、制定域名解析服务器白名单规则;
19、域名解析服务器白名单规则是指通过配置允许访问的域名解析服务器的ip名单,限制可访问域名解析服务器的范围;
20、具体包括以下子步骤:
21、s121、创建域名解析服务器白名单;
22、通过建立ip地址集创建域名解析服务器白名单;
23、s122、预定义域名解析服务器白名单;
24、在ip地址集内添加允许访问的域名解析服务器主机ip地址;
25、s123、配置dns服务器;
26、在dns服务器上配置域名解析服务器白名单规则,包括修改dns服务器的配置文件或使用管理界面,以包含允许的解析服务器的信息,并拒绝其他未经授权的解析服务器;
27、s124、测试和验证域名解析服务器白名单规则;
28、在配置域名解析服务器白名单规则后,进行测试和验证以确保正常工作;
29、包括使用未被列入域名解析服务器白名单的dns服务器ip尝试进行解析,以确保其被拒绝;
30、s125、持续维护和更新域名解析服务器白名单规则;
31、包括添加新的允许的dns服务器ip、更新规则和删除不再需要的规则;
32、定期审查域名解析服务器白名单规则,确保有效性。
33、s2、收集dns解析请求报文;
34、在企业办公网络的各不同分支机构网络内部署网络探针,收集网络内所有dns解析请求报文;
35、收集的dns解析请求报文的数据包括:请求的域名、请求的时间戳、请求的源ip地址、域名解析服务器ip;
36、所述请求的域名为向域名解析服务器请求的域名,即用户或设备试图解析的域名;
37、所述请求的时间戳为dns请求的时间,可定位请求时间,用于分析和时间线重建;
38、所述请求的源ip地址为发出dns请求的设备或用户的ip地址,用于确定请求的来源。
39、s3、判断dns解析请求行为;
40、s31、判断dns请求的域名是否在域名白名单内;
41、将dns请求的域名与预定义的域名白名单中的域名进行对比;
42、若请求的域名在域名白名单中找到匹配项,则为一个正常的dns请求,允许继续解析;
43、若请求的域名在域名白名单中没有找到匹配项,则请求存在潜在风险,为异常dns解析行为。
44、s32、判断域名解析服务器ip是否在域名解析服务器白名单内;
45、将请求的域名解析服务器ip与预定义的域名解析服务器白名单中的ip进行对比;
46、若请求的域名解析服务器ip在域名解析服务器白名单中找到匹配项,则为一个正常的域名解析服务器ip,允许继续;
47、若请求的域名解析服务器ip在域名解析服务器白名单中没有找到匹配项,则请求存在潜在风险,为异常dns解析行为。
48、s4、配置dns安全策略,过滤异常dns解析行为;
49、所述dns安全策略包括:正常行为通过策略和异常行为拦截策略;
50、s41、配置正常行为通过策略;
51、具体包括以下子步骤:
52、s411、关联已创建好的域名白名单;
53、s412、关联已创建好的域名解析服务器白名单;
54、s413、关联需要检测的服务类型为dns服务;
55、s414、配置匹配的数据流量处置为通过;
56、s42、配置异常行为拦截策略;
57、具体包括以下子步骤:
58、s421、关联需要检测的服务类型为d本文档来自技高网...
【技术保护点】
1.一种用于防范DNS隧道攻击的方法,其特征在于:包括以下步骤:
2.如权利要求1所述的用于防范DNS隧道攻击的方法,其特征在于:步骤S1包括以下步骤:
3.如权利要求2所述的用于防范DNS隧道攻击的方法,其特征在于:步骤S2中,
4.如权利要求3所述的用于防范DNS隧道攻击的方法,其特征在于:步骤S3包括以下步骤:
5.如权利要求4所述的用于防范DNS隧道攻击的方法,其特征在于:步骤S4中,所述DNS安全策略包括正常行为通过策略和异常行为拦截策略。
6.如权利要求5所述的用于防范DNS隧道攻击的方法,其特征在于:步骤S4具体包括以下步骤:
7.如权利要求6所述的用于防范DNS隧道攻击的方法,其特征在于:步骤S5中,配置异常行为告警策略,在异常行为拦截策略中,将与匹配的流量会话相关的信息记录到设备的日志中。
8.一种用于防范DNS隧道攻击的装置,适用于权利要求1-7所述的用于防范DNS隧道攻击的方法,其特征在于:包括白名单配置模块、异常DNS解析请求判断模块、异常DNS解析请求过滤模块、异常DNS
...【技术特征摘要】
1.一种用于防范dns隧道攻击的方法,其特征在于:包括以下步骤:
2.如权利要求1所述的用于防范dns隧道攻击的方法,其特征在于:步骤s1包括以下步骤:
3.如权利要求2所述的用于防范dns隧道攻击的方法,其特征在于:步骤s2中,
4.如权利要求3所述的用于防范dns隧道攻击的方法,其特征在于:步骤s3包括以下步骤:
5.如权利要求4所述的用于防范dns隧道攻击的方法,其特征在于:步骤s4中,所述dns安全策略包括正常行为通过策略和异常行为拦截策略。
【专利技术属性】
技术研发人员:侯宇,裴恒达,
申请(专利权)人:中国人寿保险股份有限公司江苏省分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。