【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种违规dns服务识别方法、装置、设备、存储介质及产品。
技术介绍
1、dns(domain name system)是互联网世界的“导航仪”,实现域名和ip地址相互映射,使上网者能方便的访问互联网,而不用去记忆枯燥繁琐的ip数串。dns按功能的分类大致可分权威dns(或授权dns)和递归dns。权威dns是经过上一级授权对域名进行信息发布的服务器,同时它可以把解析授权转授给其他人。递归dns接受用户对任意域名查询,并将最终解析返回结果给用户,递归dns一般由电信运营商及isp架设,服务于自己的用户,有时也被称为local dns。由于dns代码开源、易于部署,不法分子会提前搭建非法的递归dns,再侵入用户路由器篡改dns,从而达到劫持用户流量的目地,轻则注入恶意信息,重则重定向到伪造网站,诱骗用户填写敏感信息,如个人账户详细信息等,会造成极大安全风险,对违规的递归dns服务的识别和处置已经刻不容缓。
2、现有的dns递归识别方案只能针对少量的ip进行探测,而对归属本辖区的ipv4和ipv6海量地址进行53端口扫描和“dns递归查询”功能探测,在现实中是不可行的,其中最致命问题是效率低下,统计周期超长,比如某省移动的自有ipv4地址就有357万个,还不包括通过代播的用户ipv4地址。对于更为庞大的ipv6地址段,/29子网里有2的99次方个ipv6地址(即633825300114114700748351602688个ipv6地址),假设一秒扫描10万个ip,那么扫描一个/29子网需要的
3、目前对dns递归服务进行管控的方案是通过acl关闭违规递归dns的udp 53端口,但是,由于违规dns递归服务的识别问题尚未解决,而dns递归服务和dns权威服务使用了相同的udp 53端口,所以现阶段大范围关闭udp 53端口可能导致合规的权威dns服务也被误伤,因此,如何快速识别违规dns,是目前亟需解决的难题。
技术实现思路
1、本专利技术的主要目的在于提供一种违规dns服务识别方法、装置、设备、存储介质及产品,旨在解决现有技术无法快速识别违规dns服务,导致违规dns难以管控的技术问题。
2、为实现上述目的,本专利技术提供了一种违规dns服务识别方法,所述方法包括以下步骤:
3、对dns日志进行统计,获得疑似违规清单,所述dns日志通过采集城域网出口路由器的dns流量获得;
4、向所述疑似违规清单中各疑似违规ip发送至少一个dns查询请求;
5、将反馈至少一个所述dns查询请求对应的正确返回结果的疑似违规ip,作为提供违规dns服务的服务提供ip。
6、可选的,所述对dns日志进行统计,获得疑似违规清单的步骤,包括:
7、从dns日志中提取迭代请求日志;
8、读取各迭代请求日志对应的请求源ip;
9、根据所述请求源ip构建疑似违规清单。
10、可选的,所述对dns日志进行统计,获得疑似违规清单的步骤,包括:
11、从dns日志中提取递归请求日志;
12、读取各递归请求日志中的请求源ip以及请求目的ip;
13、对所述请求源ip进行数量统计,获得第一疑似违规集合;
14、对所述请求目的ip进行数量统计,获得第二疑似违规集合;
15、根据所述第一疑似违规集合及所述第二疑似违规集合构建疑似违规清单。
16、可选的,所述dns日志还包括本地dns日志,所述本地dns日志通过访问数据挖掘系统获得;
17、所述对dns日志进行统计,获得疑似违规清单的步骤,包括:
18、从所述dns日志中提取本地dns日志;
19、对所述本地dns日志中的请求源ip或请求目的ip进行统计,获得权威dns集合;
20、根据所述权威dns集合构建疑似违规清单。
21、可选的,所述将反馈至少一个所述dns查询请求对应的正确返回结果的疑似违规ip,作为提供违规dns服务的服务提供ip的步骤之后,还包括:
22、将所述服务提供ip添加至违规服务清单;
23、在检测到城域网出口发出的dns请求时,获取所述dns请求对应的源ip;
24、若所述dns请求对应的源ip处于所述违规服务清单中,则将所述dns请求镜像同步至递归管控系统,以使所述递归管控系统发送干扰报文至所述dns请求对应的源ip。
25、可选的,所述若所述dns请求对应的源ip处于所述违规服务清单中,则将所述dns请求镜像同步至递归管控系统,以使所述递归管控系统发送干扰报文至所述dns请求对应的源ip的步骤,包括:
26、若所述dns请求对应的源ip处于所述违规服务清单中,则检测所述dns请求对应的源ip是否处于ip白名单中;
27、若不处于ip白名单中,则将所述dns请求镜像同步至递归管控系统,以使所述递归管控系统发送干扰报文至所述dns请求对应的源ip。
28、此外,为实现上述目的,本专利技术还提出一种违规dns服务识别装置,所述违规dns服务识别装置包括:
29、统计模块,用于对dns日志进行统计,获得疑似违规清单,所述dns日志通过采集城域网出口路由器的dns流量获得;
30、发送模块,用于向所述疑似违规清单中各疑似违规ip发送至少一个dns查询请求;
31、确定模块,用于将反馈至少一个所述dns查询请求对应的正确返回结果的疑似违规ip,作为提供违规dns服务的服务提供ip。
32、此外,为实现上述目的,本专利技术还提出一种违规dns服务识别设备,所述违规dns服务识别设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的违规dns服务识别程序,所述违规dns服务识别程序执行时实现如上所述的违规dns服务识别方法的步骤。
33、此外,为实现上述目的,本专利技术还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有违规dns服务识别程序,所述违规dns服务识别程序执行时实现如上所述的违规dns服务识别方法的步骤。
34、此外,为实现上述目的,本专利技术还提出一种计算机程序产品,所述计算机程序产品包括违规dns服务识别程序,所述违规dns服务识别程序执行时实现如上所述的违规dns服务识别方法的步骤。
35、本专利技术通过对dns日志进行统计,获得疑似违规清单,dns日志通过采集城域网出口路由器的dns流量获得;向疑似违规清单中各疑似违规ip发送至少一个dns查询请求;将反馈至少一个dns查询请求对应的正确返回结果的疑似违规ip,作为提供违规dns服务的服务提供ip。由于是通过对采集城域网出口路由器dns流量构建的dns日志进行统计分析,确定疑似违规清单本文档来自技高网...
【技术保护点】
1.一种违规DNS服务识别方法,其特征在于,所述违规DNS服务识别方法包括以下步骤:
2.如权利要求1所述的违规DNS服务识别方法,其特征在于,所述对DNS日志进行统计,获得疑似违规清单的步骤,包括:
3.如权利要求1所述的违规DNS服务识别方法,其特征在于,所述对DNS日志进行统计,获得疑似违规清单的步骤,包括:
4.如权利要求1所述的违规DNS服务识别方法,其特征在于,所述DNS日志还包括本地DNS日志,所述本地DNS日志通过访问数据挖掘系统获得;
5.如权利要求1-4任一项所述的违规DNS服务识别方法,其特征在于,所述将反馈至少一个所述DNS查询请求对应的正确返回结果的疑似违规IP,作为提供违规DNS服务的服务提供IP的步骤之后,还包括:
6.如权利要求5所述的违规DNS服务识别方法,其特征在于,所述若所述DNS请求对应的源IP处于所述违规服务清单中,则将所述DNS请求镜像同步至递归管控系统,以使所述递归管控系统发送干扰报文至所述DNS请求对应的源IP的步骤,包括:
7.一种违规DNS服务识别装置,其特
8.一种违规DNS服务识别设备,其特征在于,所述违规DNS服务识别设备包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的违规DNS服务识别程序,所述违规DNS服务识别程序执行时实现如权利要求1-6任一项所述的违规DNS服务识别方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有违规DNS服务识别程序,所述违规DNS服务识别程序执行时实现如权利要求1-6任一项所述的违规DNS服务识别方法的步骤。
10.一种计算机程序产品,其特征在于,所述计算机程序产品包括违规DNS服务识别程序,所述违规DNS服务识别程序执行时实现如权利要求1-6任一项所述的违规DNS服务识别方法的步骤。
...【技术特征摘要】
1.一种违规dns服务识别方法,其特征在于,所述违规dns服务识别方法包括以下步骤:
2.如权利要求1所述的违规dns服务识别方法,其特征在于,所述对dns日志进行统计,获得疑似违规清单的步骤,包括:
3.如权利要求1所述的违规dns服务识别方法,其特征在于,所述对dns日志进行统计,获得疑似违规清单的步骤,包括:
4.如权利要求1所述的违规dns服务识别方法,其特征在于,所述dns日志还包括本地dns日志,所述本地dns日志通过访问数据挖掘系统获得;
5.如权利要求1-4任一项所述的违规dns服务识别方法,其特征在于,所述将反馈至少一个所述dns查询请求对应的正确返回结果的疑似违规ip,作为提供违规dns服务的服务提供ip的步骤之后,还包括:
6.如权利要求5所述的违规dns服务识别方法,其特征在于,所述若所述dns请求对应的源ip处于所述违规服务清单中,则将所述dns请求镜...
【专利技术属性】
技术研发人员:巫俊峰,祁璜,肖荣军,曹庆皇,
申请(专利权)人:中国移动通信集团江苏有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。