本申請公開一種基于防火墻系統的DNS劫持防御方法、裝置及系統，所述方法包括配置第一可信域名服務器和第二可信域名服務器，判斷第一可信域名服務器和第二可信域名服務器返回的關于域名信息的解析結果是否相同，如果相同，存儲在所述域名緩存列表中，再次比較本地授權域名服務器返回的第三解析結果是否與域名緩存列表中的解析結果相同，如果不同，說明第三解析結果被劫持，所述防火墻系統將其攔截。本申請是利用三方，即第一可信域名服務器，第二可信域名服務器以及本地授權域名服務器，確認的方法來實現防火墻系統對DNS劫持的防御功能，能夠更加合理有效的對DNS劫持攻擊行為進行檢測攔截，避免釣魚網站對用戶造成危害。

技術領域

本申請涉及DNS劫持防御技術領域，尤其涉及一種基于防火墻系統的DNS劫持防御方法、裝置及系統。

背景技術

DNS劫持又稱域名劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，返回假的IP地址，其效果就是對特定的網絡訪問的是假網址，比如釣魚網站。DNS劫持主要是通過偽造DNS服務器作為一個主要攻擊手段，攻擊者劫持用戶發往授權域名服務器的DNS請求報文，然后通過偽造DNS服務器把釣魚網站的IP返回給用戶進行欺騙。

對于上述的DNS劫持，現有技術主要是采用一種被動的方案進行防御，具體為網站服務商可以提供兩個域名，當其中一個域名發現被劫持行為后，可以使用另一個域名進行訪問。

但是，現有技術防御方案過于被動，當DNS劫持攻擊出現后依然可能引起危害。因為現有技術中發現一個域名被劫持后使用另一個域名進行訪問，也就是說防御是在發現域名劫持行為后，所以可能在這個時候域名劫持行為已經對用戶產生了危害，用戶已經通過域名劫持行為返回的釣魚網站IP地址訪問了第三方虛假的網站，因此仍可能會造成詐騙等危害。

發明內容

本申請提供一種基于防火墻系統的DNS劫持防御方法、裝置及系統，以解決現有技術中DNS劫持防御方法過于被動，防御能力過低，仍然可能引起危害的技術問題。

第一方面，本申請提供一種基于防火墻系統的DNS劫持防御方法，所述方法包括：

S100、配置第一可信域名服務器地址和第二可信域名服務器至防火墻系統中；

S200、確定域名信息；

S300、發送所述域名信息至所述第一可信域名服務器、第二可信域名服務器和本地授權域名服務器；

S400、接收第一可信域名服務器發送的第一域名解析結果，以及，第二可信域名服務器發送的第二域名解析結果；

S500、判斷所述第一域名解析結果與所述第二域名解析結果是否相同；

S600、如果相同，確定第一域名解析結果和第二域名解析結果中的任一解析結果為綜合解析結果，將所述綜合解析結果添加至域名緩存列表；

S700、接收本地授權域名服務器返回的第三解析結果；

S800、遍歷所述域名緩存列表，判斷是否存在與第三解析結果相同的綜合解析結果；

S900、如果不存在與第三解析結果相同的綜合解析結果，所述防火墻系統攔截所述第三解析結果。

結合第一方面，在第一方面的第一種可能的實現方式中，所述確定域名信息的步驟包括：

S201、防火墻系統監測DNS請求，并提取DNS請求中的域名；

S202、統計每個所述域名的請求次數；

S203、判斷每個所述域名的請求次數是否達到請求次數閾值；

S204、如果達到所述請求次數閾值，確定所述域名為學習域名，添加所述學習域名至域名緩存列表。