技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種防止域名系統(tǒng)隧道(Domain?Name?System?Tunnel，DNS?Tunnel)攻擊的方法及設(shè)備。

背景技術(shù)

域名系統(tǒng)(Domain?Name?System，DNS)是一種用于傳輸控制協(xié)議/網(wǎng)絡(luò)互聯(lián)協(xié)議(Transmission?Control?Protocol/Internet?Protocol，TCP/IP)應(yīng)用程序的分布式數(shù)據(jù)庫，提供域名與網(wǎng)絡(luò)互聯(lián)協(xié)議(Internet?Protocol，IP)地址之間的轉(zhuǎn)換。通過域名系統(tǒng)，用戶可以使用便于記憶的域名，由網(wǎng)絡(luò)中DNS服務(wù)器將域名解析為正確的IP地址。

DNS?Tunnel攻擊又叫繞過無線局域網(wǎng)中的無線控制器(Access?Control，AC)設(shè)備的驗證技術(shù)，是利用DNS查詢原理來進行的一項攻擊方法。下面結(jié)合圖1及常規(guī)的無線局域網(wǎng)上網(wǎng)驗證流程來說明DNS?Tunnel的實現(xiàn)過程。

在正常的無線局域網(wǎng)環(huán)境中，終端連接上無線接入點(Access?Point，AP)后，通過AC向合法的DNS服務(wù)器的53端口發(fā)送DNS請求報文，合法的DNS服務(wù)器接收到請求后，在本地查詢該域名對應(yīng)的IP地址，如果在本地沒有查詢出對應(yīng)的IP地址，則從互聯(lián)網(wǎng)中繼續(xù)查詢，并將查詢出的IP地址通過AC反饋給終端。終端接到反饋的IP地址后，向AC發(fā)出上網(wǎng)請求，AC推送一個要求用戶輸入驗證信息的門戶(Portal)頁面給終端，用戶輸入正確的驗證信息后，即可接入互聯(lián)網(wǎng)進行計費上網(wǎng)。

但是，由于AC不能對終端向DNS服務(wù)器發(fā)起的域名解析請求中的目的地址進行限制，因此，如果終端在本次存儲域名和IP地址的對應(yīng)關(guān)系，發(fā)起的域名解析請求中的目的地址不是AC分配的DNS服務(wù)器，而是其他非法DNS服務(wù)器的用戶數(shù)據(jù)報協(xié)議(User?Datagram?Protocol，UDP)53端口的IP地址，則終端通過AC發(fā)起域名解析請求的過程，可實現(xiàn)該終端繞過AC認證的上網(wǎng)過程。由于終端的身份得不到合法認證，增加了終端對網(wǎng)絡(luò)攻擊的安全風險，同時也無法對終端的上網(wǎng)過程進行計費。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種防止域名系統(tǒng)隧道攻擊的方法及設(shè)備，以提高防止DNS?Tunnel攻擊的能力，減少終端對網(wǎng)絡(luò)進行DNS?Tunnel攻擊的安全風險。

一種防止域名系統(tǒng)隧道攻擊的方法，所述方法包括：

判斷終端發(fā)送的數(shù)據(jù)包中的內(nèi)層報文是否為網(wǎng)絡(luò)互聯(lián)協(xié)議IP報文，若是，則進一步判斷所述IP報文是否為域名系統(tǒng)DNS請求報文；

若所述IP報文是DNS請求報文，則在所述IP報文中的目的地址不是預(yù)先設(shè)定的DNS服務(wù)器的地址時，確定所述數(shù)據(jù)包為非法數(shù)據(jù)包。

一種防止域名系統(tǒng)隧道攻擊的設(shè)備，所述設(shè)備包括：

IP報文判斷模塊，用于判斷終端發(fā)送的數(shù)據(jù)包中的內(nèi)層報文是否為IP報文；

DNS請求報文判斷模塊，用于在IP報文判斷模塊判斷出所述數(shù)據(jù)包中的內(nèi)層報文為IP報文時，判斷所述IP報文是否為DNS請求報文；

地址判斷模塊，用于在DNS請求報文判斷模塊判斷出所述IP報文為DNS請求報文時，判斷所述IP報文中的目的地址是否為預(yù)先設(shè)定的DNS服務(wù)器的地址；

防護模塊，用于在地址判斷模塊確定所述IP報文中的目的地址不是預(yù)先設(shè)定的DNS服務(wù)器的地址時，確定所述數(shù)據(jù)包為非法數(shù)據(jù)包，并丟棄所述數(shù)據(jù)包。

由于發(fā)起DNS?Tunnel攻擊的數(shù)據(jù)包是根據(jù)預(yù)先獲知的非法DNS服務(wù)器的IP地址，偽裝成DNS請求報文通過AC發(fā)送至相應(yīng)的非法DNS服務(wù)器的，因此，本發(fā)明實施例的方案以數(shù)據(jù)包是否為IP報文以及是否為DNS請求報文為判斷條件，當從終端發(fā)出的數(shù)據(jù)包是IP報文形式的DNS請求報文時，則進一步判斷數(shù)據(jù)包中的DNS服務(wù)器IP地址是否是預(yù)先設(shè)定的多臺合法DNS服務(wù)器的IP地址，若是，則可認為當前終端是正常發(fā)起DNS請求報文，并不是DNS?Tunnel攻擊；否則，可認為終端本次發(fā)起數(shù)據(jù)包的過程為DNS?Tunnel攻擊，并執(zhí)行相應(yīng)的防DNS?Tunnel攻擊操作，以減小DNS?Tunnel攻擊對網(wǎng)絡(luò)造成的安全風險。

附圖說明

圖1為背景技術(shù)中DNS?Tunnel攻擊原理示意圖；

圖2為本發(fā)明實施例一中防止DNS?Tunnel攻擊的方法示意圖；

圖3為本發(fā)明實施例一中DNS報文格式示意圖；

圖4為本發(fā)明實施例一中DNS報文的第16bit～第31bit的標志字段被分割為8個子字段的示意圖；