[发明专利]防御域名系统欺骗攻击的方法及装置

权利要求书

1.一种防御域名系统欺骗攻击的方法，其特征在于，包括：

将域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写 转换；

发送所述域名系统请求包；

接收域名系统应答包；

获取所述域名系统应答包中查询域名字段的字母大小写分布；

当所述域名系统应答包中查询域名字段的字母大小写分布为全部大写或 全部小写时，根据所述域名系统应答包构造相应域名系统请求包，将所述相 应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转 换，并发送；

在所述域名系统应答包中查询域名字段的字母大小写分布符合所述预定 的规则时，将所述域名系统应答包向目标域名系统客户端转发。

2.如权利要求1所述的方法，其特征在于，在将域名系统请求包中的查 询域名字段的字母按照预定的规则进行大小写转换之前还包括：

接收域名系统客户端发送的域名系统请求包。

3.如权利要求2所述的方法，其特征在于，该方法还包括：

在所述域名系统应答包中查询域名字段的字母大小写分布不符合所述预 定的规则时，丢弃所述域名系统应答包。

4.如权利要求1所述的方法，其特征在于，在所述域名系统应答包中查 询域名字段的字母大小写分布为全部大写或全部小写时，所述预定的规则包 括：

使用所述域名系统应答包中的源网际协议地址、或目的网际协议地址、 或源端口、或目的端口、或域名系统标识、或域名系统问题域数据、或回答 字段进行哈希计算，根据所述哈希计算得到的数值，对所述域名系统请求包 中的查询域名字段的字母进行大小写转换。

5.如权利要求4所述的方法，其特征在于，在获取所述域名系统应答包 中查询域名字段的字母大小写分布之后还包括：

在所述域名系统应答包中查询域名字段的字母大小写分布不符合所述预 定的规则，且不为全部大写或全部小写时，丢弃所述域名系统应答包。

6.如权利要求1或2或3所述的方法，其特征在于，所述预定的规则包 括：

将所述域名系统请求包中的查询域名字段的字母进行随机大小写转换；

或，根据预定的数值，对所述域名系统请求包中的查询域名字段的字母 进行大小写转换；

或，使用所述域名系统请求包中的源网际协议地址、或目的网际协议地 址、或源端口、或目的端口、或域名系统标识、或域名系统问题域数据、或 回答字段进行哈希计算，根据所述哈希计算得到的数值，对所述域名系统请 求包中的查询域名字段的字母进行大小写转换。

7.一种防御域名系统欺骗攻击的设备，其特征在于，包括：

大小写转换单元，用于将域名系统请求包中的查询域名字段的字母按照 预定的规则进行大小写转换；

发送单元，用于发送所述大小写转换单元转换过的域名系统请求包；

第一接收单元，用于接收域名系统应答包；

获取单元，用于获取所述第一接收单元接收到的域名系统应答包中查询 域名字段的字母大小写分布；

请求包构造单元，用于在所述获取单元获取所述域名系统应答包中查询 域名字段的字母大小写分布之后，所述第一接收单元接收到的域名系统应答 包中查询域名字段的字母大小写分布为全部大写或全部小写时，根据所述域 名系统应答包构造相应域名系统请求包，控制所述大小写转换单元将所述相 应域名系统请求包中的查询域名字段的字母按照预定的规则进行大小写转 换，并发送；

转发单元，用于在所述获取单元获取域名系统应答包中查询域名字段的 字母大小写分布符合所述预定的规则时，将所述域名系统应答包向目标域名 系统客户端转发。

8.如权利要求7所述的设备，其特征在于，还包括：

第二接收单元，用于在所述大小写转换单元将域名系统请求包中的查询 域名字段的字母按照预定的规则进行大小写转换之前，接收域名系统客户端 发送的域名系统请求包。