CN117857112A - Dns污染处理方法、装置、电子设备及存储介质 - Google Patents
Dns污染处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117857112A CN117857112A CN202311695803.9A CN202311695803A CN117857112A CN 117857112 A CN117857112 A CN 117857112A CN 202311695803 A CN202311695803 A CN 202311695803A CN 117857112 A CN117857112 A CN 117857112A
- Authority
- CN
- China
- Prior art keywords
- response data
- data packet
- response
- dns
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 16
- 230000004044 response Effects 0.000 claims abstract description 515
- 238000000034 method Methods 0.000 claims abstract description 46
- 238000012545 processing Methods 0.000 claims description 41
- 238000001914 filtration Methods 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 14
- 238000011109 contamination Methods 0.000 claims description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 12
- 231100000572 poisoning Toxicity 0.000 description 7
- 230000000607 poisoning effect Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开是关于一种DNS污染处理方法、装置、电子设备及存储介质。该方法包括:向DNS服务器发送DNS查询请求;在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。如此,通过获取初始应答顺序,能先将抢答的应答数据包从各个应答数据包中筛选出来,以清理DNS污染的应答数据包,从而有利于提升确定目标DNS应答数据包的准确率。
Description
技术领域
本公开涉及DNS处理技术,尤其涉及一种DNS污染处理方法、装置、电子设备及存储介质。
背景技术
DNS(Domain Name System)服务器的基本功能是完成域名解析,即提供IP地址与域名之间的映射关系。一台本地DNS服务器上可以只记录本地主机的IP地址与域名之间的映射关系,若通过该本地DNS服务器向权威DNS服务器请求获取非本地主机的IP地址与域名之间的映射关系时,该本地DNS服务器可以将权威DNS服务器返回的内容进行保存,从而构成了DNS缓存。然而,该DNS缓存易于受到DNS缓存投毒攻击,所述DNS缓存投毒的原理是攻击服务器通过使用虚假IP地址替换权威DNS服务器返回的真实IP地址,从而使DNS缓存中的信息为虚假信息。
相关技术中,对于DNS缓存投毒的情况,通常是接收到多个DNS应答数据包时,向权威DNS服务器发送查询,以确定各DNS应答数据包是否是对应于查询请求的目标DNS应答数据包。然而,这种检测方法需要消耗大量时间、效率较低。
发明内容
为克服相关技术中存在的问题,本公开提供一种DNS污染处理方法、装置、电子设备及存储介质,以克服现有技术中目标DNS应答数据包的检测方法需要消耗大量时间、效率较低的问题。
根据本公开实施例的第一方面,提供一种DNS污染处理方法,包括:
向DNS服务器发送DNS查询请求;
在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;
基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
在一些实施例中,所述基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包,包括:
将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中;
将从所述先入后出队列中读取各个应答数据包的顺序,确定为各个应答数据包的目标应答顺序;
基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包。
在一些实施例中,所述基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包,包括:
将按照所述目标应答顺序的指示,从所述先入后出队列读取出的第一个应答数据包,确定为所述目标DNS应答数据包。
在一些实施例中,所述方法还包括:
在发送所述DNS查询请求的过程中,获取所述DNS查询请求的请求数据包;
从所述请求数据包中解析出第一事务ID;
基于所述第一事务ID,构建所述先入后出队列。
在一些实施例中,所述将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中,包括:
从各个应答数据包中解析出第二事务ID;
将各个应答数据包的第二事务ID与所述第一事务ID进行匹配,确定与第一事务ID相匹配的应答数据包作为第一候选应答数据包;
按照所述初始应答顺序,将各个第一候选应答数据包,依次存储至所述先入后出队列中。
在一些实施例中,在所述基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包之前,还包括:
确认第一个存储至所述先入后出队列的应答数据包的存储时长达到预设时长阈值。
在一些实施例中,所述将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中,包括:
对各个应答数据包进行过滤处理,得到满足端口条件和/或事务ID条件的应答数据包作为第二候选应答数据包;
按照所述初始应答顺序,将各个第二候选应答数据包,依次存储至所述先入后出队列中。
在一些实施例中,所述按照所述初始应答顺序,将各个第二候选应答数据包,依次存储至所述先入后出队列中,包括:
获取各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息;
基于各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息,对各个第二候选应答数据包进行过滤处理;
按照所述初始应答顺序,将过滤后的第二候选应答数据包依次存储至所述先入后出队列中。
在一些实施例中,所述方法还包括:
在检测到所述目标DNS应答数据包的取出操作结束的情况下,对所述先入后出队列执行清除处理。
根据本公开实施例的第二方面,提供一种DNS污染处理装置,包括:
发送模块,被配置为向DNS服务器发送DNS查询请求;
第一确定模块,被配置为在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;
第二确定模块,被配置为基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
在一些实施例中,所述第二确定模块,具体包括:
第一存储模块,被配置为将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中;
第三确定模块,被配置为将从所述先入后出队列中读取各个应答数据包的顺序,确定为各个应答数据包的目标应答顺序;
第四确定模块,被配置为基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包。
在一些实施例中,所述第四确定模块,具体被配置为:
将按照所述目标应答顺序的指示,从所述先入后出队列读取出的第一个应答数据包确定为所述目标DNS应答数据包。
在一些实施例中,所述DNS污染处理装置,还包括:
第一获取模块,被配置为在发送所述DNS查询请求的过程中,获取所述DNS查询请求的请求数据包;
第二获取模块,被配置为从所述请求数据包中解析出第一事务ID;
构建模块,被配置为基于所述第一事务ID,构建所述先入后出队列。
在一些实施例中,所述第一存储模块,具体被配置为:
从各个应答数据包中解析出第二事务ID;
将各个应答数据包的第二事务ID与所述第一事务ID进行匹配,确定与第一事务ID相匹配的应答数据包作为第一候选应答数据包;
按照所述初始应答顺序,将各个第一候选应答数据包,依次存储至所述先入后出队列中。
在一些实施例中,所述DNS污染处理装置,还包括:
确认模块,被配置为确认第一个存储至所述先入后出队列的应答数据包的存储时长达到预设时长阈值。
在一些实施例中,所述第一存储模块,包括:
第四获取模块,被配置为对各个应答数据包进行过滤处理,得到满足端口条件和/或事务ID条件的应答数据包作为第二候选应答数据包;
第二存储模块,被配置为按照所述初始应答顺序,将各个第二候选应答数据包,依次存储至所述先入后出队列中。
在一些实施例中,所述第二存储模块,具体被配置为:
获取各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息;
基于各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息,对各个第二候选应答数据包进行过滤处理;
按照所述初始应答顺序,将过滤后的第二候选应答数据包依次存储至所述先入后出队列中。
在一些实施例中,所述DNS污染处理装置,还包括:
清除模块,被配置为在检测到所述目标DNS应答数据包的取出操作结束的情况下,对所述先入后出队列执行清除处理。
根据本公开实施例的第三方面,提供一种电子设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:执行所述可执行命令时,实现上述第一方面中任一种DNS污染处理方法中的步骤。
根据本公开实施例的第四方面,提供一种非临时性计算机可读存储介质,包括:
当所述存储介质中的指令由电子设备的处理器执行时,实现上述第一方面中任一种DNS污染处理方法中的步骤。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开实施例中通过向DNS服务器发送DNS查询请求;在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
如此,相较于现有技术中将各个应答数据包进行缓存,再将各个应答数据包发送至权威DNS服务器中进行查询,从而确定目标DNS应答数据包的方法,本公开实施例通过获取初始应答顺序,确定接收到各个应答数据包的顺序,可以将接收顺序在前的应答数据包从各个应答数据包中筛选出来,确定为DNS污染的应答数据包,然后进一步确定DNS查询请求对应的目标DNS应答数据包,从而在提升确定目标DNS应答数据包的准确率的同时,提高了DNS污染的处理效率,减少了为检测投毒攻击所消耗的网络带宽和内存等资源。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据一示例性实施例示出的DNS污染处理方法的流程示意图;
图2是根据一示例性实施例示出的ebpf程序运行的示意图;
图3是根据一示例性实施例示出的应答数据包的报文格式示意图;
图4是根据一示例性实施例示出的一种DNS污染处理装置框图;
图5是根据一示例性实施例示出的一种电子设备的硬件结构框图一;
图6是根据一示例性实施例示出的一种电子设备的硬件结构框图二。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本公开实施例中提供了一种DNS污染处理方法,图1是根据一示例性实施例示出的DNS污染处理方法的流程示意图,如图1所示;该方法主要包括以下步骤:
在步骤101中,向DNS服务器发送DNS查询请求;
在步骤102中,在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;
在步骤103中,基于所述初始应答顺序,从至少两个应答数据包中确定与所述DNS查询请求对应的目标DNS应答数据包。
需要说明的是,本公开提出的DNS污染处理方法可以应用于电子设备,也可以应用于服务器。这里,电子设备可以包括:终端设备,例如,移动终端或者固定终端。其中,移动终端可以包括:手机、平板电脑、笔记本电脑等设备。固定终端可以包括:台式电脑、智能电视等。服务器作为计算机的一种,可以在网络中为其它客户机(如电脑、智能手机、ATM等终端设备甚至是火车***等大型设备)提供计算或者应用服务。
本公开实施例中的DNS污染处理方法可以被配置在DNS污染处理装置中,该DNS污染处理装置可以设置在服务器中,或者也可以设置在电子设备中,本公开实施例对此不作限制。
需要说明的是,本公开实施例的执行主体,在硬件上可以例如为服务器或者电子设备中的中央处理器(Central Processing Unit,CPU),在软件上可以例如为服务器或者电子设备中的相关的后台服务,对此不作限制。
可以理解的是,在上网过程中,各终端设备需要对URL的域名进行查询,因此,需要向DNS服务器发送DNS查询请求。
这里,DNS服务器可以是TLD服务器、权威域名服务器或递归域名服务器,本公开实施例对此不作限定。
同时,发送DNS查询请求的终端可以为手机、平板电脑等移动终端或便携终端,本公开实施例对此也不作限定。
在一些实施例中,客户端发送的DNS查询请求会传递到本地DNS服务器(指ISP提供的DNS服务器),本地服务器会向根域名服务器发起查询请求;根域名服务器会根据查询的域名解析,然后将所查询域名的IP返回给本地DNS服务器;最后本地DNS服务器将从根域名服务器接收到的IP地址返回给客户端。
需要说明的是,在出现域名服务器缓存污染的情况下,在接收到DNS查询请求后,DNS服务器会返回多个应答数据包,导致客户端接收到被污染的应答数据包。
这里,网域服务器缓存污染(DNS cache pollution),又称域名缓存器缓存投毒(DNS cache poisoning),是指一些刻意制造或无意中制造出来的域名服务器数据包,把域名指往不正确的IP地址。通常,在互联网都有可信赖的网域服务器,但为降低网络上的流量压力,一般的域名服务器都会把上游的域名服务器获得的解析记录暂存起来,待下次有其他终端设备要求解析域名时,可以立即提供服务。一旦有关网域的域名服务器的缓存收到污染,就会把局域内的计算机引往错误的服务器或者服务器网址。
本发明人在发明过程中发现,由于DNS污染采用DNS抢答机制,比如A为用户端,B为DNS服务器,C为A到B链路上的一个节点的网络设备(如路由器、网关等),用户端A向DNS服务器B构建UDP连接,然后,用户端A向DNS服务器B发送DNS查询请求,所述DNS查询请求对应的请求数据包经过节点设备C发送至DNS服务器B,节点设备C通过对数据包进行特征分析,得到错误的应答数据包。节点设备C的应答数据包会抢先于DNS服务器B的应答数据包到达用户端A。同时,用户端A的网络服务只认第一个进行响应的应答数据包,因此DNS污染的应答数据包(即节点设备C生成的错误的应答数据包)会传送到用户端A,从而使得DNS污染得逞。
因此,本公开实施例中在DNS服务器基于DNS查询请求返回的应答数据包为至少两个的情况下,先确定各个所述应答数据包的初始应答顺序,再判断DNS查询请求对应的目标DNS应答数据包。
这里,目标DNS应答数据包为DNS服务器接收到DNS查询请求,基于所述DNS查询请求,得到的查询结果。
需要说明是,初始应答顺序就是接收到各个应答数据包的顺序,由于DNS污染的应答数据包具有抢先响应查询请求的特性,因此,通过获取各个应答数据包的应答顺序,可以将先响应的应答数据包筛选出来,确定为DNS污染的应答数据包,然后再确定与DNS查询请求对应的目标DNS应答数据包,从而提高确定目标应答数据包的准确性。
可以理解的是,各个应答数据包的初始应答顺序与各个应答数据包的接收顺序呈现正相关关系,第一个接收到的应答数据包的应答顺序排在第二个接收到的应答数据包之前,即第一个接收到的应答数据包为抢先响应的应答数据包。
在一些实施例中,在DNS服务器基于DNS查询请求返回的应答数据包为至少两个的情况下,可以建立缓冲区,获取所述缓冲区接收各个应答数据包的接收时间,确定各个应答数据包的响应时间,将响应时长较长的应答数据包确定为DNS污染的应答数据包,然后,可以将从响应时长较短的各个应答数据包中,确定与DNS查询请求对应的目标DNS应答数据包。
示例性地,图2是根据一示例性实施例示出的ebpf程序运行的示意图,如图2所示,通过ebpf(Extended Berkeley Packet Filter)技术进行网络数据包过滤,能够避免代理监控方式需要经过内核网络协议带来的开销,同时使用快速数据路径技术(Express datapata,XDP)对应答数据包进行过滤和逻辑处理,实现在内核级的DNS污染处理。
这里,ebpf技术是一种在内核中执行的嵌入式虚拟机技术,通过加载自定义的ebpf程序到内核中来对网络包进行过滤和处理。它可以访问包括网络层、传输层和应用层等各个协议层的数据。通过执行ebpf程序,能够实现对网络包的过滤、修改和统计等操作,而无需修改内核代码或重新编译内核。
ebpf技术的原理使得它在网络流量分析、安全防护和性能优化等领域有广泛的应用。如ebpf技术可以用于捕获和分析网络流量,通过过滤和统计网络包,能够获取各种网络指标(即带宽利用率、流量分布和延迟情况等);ebpf技术还可以过滤恶意流量,检测和阻止DDOS攻击、端口扫描和恶意软件传播等行为。
XDP程序是Linux中的一个ebpf钩子,能够挂载ebpf程序,能够在网络数据包达到网卡驱动层时对所述网络数据包进行处理,具有较优秀的数据面处理性能,打通了Linux网络处理的高速公路。运行的XDP程序可以通过XDP操作码来指定驱动对网络数据包的后续动作。
在一些实施例中,为了让编写的ebpf程序可以成功注入到操作***内核中运行,需要把ebpf程序编译成elf文件,如ip link set dev eth0 xdp obj./xxxx elf。
这里,如图2所示,XDP操作结果码包括XDP_DROP、XDP_PASS、XDP_TX和XDP_REDIRECT。
其中,XDP_DROP为丢弃数据包,发生在驱动程序的最早RX阶段;XDP_PASS为将数据包传递到协议栈处理;XDP_TX为转发数据包,将接收到的数据包发送到一块网卡中;XDP_REDIRECT为数据包重定向,将数据包传输到另一块网卡或者传入到BPF的CPU map中。
在一些实施例中,对于一个网络设备驱动绑定了XDP程序的网卡,网络设备在接收到队列1发送的应答数据包时,会先执行XDP程序中所定义的规则,根据这些规则,决定下一步的操作,如图2中将应答数据包传递到常规的网络协议栈中、丢弃黑名单地址的应答数据包、将应答数据包发送到指定内存中或者重定向应答数据包到其他网络接口,再利用队列2,将执行过XDP程序规则的应答数据包发送出去。
本公开实施例中通过向DNS服务器发送DNS查询请求;在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
如此,相较于现有技术中将各个应答数据包进行缓存,再将各个应答数据包发送至权威DNS服务器中进行查询,从而确定目标DNS应答数据包的方法,本公开实施例通过获取初始应答顺序,确定接收到各个应答数据包的顺序,可以将接收顺序在前的应答数据包从各个应答数据包中筛选出来,确定为DNS污染的应答数据包,然后进一步确定DNS查询请求对应的目标DNS应答数据包,从而在提升确定目标DNS应答数据包的准确率的同时,提高了DNS污染的处理效率,减少了为检测投毒攻击所消耗的网络带宽和内存等资源。
在一些实施例中,所述基于所述初始应答顺序,从至少两个应答数据包中确定与所述DNS查询请求对应的目标DNS应答数据包,包括:
将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中;
将从所述先入后出队列中读取各个应答数据包的顺序,确定为各个应答数据包的目标应答顺序;
基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包。
需要说明的是,为了保证将DNS污染的应答数据包最后发送到用户端,可以创建先入后出队列,从而将各个应答数据包按照初始应答顺序,依次存储至先入后出队列中。
可以理解的是,先入后出队列的特性为先进后出,即先进入队列的应答数据包,最后退出队列。
这里,先入后出队列的实现方式可以是循环数组实现,也可以是指针实现,本公开实施例对此不作限定。
需要解释的是,在各个应答数据包存储至所述先入后出队列后,能够读取各个所述应答数据包的顺序,即各个应答数据包在所述先入后出队列的队列顺序,基于所述队列顺序,确定各个应答数据包的目标应答顺序。
需要说明的是,由于先入后出队列的特性为先进后出,因此,各个应答数据包的初始应答顺序与目标应答顺序呈现负相关关系,即最先接收到的应答数据包的初始应答顺序为最前,目标应答顺序为最后;最后接收到的应答数据包的初始应答顺序为最后,目标应答顺序为最前。
可以理解的是,在确定各个应答数据包的目标应答顺序后,可以从目标应答顺序在前的多个应答数据包中,选取DNS查询请求对应的目标DNS应答数据包,从而有利于提升确定目标DNS应答数据包的准确性。
本公开实施例中将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中;将从所述先入后出队列中读取各个应答数据包的顺序,确定为各个应答数据包的目标应答顺序;基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包。如此,本公开实施例中通过将各个应答数据包存储至先入后出队列,使得最先抢答的应答数据包最后从所述先入后出队列中退出,避免了被污染的应答数据包发送给客户端,有利于客户端获取正确的目标DNS应答数据包。
在一些实施例中,所述基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包,包括:
将按照所述目标应答顺序的指示,从所述先入后出队列读取出的第一个应答数据包,确定为所述目标DNS应答数据包。
可以理解的是,DNS污染的应答数据包具有抢先响应的特性,因此,被污染的应答数据包会先进入先入后出队列,目标DNS应答数据包会后进入所述先入后出队列,从而可以按照目标应答顺序的指示,从先入后出队列读取出的第一个应答数据包,确定为目标DNS应答数据包,以保证用户端获取正确的DNS应答。
示例性地,应答数据包D对应的初始应答顺序为1、应答数据包E对应的初始应答顺序为2以及应答数据包F对应的初始应答顺序为3,能够确定应答数据包D对应的目标应答顺序为3、应答数据包E对应的目标应答顺序为2以及应答数据包F对应的目标应答顺序为1,通过目标应答顺序,可以将应答数据包F确定为与DNS查询请求对应的目标DNS应答数据包。
本公开实施例中将按照所述目标应答顺序的指示,从所述先入后出队列读取出的第一个应答数据包,确定为所述目标DNS应答数据包从而将最后进入所述先入后出队列的应答数据包确定为目标DNS应答数据包,有利于提升确定目标DNS应答数据包的准确性,以保证用户端获取正确的DNS应答。
在一些实施例中,所述方法还包括:
在发送所述DNS查询请求的过程中,获取所述DNS查询请求的请求数据包;
从获取所述请求数据包中解析出第一事务ID;
基于所述第一事务ID,构建所述先入后出队列。
需要说明的是,为了提升确定目标DNS应答数据包的准确性,可以创建了针对所述先入后出队列的进入条件。本公开实施例中,在发送DNS查询请求的过程中,获取所述DNS查询请求的请求数据包,再基于所述请求数据包的第一事务ID,构建所述先入后出队列。
在一些实施例中,在发送所述DNS查询请求的过程中,可以利用抓包工具获取DNS查询请求的请求数据包,以便于对请求数据包进行解析,得到请求数据包中的第一事务ID。
这里,抓包工具通过在网络接口上监听数据流量,捕获经过网络的所有数据包,可以拦截传输层(如TCP、UDP)和网络层(如IP)的数据包,并将数据包解析成可读的格式,以便进一步分析,能够应用在网络安全分析、网络故障排查等场景。
同时,抓包工具可以是wireshark、snifferpro或者snoop,本公开实施例对此不作限定。
可以理解的是,第一事务ID(Transaction ID)是指请求数据包的ID标识,每一个请求数据包仅有一个ID标识,为了提升确定目标DNS应答数据包的准确性,在确定请求数据包的ID标识后,建立ID为所述ID标识的先入后出队列。
这里,若第一事务ID为0,可以确定请求数据包为非正常的请求数据包。
示例性地,图3是根据一示例性实施例示出的应答数据包的报文格式示意图,如图3所示,图示001为第一事务ID,在发送DNS查询请求的过程中,利用抓包工具获取所述DNS查询请求的请求数据包,解析所述请求数据包,获取请求数据包的第一事务ID为222,则可以建立ID为222的先入后出队列。
本公开实施例中在发送所述DNS查询请求的过程中,先获取所述DNS查询请求的请求数据包;再从所述请求数据包中解析出第一事务ID;最后基于所述第一事务ID,构建所述先入后出队列。如此,本公开实施例基于请求数据包的事务ID,构建先入后出队列,从而创建了针对所述先入后出队列的进入条件,有利于清除被DNS污染的应答数据包,有利于提升确定目标DNS应答数据包的准确性。
在一些实施例中,所述将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中,包括:
从各个应答数据包中解析出第二事务ID;
将各个应答数据包的第二事务ID与所述第一事务ID进行匹配,确定与第一事务ID相匹配的应答数据包作为第一候选应答数据包;
按照所述初始应答顺序,将各个第一候选应答数据包,依次存储至所述先入后出队列中。
需要说明的是,DNS请求数据包和DNS请求数据包对应的DNS应答数据包的事务ID具有相同的特性,因此,为了进一步提升确定目标DNS请求数据包,可以对各个应答数据包进行筛选,从而将事务ID为上述第一事务ID的应答数据包存储至先入后出队列。
因此,本公开实施例中先获取各个应答数据包中的第二事务ID,再将各个第二事务ID与第一事务ID进行匹配,筛选出与所述第一事务ID相同的第二事务ID,并将与所述第一事务ID相同的第二事务ID对应的应答数据包确定为满足第一预设条件的第一候选应答数据包;将与所述第一事务ID不相同的第二事务ID对应的应答数据包确定为不满足第一预设条件的应答数据包。
可以理解的是,在确定满足第一候选应答数据包后,可以按照各个第一候选应答数据包的初始应答顺序,将各个第一候选应答数据包依次存储在先入后出队列中,从而有利于提升目标DNS应答数据包的准确性。
示例性地,若第一事务ID为222,获取各个应答数据包的第二事务ID,如应答数据包1的第二事务ID为222、应答数据包2的第二事务ID为222以及应答数据包3的第二事务ID为333,可以将应答数据包1和应答数据包2确定为满足第一预设条件的第一候选应答数据包,然后将第一候选应答数据包1和第一候选应答数据包2确按照初始应答顺序,依次存入先入后出队列;同时,可以将应答数据包3确定为不满足第一预设条件的应答数据包,则应答数据包3不执行进入所述先入后出队列的操作。
本公开实施例中先从各个应答数据包中解析出第二事务ID,再将各个应答数据包的第二事务ID与所述第一事务ID进行匹配,确定与第一事务ID相匹配的应答数据包作为第一候选应答数据包;最后按照所述初始应答顺序,将各个第一候选应答数据包,依次存储至所述先入后出队列中。如此,利用DNS请求数据包和DNS请求数据包对应的DNS应答数据包的事务ID相同的特性,确定各个应答数据包是否为与第一事务ID相匹配的应答数据包,可将与第一事务ID不匹配的应答数据包确定为投毒攻击的应答数据包,从而在提升确定目标DNS应答数据包的准确率的同时,提高了DNS污染的处理效率。
在一些实施例中,在所述基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包之前,还包括:
确认第一个存储至所述先入后出队列的应答数据包的存储时长达到预设时长阈值。
需要说明的是,避免用户端长时间无法接收到应答数据包,保证DNS响应的有效时长,可以设置预设时长阈值,从而在基于目标应答顺序,从先入后出队列存储的应答数据包中确定目标DNS应答数据包之前,可以确认第一个存储至先入后出队列的应答数据包的存储时长是否达到预设时长阈值,在所述存储时长达到预设时长阈值的情况下,基于目标应答顺序,从所述先入后出队列中取出目标DNS应答数据包。
这里,预设时长阈值可以任意设置,本公开实施例对此不作限定。
可以理解的是,存储时长是第一个进入先入后出队列的应答数据包的进入时刻至当前时刻之间的时间段,如预设时长阈值为3毫秒,在确认第一个进入所述先入后出队列的应答数据包的进入时刻至当前时刻的达到3毫秒的情况下,基于目标应答顺序,将从所述先入后出队列读取出的第一个应答数据包,确定为目标DNS应答数据包。
示例性地,先入后出队列为堆栈,第一事务ID为222,建立ID为222的堆栈,预设时长阈值为5毫秒,通过获取各个应答数据包的第二事务ID,并将第二事务ID为222的应答数据包,按照初始应答顺序,依次存储至所述堆栈中。在确认第一个存储至所述堆栈的应答数据包的存储时长达到5毫秒时,基于目标应答顺序,将从所述堆栈执行出栈操作的第一个应答数据包,确定为目标DNS应答数据包。
本公开实施例中在确认第一个存储至所述先入后出队列的应答数据包的存储时长达到预设时长阈值后,基于所述目标应答顺序,从先入后出队列存储的应答数据包中确定目标DNS应答数据包。如此,本公开实施例中通过设置预设时长,从而及时执行目标DNS应答数据包针对所述先入后出队列的退出操作,保证了客户端接收到DNS响应的有效时长。
在一些实施例中,所述将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中,包括:
对各个应答数据包进行过滤处理,得到满足端口条件和/或事务ID条件的应答数据包作为第二候选应答数据包;
按照所述初始应答顺序,将各个第二候选应答数据包,依次存储至所述先入后出队列中。
可以理解的是,为了减少***的处理量,可以设置第二预设条件,即端口条件和/事务ID条件,对各个应答数据包进行过滤处理,从而得到满足端口条件和/事务ID条件的第二候选应答数据包。
这里,端口条件和/事务ID条件可以任意设置,本公开实施例对此不作限定。
在一些实施例中,端口条件为端口号为53的筛选条件,DNS查询请求通常是小型请求,需要几个字节的数据传输,而UDP(User Datagram Protocal)是无连接的协议,不需要在通信之前建立连接,而是将请求数据包发送到目标地址并等待响应,使得UDP能适应快速响应的场景。同时,DNS查询请求需要低延迟来提供快速的域名解析服务,UDP的简单特性和无连接性使得数据包能够以较低的延迟传输,减少通信的开销。由于DNS服务器默认使用的端口号为53,因此,可以拦截端口号为53的UDP协议的应答数据包,将端口号为非53的UDP协议对应的应答数据包进行过滤,从而得到端口号均为53的UDP协议的应答数据包。
在另一些实施例中,事务ID条件为事务ID非0的筛选条件,在获取各个应答数据包的第二事务ID后,可以将第二事务ID为0的应答数据包,作为非正常的应答数据包,并将所述非正常的应答数据包进行过滤,从而得到为第二事务ID为非0的应答数据包。
需要说明的是,在得到满足第二预设条件的第二候选应答数据包后,能够按照初始应答顺序,将各个第二候选应答数据包依次存储至先入后出队列中,进一步确定目标DNS应答数据包。
在一些实施例中,将第二候选应答数据包依次存储至先入后出队列中,再读取各个第二候选应答数据包的初始应答顺序,确定各个第二候选应答数据包的目标应答顺序;最后基于所述目标应答顺序,从多个第二候选应答数据包中确定目标DNS应答数据包。
在另一些实施例中,为了提升确定目标DNS应答数据包的准确性,可以对满足第二预设条件的第二候选应答数据包再进行过滤,即获取各个第二候选应答数据包对应的第二事务ID,将与第一事务ID相同的第二事务ID对应的应答数据包确定为满足第一预设条件的第二候选应答数据包,再将所述满足第一预设条件的第二候选应答数据包按照初始应答顺序依次存储至先入后出队列,再读取各个满足第一预设条件的第二候选应答数据包的顺序,确定各个满足第一预设条件的第二候选应答数据包的目标应答顺序;最后基于所述目标应答顺序,从多个满足第一预设条件的第二候选应答数据包中确定目标DNS应答数据包。
本公开实施例中先对各个应答数据包进行过滤处理,得到满足端口条件和/或事务ID条件的应答数据包作为第二候选应答数据包;再按照所述初始应答顺序,将各个第二候选应答数据包,依次存储至所述先入后出队列中,从而在提升确定目标应答包的效率的同时,提高确定目标DNS应答数据包的准确性。
在一些实施例中,所述按照所述初始应答顺序,将各个第二候选应答数据包,依次存储至所述先入后出队列中,包括:
获取各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息;
基于各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息,对各个第二候选应答数据包进行过滤处理;
按照所述初始应答顺序,将过滤后的第二候选应答数据包依次存储至所述先入后出队列中。
可以理解的是,为了提升对各个第二候选应答数据包的过滤处理的准确性,可以对各个第二候选应答数据包进行解析,得到各个第二候选应答数据包的标志位信息和或回答问题区域的资源记录信息,再基于各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息,对各个第二候选应答数据包进行过滤处理。
需要说明的是,一个标准的DNS查询请求由两部分组成:请求数据包以及应答数据包,如图3所示,每个数据包都包含了固定的报文头和变长的问题、回答、授权和附加部分。
这里,DNS报文首部(DNS Header)包括事务ID(Transaction ID)、标志(Flags)、问题计数(Questions)、回答资源记录数(Answer RRS)、权威名称服务器计数(AuthorityRRS)以及附加资源记录数(Additional RRS)。
其中,事务ID用于识别报文,用于匹配查询和响应;标志包括多个标志位;问题计数表示指定查询部分的问题数目;回答资源记录数表示指定回答部分的记录数目;权威名称服务器计数表示指定权威名称服务器的记录数目;附加资源记录数表示指定附加部分的记录数目。
在一些实施例中,如图3所示,QR为查询请求/响应的标志信息,当QR的值为0时,表示查询请求;当QR的值为1时,表示响应。Opcode为操作码的标志信息,当Opcode的值为0时,表示标准查询;当Opcode的值为1时,表示反向查询;当Opcode的值为2时,表示DNS服务器状态请求。AA为授权应答的标志信息,当AA的值为1时,表示DNS服务器为权威服务器;当AA的值为0时,表示DNS服务器不是权威服务器。图示003TC(Truncated)表示是否被截断的标志信息,当TC的值为0时,表示未被截断;当TC的值为1时,表示响应已超过512个字节已经被截断,只返回前512个字节。图示004Rcode为返回码字段,当Rcode的值为0时,表示数据包没有错误;当Rcode的值为非0时,表示数据包存在错误。
示例性地,对各个候选应答数据包进行解析,从而对TC标志位以及Rcode标志位进行判断。当TC的值为1时,表示DNS应答数据包已经超过了512个字节,只返回前512个字节,则直接过滤该第二候选应答数据包。当Rcode的值为非0时,表明该DNS应答数据包有错误,则应该过滤该第二候选应答数据包。
这里,应答数据包中的查询部分(Question Section)包括域名(Name)、查询类型(Type)以及查询类别(Class)。其中,域名表示查询的域名,查询类型表示查询的资源记录类型,查询类别表示查询的资源记录类别。
如图3所示,回答部分(Answer Section)包括图示005域名(Name)、图示006回答类型(Type)以及图示007回答类别(Class)。其中,域名表示查询的域名,回答类型表示回答的资源记录类型,回答类别表示回答的资源记录类别。
示例性地,对回答部分的资源记录信息进行判断。当域名记录的信息被0XC00C指代,而不是查询的域名,则直接过滤该候选应答数据包。当第二候选应答数据包中回答的资源记录类型的值以及回答的资源记录类别的值,与DNS请求数据包中回答的资源记录类型的值以及回答的资源记录类别的值不一致时,则直接过滤该第二候选应答数据包。
在一些实施例中,可以先拦截端口号为53的UDP协议的应答数据包,将端口号为非53的UDP协议对应的应答数据包进行过滤,得到端口号均为53的UDP协议的第二候选应答数据包,再对各个第二候选应答数据包进行解析,确定各个第二候选应答数据包的标志位信息和/或回答问题区域的资源记录信息,然后基于各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息,对各个第二候选应答数据进行过滤处理;其次再判断过滤后的第二候选应答数据包的第二事务ID是否与第一事务ID相同,确定满足第一预设条件的第二候选应答数据包;最后,再按照所述初始应答顺序,将满足第一预设条件的第二候选应答数据包存储至先入后出队列,从所述先入后出队列中取出目标DNS应答数据包。
本公开实施例中通过先获取各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息;再基于各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息,对各个第二候选应答数据进行过滤处理,最后按照所述初始应答顺序,将过滤后的第二候选应答数据包依次存储至所述先入后出队列中。如此,一方面有利于提升确定目标应答包的效率,另一方面有利于提高确定目标应答包的准确性。
在一些实施例中,所述方法还包括:
在检测到所述目标DNS应答数据包的取出操作结束的情况下,对所述先入后出队列执行清除处理。
需要说明的是,为了避免占用内存,在检测到目标DNS应答数据包的取出操作结束的情况下,即确认目标DNS应答数据包发送至本地计算机的应用网络服务中后,可以清除先入后出队列,以提升***的运行速度。
示例性地,以先入后出队列为堆栈为例,在检测到出栈顺序指示的第一个读取出的应答数据包(即目标DNS应答数据包)的取出操作结束后,能够确认目标DNS应答数据包会最先到达本地计算机的应用网络服务,即保证本地计算机获取正确的DNS解析结果,从而可以删除该堆栈,以减少内存占用。
本公开实施例中,在检测到目标DNS应答数据包的取出操作结束的情况下,对先入后出队列执行清除处理,从而能够减少内存占用,有利于提升***的运行速度。
图4是根据一示例性实施例示出的一种DNS污染处理装置框图,如图4所示,所述DNS污染处理装置400,包括:
发送模块401,被配置为向DNS服务器发送DNS查询请求;
第一确定模块402,被配置为在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;
第二确定模块403,被配置为基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
在一些实施例中,所述第二确定模块403,具体包括:
第一存储模块,被配置为将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中;
第三确定模块,被配置为将从所述先入后出队列中读取各个应答数据包的顺序,确定为各个应答数据包的目标应答顺序;
第四确定模块,被配置为基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包。
在一些实施例中,所述第四确定模块,具体被配置为:
将按照所述目标应答顺序的指示,从所述先入后出队列读取出的第一个应答数据包确定为所述目标DNS应答数据包。
在一些实施例中,所述DNS污染处理装置400,还包括:
第一获取模块,被配置为在发送所述DNS查询请求的过程中,获取所述DNS查询请求的请求数据包;
第二获取模块,被配置为从所述请求数据包解析出的第一事务ID;
构建模块,被配置为基于所述第一事务ID,构建所述先入后出队列。
在一些实施例中,所述第一存储模块,具体被配置为:
从各个应答数据包中解析出第二事务ID;
将各个应答数据包的第二事务ID与所述第一事务ID进行匹配,确定与第一事务ID相匹配的应答数据包作为第一候选应答数据包;
按照所述初始应答顺序,将各个第一候选应答数据包,依次存储至所述先入后出队列中。
在一些实施例中,所述DNS污染处理装置,还包括:
确认模块,被配置为确认第一个存储至所述先入后出队列的应答数据包的存储时长达到预设时长阈值。
在一些实施例中,所述第一存储模块,包括:
第四获取模块,被配置为对对各个应答数据包进行过滤处理,得到满足端口条件和/或事务ID条件的应答数据包作为第二候选应答数据包;
第二存储模块,被配置为按照所述初始应答顺序,将各个候选应答数据包依次存储至所述先入后出队列中。
在一些实施例中,所述第二存储模块,具体被配置为:
获取各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息;
基于各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息,对各个第二应答数据包进行过滤处理;
按照所述初始应答顺序,将过滤后的第二候选应答数据包依次存储至所述先入后出队列中。
在一些实施例中,所述DNS污染处理装置400,还包括:
清除模块,被配置为在检测到所述目标DNS应答数据包的取出操作结束的情况下,对所述先入后出队列执行清除处理。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图5是根据一示例性实施例示出的一种电子设备的硬件结构框图一。例如,装置800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图5,装置800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)接口812,传感器组件814,以及通信组件816。
处理组件802通常控制装置800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在装置800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理***,一个或多个电源,及其他与为装置800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当装置800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜***或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当装置800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和***接口模块之间提供接口,上述***接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为装置800提供各个方面的状态评估。例如,传感器组件814可以检测到装置800的打开/关闭状态,组件的相对定位,例如所述组件为装置800的显示器和小键盘,传感器组件814还可以检测装置800或装置800一个组件的位置改变,用户与装置800接触的存在或不存在,装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络,如WiFi、4G或5G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理***的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器804,上述指令可由装置800的处理器820执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
一种非临时性计算机可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行一种DNS污染处理方法,所述方法包括:
向DNS服务器发送DNS查询请求;
在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;
基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
图6是根据一示例性实施例示出的一种电子设备的硬件结构框图二。例如,装置1900可以被提供为一服务器。参照图6,装置1900包括处理组件1922,其进一步包括一个或多个处理器,以及由存储器1932所代表的存储器资源,用于存储可由处理组件1922的执行的指令,例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1922被配置为执行指令,以执行上述方法:
向DNS服务器发送DNS查询请求;
在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;
基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
装置1900还可以包括一个电源组件1926被配置为执行装置1900的电源管理,一个有线或无线网络接口1950被配置为将装置1900连接到网络,和一个输入/输出(I/O)接口1958。装置1900可以操作基于存储在存储器1932的操作***,例如Windows ServerTM,MacOS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (12)
1.一种DNS污染处理方法,其特征在于,所述方法包括:
向DNS服务器发送DNS查询请求;
在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;
基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
2.根据权利要求1所述的方法,其特征在于,所述基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包,包括:
将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中;
将从所述先入后出队列中读取各个应答数据包的顺序,确定为各个应答数据包的目标应答顺序;
基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包。
3.根据权利要求2所述的方法,其特征在于,所述基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包,包括:
将按照所述目标应答顺序的指示,从所述先入后出队列读取出的第一个应答数据包,确定为所述目标DNS应答数据包。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在发送所述DNS查询请求的过程中,获取所述DNS查询请求的请求数据包;
从所述请求数据包中解析出第一事务ID;
基于所述第一事务ID,构建所述先入后出队列。
5.根据权利要求4所述的方法,其特征在于,所述将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中,包括:
从各个应答数据包中解析出第二事务ID;
将各个应答数据包的第二事务ID与所述第一事务ID进行匹配,确定与第一事务ID相匹配的应答数据包作为第一候选应答数据包;
按照所述初始应答顺序,将各个第一候选应答数据包,依次存储至所述先入后出队列中。
6.根据权利要求2所述的方法,其特征在于,在所述基于所述目标应答顺序,从所述先入后出队列存储的应答数据包中确定所述目标DNS应答数据包之前,还包括:
确认第一个存储至所述先入后出队列的应答数据包的存储时长达到预设时长阈值。
7.根据权利要求2所述的方法,其特征在于,所述将各个应答数据包按照所述初始应答顺序,依次存储至先入后出队列中,包括:
对各个应答数据包进行过滤处理,得到满足端口条件和/或事务ID条件的应答数据包作为第二候选应答数据包;
按照所述初始应答顺序,将各个第二候选应答数据包,依次存储至所述先入后出队列中。
8.根据权利要求7所述的方法,其特征在于,所述按照所述初始应答顺序,将各个第二候选应答数据包,依次存储至所述先入后出队列中,包括:
获取各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息;
基于各个第二候选应答数据包中的标志位信息和/或回答问题区域的资源记录信息,对各个第二候选应答数据包进行过滤处理;
按照所述初始应答顺序,将过滤后的第二候选应答数据包依次存储至所述先入后出队列中。
9.根据权利要求2至8任一项所述的方法,其特征在于,所述方法还包括:
在检测到所述目标DNS应答数据包的取出操作结束的情况下,对所述先入后出队列执行清除处理。
10.一种DNS污染处理装置,其特征在于,所述装置,包括:
发送模块,被配置为向DNS服务器发送DNS查询请求;
第一确定模块,被配置为在所述DNS服务器基于所述DNS查询请求返回的应答数据包为至少两个的情况下,确定各个应答数据包的初始应答顺序;其中,所述初始应答顺序用于指示接收到各个应答数据包的顺序;
第二确定模块,被配置为基于所述初始应答顺序,从至少两个应答数据包中确定所述DNS查询请求对应的目标DNS应答数据包。
11.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:执行所述可执行命令时,实现如权利要求1至9任一项所述DNS污染处理方法中的步骤。
12.一种非临时性计算机可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,实现如权利要求1至9任一项所述DNS污染处理方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311695803.9A CN117857112A (zh) | 2023-12-11 | 2023-12-11 | Dns污染处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311695803.9A CN117857112A (zh) | 2023-12-11 | 2023-12-11 | Dns污染处理方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117857112A true CN117857112A (zh) | 2024-04-09 |
Family
ID=90538887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311695803.9A Pending CN117857112A (zh) | 2023-12-11 | 2023-12-11 | Dns污染处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117857112A (zh) |
-
2023
- 2023-12-11 CN CN202311695803.9A patent/CN117857112A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US9749341B2 (en) | Method, device and system for recognizing network behavior of program | |
| CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
| CN110519265B (zh) | 一种防御攻击的方法及装置 | |
| CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| CN109005096B (zh) | 应用交互方法及装置 | |
| CN111526132B (zh) | 攻击转移方法、装置、设备及计算机可读存储介质 | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| CN112600852B (zh) | 漏洞攻击处理方法、装置、设备及存储介质 | |
| CN110380935B (zh) | 端口扫描方法与装置 | |
| CN109150741B (zh) | 报文发送方法、装置、电子设备及存储介质 | |
| CN108429739B (zh) | 一种识别蜜罐的方法、***及终端设备 | |
| CN111447201A (zh) | 一种扫描行为识别方法、装置及电子设备和存储介质 | |
| CN113765846A (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| CN109218375B (zh) | 应用交互方法及装置 | |
| CN111741127B (zh) | 通信连接阻断方法、装置、电子设备及存储介质 | |
| CN102905269A (zh) | 一种手机病毒的检测方法和装置 | |
| CN103067360A (zh) | 程序网络行为识别方法及*** | |
| CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| CN117857112A (zh) | Dns污染处理方法、装置、电子设备及存储介质 | |
| CN115865739A (zh) | 一种网络资产探测方法、装置、电子设备及存储介质 | |
| CN112653609B (zh) | 一种vpn识别应用方法、装置、终端及存储介质 | |
| CN111935206B (zh) | 报文处理方法、装置及网络设备 | |
| CN114050917B (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |