[发明专利]一种域名劫持的防护方法、系统及防火墙设备

说明书

技术领域

本发明涉及互联网技术领域，特别涉及一种域名劫持的防护方法、系统及防火墙设备。

背景技术

域名解析系统(简称域名)，能够帮助用户更加方便的访问互联网。由于域名的存在，互联网用户在访问网站的时候可以直接使用域名来实现，而不用记住网站所使用的IP地址。通过域名最终找到对应的IP地址的行为叫做域名解析。然而，近来部分恶意用户及厂商为了获取流量和不法的目的，进行监听正常用户的域名会话，抢先将虚假的域名响应返回给客户端。最终会导致用户无法打开目标网站，甚至打开带有病毒木马的网站。

在实现本发明的过程中，发明人发现至少存在如下问题：

现有技术对域名劫持没有有效的防护方法，只能在用户已经发现被劫持后采取一些警惕受骗和躲避危险页面的方法。当前技术还不能有效的预防域名事件的发生，只能在域名劫持发生后采取一定的措施，例如，通过及时关闭钓鱼页面或者修改网关的域名服务器地址等来避免域名劫持带来危害。

发明内容

本发明实施例的目的是提供一种域名劫持的防护方法、系统及防火墙设备，本发明实施例通过获取请求应答报文的生存时间值，将该生存时间值与域名应答报文的生存时间值进行对比，根据对比结果判断是否发生域名劫持行为。

根据本发明实施例的一个方面提供了一种域名劫持的防护方法，应用于防火墙，该方法包括：当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；检测所述域名信息是否在白名单中；若检测到所述域名信息不在白名单中，提取所述域名查询报文的目的IP地址；基于所述目的IP地址，发送控制请求报文控制请求报文；当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时，发送所述域名查询报文，并提取所述请求应答报文中的第一生存时间值；当接收到响应于所述域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；基于所述第一生存时间值与所述第二生存时间值的比较结果，判定所述域名应答报文是否为劫持报文。

进一步地，所述基于所述第一生存时间值与所述第二生存时间值，判定所述域名应答报文是否为劫持报文的步骤包括：比较所述第一生存时间值与所述第二生存时间值的大小；若第二生存时间值大于第一生存时间值，则判定所述域名应答报文为域名劫持报文。

进一步地，若第二生存时间值小于或等于第一生存时间值，则判定所述域名应答报文不是域名劫持报文；将所述域名查询报文所查询的域名信息添加到域名白名单中，并将域名应答报文作为解析结果返回。

进一步地，若检测到域名查询报文中的所述域名信息在白名单中，转发所述域名查询报文。

根据本发明实施例的另一个方面提供了一种域名劫持的防护系统，应用于防火墙，该系统包括：域名提取单元、检测单元、地址提取单元、报文发送单元、第一生存时间提取单元、第二生存时间提取单元和比较单元；域名提取单元，用于当接收到域名查询报文时，截取所述域名查询报文并提取所述域名查询报文中的域名信息；检测单元，用于检测所述域名信息是否在白名单中；地址提取单元，用于若检测到所述域名信息不在白名单中，提取所述域名查询报文的目的IP地址；报文发送单元，用于基于所述目的IP地址，发送控制请求报文控制请求报文；第一生存时间提取单元，用于当接收到响应于所述控制请求报文控制请求报文返回的请求应答报文时，发送所述域名查询报文，并提取所述请求应答报文中的第一生存时间值；第二生存时间提取单元，用于当接收到响应于所述域名查询报文返回的域名应答报文时，提取域名应答报文的第二生存时间值；比较单元，用于基于所述第一生存时间值与第二生存时间值的比较结果，判定所述域名应答报文是否为劫持报文。

进一步地，所述比较单元包括：比较子单元和判定子单元；比较子单元，用于比较所述第一生存时间值与第二生存时间值的大小；判定子单元，用于当比较子单元的比较结果为第二生存时间值大于第一生存时间值时，则判定所述域名应答报文为域名劫持报文。

进一步地，还包括：域名添加单元，用于比较子单元的比较结果为第二生存时间值小于或等于一生存时间值，则判定所述域名应答报文不是域名劫持报文，将所述域名查询报文所查询的域名信息添加到域名白名单中，并将域名应答报文作为解析结果返回。

进一步地，还包括：数据转发单元，用于当检测单元检测到域名查询报文中的所述域名信息在白名单中时，转发所述域名查询报文。

根据本发明实施例的又一方面提供了一种防火墙设备，包括上述域名劫持的防护系统。