[发明专利]一种基于防火墙系统的DNS劫持防御方法、装置及系统

说明书

本申请公开一种基于防火墙系统的DNS劫持防御方法、装置及系统，所述方法包括配置第一可信域名服务器和第二可信域名服务器，判断第一可信域名服务器和第二可信域名服务器返回的关于域名信息的解析结果是否相同，如果相同，存储在所述域名缓存列表中，再次比较本地授权域名服务器返回的第三解析结果是否与域名缓存列表中的解析结果相同，如果不同，说明第三解析结果被劫持，所述防火墙系统将其拦截。本申请是利用三方，即第一可信域名服务器，第二可信域名服务器以及本地授权域名服务器，确认的方法来实现防火墙系统对DNS劫持的防御功能，能够更加合理有效的对DNS劫持攻击行为进行检测拦截，避免钓鱼网站对用户造成危害。

技术领域

本申请涉及DNS劫持防御技术领域，尤其涉及一种基于防火墙系统的DNS劫持防御方法、装置及系统。

背景技术

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，返回假的IP地址，其效果就是对特定的网络访问的是假网址，比如钓鱼网站。DNS劫持主要是通过伪造DNS服务器作为一个主要攻击手段，攻击者劫持用户发往授权域名服务器的DNS请求报文，然后通过伪造DNS服务器把钓鱼网站的IP返回给用户进行欺骗。

对于上述的DNS劫持，现有技术主要是采用一种被动的方案进行防御，具体为网站服务商可以提供两个域名，当其中一个域名发现被劫持行为后，可以使用另一个域名进行访问。

但是，现有技术防御方案过于被动，当DNS劫持攻击出现后依然可能引起危害。因为现有技术中发现一个域名被劫持后使用另一个域名进行访问，也就是说防御是在发现域名劫持行为后，所以可能在这个时候域名劫持行为已经对用户产生了危害，用户已经通过域名劫持行为返回的钓鱼网站IP地址访问了第三方虚假的网站，因此仍可能会造成诈骗等危害。

发明内容

本申请提供一种基于防火墙系统的DNS劫持防御方法、装置及系统，以解决现有技术中DNS劫持防御方法过于被动，防御能力过低，仍然可能引起危害的技术问题。

第一方面，本申请提供一种基于防火墙系统的DNS劫持防御方法，所述方法包括：

S100、配置第一可信域名服务器地址和第二可信域名服务器至防火墙系统中；

S200、确定域名信息；

S300、发送所述域名信息至所述第一可信域名服务器、第二可信域名服务器和本地授权域名服务器；

S400、接收第一可信域名服务器发送的第一域名解析结果，以及，第二可信域名服务器发送的第二域名解析结果；

S500、判断所述第一域名解析结果与所述第二域名解析结果是否相同；

S600、如果相同，确定第一域名解析结果和第二域名解析结果中的任一解析结果为综合解析结果，将所述综合解析结果添加至域名缓存列表；

S700、接收本地授权域名服务器返回的第三解析结果；

S800、遍历所述域名缓存列表，判断是否存在与第三解析结果相同的综合解析结果；

S900、如果不存在与第三解析结果相同的综合解析结果，所述防火墙系统拦截所述第三解析结果。

结合第一方面，在第一方面的第一种可能的实现方式中，所述确定域名信息的步骤包括：

S201、防火墙系统监测DNS请求，并提取DNS请求中的域名；

S202、统计每个所述域名的请求次数；

S203、判断每个所述域名的请求次数是否达到请求次数阈值；

S204、如果达到所述请求次数阈值，确定所述域名为学习域名，添加所述学习域名至域名缓存列表。