DNS隧道检测的方法和装置制造方法及图纸

本发明专利技术公开了一种DNS隧道检测的方法，包括步骤：检测发往DNS服务器的端口的客户端数据包是否为DNS数据包；当客户端数据包为DNS数据包时，检测客户端数据包的格式是否符合预置的格式约束条件，若是，则检测客户端数据包的查询域名是否符合预置的域名约束条件；当客户端数据包的格式不符合格式约束条件，和/或当客户端数据包的查询域名不符合域名约束条件时，根据预置的DNS隧道处理规则，对客户端数据包进行相应的处理。本发明专利技术还公开了相应的装置。采用本发明专利技术所公开的方案，能够区分正常的DNS数据包与DNS隧道数据包，有效解决对正常的DNS的误判问题，实现了对DNS隧道进行全面的检测，从而实现了对防火墙进行有效地防护。

【技术实现步骤摘要】
DNS隧道检测的方法和装置
本专利技术涉及到互联网
，特别涉及到一种DNS隧道检测的方法和装置。
技术介绍
随着互联网的迅猛发展,防火墙作为保护信息的一道屏障，已成为通信技术研究的一个重要领域。如今网络上存在一些防火墙穿透技术，能让数据包安全通过网络层，DNS隧道技术就是防火墙穿透技术中的一种。目前防御DNS隧道技术的方法主要有以下两种：一、基于端口封锁防卸：这是传统防火墙防御攻击最常用的方法，防火墙通过封锁53端口，进而阻止DNS隧道数据，达到防御DNS隧道穿透的目的，但是，这样，在阻断DNS隧道数据的同时，也将正常的DNS数据进行了阻断，而影响到了正常的业务；二、基于请求域名长度及请求频率统计分析方法：采用这种方法，是将客户端请求的DNS域名中长度大于长度阈值的以<客户端IP，纯域名>形式记录下来，然后统计<客户端IP，纯域名>的频率，当频率大于频率告警阈值时则判定此客户端使用了DNS隧道技术，但是，很难准确的区分DNS隧道数据和正常的DNS请求数据，因为在正常的DNS请求中也可能存长度很长的域名，通过域名长度阈值和频率告警阈值的取值上很难把握，存在本文档来自技高网...

【技术保护点】
一种DNS隧道检测的方法，其特征在于，包括步骤：检测发往DNS服务器的端口的客户端数据包是否为DNS数据包；当所述客户端数据包为DNS数据包时，检测所述客户端数据包的格式是否符合预置的格式约束条件，若是，则检测所述客户端数据包的查询域名是否符合预置的域名约束条件；当客户端数据包的格式不符合所述格式约束条件，和/或当客户端数据包的查询域名不符合所述域名约束条件时，根据预置的DNS隧道处理规则，对所述客户端数据包进行相应的处理。

【技术特征摘要】
1.一种DNS隧道检测的方法，其特征在于，包括步骤：检测发往DNS服务器的端口的客户端数据包是否为DNS数据包；当所述客户端数据包为DNS数据包时，检测所述客户端数据包的格式是否符合预置的格式约束条件，若是，则检测所述客户端数据包的查询域名是否符合预置的域名约束条件；当客户端数据包的格式不符合所述格式约束条件，和/或当客户端数据包的查询域名不符合所述域名约束条件时，则表明客户端数据包为DNS隧道数据包，并根据预置的DNS隧道处理规则，对所述客户端数据包进行相应的处理；所述检测客户端数据包的格式是否符合预置的格式约束条件至少包括：检测所述客户端数据包的请求包中是否包括回答字段和/或授权字段；和/或检测所述客户端数据包的响应包中的查询域名与回答域名是否一致；和/或检测所述客户端数据包的请求包中查询域名的类型字段值是否符合所述格式约束条件。2.根据权利要求1所述的DNS隧道检测的方法，其特征在于，所述预置的DNS隧道处理规则至少包括以下之一：丢弃所述客户端数据包、提示告警信息。3.根据权利要求2所述的DNS隧道检测的方法，其特征在于，所述检测客户端数据包的查询域名是否符合预置的域名约束条件至少包括：通过正则表达式区配所述客户端数据包的查询域名的内容；和/或检测所述客户端数据包的查询域名中是否包括DNS域名特殊字符。4.根据权利要求1至3中任一项所述的DNS隧道检测的方法，其特征在于，在执行所述检测发往DNS服务器的端口的数据包是否是DNS数据包的步骤之前，还包括：获取发送所述客户端数据包的客户端的IP地址，在预置的DNS隧道黑名单库中查找是否存在相同的IP地址；如存在，则执行所述根据预置的DNS隧道处理规则，对所述客户端数...

【专利技术属性】
技术研发人员：侯青青，
申请(专利权)人：深信服网络科技深圳有限公司，
类型：发明
国别省市：