【技术实现步骤摘要】
本申请涉及通信,特别是涉及一种报文处理方法、安全设备管理方法、装置及系统。
技术介绍
1、域名(domain name)是由一串用点分隔的字符串,用于标识网络设备在互联网上的电子方位。域名较为方便记忆,并且能显示相关组织的名称或者性质。用户在通过客户端访问互联网时,需要先利用域名系统(domain name system,dns)服务器查询域名所映射的ip地址,再利用网络设备的互联网协议(internet protocol,ip)地址进行网络设备的访问。
2、利用dns服务器查询ip地址时所使用的dns请求报文为用户数据报协议(userdatagram protocol,udp)报文。udp报文无认证机制。攻击者能够构造虚假的源设备向dns服务器发送大量的dns请求报文进行攻击。目前,防护dns服务器的安全设备,能够采用重定向方式确认真实的发送dns报文的源设备。安全设备在对虚假的源设备进行清洗的过程中,在收到源设备发送的dns请求报文后,不向dns服务器转发该dns请求报文,向源设备发送重定向域名。若源设备是真实的,则会按照dns协议中预先规定的,向dns服务器发送包括重定向域名的dns请求报文。若源设备是虚假的,则不会向dns服务器发送包括重定向域名的dns请求报文。安全设备在接收到包括重定向域名的dns请求报文后,确认该源设备是真实的,完成后续的报文交互。
3、但是,在多个dns服务器采用分布式部署的场景下,真实的源设备能够每次向不同的dns服务器发送dns请求报文。这就会导致生成重定向域名的安全设
技术实现思路
1、本申请实施例提供了一种报文处理方法、安全设备管理方法、装置及系统,能够避免清洗过程所导致的不能正常处理dns请求报文的问题。
2、第一方面,本申请提供一种安全设备管理方法。该方法应用于与至少两个安全设备连接的管理设备。管理设备用于对安全设备进行管理。至少两个安全设备包括第一安全设备。管理设备响应于接收由第一安全设备发送的攻击检测信息,向所述至少两个安全设备中,除第一安全设备以外的安全设备发送启动清洗指令。启动清洗指令用于指示除第一安全设备以外的安全设备利用识别数据识别重定向域名。重定向域名是第一安全设备基于识别数据生成的。向除第一安全设备以外的安全设备发送启动清洗指令,触发除第一安全设备以外的安全设备识别第一安全设备基于识别数据生成的重定向域名。如此,能够使得不同的安全设备能够正常识别重定向域名,实现对真实的源设备发送的dns请求报文进行正常的处理。在管理设备管理的多个安全设备中,一个安全设备开始进行清洗,能够实现其他安全设备同步进行清洗。
3、在一种可能的实现方式中,识别数据是由管理设备发送至各个安全设备的。管理设备向各个安全设备分别发送识别数据。识别数据用于第一安全设备生成重定向域名,除第一安全设备以外的安全设备识别重定向域名。
4、在一种可能的实现方式中,重定向域名是基于识别数据和变量生成的。变量是由第一安全设备生成的。为了其他安全设备正常识别重定向域名,第一安全设备还向管理设备发送变量。管理设备获取第一安全设备发送的变量,并向至少两个安全设备中除第一安全设备以外的安全设备发送变量,以便除第一安全设备以外的安全设备利用变量和识别数据识别重定向域名。
5、在一种可能的实现方式中,在安全设备确定源设备安全后,向管理设备发送源设备信息。源设备信息用于标识确定安全的源设备。管理设备获取第二安全设备发送的源设备信息,并向除第二安全设备以外的安全设备发送源设备信息,以便接收到源设备信息的安全设备能够基于获取的源设备信息确定源设备是安全的设备。如此能够减少对源设备的重复验证。
6、第二方面,本申请提供一种报文处理方法。该方法应用于第一安全设备。第一安全设备与管理设备连接。第一安全设备响应于满足清洗条件,向管理设备发送攻击检测信息,获取由源设备发送的第一域名系统dns请求报文。第一dns请求报文包括原始域名。第一安全设备基于原始域名的域名后缀和识别数据生成重定向域名。重定向域名的域名后缀与原始域名的域名后缀相同。第一安全设备向源设备发送dns响应报文。dns响应报文包括重定向域名。源设备能够基于dns响应报文包括的重定向域名进行验证。如此能够实现在管理设备管理的多个安全设备中,一个安全设备开始进行清洗,能够触发其他安全设备同步进行清洗。其他安全设备能够利用识别数据识别重定向域名,完成对源设备的验证。
7、在一种可能的实现方式中,识别数据由管理设备发送至各个安全设备。第一安全设备获取管理设备发送的识别数据,以便后续基于识别数据生成重定向域名。
8、在一种可能的实现方式中,第一安全设备利用识别数据得到重定向域名的域名前缀,再将重定向域名的域名前缀和原始域名的域名后缀组合,得到重定向域名。
9、在一种可能的实现方式中,第一安全设备计算识别数据的哈希值,得到重定向域名的域名前缀。
10、在一种可能的实现方式中,利用原始域名的域名后缀、变量和第一dns请求报文的源地址中的一种或者多种生成附加数据。利用识别数据和附加数据生成组合数据。计算组合数据的哈希值,得到重定向域名的域名前缀。
11、在一种可能的实现方式中,变量为第一安全设备接收到第一dns请求报文的分钟级的第一安全设备的本地时间。如此,能够防止回放以及防止伪造。并且,各个安全设备的本地时间同步,其他安全设备能够基于本地时间确定变量,进而利用变量识别重定向域名。
12、在一种可能的实现方式中,变量为第一安全设备采用随机数生成算法生成的。第一安全设备向管理设备发送生成的变量,以便管理设备将变量同步至其他安全设备,供其他安全设备识别重定向域名使用。
13、第三方面,本申请提供一种报文处理方法,该方法应用于第二安全设备。第二安全设备与管理设备连接。第二安全设备获取由管理设备发送的启动清洗指令,启动清洗指令用于指示第二安全设备利用识别数据识别dns请求报文包括的重定向域名。第二安全设备获取由源设备发送的第二dns请求报文。第二dns请求报文包括重定向域名。第二安全设备利用识别数据识别所述重定向域名。如此,源设备能够利用重定向域名在不同的安全设备实现验证。
14、在一种可能的实现方式中,第二安全设备利用识别数据生成目标前缀。第二安全设备将目标前缀与重定向域名的域名前缀进行比较。如果目标前缀与重定向域名的域名前缀相同,则识别重定向域名成功。如果目标前缀与重定向域名的域名前缀不同,则识别重定向域名失败。
15、在一种可能的实现方式中,第二安全设备计算识别数据的哈希值,得到目标前缀。
16、在一种可能的实现方式中,第二安全设备基于重定向域名的域名后缀、变量和所述第二dns请求报文的源地址中的一种或者多本文档来自技高网...
【技术保护点】
1.一种安全设备管理方法,其特征在于,应用于管理设备,所述管理设备分别与至少两个安全设备连接,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
5.一种报文处理方法,其特征在于,应用于第一安全设备,所述第一安全设备与管理设备连接,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求5所述的方法,其特征在于,所述基于所述原始域名的域名后缀以及识别数据生成重定向域名,包括:
8.根据权利要求7所述的方法,其特征在于,所述利用所述识别数据得到重定向域名的域名前缀,包括:
9.根据权利要求7所述的方法,其特征在于,所述利用所述识别数据得到重定向域名的域名前缀,包括:
10.根据权利要求9所述的方法,其特征在于,所述变量为所述第一安全设备接收到所述第一DNS请求报文的分钟级的所述第一安全设备
11.根据权利要求9所述的方法,其特征在于,所述变量为所述第一安全设备采用随机数生成算法生成的,所述方法还包括:
12.一种报文处理方法,其特征在于,应用于第二安全设备,所述第二安全设备与管理设备连接,所述方法包括:
13.根据权利要求12所述的方法,其特征在于,所述利用所述识别数据识别所述重定向域名,包括:
14.根据权利要求13所述的方法,其特征在于,所述基于所述识别数据生成目标前缀,包括:
15.根据权利要求13所述的方法,其特征在于,所述基于所述识别数据生成目标前缀,包括:
16.根据权利要求15所述的方法,其特征在于,所述变量为所述第二安全设备接收到所述第二DNS请求报文的分钟级的所述第二安全设备的本地时间。
17.根据权利要求15所述的方法,其特征在于,所述方法还包括:
18.根据权利要求13所述的方法,其特征在于,在所述识别所述重定向域名成功之后,所述方法还包括:
19.一种安全设备管理装置,其特征在于,应用于管理设备,所述管理设备分别与至少两个安全设备连接,所述装置包括:
20.根据权利要求19所述的装置,其特征在于,所述发送单元,还用于向各个所述安全设备分别发送识别数据,所述识别数据用于生成和识别重定向域名。
21.根据权利要求19所述的装置,其特征在于,接收单元,还用于获取所述第一安全设备发送的变量,所述变量用于生成重定向域名;
22.根据权利要求19-21任一项所述的装置,其特征在于,所述接收单元,还用于获取由第二安全设备发送的源设备信息,所述源设备信息用于标识确定安全的源设备,所述第二安全设备为所述至少两个安全设备中的一个;
23.一种报文处理装置,其特征在于,应用于第一安全设备,所述第一安全设备与管理设备连接,所述装置包括:
24.根据权利要求23所述的装置,其特征在于,所述获取单元,还用于获取所述管理设备发送的所述识别数据。
25.根据权利要求23所述的装置,其特征在于,所述生成单元,用于基于所述原始域名的域名后缀以及识别数据生成重定向域名,包括:
26.根据权利要求25所述的装置,其特征在于,所述生成单元,用于利用所述识别数据得到重定向域名的域名前缀,包括:
27.根据权利要求25所述的装置,其特征在于,所述生成单元,用于利用所述识别数据得到重定向域名的域名前缀,包括:
28.根据权利要求27所述的装置,其特征在于,所述变量为所述第一安全设备接收到所述第一DNS请求报文的分钟级的所述第一安全设备的本地时间。
29.根据权利要求27所述的装置,其特征在于,所述变量为所述第一安全设备采用随机数生成算法生成的,所述发送单元,还用于向所述管理设备发送所述变量。
30.一种报文处理装置,其特征在于,应用于第二安全设备,所述第二安全设备与管理设备连接,所述装置包括:
31.根据权利要求30所述的装置,其特征在于,所述识别单元,用于利用所述识别数据识别所述重定向域名,包括:
32.根据权利要求31所述的装置,其特征在于,所述识别单元,用于基于所述识别数据生成目标前缀,包括:
33.根据权利要求31所述的装置,其特征在于,所述识别单元,用于基于所述识别数据生成目标前缀,包括:
34.根据权利要求33所述的装置,其特征在于,所述变量为所述...
【技术特征摘要】
1.一种安全设备管理方法,其特征在于,应用于管理设备,所述管理设备分别与至少两个安全设备连接,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
5.一种报文处理方法,其特征在于,应用于第一安全设备,所述第一安全设备与管理设备连接,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求5所述的方法,其特征在于,所述基于所述原始域名的域名后缀以及识别数据生成重定向域名,包括:
8.根据权利要求7所述的方法,其特征在于,所述利用所述识别数据得到重定向域名的域名前缀,包括:
9.根据权利要求7所述的方法,其特征在于,所述利用所述识别数据得到重定向域名的域名前缀,包括:
10.根据权利要求9所述的方法,其特征在于,所述变量为所述第一安全设备接收到所述第一dns请求报文的分钟级的所述第一安全设备的本地时间。
11.根据权利要求9所述的方法,其特征在于,所述变量为所述第一安全设备采用随机数生成算法生成的,所述方法还包括:
12.一种报文处理方法,其特征在于,应用于第二安全设备,所述第二安全设备与管理设备连接,所述方法包括:
13.根据权利要求12所述的方法,其特征在于,所述利用所述识别数据识别所述重定向域名,包括:
14.根据权利要求13所述的方法,其特征在于,所述基于所述识别数据生成目标前缀,包括:
15.根据权利要求13所述的方法,其特征在于,所述基于所述识别数据生成目标前缀,包括:
16.根据权利要求15所述的方法,其特征在于,所述变量为所述第二安全设备接收到所述第二dns请求报文的分钟级的所述第二安全设备的本地时间。
17.根据权利要求15所述的方法,其特征在于,所述方法还包括:
18.根据权利要求13所述的方法,其特征在于,在所述识别所述重定向域名成功之后,所述方法还包括:
19.一种安全设备管理装置,其特征在于,应用于管理设备,所述管理设备分别与至少两个安全设备连接,所述装置包括:
20.根据权利要求19所述的装置,其特征在于,所述发送单元,还用于向各个所述安全设备分别发送识别数据,所述识别数据用于生成和识别重定向域名。
21.根据权利要求19所述的装置,其特征在于,接收单元,还用于获取所述第一安全设备发送的变量,所述变量用于生成重定向域名;
22.根据权利要求19-21任一项所述的装置,其特征在于,所述接收单元,还用于获取由第二安全设备发送的源设备信息,所述源设备信息用于标识确定...
【专利技术属性】
技术研发人员:苏建康,李辉,文康,陈思聪,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。