[发明专利]一种基于防火墙系统的DNS劫持防御方法、装置及系统

权利要求书

1.一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述方法包括：

S100、配置第一可信域名服务器地址和第二可信域名服务器至防火墙系统中；

S200、确定域名信息；

S300、发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；

S400、接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名解析结果；

S500、判断所述第一域名解析结果与所述第二域名解析结果是否相同；

S600、如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；

S700、接收本地授权域名服务器返回的第三解析结果；

S800、遍历所述域名缓存列表，判断是否存在与第三解析结果相同的综合解析结果；

S900、如果不存在与第三解析结果相同的综合解析结果，所述防火墙系统拦截所述第三解析结果。

2.根据权利要求1所述的一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述确定域名信息的步骤包括：

S201、防火墙系统监测DNS请求，并提取DNS请求中的域名；

S202、统计每个所述域名的请求次数；

S203、判断每个所述域名的请求次数是否达到请求次数阈值；

S204、如果达到所述请求次数阈值，确定所述域名为学习域名，添加所述学习域名至域名缓存列表。

3.根据权利要求2所述的一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述确定域名信息的步骤还包括：

配置自定义域名至所述域名缓存列表。

4.根据权利要求2所述的一种基于防火墙系统的DNS劫持防御方法，其特征在于，所述方法还包括：

统计所述学习域名在域名缓存列表中的存在时间；

判断所述存在时间是否达到预设老化时间；

如果所述存在时间达到预设老化时间，删除域名缓存列表中的所述学习域名，以及，所述学习域名对应的综合解析结果。

5.一种基于防火墙系统的DNS劫持防御装置，其特征在于，所述装置包括：

配置单元100，用于配置第一可信域名服务器地址和第二可信域名服务器至防火墙系统中；

确定单元200，用于确定域名信息；

发送单元300，用于发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；

第一接收单元400，用于接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名结果；

第一判断单元500，用于判断所述第一域名解析结果与所述第二域名解析结果是否相同；

第一添加单元600，用于如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；

第二接收单元700，用于接收本地授权域名服务器返回的第三解析结果；

第二判断单元800，用于遍历所述域名缓存列表，判断是否存在与第三解析结果相同的综合解析结果；

拦截单元900、用于如果不存在与第三解析结果相同的综合解析结果，所述防火墙系统拦截所述第三解析结果。

6.根据权利要求5所述的一种基于防火墙系统的DNS劫持防御装置，其特征在于，所述确定单元包括：

提取单元201，用于防火墙系统监测DNS请求，并提取DNS请求中的域名；

第一统计单元202，用于统计每个所述域名的请求次数；

第三判断单元203，用于判断每个所述域名的请求次数是否达到请求次数阈值；

第二添加单元204，用于如果达到所述请求次数阈值，确定所述域名为学习域名，添加所述学习域名至域名缓存列表。

7.根据权利要求6所述的一种基于防火墙系统的DNS劫持防御装置，其特征在于，所述确定单元还包括：

配置单元，用于配置自定义域名至所述域名缓存列表。