DNS隧道檢測的方法和裝置與流程
2023-06-23 16:07:49 2
本發明涉及到網際網路技術領域,特別涉及到一種DNS隧道檢測的方法和裝置。
背景技術:
隨著網際網路的迅猛發展,防火牆作為保護信息的一道屏障,已成為通信技術研究的一個重要領域。如今網絡上存在一些防火牆穿透技術,能讓數據包安全通過網絡層,DNS隧道技術就是防火牆穿透技術中的一種。目前防禦DNS隧道技術的方法主要有以下兩種:一、基於埠封鎖防卸:這是傳統防火牆防禦攻擊最常用的方法,防火牆通過封鎖53埠,進而阻止DNS隧道數據,達到防禦DNS隧道穿透的目的,但是,這樣,在阻斷DNS隧道數據的同時,也將正常的DNS數據進行了阻斷,而影響到了正常的業務;二、基於請求域名長度及請求頻率統計分析方法:採用這種方法,是將客戶端請求的DNS域名中長度大於長度閾值的以形式記錄下來,然後統計的頻率,當頻率大於頻率告警閾值時則判定此客戶端使用了DNS隧道技術,但是,很難準確的區分DNS隧道數據和正常的DNS請求數據,因為在正常的DNS請求中也可能存長度很長的域名,通過域名長度閾值和頻率告警閾值的取值上很難把握,存在很大的不可控性,高閾值存在高漏判低誤判,低閾值存在低漏判高誤判。
技術實現要素:
本發明的主要目的為提供一種DNS隧道檢測的方法和裝置,能夠對DNS隧道進行全面檢測,從而對防火牆進行有效地防護。本發明提供一種DNS隧道檢測的方法,包括步驟:檢測發往DNS伺服器的埠的客戶端數據包是否為DNS數據包;當所述客戶端數據包為DNS數據包時,檢測所述客戶端數據包的格式是否符合預置的格式約束條件,若是,則檢測所述客戶端數據包的查詢域名是否符合預置的域名約束條件;當客戶端數據包的格式不符合所述格式約束條件,和/或當客戶端數據包的查詢域名不符合所述域名約束條件時,根據預置的DNS隧道處理規則,對所述客戶端數據包進行相應的處理。優選地,所述預置的DNS隧道處理規則至少包括以下之一:丟棄所述客戶端數據包、提示告警信息。優選地,所述檢測客戶端數據包的格式是否符合預置的格式約束條件至少包括:檢測所述客戶端數據包的請求包中是否包括回答欄位和/或授權欄位;和/或檢測所述客戶端數據包的響應包中的查詢域名與回答域名是否一致;和/或檢測所述客戶端數據包的請求包中查詢域名的類型欄位值是否符合所述格式約束條件。優選地,所述檢測客戶端數據包的查詢域名是否符合預置的域名約束條件至少包括:通過正則表達式區配所述客戶端數據包的查詢域名的內容;和/或檢測所述客戶端數據包的查詢域名中是否包括DNS域名特殊字符。優選地,在執行所述檢測發往DNS伺服器的埠的數據包是否是DNS數據包的步驟之前,還包括:獲取發送所述客戶端數據包的客戶端的IP位址,在預置的DNS隧道黑名單庫中查找是否存在相同的IP位址;如存在,則執行所述根據預置的DNS隧道處理規則,對所述客戶端數據包進行相應的處理的步驟。本發明還提供一種DNS隧道檢測的裝置,包括:第一檢測模塊,用於檢測發往DNS伺服器的埠的客戶端數據包是否為DNS數據包,第二檢測模塊,用於當所述客戶端數據包為DNS數據包時,檢測所述客戶端數據包的格式是否符合預置的格式約束條件;第三檢測模塊,用於當所述客戶端數據包的格式符合預置的格式約束條件時,檢測所述客戶端數據包的查詢域名是否符合預置的域名約束條件;處理模塊,用於當客戶端數據包的格式不符合所述格式約束條件,和/或當客戶端數據包的查詢域名不符合所述域名約束條件時,根據預置的DNS隧道處理規則,對所述客戶端數據包進行相應的處理。優選地,所述預置的DNS隧道處理規則至少包括以下之一:丟棄所述客戶端數據包、提示告警信息。優選地,所述第二檢測模塊具體用於:檢測所述客戶端數據包的請求包中是否包括回答欄位和/或授權欄位;和/或檢測所述客戶端數據包的響應包中的查詢域名與回答域名是否一致;和/或檢測所述客戶端數據包的請求包中查詢域名的類型欄位值是否符合所述格式約束條件。優選地,所述第三檢測模塊具體用於:通過正則表達式區配所述客戶端數據包的查詢域名的內容;和/或檢測所述客戶端數據包的查詢域名中是否包括DNS域名特殊字符。優選地,DNS隧道檢測的裝置還包括:獲取及查找模塊,用於獲取發送所述客戶端數據包的客戶端的IP位址,在預置的DNS隧道黑名單庫中查找是否存在相同的IP位址,如存在,則通過所述處理模塊對所述客戶端數據包進行相應的處理。本發明通過檢測發往DNS伺服器的埠的客戶端數據包是否為DNS數據包,如是,進一步檢測客戶端數據包的格式是否符合預置的格式約束條件,當符合時,檢測客戶端數據包的查詢域名是否符合預置的域名約束條件;當客戶端數據包的格式不符合格式約束條件,和/或當客戶端數據包的查詢域名不符合域名約束條件時,根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理,能夠區分正常的DNS數據包與DNS隧道數據包,有效解決對正常的DNS的誤判問題,實現了對DNS隧道進行全面的檢測,從而增強了防火牆的防護能力。附圖說明圖1為本發明DNS隧道檢測的方法第一實施例的流程示意圖;圖2為本發明DNS隧道檢測的方法第二實施例的流程示意圖;圖3為本發明DNS隧道檢測的裝置第一實施例的結構示意圖;圖4為本發明DNS隧道檢測的裝置第二實施例的結構示意圖。本發明目的的實現、功能特點及優點將結合實施例,參照附圖做進一步說明。具體實施方式應當理解,此處所描述的具體實施例僅僅用以解釋本發明,並不用於限定本發明。本發明提供一種DNS隧道檢測的方法。參照圖1,圖1為本發明DNS隧道檢測的方法第一實施例的流程示意圖。本實施例所提供的DNS隧道檢測的方法,包括:步驟S10,檢測發往DNS伺服器的埠的客戶端數據包是否為DNS數據包,若是,則執行步驟S20;步驟S20,檢測客戶端數據包的格式是否符合預置的格式約束條件,若是,則執行步驟S21;步驟S21,檢測客戶端數據包的查詢域名是否符合預置的域名約束條件;當客戶端數據包的格式不符合格式約束條件,和/或當客戶端數據包的查詢域名不符合域名約束條件時,執行步驟S30;步驟S30,根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理。本實施例中,以DNS伺服器的53埠接收到客戶端發送的客戶端數據包為例進行說明。當DNS伺服器的53埠接收到客戶端數據包後,首先檢測該客戶端數據包是否為DNS數據包,如客戶端數據包不是DNS數據包,則表明客戶端數據包為DNS隧道數據包,該客戶端使用了DNS隧道技術,然後根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理,本實施例中所提出的預置的DNS隧道處理規則為在檢測出客戶端數據包為DNS隧道數據包之後,對其進行處理的相應規則,該DNS隧道處理規則至少包括丟棄所述客戶端數據包、提示告警信息等對DNS隧道數據包的處理方式。如客戶端數據包是DNS數據包,則檢測客戶端數據包的格式是否符合預置的格式約束條件,本實施例所提出的預置的格式約束條件可以為用於定義網際網路協議中關於域名的RFC文檔中所定義的格式約束條件,如RFC1034和RFC1035;也可以為用戶自定義的格式約束條件。如客戶端數據包的格式符合預置的格式約束條件,則進一步檢測客戶端數據包的查詢域名是否符合預置的域名約束條件,本實施例所提出的預置的域名約束條件可以為用於定義網際網路協議中關於域名的RFC文檔中所定義的域名約束條件,如RFC1034和RFC1035;也可以為用戶自定義的域名約束條件。當客戶端數據包的格式不符合格式約束條件,和/或客戶端數據包的查詢域名不符合域名約束條件,則表明客戶端數據包為DNS隧道數據包,該客戶端使用了DNS隧道技術,此時,根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理。在本實施例中,檢測客戶端數據包的格式是否符合預置的格式約束條件至少包括以下幾種:檢測客戶端數據包的請求包中是否包括回答欄位和/或授權欄位,如包括,則表明客戶端數據包的格式不符合格式約束條件;和/或檢測客戶端數據包的響應包中的查詢域名與回答域名是否一致,如不一致,則表明客戶端數據包的格式不符合格式約束條件;和/或檢測客戶端數據包的請求包中查詢域名的類型欄位值是否符合格式約束條件。本實施例在RFC1035文檔中,定義了類型欄位值只能包含主機地址、權威名稱伺服器、郵件目的地、郵件轉發器、別名的正則名稱、標記權威區域的開始、郵箱域名、郵件組成員、郵件重新命名域名、空RR、眾所周知的業務描述、域名指針、主機信息、郵箱或郵件列表信息、郵件交換和文本字符串;如客戶端數據包的請求包中所包含的類型欄位值的數值不符合格式約束條件,則表明客戶端數據包的格式不符合格式約束條件。在本實施例中,檢測客戶端數據包的查詢域名是否符合預置的域名約束條件至少包括以下幾種:通過正則表達式區配客戶端數據包的查詢域名的內容;當查詢域名的內容不符合正則表達式的過濾邏輯時,則表明客戶端數據包的查詢域名不符合域名約束條件;和/或檢測客戶端數據包的查詢域名中是否包括DNS域名特殊字符,如包括,則表明客戶端數據包的查詢域名不符合域名約束條件。本實施例中,在RFC1034文檔中,定義了查詢域名只能包含數字、大小寫字母和「-」以及域名分隔符「.」,除此之外的字符則為DNS域名特殊字符。由於DNS隧道攜帶的數據中通常會包含DNS域名特殊字符,即使經過Punycode轉碼後,一些特殊字符(例如:「:」、「\」)仍然保持DNS域名特殊字符特性。對於使用地方語言的域名,瀏覽器都會對其進行Punycode轉碼(轉碼後只由26個字母、數字或者「-」組成)後再發送給DNS伺服器,因此,此處檢測不會對使用地方語言的域名造成誤判。本實施例通過檢測發往DNS伺服器的埠的客戶端數據包是否為DNS數據包,如是,進一步檢測客戶端數據包的格式是否符合預置的格式約束條件,當符合時,檢測客戶端數據包的查詢域名是否符合預置的域名約束條件;當客戶端數據包的格式不符合格式約束條件,和/或當客戶端數據包的查詢域名不符合域名約束條件時,根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理,能夠區分正常的DNS數據包與DNS隧道數據包,有效解決對正常的DNS的誤判問題,實現了對DNS隧道進行全面的檢測,從而增強了防火牆的防護能力。參照圖2,圖2為本發明DNS隧道檢測的方法第二實施例的流程示意圖。在本發明DNS隧道檢測的方法第一實施例的基礎上,在執行步驟S10之前,該方法還包括:步驟S40,獲取發送客戶端數據包的客戶端的IP位址;步驟S41,在預置的DNS隧道黑名單庫中查找是否存在相同的IP位址;如不存在,則執行步驟S20;如存在,則執行步驟S30。當客戶端向DNS伺服器的53埠發送客戶端數據包後,獲取該客戶端的IP位址,然後在預置的DNS隧道黑名單庫中查找是否存在相同的IP位址,本實施例所提出的預置的DNS隧道黑名單中記錄了在一定時間內使用過DNS隧道技術的客戶端的IP位址,如在DNS隧道黑名單庫中查找到與發送客戶端數據包的客戶端的IP位址,則直接跳過其他檢測,根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理。本實施例中,如在對客戶端數據包進行了其是否為DNS數據包、客戶端數據包的格式是否符合預置的格式約束條件,以及客戶端數據包的查詢域名是否符合預置的域名約束條件的檢測之後,判斷出客戶端數據包為DNS隧道數據包,該客戶端使用了DNS隧道技術,則獲取該客戶端的IP位址,並將IP位址記錄在DNS隧道黑名單庫中,以便在下次檢測時使用。在接收到客戶端發送的客戶端數據包後,獲取客戶端的IP位址,並在預置的DNS隧道黑名單庫中查找是否存在相同的IP位址;如存在,則根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理,進一步保證了對DNS隧道的全面檢測,從而進一步增強了防火牆的防護能力。本發明還提供一種DNS隧道檢測的裝置。參照圖3,圖3為本發明DNS隧道檢測的裝置第一實施例的結構示意圖。本實施例所提供的DNS隧道檢測的裝置,包括:第一檢測模塊10,用於檢測發往DNS伺服器的埠的客戶端數據包是否為DNS數據包,第二檢測模塊20,用於當客戶端數據包為DNS數據包時,檢測客戶端數據包的格式是否符合預置的格式約束條件;第三檢測模塊30,用於當客戶端數據包的格式符合預置的格式約束條件時,檢測客戶端數據包的查詢域名是否符合預置的域名約束條件;處理模塊40,用於當客戶端數據包的格式不符合格式約束條件,和/或當客戶端數據包的查詢域名不符合域名約束條件時,根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理。本實施例中,以DNS伺服器的53埠接收到客戶端發送的客戶端數據包為例進行說明。當DNS伺服器的53埠接收到客戶端數據包後,第一檢測模塊10首先檢測該客戶端數據包是否為DNS數據包,如客戶端數據包不是DNS數據包,則表明客戶端數據包為DNS隧道數據包,該客戶端使用了DNS隧道技術,然後根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理,本實施例中所提出的預置的DNS隧道處理規則為在檢測出客戶端數據包為DNS隧道數據包之後,對其進行處理的相應規則,該DNS隧道處理規則至少包括丟棄所述客戶端數據包、提示告警信息等對DNS隧道數據包的處理方式。如客戶端數據包是DNS數據包,則通過第二檢測模塊20檢測客戶端數據包的格式是否符合預置的格式約束條件,本實施例所提出的預置的格式約束條件可以為用於定義網際網路協議中關於域名的RFC文檔中所定義的格式約束條件,如RFC1034和RFC1035;也可以為用戶自定義的格式約束條件。如客戶端數據包的格式符合預置的格式約束條件,則第三檢測模塊30進一步檢測客戶端數據包的查詢域名是否符合預置的域名約束條件,本實施例所提出的預置的域名約束條件可以為用於定義網際網路協議中關於域名的RFC文檔中所定義的域名約束條件,如RFC1034和RFC1035;也可以為用戶自定義的域名約束條件。當客戶端數據包的格式不符合格式約束條件,和/或客戶端數據包的查詢域名不符合域名約束條件,則表明客戶端數據包為DNS隧道數據包,該客戶端使用了DNS隧道技術,此時,處理模塊40根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理。在本實施例中,通過第二檢測模塊20檢測客戶端數據包的格式是否符合預置的格式約束條件至少包括以下幾種:檢測客戶端數據包的請求包中是否包括回答欄位和/或授權欄位,如包括,則表明客戶端數據包的格式不符合格式約束條件;和/或檢測客戶端數據包的響應包中的查詢域名與回答域名是否一致,如不一致,則表明客戶端數據包的格式不符合格式約束條件;和/或檢測客戶端數據包的請求包中查詢域名的類型欄位值是否符合格式約束條件。本實施例在RFC1035文檔中,定義了類型欄位值只能包含主機地址、權威名稱伺服器、郵件目的地、郵件轉發器、別名的正則名稱、標記權威區域的開始、郵箱域名、郵件組成員、郵件重新命名域名、空RR、眾所周知的業務描述、域名指針、主機信息、郵箱或郵件列表信息、郵件交換和文本字符串;如客戶端數據包的請求包中所包含的類型欄位值的數值不符合格式約束條件,則表明客戶端數據包的格式不符合格式約束條件。在本實施例中,通過第三檢測模塊30檢測客戶端數據包的查詢域名是否符合預置的域名約束條件至少包括以下幾種:通過正則表達式區配客戶端數據包的查詢域名的內容;當查詢域名的內容不符合正則表達式的過濾邏輯時,則表明客戶端數據包的查詢域名不符合域名約束條件;和/或檢測客戶端數據包的查詢域名中是否包括DNS域名特殊字符,如包括,則表明客戶端數據包的查詢域名不符合域名約束條件。本實施例中,在RFC1034文檔中,定義了查詢域名只能包含數字、大小寫字母和「-」以及域名分隔符「.」,除此之外的字符則為DNS域名特殊字符。由於DNS隧道攜帶的數據中通常會包含DNS域名特殊字符,即使經過Punycode轉碼後,一些特殊字符(例如:「:」、「\」)仍然保持DNS域名特殊字符特性。對於使用地方語言的域名,瀏覽器都會對其進行Punycode轉碼(轉碼後只由26個字母、數字或者「-」組成)後再發送給DNS伺服器,因此,此處檢測不會對使用地方語言的域名造成誤判。本實施例通過檢測發往DNS伺服器的埠的客戶端數據包是否為DNS數據包,如是,進一步檢測客戶端數據包的格式是否符合預置的格式約束條件,當符合時,檢測客戶端數據包的查詢域名是否符合預置的域名約束條件;當客戶端數據包的格式不符合格式約束條件,和/或當客戶端數據包的查詢域名不符合域名約束條件時,根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理,能夠區分正常的DNS數據包與DNS隧道數據包,有效解決對正常的DNS的誤判問題,實現了對DNS隧道進行全面的檢測,從而增強了防火牆的防護能力。參照圖4,圖4為本發明DNS隧道檢測的裝置第二實施例的結構示意圖。在本發明DNS隧道檢測的裝置第一實施例的基礎上,該裝置還包括:獲取及查找模塊50,用於獲取發送客戶端數據包的客戶端的IP位址,在預置的DNS隧道黑名單庫中查找是否存在相同的IP位址;如存在,則通過處理模塊40對客戶端數據包進行相應的處理。當客戶端向DNS伺服器的53埠發送客戶端數據包後,獲取及查找模塊50獲取該客戶端的IP位址,然後在預置的DNS隧道黑名單庫中查找是否存在相同的IP位址,本實施例所提出的預置的DNS隧道黑名單中記錄了在一定時間內使用過DNS隧道技術的客戶端的IP位址,如在DNS隧道黑名單庫中查找到與發送客戶端數據包的客戶端的IP位址,則直接跳過其他檢測,通過第二處理模塊51根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理。本實施例中,如在對客戶端數據包進行了其是否為DNS數據包、客戶端數據包的格式是否符合預置的格式約束條件,以及客戶端數據包的查詢域名是否符合預置的域名約束條件的檢測之後,判斷出客戶端數據包為DNS隧道數據包,該客戶端使用了DNS隧道技術,則獲取該客戶端的IP位址,並將IP位址記錄在DNS隧道黑名單庫中,以便在下次檢測時使用。在接收到客戶端發送的客戶端數據包後,獲取客戶端的IP位址,並在預置的DNS隧道黑名單庫中查找是否存在相同的IP位址;如存在,則根據預置的DNS隧道處理規則,對客戶端數據包進行相應的處理,進一步保證了對DNS隧道的全面檢測,從而進一步實現了對防火牆進行有效地防護。以上所述僅為本發明的優選實施例,並非因此限制本發明的專利範圍,凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換,或直接或間接運用在其他相關的技術領域,均同理包括在本發明的專利保護範圍。