CN104348924A - 一种域名解析方法、***及装置 - Google Patents
一种域名解析方法、***及装置 Download PDFInfo
- Publication number
- CN104348924A CN104348924A CN201310325443.3A CN201310325443A CN104348924A CN 104348924 A CN104348924 A CN 104348924A CN 201310325443 A CN201310325443 A CN 201310325443A CN 104348924 A CN104348924 A CN 104348924A
- Authority
- CN
- China
- Prior art keywords
- analysis request
- identification information
- subscriber equipment
- domain name
- safeguard
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/604—Address structures or formats
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种域名解析方法,包括:用户设备向防护设备发送目标域名的第一解析请求,第一解析请求包括用于标识所述用户设备的标识字段;防护设备对标识字段进行哈希运算得到标识信息,并构造第一CNAME响应,再向用户设备发送第一CNAME响应;用户设备向防护设备第一CNAME响应的第二解析请求;防护设备对标识信息进行验证,当第二解析请求包括标识信息验证通过时,向域名服务器发送第二解析请求;域名服务器对第二解析请求包括的标识信息进行验证,当第二解析请求包括标识信息验证通过时,对第二请求包括的目标域名进行解析。相应地,本发明实施例还公开相关***和装置。本发明实施例可以提高域名解析的成功率。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种域名解析方法、***及装置。
背景技术
在互联网技术领域中阻断恶意攻击一直是重要的技术特征,而目前主要通过如下方式阻断恶意攻击:
用户设备向防护设备发送目标域名的解析请求;
防护设备接收到该解析请求时,对该解析请求的源网络之间互连的协议(Internet Protocol,IP)地址进行一定哈希算法,得到标识信息(例如:cookie字符串),并构造包括由该标识信息和所述目标域名组成的第一别名记录(CNAME)响应,再将第一CNAME响应发送至该用户设备;
该用户设备识别第一CNAME响应,并向防护设备发送第一CNAME响应的解析请求;
防护设备接收到第一CNAME响应的解析请求,采用相同的哈希算法验证第一CNAME响应包括的标识信息是否合法,若合法,则去掉第一CNAME响应的标识信息构造为目标域名的第二CNAME响应,并将第二CNAME响应发送至该用户设备;
该用户设备识别第二CNAME响应,再次向防护设备发送目标域名的解析请求;
防护设备识别出该用户设备再次发送的目标域名的解析请求的源IP地址,并识别出该源IP地址为白名单中包括的IP地址,再将该目标域名的解析请求发送至域名服务器,由域名服务器进行解析流程。
在实际应用在用户设备第一次发送目标域名的解析请求时,攻击设备也会发起恶意分布式拒绝服务(Distribution Denial Of Service,DDOS)攻击,即发送大量的域名解析请求。由于攻击设备是无法对CNAME响应做出回复的,即攻击设备无法向防护设备发送CNAME响应的解析请求,从而阻断恶意攻击。
但上述技术中,由于防护设备需要向用户设备发送两次CNAME响应,而实际应用中某些用户设备的解析软件会识别为解析环路,只会对第一个CNAME响应做出回复,将不会对第二CNAME响应做出回复,从而导致解析失败。即上述技术方案中,域名解析的成功率比较低。
发明内容
本发明实施例提供了一种域名解析方法、***及装置,可以提高域名解析的成功率。
第一方面,本发明实施例提供一种域名解析方法,包括:
用户设备向防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段;
所述防护设备对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一CNAME响应,再向所述用户设备发送所述第一CNAME响应;
所述用户设备识别所述第一CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求;
所述防护设备对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求;
所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。
第二方面,本发明实施例提供一种域名解析方法,包括:
接收用户设备发送的目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段,并对所述标识字段进行哈希运算得到标识信息;
构造包括所述标识信息和所述目标域名的第一CNAME响应,并向所述用户设备发送所述第一CNAME响应;以使所述用户设备返回所述第一CNAME响应的第二解析请求;
接收所述用户设备返回的所述第一CNAME响应的第二解析请求,并对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为防护设备发送的解析请求;以使所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,由所述域名服务器对所述第二请求包括的所述目标域名进行解析。
第三方面,本发明实施例提供一种域名解析***,包括:用户设备、防护设备和域名服务器,其中:
所述用户设备,用于向所述防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段;
所述防护设备,用于对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一CNAME响应,再向所述用户设备发送所述第一CNAME响应;
所述用户设备还用于识别所述第一CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求;
所述防护设备还用于对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求;
所述域名服务器,用于根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。
第四方面,本发明实施例提供一种域名解析装置,其特征在于,包括:接收单元、构造单元、验证单元和发送单元,其中:
所述接收单元,用于接收用户设备发送的目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段,并对所述标识字段进行哈希运算得到标识信息;
所述构造单元,用于构造包括所述标识信息和所述目标域名的第一CNAME响应,并向所述用户设备发送所述第一CNAME响应;以使所述用户设备返回所述第一CNAME响应的第二解析请求;
所述验证单元,用于接收所述用户设备返回的所述第一CNAME响应的第二解析请求,并对所述第二解析请求包括的所述标识信息进行验证;
所述发送单元,用于当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述装置发送的解析请求;以使所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,由所述域名服务器对所述第二请求包括的所述目标域名进行解析。
上述技术方案中,防护设备只需要向用户设备发送上述第一CNAME响应,这样用户设备就只会接收到一个CNAME响应,从而可以解决现有技术中,有些用户设备只会对第一个CNAME响应做出回复,将不会对第二CNAME响应做出回复的问题,从而可以提高域名解析的成功率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种域名解析方法的示意图;
图2是本发明实施例提供的另一种域名解析方法的示意图;
图3是本发明实施例提供的另一种域名解析方法的流程示意图;
图4是本发明实施例提供的一种域名解析***的结构示意图;
图5是本发明实施例提供的一种域名解析装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中,用户设备可以是任何具备通信功能的设备,例如:平板电脑、手机、电子阅读器、遥控器、个人计算机(Personal Computer,PC)、笔记本电脑、车载设备、网络电视、可穿戴设备等具有网络功能的智能设备。
另外,本发明实施例中,目标域名的第一解析请求具体可以是包括目标域名的解析请求,例如,目标域名为www.xxx.com,那么该第一解析请求就包括www.xxx.com。第一CNAME响应的第二解析请求具体可以是包括标识信息和目标域名的解析请求,例如,目标域名为www.xxx.com,标识信息为cookie,那么该第二解析请求就包括cookie.www.xxx.com。
图1是本发明实施例提供的一种域名解析方法的示意图,如图1所示,包括以下步骤:
S101、用户设备向防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段。
其中,上述标识字段具体可以是第一解析请求包括源IP地址,即用户设备的IP地址,当然,本实施例中,对上述标识字段并不作限定,例如,上述标识字段还可以是用户设备的设备身份标识信息等唯一标识上述用户设备的信息。
S102、防护设备对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一CNAME响应。
其中,上述标识信息具体可以是cookie,例如:上述目标域名为www.xxx.com时,上述第一CNAME响应就可以为cookie.www.xxx.com。
S103、防护设备向所述用户设备发送所述第一CNAME响应。
S104、用户设备识别所述第一CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求。
具体可以是用户设备接收到上述第一CNAME响应后,就可以生成包括该第一CNAME响应的第二解析请求,例如,包括cookie.www.xxx.com的第二解析请求。
S105、防护设备对所述第二解析请求包括的所述标识信息进行验证。
S106、当所述第二解析请求包括的所述标识信息验证通过时,防护设备向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求。
其中,上述指示信息发送可以是采用位置请求协议的头标志字段的保留位表示,例如:位置请求协议的头标志字段的保留位为1时表示第二解析请求为所述防护设备向域名服务器发送的解析请求。
S107、域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。
当域名服务器接收到获取上述指示信息时,通过该指示信息判断出第二解析请求为防护设备发送的,则对所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。这样可以实现只对防护设备发送的解析请求进行解析,而攻击设备发送的恶意攻击(例如:DDOS攻击)是无法通过防护设备发送到域名服务器。从而可以避免对其它设备(例如:攻击设备向域名服务器发送的解析请求)。由于攻击设备是无法对防护设备发送的CNAME响应做出回复,即攻击设备不会向防护设备发送的CNAME响应的解析请求,这样就可以实现阻断恶意攻击。例如:
在步骤S102时防护设备还可能会接收到攻击设备发送的DDOS攻击,而此时防护设备可能没有识别哪些请求为上述第一解析请求和DDOS攻击,防护设备可能是对所有请求(包括:上述第一解析请求和DDOS攻击)都回复CNAME响应,即上述用户设备和攻击设备都可能接收到对应的CNAME响应,但攻击设备是无法对接收到的CNAME响应做出回复,即不会向防护设备发送的CNAME响应的解析请求,但用户设备接收到CNAME响应后,就会向防护设备发送CNAME响应的解析请求(例如上述第二解析请求)。从而可以实现阻断恶意攻击。
作为一种可选的实施方式,所述方法还可以包括:
当所述第二解析请求包括的所述标识信息验证通过时,所述防护设备将所述标识字段加入白名单。这样上述用户设备下次发送解析请求时,就可以直接判断白名单是否包括该解析请求包括的标识字段,若是,则可以确定该解析请求不是恶意攻击,若否时,则对该解析请求执行上述步骤。
作为一种可选的实施方式,上述防护设备对所述第二解析请求包括的所述标识信息进行验证,具体可以包括:
所述防护设备对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
作为一种可选的实施方式,域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,具体可以包括:
域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。其中,上述哈希运算可以是域名服务器与防护设备预先协商的。
可选的,上述域名服务器具体可以是权威域名服务器。
上述技术方案中,防护设备只需要向用户设备发送上述第一CNAME响应,这样用户设备就只会接收到一个CNAME响应,从而可以解决现有技术中,有些用户设备只会对第一个CNAME响应做出回复,将不会对第二CNAME响应做出回复的问题,从而可以提高域名解析的成功率。
图2是本发明实施例提供的另一种域名解析方法的示意图,如图2所示,包括以下步骤:
S201、用户设备向防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段。
S202、防护设备判断所述第一解析请求是否为所述用户设备重传的第一解析请求,若是,则执行步骤S203,若否,则执行步骤S201。
其中,上述判断具体可以是判断接收到上述第一解析请求的接收时间与预先接收到的用户设备发送上述第一解析请求的接收时间之间时间差是否小于预设阈值,若是,则确定所述第一解析请求为所述用户设备重传的第一解析请求,若否,则确定所述第一解析请求不为所述用户设备重传的第一解析请求。
在实际应用中用户设备通常在短时间间隔内向防护设备重复发送两次解析请求,即上述用户设备在上述阈值表示的时间内会向防护设备重复发送两次上述第一解析请求。通过上述判断就可以提高安全性。
S203、防护设备对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一CNAME响应。
其中,上述标识字段具体可以是第一解析请求包括源IP地址,即用户设备的IP地址,当然,本实施例中,对上述标识字段并不作限定,例如,上述标识字段还可以是用户设备的设备身份标识信息等唯一标识上述用户设备的信息。
其中,上述标识信息具体可以是cookie,例如:上述目标域名为www.xxx.com时,上述第一CNAME响应就可以为cookie.www.xxx.com。
S204、防护设备向所述用户设备发送所述第一CNAME响应
S205、用户设备识别所述第一CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求。
具体可以是用户设备接收到上述第一CNAME响应后,就可以生成包括该第一CNAME响应的第二解析请求,例如,包括cookie.www.xxx.com的第二解析请求。
S206、防护设备对所述第二解析请求包括的所述标识信息进行验证。
S207、当所述第二解析请求包括的所述标识信息验证通过时,防护设备向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求。
其中,上述指示信息发送可以是采用位置请求协议的头标志字段的保留位表示,例如:位置请求协议的头标志字段的保留位为1时表示第二解析请求为所述防护设备向域名服务器发送的解析请求。
S208、域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。
当域名服务器接收到获取上述指示信息时,通过该指示信息判断出第二解析请求为防护设备发送的,则对所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。这样可以实现只对防护设备发送的解析请求进行解析,而攻击设备发送的恶意攻击(例如:DDOS攻击)是无法通过防护设备发送到域名服务器。从而可以避免对其它设备(例如:攻击设备向域名服务器发送的解析请求)。由于攻击设备是无法对防护设备发送的CNAME响应做出回复,即攻击设备不会向防护设备发送的CNAME响应的解析请求,这样就可以实现阻断恶意攻击。
作为一种可选的实施方式,所述方法还可以包括:
当所述第二解析请求包括的所述标识信息验证通过时,所述防护设备将所述标识字段加入白名单。这样上述用户设备下次发送解析请求时,就可以直接判断白名单是否包括该解析请求包括的标识字段,若是,则可以确定该解析请求不是恶意攻击,若否时,则对该解析请求执行上述步骤。
作为一种可选的实施方式,上述防护设备对所述第二解析请求包括的所述标识信息进行验证,具体可以包括:
所述防护设备对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
作为一种可选的实施方式,当域名服务器对上述目标域名解析成功后,还可以将解析结果发送至上述用户设备。
上述技术方案中,在上面实施例的基础上增加了判断第一解析请求是否为用户设备重传的解析请求,这样在提高域名解析成功率的同时,还可以提高域名解析的安全性。
图3是本发明实施例提供的另一种域名解析方法的流程示意图,如图3所示,包括以下步骤:
S301、接收用户设备发送的目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段,对所述标识字段进行哈希运算得到标识信息。
其中,上述标识字段具体可以是第一解析请求包括源IP地址,即用户设备的IP地址,当然,本实施例中,对上述标识字段并不作限定,例如,上述标识字段还可以是用户设备的设备身份标识信息等唯一标识上述用户设备的信息。
S302、构造包括所述标识信息和所述目标域名的第一CNAME响应,并向所述用户设备发送所述第一CNAME响应;以使所述用户设备返回所述第一CNAME响应的第二解析请求。
其中,上述标识信息具体可以是cookie,例如:上述目标域名为www.xxx.com时,上述第一CNAME响应就可以为cookie.www.xxx.com。
具体可以是用户设备接收到上述第一CNAME响应后,就可以生成包括该第一CNAME响应的第二解析请求,例如,包括cookie.www.xxx.com的第二解析请求。
S303、接收所述用户设备返回的所述第一CNAME响应的第二解析请求,并对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为防护设备发送的解析请求;以使所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,由所述域名服务器对所述第二请求包括的所述目标域名进行解析。
其中,上述指示信息发送可以是采用位置请求协议的头标志字段的保留位表示,例如:位置请求协议的头标志字段的保留位为1时表示第二解析请求为所述防护设备向域名服务器发送的解析请求。
当域名服务器接收到获取上述指示信息时,通过该指示信息判断出第二解析请求为防护设备发送的,则对所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。这样可以实现只对防护设备发送的解析请求进行解析,而攻击设备发送的恶意攻击(例如:DDOS攻击)是无法通过防护设备发送到域名服务器。从而可以避免对其它设备(例如:攻击设备向域名服务器发送的解析请求)。由于攻击设备是无法对防护设备发送的CNAME响应做出回复,即攻击设备不会向防护设备发送的CNAME响应的解析请求,这样就可以实现阻断恶意攻击。
作为一种可选的实施方式,步骤S301具体可以包括:
接收用户设备发送的目标域名的第一解析请求;
判断所述第一解析请求是否为所述用户设备重传的第一解析请求,若是,则对所述标识字段进行哈希运算得到标识信息。
其中,上述判断具体可以是判断接收到上述第一解析请求的接收时间与预先接收到的用户设备发送上述第一解析请求的接收时间之间时间差是否小于预设阈值,若是,则确定所述第一解析请求为所述用户设备重传的第一解析请求,若否,则确定所述第一解析请求不为所述用户设备重传的第一解析请求。
在实际应用中用户设备通常在短时间间隔内向防护设备重复发送两次解析请求,即上述用户设备在上述阈值表示的时间内会向防护设备重复发送两次上述第一解析请求。通过上述判断就可以提高安全性。
作为一种可选的实施方式,所述方法还可以包括:
当所述第二解析请求包括的所述标识信息验证通过时,将所述标识字段加入白名单。
这样上述用户设备下次发送解析请求时,就可以直接判断白名单是否包括该解析请求包括的标识字段,若是,则可以确定该解析请求不是恶意攻击,若否时,则对该解析请求执行上述步骤。
作为一种可选的实施方式,上述对所述第二解析请求包括的所述标识信息进行验证,包括:
对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
作为一种可选的实施方式,所述方法具体可以应用于防护设备,即防护设备可以实现上述方法。
可选的,上述域名服务器具体可以是权威域名服务器。
上述技术方案中,只需要向用户设备发送上述第一CNAME响应,这样用户设备就只会接收到一个CNAME响应,从而可以解决现有技术中,有些用户设备只会对第一个CNAME响应做出回复,将不会对第二CNAME响应做出回复的问题,从而可以提高域名解析的成功率。
下面为本发明装置实施例,本发明装置实施例用于执行本发明方法实施例一至三实现的方法,为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例一、实施例二和实施例三。
图4是本发明实施例提供的一种域名解析***的结构示意图,如图4所示,包括:用户设备41、防护设备42和域名服务器43,其中:
用户设备41,用于向所述防护设备42发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段。
其中,上述标识字段具体可以是第一解析请求包括源IP地址,即用户设备41的IP地址,当然,本实施例中,对上述标识字段并不作限定,例如,上述标识字段还可以是用户设备41的设备身份标识信息等唯一标识上述用户设备41的信息。
防护设备42,用于对所述第一解析请求包括用于标识所述用户设备41的标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一CNAME响应,再向所述用户设备41发送所述第一CNAME响应。
其中,上述标识信息具体可以是cookie,例如:上述目标域名为www.xxx.com时,上述第一CNAME响应就可以为cookie.www.xxx.com。
用户设备41还用于识别所述第一CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求。
具体可以是用户设备41接收到上述第一CNAME响应后,就可以生成包括该第一CNAME响应的第二解析请求,例如,包括cookie.www.xxx.com的第二解析请求。
防护设备42还用于对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器43发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备42发送的解析请求。
其中,上述指示信息发送可以是采用位置请求协议的头标志字段的保留位表示,例如:位置请求协议的头标志字段的保留位为1时表示第二解析请求为所述防护设备42向域名服务器43发送的解析请求。
域名服务器43,用于根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。
当域名服务器43接收到获取上述指示信息时,通过该指示信息判断出第二解析请求为防护设备42发送的,则对所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。这样可以实现只对防护设备42发送的解析请求进行解析,而攻击设备发送的恶意攻击(例如:DDOS攻击)是无法通过防护设备42发送到域名服务器43。从而可以避免对其它设备(例如:攻击设备向域名服务器43发送的解析请求)。由于攻击设备是无法对防护设备42发送的CNAME响应做出回复,即攻击设备不会向防护设备42发送的CNAME响应的解析请求,这样就可以实现阻断恶意攻击。例如:
在防护设备42接收到上述第一解析请求时,防护设备42还可能会接收到攻击设备发送的DDOS攻击,而此时防护设备42可能没有识别哪些请求为上述第一解析请求和DDOS攻击,防护设备42可能是对所有请求(包括:上述第一解析请求和DDOS攻击)都回复CNAME响应,即上述用户设备41和攻击设备都可能接收到对应的CNAME响应,但攻击设备是无法对接收到的CNAME响应做出回复,即不会向防护设备42发送的CNAME响应的解析请求,但用户设备41接收到CNAME响应后,就会向防护设备42发送CNAME响应的解析请求(例如上述第二解析请求)。从而可以实现阻断恶意攻击。
作为一种可选的实施方式,防护设备42还可以用于判断所述第一解析请求是否为所述用户设备41重传的第一解析请求,若是,则对所述第一解析请求包括用于标识所述用户设备41的标识字段进行哈希运算得到标识信息。
其中,上述判断具体可以是判断接收到上述第一解析请求的接收时间与预先接收到的用户设备41发送上述第一解析请求的接收时间之间时间差是否小于预设阈值,若是,则确定所述第一解析请求为所述用户设备41重传的第一解析请求,若否,则确定所述第一解析请求不为所述用户设备41重传的第一解析请求。
在实际应用中用户设备41通常在短时间间隔内向防护设备42重复发送两次解析请求,即上述用户设备41在上述阈值表示的时间内会向防护设备42重复发送两次上述第一解析请求。通过上述判断就可以提高安全性。
作为一种可选的实施方式,防护设备42还可以用于当所述第二解析请求包括的所述标识信息验证通过时,将所述标识字段加入白名单。这样上述用户设备41下次发送解析请求时,就可以直接判断白名单是否包括该解析请求包括的标识字段,若是,则可以确定该解析请求不是恶意攻击,若否时,则对该解析请求执行上述操作。
作为一种可选的实施方式,防护设备42还可以用于对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
作为一种可选的实施方式,域名服务器43还可以用于根据所述指示信息对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。其中,上述哈希运算可以是域名服务器43与防护设备42预先协商的。
可选的,上述域名服务器43具体可以是权威域名服务器。
上述技术方案中,防护设备只需要向用户设备发送上述第一CNAME响应,这样用户设备就只会接收到一个CNAME响应,从而可以解决现有技术中,有些用户设备只会对第一个CNAME响应做出回复,将不会对第二CNAME响应做出回复的问题,从而可以提高域名解析的成功率。
图5是本发明实施例提供的一种域名解析装置的结构示意图,如图5所示,包括:接收单元51、构造单元52、验证单元53和发送单元54,其中:
接收单元51,用于接收用户设备发送的目标域名的第一解析请求,对所述标识字段进行哈希运算得到标识信息。
其中,上述标识字段具体可以是第一解析请求包括源IP地址,即用户设备的IP地址,当然,本实施例中,对上述标识字段并不作限定,例如,上述标识字段还可以是用户设备的设备身份标识信息等唯一标识上述用户设备的信息。
构造单元52,用于构造包括所述标识信息和所述目标域名的第一CNAME响应,并向所述用户设备发送所述第一CNAME响应;以使所述用户设备返回所述第一CNAME响应的第二解析请求。
其中,上述标识信息具体可以是cookie,例如:上述目标域名为www.xxx.com时,上述第一CNAME响应就可以为cookie.www.xxx.com。
具体可以是用户设备接收到上述第一CNAME响应后,就可以生成包括该第一CNAME响应的第二解析请求,例如,包括cookie.www.xxx.com的第二解析请求。
验证单元53,用于接收所述用户设备返回的所述第一CNAME响应的第二解析请求,并对所述第二解析请求包括的所述标识信息进行验证。
发送单元54,用于当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述域名解析装置发送的解析请求;以使所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,由所述域名服务器对所述第二请求包括的所述目标域名进行解析。
其中,上述指示信息发送可以是采用位置请求协议的头标志字段的保留位表示,例如:位置请求协议的头标志字段的保留位为1时表示第二解析请求为所述域名解析装置向域名服务器发送的解析请求。
当域名服务器接收到获取上述指示信息时,通过该指示信息判断出第二解析请求为域名解析装置发送的,则对所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。这样可以实现只对域名解析装置发送的解析请求进行解析,而攻击设备发送的恶意攻击(例如:DDOS攻击)是无法通过域名解析装置发送到域名服务器。从而可以避免对其它设备(例如:攻击设备向域名服务器发送的解析请求)。由于攻击设备是无法对域名解析装置发送的CNAME响应做出回复,即攻击设备不会向域名解析装置发送的CNAME响应的解析请求,这样就可以实现阻断恶意攻击。
作为一种可选的实施方式,接收单元51具体可以包括:
接收子单元(附图中未画出),用于接收用户设备发送的目标域名的第一解析请求;
判断单元(附图中未画出),用于判断所述第一解析请求是否为所述用户设备重传的第一解析请求;
运算单元(附图中未画出),用于当所述判断单元判断为是时,对所述标识字段进行哈希运算得到标识信息。
其中,上述判断具体可以是判断接收到上述第一解析请求的接收时间与预先接收到的用户设备发送上述第一解析请求的接收时间之间时间差是否小于预设阈值,若是,则确定所述第一解析请求为所述用户设备重传的第一解析请求,若否,则确定所述第一解析请求不为所述用户设备重传的第一解析请求。
在实际应用中用户设备通常在短时间间隔内向域名解析装置重复发送两次解析请求,即上述用户设备在上述阈值表示的时间内会向域名解析装置重复发送两次上述第一解析请求。通过上述判断就可以提高安全性。
作为一种可选的实施方式,所述装置还可以包括:
加入单元55,用于当所述第二解析请求包括的所述标识信息验证通过时,所述域名解析装置将所述标识字段加入白名单。
这样上述用户设备下次发送解析请求时,就可以直接判断白名单是否包括该解析请求包括的标识字段,若是,则可以确定该解析请求不是恶意攻击,若否时,则对该解析请求执行上述操作。
作为一种可选的实施方式,发送单元还可以用于对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
作为一种可选的实施方式,所述装置具体可以是应用于防护设备上,即防护设备可以包括上述装置。
可选的,上述域名服务器具体可以是权威域名服务器。
上述技术方案中,只需要向用户设备发送上述第一CNAME响应,这样用户设备就只会接收到一个CNAME响应,从而可以解决现有技术中,有些用户设备只会对第一个CNAME响应做出回复,将不会对第二CNAME响应做出回复的问题,从而可以提高域名解析的成功率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random Access Memory,简称RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (16)
1.一种域名解析方法,其特征在于,包括:
用户设备向防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段;
所述防护设备对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一别名记录CNAME响应,再向所述用户设备发送所述第一CNAME响应;
所述用户设备识别所述第一CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求;
所述防护设备对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求;
所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。
2.如权利要求1所述的方法,其特征在于,所述用户设备向防护设备发送目标域名的第一解析请求之后,所述防护设备对所述标识字段进行哈希运算得到标识信息之前,所述方法还包括:
所述防护设备判断所述第一解析请求是否为所述用户设备重传的第一解析请求,若是,则执行所述防护设备对所述标识字段进行哈希运算得到标识信息的步骤。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
当所述第二解析请求包括的所述标识信息验证通过时,所述防护设备将所述标识字段加入白名单。
4.如权利要求1或2所述的方法,其特征在于,所述防护设备对所述第二解析请求包括的所述标识信息进行验证,包括:
所述防护设备对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
5.一种域名解析方法,其特征在于,包括:
接收用户设备发送的目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段,并对所述标识字段进行哈希运算得到标识信息;
构造包括所述标识信息和所述目标域名的第一CNAME响应,并向所述用户设备发送所述第一CNAME响应;以使所述用户设备返回所述第一CNAME响应的第二解析请求;
接收所述用户设备返回的所述第一CNAME响应的第二解析请求,并对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为防护设备发送的解析请求;以使所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,由所述域名服务器对所述第二请求包括的所述目标域名进行解析。
6.如权利要求5所述的方法,其特征在于,所述接收用户设备发送的目标域名的第一解析请求,对所述标识字段进行哈希运算得到标识信息,包括:
接收用户设备发送的目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段;
判断所述第一解析请求是否为所述用户设备重传的第一解析请求,若是,则对所述标识字段进行哈希运算得到标识信息。
7.如权利要求5或6所述的方法,其特征在于,所述方法还包括:
当所述第二解析请求包括的所述标识信息验证通过时,将所述标识字段加入白名单。
8.如权利要求5或6所述的方法,其特征在于,所述对所述第二解析请求包括的所述标识信息进行验证,包括:
对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
9.一种域名解析***,其特征在于,包括:用户设备、防护设备和域名服务器,其中:
所述用户设备,用于向所述防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段;
所述防护设备,用于对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一CNAME响应,再向所述用户设备发送所述第一CNAME响应;
所述用户设备还用于识别所述第一CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求;
所述防护设备还用于对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求;
所述域名服务器,用于根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。
10.如权利要求9所述的***,其特征在于,所述防护设备还用于判断所述第一解析请求是否为所述用户设备重传的第一解析请求,若是,则对所述标识字段进行哈希运算得到标识信息。
11.如权利要求9或10所述的***,其特征在于,所述防护设备还用于当所述第二解析请求包括的所述标识信息验证通过时,将所述标识字段加入白名单。
12.如权利要求9或10所述的***,其特征在于,所述防护设备还用于对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
13.一种域名解析装置,其特征在于,包括:接收单元、构造单元、验证单元和发送单元,其中:
所述接收单元,用于接收用户设备发送的目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段,并对所述标识字段进行哈希运算得到标识信息;
所述构造单元,用于构造包括所述标识信息和所述目标域名的第一CNAME响应,并向所述用户设备发送所述第一CNAME响应;以使所述用户设备返回所述第一CNAME响应的第二解析请求;
所述验证单元,用于接收所述用户设备返回的所述第一CNAME响应的第二解析请求,并对所述第二解析请求包括的所述标识信息进行验证;
所述发送单元,用于当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述装置发送的解析请求;以使所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,由所述域名服务器对所述第二请求包括的所述目标域名进行解析。
14.如权利要求13所述的装置,其特征在于,所述接收单元包括:
接收子单元,用于接收用户设备发送的目标域名的第一解析请求;
判断单元,用于判断所述第一解析请求是否为所述用户设备重传的第一解析请求;
运算单元,用于当所述判断单元判断为是时,对所述标识字段进行哈希运算得到标识信息。
15.如权利要求13或14所述的装置,其特征在于,所述装置还包括:
加入单元,用于当所述第二解析请求包括的所述标识信息验证通过时,将所述标识字段加入白名单。
16.如权利要求5或6所述的方法,其特征在于,所述发送单元还用于对所述第二解析请求包括的所述标识信息进行所述哈希运算得到哈希结果,当所述哈希结果与所述标识字段一致时,则确定所述第二解析请求包括的所述标识信息验证通过。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310325443.3A CN104348924A (zh) | 2013-07-30 | 2013-07-30 | 一种域名解析方法、***及装置 |
| PCT/CN2014/082365 WO2015014215A1 (en) | 2013-07-30 | 2014-07-17 | Domain name resolution method, system and device |
| US14/688,098 US10419387B2 (en) | 2013-07-30 | 2015-04-16 | Domain name resolution method, system, and device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310325443.3A CN104348924A (zh) | 2013-07-30 | 2013-07-30 | 一种域名解析方法、***及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104348924A true CN104348924A (zh) | 2015-02-11 |
Family
ID=52430974
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310325443.3A Pending CN104348924A (zh) | 2013-07-30 | 2013-07-30 | 一种域名解析方法、***及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10419387B2 (zh) |
| CN (1) | CN104348924A (zh) |
| WO (1) | WO2015014215A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227691A (zh) * | 2015-09-16 | 2016-01-06 | 互联网域名***北京市工程研究中心有限公司 | 一种基于指定记录类型配置别名的方法及*** |
| CN110266832A (zh) * | 2019-07-08 | 2019-09-20 | 新华三信息安全技术有限公司 | 一种域名解析方法及装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2798603B1 (en) * | 2011-12-29 | 2022-04-27 | P2S Media Group OY | Method and apparatus for approving multimedia data |
| CN105786052B (zh) | 2014-12-16 | 2020-09-08 | 艺康美国股份有限公司 | 一种用于pH调节的在线控制和反应方法 |
| CN112425139B (zh) * | 2018-07-13 | 2021-12-03 | 华为技术有限公司 | 用于解析域名的设备和方法 |
| FR3105678A1 (fr) * | 2019-12-20 | 2021-06-25 | Orange | Procédé de résolution d’identifiants de nommage |
| CN114513487A (zh) * | 2020-10-28 | 2022-05-17 | 武汉斗鱼网络科技有限公司 | 一种加速域名解析的方法、装置、电子设备及计算机可读存储介质 |
| CN112235437B (zh) * | 2020-10-30 | 2023-08-15 | 腾讯科技(深圳)有限公司 | 防御恶意添加解析域名的方法、装置、设备及存储介质 |
| CN115378884B (zh) * | 2022-04-27 | 2023-09-15 | 国家计算机网络与信息安全管理中心 | Dns报文处理方法、装置、处理设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030070096A1 (en) * | 2001-08-14 | 2003-04-10 | Riverhead Networks Inc. | Protecting against spoofed DNS messages |
| CN1756241A (zh) * | 2004-10-01 | 2006-04-05 | 中兴通讯股份有限公司 | 一种分布式环境中消息交换的实现方法及其装置 |
| CN101321055A (zh) * | 2008-06-28 | 2008-12-10 | 华为技术有限公司 | 一种攻击防范方法和装置 |
| US7620733B1 (en) * | 2005-03-30 | 2009-11-17 | Cisco Technology, Inc. | DNS anti-spoofing using UDP |
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和*** |
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护*** |
| CN101789947B (zh) * | 2010-02-21 | 2012-10-03 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6946715B2 (en) * | 2003-02-19 | 2005-09-20 | Micron Technology, Inc. | CMOS image sensor and method of fabrication |
| US7299491B2 (en) * | 2003-04-30 | 2007-11-20 | Microsoft Corporation | Authenticated domain name resolution |
| US20070112950A1 (en) * | 2004-03-29 | 2007-05-17 | The Go Daddy Group, Inc. | Domain name expiration protection |
| US8261351B1 (en) * | 2008-01-22 | 2012-09-04 | F5 Networks, Inc. | DNS flood protection platform for a network |
| CN101383830A (zh) * | 2008-10-28 | 2009-03-11 | 成都市华为赛门铁克科技有限公司 | 一种防护网络攻击的方法、***及网关、域名*** |
| US20100274668A1 (en) * | 2009-04-28 | 2010-10-28 | Frank Langston | Domain sub-leasing and parameter-based content delivery system |
| US8990356B2 (en) * | 2011-10-03 | 2015-03-24 | Verisign, Inc. | Adaptive name resolution |
| US8934414B2 (en) * | 2011-12-06 | 2015-01-13 | Seven Networks, Inc. | Cellular or WiFi mobile traffic optimization based on public or private network destination |
| US8863288B1 (en) * | 2011-12-30 | 2014-10-14 | Mantech Advanced Systems International, Inc. | Detecting malicious software |
| US9647899B2 (en) * | 2012-12-13 | 2017-05-09 | Level 3 Communications, Llc | Framework supporting content delivery with content delivery services |
-
2013
- 2013-07-30 CN CN201310325443.3A patent/CN104348924A/zh active Pending
-
2014
- 2014-07-17 WO PCT/CN2014/082365 patent/WO2015014215A1/en active Application Filing
-
2015
- 2015-04-16 US US14/688,098 patent/US10419387B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030070096A1 (en) * | 2001-08-14 | 2003-04-10 | Riverhead Networks Inc. | Protecting against spoofed DNS messages |
| CN1756241A (zh) * | 2004-10-01 | 2006-04-05 | 中兴通讯股份有限公司 | 一种分布式环境中消息交换的实现方法及其装置 |
| US7620733B1 (en) * | 2005-03-30 | 2009-11-17 | Cisco Technology, Inc. | DNS anti-spoofing using UDP |
| CN101321055A (zh) * | 2008-06-28 | 2008-12-10 | 华为技术有限公司 | 一种攻击防范方法和装置 |
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护*** |
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和*** |
| CN101789947B (zh) * | 2010-02-21 | 2012-10-03 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227691A (zh) * | 2015-09-16 | 2016-01-06 | 互联网域名***北京市工程研究中心有限公司 | 一种基于指定记录类型配置别名的方法及*** |
| CN105227691B (zh) * | 2015-09-16 | 2018-09-14 | 互联网域名***北京市工程研究中心有限公司 | 一种基于指定记录类型配置别名的方法及*** |
| CN110266832A (zh) * | 2019-07-08 | 2019-09-20 | 新华三信息安全技术有限公司 | 一种域名解析方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015014215A1 (en) | 2015-02-05 |
| US20150222590A1 (en) | 2015-08-06 |
| US10419387B2 (en) | 2019-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104348924A (zh) | 一种域名解析方法、***及装置 | |
| CN104144419B (zh) | 一种身份验证的方法、装置及*** | |
| CN102884764B (zh) | 一种报文接收方法、深度包检测设备及*** | |
| JP2017534198A (ja) | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 | |
| CN105554098A (zh) | 一种设备配置方法、服务器及*** | |
| CN105516163A (zh) | 一种登录方法及终端设备及通信*** | |
| TWI506472B (zh) | 網路設備及其防止位址解析協定報文攻擊的方法 | |
| CN104735065A (zh) | 一种数据处理方法、电子设备及服务器 | |
| CN104168339A (zh) | 防止域名劫持的方法及设备 | |
| CN105429953A (zh) | 一种用于访问网站的方法、装置和*** | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| CN103581201A (zh) | 认证授权方法和装置 | |
| CN105516055A (zh) | 数据访问方法、访问设备、目标设备及管理服务器 | |
| CN105681258A (zh) | 基于第三方服务器的会话方法和会话装置 | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| CN111935123A (zh) | 一种检测dns欺骗攻击的方法、设备、存储介质 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
| KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
| CN101945053B (zh) | 一种报文的发送方法和装置 | |
| CN103312724A (zh) | 一种dns请求的认证方法及设备 | |
| CN102510386A (zh) | 分布式攻击阻止方法及装置 | |
| CN109495458A (zh) | 一种数据传输的方法、***及相关组件 | |
| CN102882686A (zh) | 一种认证方法及装置 | |
| CN105656854A (zh) | 一种验证无线局域网络用户来源的方法、设备及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150211 |
|
| RJ01 | Rejection of invention patent application after publication |