[发明专利]一种域名访问控制方法、装置和计算机可读存储介质

说明书

本发明公开了一种域名访问控制方法、装置和计算机可读存储介质，属于网络安全技术领域，本发明提供的方法中，获取请求方发送的流量数据包；从所述流量数据包中解析出请求方所请求的域名；若所请求的域名与未备案域名相匹配，则分别向所述请求方和服务器发送伪造的重置连接RST响应包，以断开所述请求方与所述服务器之间的通信连接。采用上述方法，阻断了服务器基于未备案域名提供互联网信息服务的通信链路，进而实现了对未备案域名进行封禁的目的。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种域名访问控制方法、装置和计算机可读存储介质。

背景技术

为了规范互联网信息服务活动，促进互联网信息服务健康有序发展，在通过互联网向上网用户提供信息服务时，需要遵守《互联网信息服务管理方法》，而互联网信息服务分为经营性和非经营性两类，经营性互联网信息服务是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动；而非经营性互联网信息服务是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度，而未取得许可或者未履行备案手续的，不得从事互联网信息服务。

而现有技术无法对基于安全套接层的超文本传输协议(hyper text transferprotocol over secure socket layer，https)未备案域名进行封禁，然而https应用越来越广泛，为了应对法律法规，有效识别出https未备案域名进而对未备案域名进行封禁是非常有必要的，对于采用其他传输协议的应用场景同样必要。

发明内容

本发明实施例提供一种域名访问控制方法、装置和计算机可读存储介质，用以阻断基于未备案域名提供互联网信息服务的通信链路。

一方面，本发明实施例提供一种域名访问控制方法，包括：

获取请求方发送的流量数据包；

从所述流量数据包中解析出请求方所请求的域名；

若所请求的域名与未备案域名相匹配，则分别向所述请求方和服务器发送伪造的重置连接RST响应包，以断开所述请求方与所述服务器之间的通信连接。

可选地，所述流量数据包的传输协议为基于安全套接层的超文本传输协议https；则

从所述流量数据包中解析出请求方所请求的域名，具体包括：

当所述流量数据包的传输层的上一层为安全套接层SSL时，从所述流量数据包中解析出握手包；

若解析出的握手包中包括服务器名称指示SNI字段，则从所述握手包中解析出服务器名称字段对应的域名，并确定所述服务器名称字段对应的域名为请求方所请求的域名。

可选地，按照下述方法确定所请求的域名与未备案域名相匹配：

当域名黑名单中包含所请求的域名时，则确定所请求的域名与未备案域名相匹配；或

当域名黑名单中不包含所请求的域名但包含所请求的域名的任一其他级别的域名时，则确定所请求的域名与未备案域名相匹配。

可选地，获取请求方发送的流量数据包后，所述方法还包括：

从请求方发送的流量数据包中解析出所请求的域名；

当所请求的域名和域名白名单中的各个域名不匹配时，将其添加到所述域名黑名单中。

可选地，所述分别向所述请求方和服务器发送伪造的重置连接RST响应包，具体包括：

获取流量数据包的源IP地址、目的IP地址、流量数据包的负载包长、流量数据包的序列号seq和流量数据包的确认号ack；