[发明专利]一种域名劫持的防护方法、系统及防火墙设备

权利要求书

1.一种域名劫持的防护方法，其特征在于，应用于防火墙，所述方法包括：

当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；

检测所述域名信息是否在白名单中；

若检测到所述域名信息不在白名单中，提取所述域名查询报文的目的IP地址；

基于所述目的IP地址，发送控制请求报文控制请求报文；

当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时，发送所述域名查询报文，并提取所述请求应答报文中的第一生存时间值；

当接收到响应于所述域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；

基于所述第一生存时间值与所述第二生存时间值的比较结果，判定所述域名应答报文是否为劫持报文。

2.根据权利要求1所述的方法，其特征在于，所述基于所述第一生存时间值与所述第二生存时间值，判定所述域名应答报文是否为劫持报文的步骤包括：

比较所述第一生存时间值与所述第二生存时间值的大小；

若第二生存时间值大于第一生存时间值，则判定所述域名应答报文为域名劫持报文。

3.根据权利要求2所述的方法，其特征在于，

若第二生存时间值小于或等于第一生存时间值，则判定所述域名应答报文不是域名劫持报文；

将所述域名查询报文所查询的域名信息添加到域名白名单中，并将域名应答报文作为解析结果返回。

4.根据权利要求1-3中任一项所述的方法，其特征在于，

若检测到域名查询报文中的所述域名信息在白名单中，转发所述域名查询报文。

5.一种域名劫持的防护系统，其特征在于，应用于防火墙，所述系统包括：

域名提取单元(10)，用于当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；

检测单元(20)，用于检测所述域名信息是否在白名单中；

地址提取单元(30)，用于若检测到所述域名信息不在白名单中，提取所述域名查询报文的目的IP地址；

报文发送单元(40)，用于基于所述目的IP地址，发送控制请求报文控制请求报文；

第一生存时间提取单元(50)，用于当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时，发送所述域名查询报文，并提取所述请求应答报文中的第一生存时间值；

第二生存时间提取单元(60)，用于当接收到响应于所述域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；

比较单元(70)，用于基于所述第一生存时间值与第二生存时间值的比较结果，判定所述域名应答报文是否为劫持报文。

6.根据权利要求5所述的系统，其特征在于，所述比较单元(70)包括：

比较子单元(71)，用于比较所述第一生存时间值与第二生存时间值的大小；

判定子单元(72)，用于当比较子单元(71)的比较结果为第二生存时间值大于第一生存时间值时，则判定所述域名应答报文为域名劫持报文。

7.根据权利要求6所述的系统，其特征在于，还包括：

域名添加单元(80)，用于比较子单元(71)的比较结果为第二生存时间值小于或等于第一生存时间值，则判定所述域名应答报文不是域名劫持报文，将所述域名查询报文所查询的域名信息添加到域名白名单中，并将域名应答报文作为解析结果返回。

8.根据权利要求5-7中任一项所述的系统，其特征在于，还包括：

数据转发单元(90)，用于当检测单元(20)检测到域名查询报文中的所述域名信息在白名单中时，转发所述域名查询报文。

9.一种防火墙设备，其特征在于，包括权利要求5-8任一项所述的域名劫持的防护系统。