CN101577729A - DNS重定向与Http重定向相结合的旁路阻断方法 - Google Patents
DNS重定向与Http重定向相结合的旁路阻断方法 Download PDFInfo
- Publication number
- CN101577729A CN101577729A CNA2009100528609A CN200910052860A CN101577729A CN 101577729 A CN101577729 A CN 101577729A CN A2009100528609 A CNA2009100528609 A CN A2009100528609A CN 200910052860 A CN200910052860 A CN 200910052860A CN 101577729 A CN101577729 A CN 101577729A
- Authority
- CN
- China
- Prior art keywords
- redirected
- http
- dns
- data
- bypass
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
DNS重定向与Http重定向相结合的旁路阻断方法,包括以下步骤:在局域网中设置过滤,加载阻断策略,并监听网络;当截获满足过滤条件的DNS请求时,构造指向重定向地址的DNS回应包,伪造的DNS响应,当DNS请求端发起TCP握手时,回应重定向的Http数据。重定向的Http数据在用户主机上显示为重定向的Http页面。进一步地,当截获满足过滤条件的Http数据时,直接回应重定向的Http数据。本发明可以应用在专业定制的硬件平台上,为旁路阻断提供可信赖的运行环境。并且对于原有网络环境和网络设备也没有特殊要求,也不会对原有网络设备产生任何影响。
Description
技术领域
本发明属于Http连接技术领域,特别涉及一种旁路阻断方法。
背景技术
在一个组织的内网管理工作中,如何在不影响现有网络部署的情况下高效解决非法节点Http连接,这往往是一个很常见但是很困扰的问题。特别是大量个人计算机,由于内部用户违规Http外联,不仅容易带来病毒、木马泛滥,更容易导致企事业单位核心信息通过互联网外泄,严重时会影响整体局域网的运行和重要服务器的运行。组织内部通常会制定相应的管理制度来规范非法外联状况,并且配备相应的管理维护人员,但是由于缺少有效的技术手段,这种管理工作往往难以达到高效,并且成本较高。现有解决非法节点Http连接问题,通常有以下几种方案:
一、采用地址解析协议(ARP)对非法节点进行阻断
这种方案有两个主要的问题,一是需要定期发送ARP数据包,造成网络中大量ARP数据包存在,亦被当作ARP病毒;二是非法节点可以通过配置静态路由方式,绑定非法主机和网关,从而使ARP阻断失效。
二、采用TCP重置(Reset)进行阻断
这种方式的主要问题有两点,一是不够友好,非法用户无法确切获知是何原因导致无法外联,可维护性不强;二是需要对TCP握手的每一步都发送欺骗数据包,增加网络流量。
三、采用专业网管软件进行阻断
通过Sniffer等专业网管软件可以完成对非法节点Http连接进行网络阻断,但是也存在一些不足之处:第一,这类软件阻断的原理都是持续对违规网络节点发送欺骗包甚至是广播包,对网络的使用效率有一定的影响;第二,这种事后处理的方式并不符合当前信息安全管理规范的要求,无法预先制定一个***的安全策略,并且没有符合审计规范的审计***;第三,这种专业网管软件往往价格不菲,单纯为了解决这个问题购买的成本太高
四、通过网关设备进行阻断
通过网关设备,配置网络访问策略,根据数据包的端口、IP地址和协议、以及对数据包内容的关键字匹配来阻止非法节点的Http请求,但这种方法主要的问题是:第一,需要频繁配置网关设置,必须专业人员配合进行;第二,配置不合适可能影响到当前网络的运行情况;第三,增加删除非法节点都需要手工维护。
发明内容
本发明的目的在于,提供一种DNS重定向与Http重定向相结合的旁路阻断方法。
为实现在上述目的,本发明采用如下技术方案:
一种DNS重定向与Http重定向相结合的旁路阻断方法,包括以下步骤:
在局域网中设置过滤,加载阻断策略,并监听网络;当截获满足过滤条件的DNS请求时,构造指向重定向地址的DNS回应包,伪造的DNS响应,当DNS请求端发起TCP握手时,回应重定向的Http数据。重定向的Http数据在用户主机上显示为重定向的Http页面。
进一步地,当截获满足过滤条件的Http数据时,直接回应重定向的Http数据。
进一步地,DNS响应的数据和Http响应的数据部署在一Http服务器上,所使用的重定向地址指向用户非法连接的提示页面。
进一步地,DNS响应的数据和Http响应的数据部署在旁路阻断器,所使用的重定向地址指向用户非法连接的提示页面。
进一步地,重定向的Http数据为通过直接构造数据生成。
进一步地,所述DNS重定向与Http重定向相结合的旁路阻断方法由连接于现有网关旁路的阻隔机器完成。
进一步地,所述阻隔机器对集线器进行监听。
进一步地,所述阻隔机器对交换机镜像端口进行监听。
本发明具有以下有益效果:
1、本发明方法可以应用在专业定制的硬件平台上,支持7*24小时不间断运行,为旁路阻断提供可信赖的运行环境。
2、本发明完全按照TCP/IP协议进行设计,设备旁路部署在网络中,对于原有网络环境和网络设备也没有特殊要求,也不会对原有网络设备产生任何影响。
3、正常情况下阻断只需要通过一到二个应答包即可完成,被阻断机器的URL直接被重定向到希望显示的页面,阻断效果非常好,并且不会造成额外的网络流量,具有简单、高效的优点,可广泛应用于具备内部局域网、并且需要对节点非法Http连接进行控制的企事业单位。
以下结合附图及实施例进一步说明本发明。
附图说明
图1为本发明DNS重定向与Http重定向相结合的旁路阻断方法原理图。
图2为本发明DNS重定向与Http重定向相结合的旁路阻断方法实例流程图。
具体实施方式
正常的Http请求过程描述如下:用户通过浏览器发起Http请求时,首先会在本地的DNS缓存中寻找是否存在和目标URL匹配的IP地址,如果无法找到,则会向DNS服务器发起DNS请求,待DNS返回URL对应的IP地址后,开始向该IP发起TCP握手请求,完成三次握手,即开始数据通讯。
本发明原理如图1所示,在局域网中,用一台专用的阻隔机器,该阻隔机器配置有双网卡,可通过监听共享式集线器(HUB)、交换机镜像端口,与现有网关旁路,捕获所有经过网关的数据,并对报文进行分析,对符合条件需要阻断的报文构造回应数据包,分别对DNS请求和TCP握手请求进行重定向,即可完成非法节点的阻断。具体描述如下:
一种DNS重定向与Http重定向相结合的旁路阻断方法,包括以下步骤:
在局域网中设置过滤,加载阻断策略,并监听网络;当截获满足过滤条件的DNS请求时,构造指向重定向地址的DNS回应包,伪造的DNS响应,当DNS请求端发起TCP握手时,回应重定向的Http数据。重定向的Http数据在用户主机上显示为重定向的Http页面。
进一步地,当截获满足过滤条件的Http数据时,直接回应重定向的Http数据。该Http重定向为DNS重定向的补充,仅在DNS重定向没有被触发情况下才会执行。
进一步地,DNS响应的数据和Http响应的数据部署在一Http服务器上,所使用的重定向地址指向用户非法连接的提示页面。
进一步地,DNS响应的数据和Http响应的数据部署在旁路阻断器,所使用的重定向地址指向用户非法连接的提示页面。
进一步地,在简化部署的情况下,重定向的Http数据为通过直接构造数据生成,从而避免部署Http服务。
进一步地,所述DNS重定向与Http重定向相结合的旁路阻断方法由连接于现有网关旁路的阻隔机器完成。
进一步地,所述阻隔机器可以对集线器(HUB)进行监听。
进一步地,所述阻隔机器可以对交换机镜像端口进行监听。
具体流程实例如图2所示,
当用户在用户主机上输入URL时,可通常有通过域名输入,也可以是通过直接输入IP地址。
首先旁路的阻隔机器启动,设置过滤,加载阻断策略,并监听网络。
当用户直接输入IP地址时,该阻隔机器截获该Http请求数据,分析判断是否满足过滤条件,如果是,则直接回应重定向的Http数据,此时,在用户主机主显示的是重定向的Http页面。而真实服务器发送的真实Http数据被丢弃。
当输入的是域名是,用户主机通常会执行查询本地DNS缓存,判断域名对应的IP地址是否存在,如果是,则执行发送DNS请求,该阻隔机器截获该Http请求数据,分析判断是否满足过滤条件,如果是,则构造DNS回应包,指向重定向的地址,用户主机收到该DNS回应包后,存入DNS缓存。而真实的DNS服务器发送的真实DNS回应被丢弃。当用户主机通过浏览器向重定向的地址发起TCP握手,此时回复重定向的Http数据,用户主机主显示的是重定向的Http页面。
图1中阻隔机器的通讯口:192.168.1.50,监听口:镜像。
网关地址为:192.168.1.1。
一用户主机地址为:192.168.1.35。
另一用户主机地址为:192.168.1.205。
下面表格描述构造的数据帧序列:
表1构造的DNS数据帧序列
| 源(Source) | 目的(Dest) | 协议 | 数据帧 | 说明 |
| 192.168.1.35 | 192.168.1.5 | DNS | Standard query A www.sina.com | 正常的DNS请求 |
| 192.168.1.5 | 192.168.1.35 | DNS | Standard query response CNAMEwww.sina.com 192.168.1.50 | 伪造的DNS响应 |
| 192.168.1.5 | 192.168.1.35 | DNS | Standard query response CNAMEwww.sina.com 202.101.11.32 | 被丢弃的DNS响应 |
表2构造的Http数据帧序列
试验数据:
本发明方案已经在内网安全管理软件中试用,该软件以前只采用基于ARP诱骗技术的方式进行阻断控制,在引入本发明技术方案后,形成了双重的非法Http连接控制保障。在绝大多数情况下,由新的DNS重定向和HTTP重定向技术发挥作用,只有在内网真实服务器返回数据过快,***无法迅速完成阻断时(这种情况出现概率很低,只有在管理***调试时可能出现),才由原有的ARP诱骗技术进行第二重保障。采用本技术方案后控制效果和网络发包对比情况可以由表4说明:
表4:采用DNS重定向和Http重定向技术前后控制效果对比情况(以管理一个标准C类网,平均200个在线节点,发现10个违规节点,阻断周期5秒为例)
以上所述的实施例仅用于说明本发明的技术思想及特点,其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施,不能仅以本实施例来限定本发明的专利范围,即凡依本发明所揭示的精神所作的同等变化或修饰,仍落在本发明的专利范围内。
Claims (8)
1、一种DNS重定向与Http重定向相结合的旁路阻断方法,包括以下步骤:
在局域网中设置过滤,加载阻断策略,并监听网络;当截获满足过滤条件的DNS请求时,构造指向重定向地址的DNS回应包,伪造的DNS响应,当DNS请求端发起TCP握手时,回应重定向的Http数据。重定向的Http数据在用户主机上显示为重定向的Http页面。
2、根据权利要求1所述的DNS重定向与Http重定向相结合的旁路阻断方法,其特征在于:当截获满足过滤条件的Http数据时,直接回应重定向的Http数据。
3、根据权利要求1或2所述的DNS重定向与Http重定向相结合的旁路阻断方法,其特征在于:DNS响应的数据和Http响应的数据部署在一Http服务器上,所使用的重定向地址指向用户非法连接的提示页面。
4、根据权利要求3所述的DNS重定向与Http重定向相结合的旁路阻断方法,其特征在于:DNS响应的数据和Http响应的数据部署在旁路阻断器,所使用的重定向地址指向用户非法连接的提示页面。
5、根据权利要求4所述的DNS重定向与Http重定向相结合的旁路阻断方法,其特征在于:重定向的Http数据为通过直接构造数据生成。
6、根据权利要求4或5所述的DNS重定向与Http重定向相结合的旁路阻断方法,其特征在于:所述DNS重定向与Http重定向相结合的旁路阻断方法由连接于现有网关旁路的阻隔机器完成。
7、根据权利要求6所述的DNS重定向与Http重定向相结合的旁路阻断方法,其特征在于:所述阻隔机器对集线器进行监听。
8、根据权利要求6所述的DNS重定向与Http重定向相结合的旁路阻断方法,其特征在于:所述阻隔机器对交换机镜像端口进行监听。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100528609A CN101577729A (zh) | 2009-06-10 | 2009-06-10 | DNS重定向与Http重定向相结合的旁路阻断方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100528609A CN101577729A (zh) | 2009-06-10 | 2009-06-10 | DNS重定向与Http重定向相结合的旁路阻断方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101577729A true CN101577729A (zh) | 2009-11-11 |
Family
ID=41272515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2009100528609A Pending CN101577729A (zh) | 2009-06-10 | 2009-06-10 | DNS重定向与Http重定向相结合的旁路阻断方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101577729A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902456A (zh) * | 2010-02-09 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御*** |
| CN102111287A (zh) * | 2009-12-24 | 2011-06-29 | 中兴通讯股份有限公司 | 一种xDSL终端设备运行维护的方法及设备 |
| CN102752411A (zh) * | 2012-06-29 | 2012-10-24 | 华为终端有限公司 | 重定向方法及设备 |
| CN102882728A (zh) * | 2012-10-08 | 2013-01-16 | 北京星网锐捷网络技术有限公司 | 流量异常原因通知方法、装置及网络设备 |
| CN102891807A (zh) * | 2012-07-16 | 2013-01-23 | 北京东方网信科技股份有限公司 | 一种基于主动引导的网络流量缓存方法及*** |
| CN102904902A (zh) * | 2012-10-31 | 2013-01-30 | 北京锐安科技有限公司 | 一种基于dhcp旁路阻断方法 |
| CN104980408A (zh) * | 2014-04-11 | 2015-10-14 | ***通信集团陕西有限公司 | 恶意网站的封堵方法、装置以及*** |
| CN106357698A (zh) * | 2016-11-18 | 2017-01-25 | 中国电子科技集团公司第二十九研究所 | 一种适用于私有网络的域名上线木马检测方法及装置 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| CN108449386A (zh) * | 2018-02-24 | 2018-08-24 | 深圳市联软科技股份有限公司 | 一种重定向访问请求的方法、介质及设备 |
| CN109309628A (zh) * | 2018-09-19 | 2019-02-05 | 北京奇安信科技有限公司 | 一种共享接入用户的阻塞处理方法及装置 |
| CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息***股份有限公司 | 异常网络访问连接识别与阻断方法、***、介质和设备 |
| CN110691063A (zh) * | 2018-07-06 | 2020-01-14 | 山东华软金盾软件股份有限公司 | 流镜像模式下单inbound下TCP阻断方法 |
| CN111917682A (zh) * | 2019-05-07 | 2020-11-10 | 阿里巴巴集团控股有限公司 | 访问行为识别方法、性能检测方法、装置、设备和*** |
-
2009
- 2009-06-10 CN CNA2009100528609A patent/CN101577729A/zh active Pending
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111287A (zh) * | 2009-12-24 | 2011-06-29 | 中兴通讯股份有限公司 | 一种xDSL终端设备运行维护的方法及设备 |
| CN101902456B (zh) * | 2010-02-09 | 2013-04-03 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御*** |
| CN101902456A (zh) * | 2010-02-09 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御*** |
| CN102752411A (zh) * | 2012-06-29 | 2012-10-24 | 华为终端有限公司 | 重定向方法及设备 |
| CN102891807A (zh) * | 2012-07-16 | 2013-01-23 | 北京东方网信科技股份有限公司 | 一种基于主动引导的网络流量缓存方法及*** |
| CN102891807B (zh) * | 2012-07-16 | 2015-10-28 | 北京东方网信科技股份有限公司 | 一种基于主动引导的网络流量缓存方法及*** |
| CN102882728A (zh) * | 2012-10-08 | 2013-01-16 | 北京星网锐捷网络技术有限公司 | 流量异常原因通知方法、装置及网络设备 |
| CN102882728B (zh) * | 2012-10-08 | 2017-04-05 | 北京星网锐捷网络技术有限公司 | 流量异常原因通知方法、装置及网络设备 |
| CN102904902A (zh) * | 2012-10-31 | 2013-01-30 | 北京锐安科技有限公司 | 一种基于dhcp旁路阻断方法 |
| CN102904902B (zh) * | 2012-10-31 | 2015-08-19 | 北京锐安科技有限公司 | 一种基于dhcp旁路阻断方法 |
| CN104980408A (zh) * | 2014-04-11 | 2015-10-14 | ***通信集团陕西有限公司 | 恶意网站的封堵方法、装置以及*** |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| CN106357698A (zh) * | 2016-11-18 | 2017-01-25 | 中国电子科技集团公司第二十九研究所 | 一种适用于私有网络的域名上线木马检测方法及装置 |
| CN106357698B (zh) * | 2016-11-18 | 2019-09-06 | 中国电子科技集团公司第二十九研究所 | 一种适用于私有网络的域名上线木马检测方法及装置 |
| CN108449386A (zh) * | 2018-02-24 | 2018-08-24 | 深圳市联软科技股份有限公司 | 一种重定向访问请求的方法、介质及设备 |
| CN110691063A (zh) * | 2018-07-06 | 2020-01-14 | 山东华软金盾软件股份有限公司 | 流镜像模式下单inbound下TCP阻断方法 |
| CN109309628A (zh) * | 2018-09-19 | 2019-02-05 | 北京奇安信科技有限公司 | 一种共享接入用户的阻塞处理方法及装置 |
| CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息***股份有限公司 | 异常网络访问连接识别与阻断方法、***、介质和设备 |
| CN109587156B (zh) * | 2018-12-17 | 2021-07-09 | 广州天懋信息***股份有限公司 | 异常网络访问连接识别与阻断方法、***、介质和设备 |
| CN111917682A (zh) * | 2019-05-07 | 2020-11-10 | 阿里巴巴集团控股有限公司 | 访问行为识别方法、性能检测方法、装置、设备和*** |
| CN111917682B (zh) * | 2019-05-07 | 2023-01-24 | 阿里巴巴集团控股有限公司 | 访问行为识别方法、性能检测方法、装置、设备和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| WO2021196911A1 (zh) | 基于人工智能的网络安全防护方法、装置、电子设备 | |
| CN102594814B (zh) | 基于端末的网络访问控制*** | |
| CN102263788B (zh) | 一种用于防御指向多业务***的DDoS攻击的方法与设备 | |
| CN101431449B (zh) | 一种网络流量清洗*** | |
| CN100464548C (zh) | 一种阻断蠕虫攻击的***和方法 | |
| CN104767752A (zh) | 一种分布式网络隔离***及方法 | |
| CN109756501A (zh) | 一种基于http协议的高隐匿网络代理方法及*** | |
| CN102571738B (zh) | 基于虚拟局域网交换的入侵防御方法与*** | |
| CN107222462A (zh) | 一种局域网内部攻击源的自动定位、隔离方法 | |
| CN104394122A (zh) | 一种基于自适应代理机制的http业务防火墙 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、***、介质和设备 | |
| CN106302371A (zh) | 一种基于用户业务***的防火墙控制方法和*** | |
| CN104168257A (zh) | 基于非网络方式的数据隔离装置及其方法与*** | |
| CN109450841A (zh) | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御***及防御方法 | |
| CN111385326B (zh) | 轨道交通通信*** | |
| CN101577645B (zh) | 检测仿冒网络设备的方法和装置 | |
| JP2011151514A (ja) | トラフィック量監視システム | |
| CN103001966B (zh) | 一种私网ip的处理、识别方法及装置 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN101662357A (zh) | 一种安全网关客户端的访问方法 | |
| CN105429975A (zh) | 一种基于云终端的数据安全防御***、方法及云终端安全*** | |
| CN104994113B (zh) | 一种adsl无线路由器及使用该路由器在桥接模式下实现强制门户的方法和*** | |
| JP2019152912A (ja) | 不正通信対処システム及び方法 | |
| CN102143173A (zh) | 防御分布式拒绝服务攻击的方法、***以及网关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20091111 |