專利名稱:網(wǎng)絡(luò)安全防護(hù)方法��、網(wǎng)關(guān)設(shè)備�����、客戶端及網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�����,具體涉及一種網(wǎng)絡(luò)安全防護(hù)方法���、網(wǎng)關(guān)設(shè)備����、 客戶端及網(wǎng)絡(luò)系統(tǒng)���。
背景技術(shù):
DNS (Domain Name System,域名系統(tǒng))是一種以層次結(jié)構(gòu)分布的命名 系統(tǒng)�。在如互聯(lián)網(wǎng)Internet之類的TCP/IP( Transmission Control Protocol/Internet Protocol,傳輸控制協(xié)議/網(wǎng)間協(xié)議)網(wǎng)絡(luò)中�,使用DNS名字來定位計(jì)算機(jī), 如果在應(yīng)用程序中輸入DNS名����,就可以由DNS服務(wù)器中的數(shù)據(jù)庫提供包括 IP地址在內(nèi)的與名稱相關(guān)的信息。
DNS服務(wù)容易在網(wǎng)絡(luò)上遭受攻擊�����,因此一般通過在DNS服務(wù)器和客戶端 之間設(shè)置防火墻進(jìn)行安全防護(hù),允許正常報(bào)文通過��,并過濾掉攻擊報(bào)文��?����??戶端和DNS服務(wù)器之間 一般是使用UDP (User Datagram Protocol�,用戶數(shù)據(jù) 報(bào)協(xié)議)傳輸報(bào)文,客戶端存在重傳機(jī)制���,在沒有收到服務(wù)器的響應(yīng)報(bào)文后 會(huì)重復(fù)向DNS服務(wù)器發(fā)送報(bào)文。
現(xiàn)有技術(shù)中��,當(dāng)客戶端采用UDP方式發(fā)出UDP查詢請(qǐng)求報(bào)文�����,并經(jīng)過 防火墻發(fā)送到DNS服務(wù)器的UDP端口時(shí)�����,DNS服務(wù)器準(zhǔn)備應(yīng)答,但發(fā)現(xiàn)報(bào) 文的數(shù)據(jù)長度超過512字節(jié)����,就會(huì)把應(yīng)答報(bào)文中報(bào)頭的標(biāo)志Flag字段中的TC 字段標(biāo)記為1,然后把報(bào)文的前512個(gè)字節(jié)截?cái)嗪蠓祷亟o客戶端,客戶端接收 到這個(gè)報(bào)文后�,首先讀取TC字段,知道該報(bào)文是截?cái)嗟?����,則改為采用TCP 連接的方式主動(dòng)向DNS服務(wù)器的TCP端口進(jìn)行連接��,重新發(fā)出請(qǐng)求���,進(jìn)行報(bào) 文傳輸���。
在對(duì)現(xiàn)有技術(shù)的研究和實(shí)踐過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)存在以下問題
因?yàn)楝F(xiàn)有技術(shù)中客戶端和DNS服務(wù)器之間一般是使用UDP方式傳輸報(bào) 文�����,而UDP方式不采用建立連接方式進(jìn)行通信�,也沒有連接握手等機(jī)制,只 是在字節(jié)超過512字節(jié)時(shí)才可能改為采用TCP方式�,因此網(wǎng)絡(luò)安全性還不高�����,存在DNS欺騙�、IP欺騙等一系列安全問題�����。例如對(duì)于DNS欺騙�����,因?yàn)镈NS 服務(wù)器向客戶端返回報(bào)文中���,將包含有客戶端發(fā)送的報(bào)文中的頭兩個(gè)字節(jié)ID (查詢ID)以表示對(duì)應(yīng)回答�����。如果這個(gè)查詢ID被監(jiān)聽到或預(yù)測到,則會(huì)被利 用向DNS服務(wù)器或客戶程序發(fā)送虛假信息����。發(fā)明內(nèi)容本發(fā)明實(shí)施例要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)安全防護(hù)方法、網(wǎng)關(guān)設(shè) 備���、客戶端及網(wǎng)絡(luò)系統(tǒng)����,能夠提高網(wǎng)絡(luò)的安全防護(hù)。為解決上述技術(shù)問題�,本發(fā)明所提供的實(shí)施例是通過以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)安全防護(hù)方法,包括接收客戶端發(fā)送的用 戶數(shù)據(jù)報(bào)協(xié)議UDP查詢請(qǐng)求報(bào)文����;向所述客戶端返回應(yīng)答報(bào)文,所述應(yīng)答報(bào) 文中的TC字段表明字節(jié)被截?cái)?���;接收所述客戶端根?jù)所述應(yīng)答報(bào)文發(fā)送的傳 輸控制協(xié)議TCP連接請(qǐng)求,建立所述客戶端與域名系統(tǒng)DNS服務(wù)器之間的 TCP連接�����。本發(fā)明實(shí)施例提供一種網(wǎng)關(guān)設(shè)備��,包括接收單元�,用于接收客戶端發(fā) 送的UDP查詢請(qǐng)求報(bào)文,接收客戶端根據(jù)應(yīng)答報(bào)文發(fā)送的TCP連接請(qǐng)求����;反 彈單元���,用于在所述接收單元接收所述UDP查詢請(qǐng)求報(bào)文后,向所述客戶端 返回應(yīng)答報(bào)文�,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)啵惶幚韱卧?�,用?在所述接收單元接收所述TCP連接請(qǐng)求后��,建立所述客戶端與DNS服務(wù)器之 間的TCP連接����。本發(fā)明實(shí)施例提供一種客戶端,包括發(fā)送單元��,用于向網(wǎng)關(guān)設(shè)備發(fā)送 用戶數(shù)據(jù)報(bào)協(xié)議UDP查詢請(qǐng)求報(bào)文�;接收單元,用于接收所述網(wǎng)關(guān)設(shè)備返回 的應(yīng)答報(bào)文��,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?����;處理單元����,用于?據(jù)所述接收單元接收的應(yīng)答報(bào)文向所述網(wǎng)關(guān)設(shè)備發(fā)送傳輸控制協(xié)議TCP連接 請(qǐng)求,通過所述網(wǎng)關(guān)設(shè)備建立本客戶端與域名系統(tǒng)DNS服務(wù)器之間的TCP 連接���。本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)系統(tǒng)���,包括客戶端,用于發(fā)送請(qǐng)求����;網(wǎng)關(guān) 設(shè)備,用于接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文���,向所述客戶端返回應(yīng)答報(bào)文�,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?,接收所述客戶端根?jù)所述應(yīng) 答報(bào)文發(fā)送的TCP連接請(qǐng)求,建立所述客戶端與DNS服務(wù)器之間的TCP連 接��;DNS服務(wù)器����,用于通過所述網(wǎng)關(guān)設(shè)備建立與所述客戶端的連接。上述技術(shù)方案可以看出��,本發(fā)明實(shí)施例技術(shù)方案通過接收客戶端發(fā)送的 UDP查詢請(qǐng)求報(bào)文后�,無論其是否超過512字節(jié)�����,都將應(yīng)答報(bào)文的TC字段設(shè)置 為表明字節(jié)被截?cái)?��,從而利用了現(xiàn)有技術(shù)的DNS特性,使得客戶端改為采用 TCP方式進(jìn)行報(bào)文傳輸���,提高了網(wǎng)絡(luò)安全防護(hù)程度��。
圖1是本發(fā)明實(shí)施例網(wǎng)絡(luò)安全防護(hù)方法流程圖�; 圖2是本發(fā)明實(shí)施例一網(wǎng)絡(luò)安全防護(hù)方法流程圖�����; 圖3是本發(fā)明實(shí)施例二網(wǎng)絡(luò)安全防護(hù)方法流程圖���; 圖4是本發(fā)明實(shí)施例網(wǎng)關(guān)設(shè)備結(jié)構(gòu)示意圖�����; 圖5是本發(fā)明實(shí)施例網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖��; 圖6是本發(fā)明實(shí)施例客戶端結(jié)構(gòu)示意圖��。
具體實(shí)施方式
本發(fā)明實(shí)施例提供了提供一種網(wǎng)絡(luò)安全防護(hù)方法����,能夠提高網(wǎng)絡(luò)的安全 防護(hù)�����。本發(fā)明實(shí)施例技術(shù)方案通過4巴DNS的UDP通信方式轉(zhuǎn)化為TCP通信方 式來解決DNS的安全防范問題����,大幅增強(qiáng)DNS安全防護(hù)能力。請(qǐng)參閱圖l,是本發(fā)明實(shí)施例網(wǎng)絡(luò)安全防護(hù)方法流程圖�,包括步驟步驟101、接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文���;步驟102�、向所述客戶端返回應(yīng)斜艮文���,所述應(yīng)斜艮文中的TC字段表明 字節(jié)被截?cái)?��;無論接收的UDP查詢請(qǐng)求報(bào)文的數(shù)據(jù)長度是否超過512字節(jié),都將準(zhǔn)備返 回的應(yīng)答報(bào)文中報(bào)頭的Flag字段中的TC字段設(shè)置為l、數(shù)據(jù)長度設(shè)置為512個(gè) 字節(jié)�,然后反彈回客戶端。6步驟103����、接收所述客戶端根據(jù)所述應(yīng)答報(bào)文發(fā)送的TCP連接請(qǐng)求,建 立所述客戶端與DNS服務(wù)器之間的TCP連接�����。請(qǐng)參閱圖2���,是本發(fā)明實(shí)施例一網(wǎng)絡(luò)安全防護(hù)方法流程圖���,包括步驟步驟201 、客戶端發(fā)出UDP查詢請(qǐng)求報(bào)文���;客戶端向DNS服務(wù)器發(fā)送UDP查詢請(qǐng)求報(bào)文��,該UDP查詢請(qǐng)求報(bào)文將首 先發(fā)送到防火墻�。步驟202���、防火墻向客戶端發(fā)送TC字段為1��、數(shù)據(jù)長度為512個(gè)字節(jié)的應(yīng)答 報(bào)文��;防火墻接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文后�����,向客戶端發(fā)送TC字段為 1���、數(shù)據(jù)長度為512個(gè)字節(jié)的應(yīng)答^=艮文。該步驟中�,無論防火墻接收的UDP查 詢請(qǐng)求報(bào)文的數(shù)據(jù)長度是否超過512字節(jié),防火墻都將準(zhǔn)備返回的應(yīng)答報(bào)文中 報(bào)頭的Flag字段中的TC字段設(shè)置為l����、數(shù)據(jù)長度設(shè)置為512個(gè)字節(jié),然后反彈 回客戶端����。步驟203、客戶端接收防火墻返回的上述應(yīng)答報(bào)文后��,發(fā)現(xiàn)報(bào)文是截?cái)嗟模?改為采用TCP方式����,發(fā)出建立連接請(qǐng)求;客戶端接收防火墻反彈回的應(yīng)答報(bào)文,首先讀取Flag字段中的TC字段���, 發(fā)現(xiàn)為l�,則知道該應(yīng)答報(bào)文是截?cái)嗟?����,因此決定改為采用TCP方式與DNS服 務(wù)器進(jìn)行報(bào)文傳輸���,發(fā)出建立連接請(qǐng)求�����。步驟204��、防火墻接收客戶端發(fā)送的上述連接請(qǐng)求���,利用三次握手過程進(jìn) 行安全驗(yàn)證,建立會(huì)話SESSION表項(xiàng)��,建立客戶端與DNS服務(wù)器之間的連接��;防火墻接收客戶端發(fā)送的連接請(qǐng)求��,與客戶端之間進(jìn)行三次握手連接過 程進(jìn)行安全驗(yàn)證。第一次握手建立連接時(shí)��,客戶端發(fā)送序列SYN包(SYN=j)到防火墻�, 并進(jìn)入序列發(fā)送SY^LSEND狀態(tài),等待防火墻確認(rèn)�;第二次握手防火墻收到SYN包,確認(rèn)客戶端的SYN (ACK=j+l ),同 時(shí)自己也發(fā)出一個(gè)SYN包(SYN=k)�,即SYN+ACK包,此時(shí)防火墻進(jìn)入序列 接收SYN—RECV狀態(tài)�;第三次握手客戶端收到防火墻的8^ +ACK包,向防火墻發(fā)送確認(rèn)包 ACK(ACK=k+l),此包發(fā)送完畢�,客戶端和防火墻進(jìn)入確定ESTABLISHED狀 態(tài)�,完成三次握手。防火墻與客戶端完成三次握手后��,建立SESSION表項(xiàng)�,再建立客戶端與 DNS服務(wù)器之間的連接。步驟205��、客戶端向DNS服務(wù)器再次發(fā)出查詢請(qǐng)求報(bào)文��;步驟206�、防火墻根據(jù)SESSION表項(xiàng)完成五元組檢查后將查詢請(qǐng)求報(bào)文轉(zhuǎn) 發(fā)給DNS服務(wù)器,由DNS服務(wù)器進(jìn)行查詢應(yīng)答���。請(qǐng)參閱圖3��,是本發(fā)明實(shí)施例二網(wǎng)絡(luò)安全防護(hù)方法流程圖�。該實(shí)施例二與 實(shí)施例一的區(qū)別主要是防火墻被替換為具有防火墻功能的防火墻類網(wǎng)關(guān)。圖3 中包括步驟步驟301���、客戶端發(fā)出UDP查詢請(qǐng)求報(bào)文�����;客戶端向DNS服務(wù)器發(fā)送UDP查詢請(qǐng)求報(bào)文�����,該UDP查詢請(qǐng)求報(bào)文將首 先發(fā)送到防火墻類網(wǎng)關(guān)�。步驟302�、防火墻類網(wǎng)關(guān)向客戶端發(fā)送TC字段為1、數(shù)據(jù)長度為512個(gè)字節(jié) 的應(yīng)答報(bào)文����;防火墻類網(wǎng)關(guān)接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文后,向客戶端發(fā)送TC 字段為l�����、數(shù)據(jù)長度為512個(gè)字節(jié)的應(yīng)答報(bào)文。該步驟中�,無論防火墻類網(wǎng)關(guān) 接收的UDP查詢請(qǐng)求報(bào)文的數(shù)據(jù)長度是否超過512字節(jié),防火墻類網(wǎng)關(guān)都將準(zhǔn) 備返回的應(yīng)答報(bào)文中報(bào)頭的Flag字段中的TC字段設(shè)置為1 ����、數(shù)據(jù)長度設(shè)置為 512個(gè)字節(jié),然后反彈回客戶端��。步驟303����、客戶端接收防火墻類網(wǎng)關(guān)返回的上述應(yīng)答報(bào)文后,發(fā)現(xiàn)報(bào)文是 截?cái)嗟?��,改為采用TCP方式,發(fā)出建立連接請(qǐng)求����;客戶端接收防火墻類網(wǎng)關(guān)反彈回的應(yīng)答報(bào)文,首先讀取Flag字段中的TC 字段����,發(fā)現(xiàn)為l,則知道該應(yīng)答報(bào)文是截?cái)嗟?��,因此決定改為采用TCP方式與 DNS服務(wù)器進(jìn)行報(bào)文傳輸����,發(fā)出建立連接請(qǐng)求。步驟304�����、防火墻類網(wǎng)關(guān)接收客戶端發(fā)送的上述連接請(qǐng)求�����,利用三次握手過程進(jìn)行安全驗(yàn)證����,建立會(huì)話SESSION表項(xiàng),建立客戶端與DNS服務(wù)器之間 的連接��;防火墻類網(wǎng)關(guān)接收客戶端發(fā)送的連接請(qǐng)求�,與客戶端之間進(jìn)行三次握手 連接過程進(jìn)行安全-瞼證。第 一次握手建立連接時(shí)�����,客戶端發(fā)送序列SYN包(SYN =j)到防火墻 類網(wǎng)關(guān)����,并進(jìn)入SYN—SEND狀態(tài)���,等待防火墻類網(wǎng)關(guān)確認(rèn);第二次握手防火墻類網(wǎng)關(guān)收到SYN包�����,確認(rèn)客戶端的SYN( ACK=j+l )�, 同時(shí)自己也發(fā)出一個(gè)SYN包(SYN=k),即SYN+ACK包,此時(shí)防火墻類網(wǎng)關(guān) 進(jìn)入S YN—RECV狀態(tài)���;第三次握手客戶端收到防火墻類網(wǎng)關(guān)的3預(yù)+ACK包����,向防火墻類網(wǎng) 關(guān)發(fā)送確認(rèn)包ACK(ACK^k+l),此包發(fā)送完畢����,客戶端和防火墻類網(wǎng)關(guān)進(jìn)入 ESTABLISHED狀態(tài)�,完成三次握手。防火墻類網(wǎng)關(guān)與客戶端完成三次握手后�,建立SESSION表項(xiàng),再建立客 戶端與DNS服務(wù)器之間的連接����。步驟305����、客戶端向DNS服務(wù)器再次發(fā)出查詢請(qǐng)求報(bào)文�����;步驟306�����、防火墻類網(wǎng)關(guān)根據(jù)SESSION表項(xiàng)完成五元組檢查后將查詢請(qǐng)求 報(bào)文轉(zhuǎn)發(fā)給DNS服務(wù)器���,由DNS服務(wù)器進(jìn)行查詢應(yīng)答���。上述實(shí)施例表明,本發(fā)明實(shí)施例技術(shù)方案通過接收客戶端發(fā)送的UDP查 詢請(qǐng)求報(bào)文后����,無論其是否超過512字節(jié),都將應(yīng)答報(bào)文的TC字段設(shè)置為l, 從而利用了現(xiàn)有技術(shù)的DNS特性����,使得客戶端改為采用TCP方式進(jìn)行報(bào)文傳 輸���。客戶端和DNS服務(wù)器的所有報(bào)文都被改為采用TCP方式進(jìn)行傳輸�,這樣就 可以完滿解決DNS欺騙攻擊問題, 一旦采用TCP方式進(jìn)行通信���,就算拿到ID 字段�,由于TCP存在握手過程����,需要建立連接,因此基本無法進(jìn)行DNS欺騙�����。 改為采用TCP方式進(jìn)行傳輸還可以完滿解決DNS中IP欺騙攻擊問題�,如果請(qǐng)求 IP是偽造IP,在UDP方式中無法判斷其真?zhèn)危瑫?huì)轉(zhuǎn)發(fā)造成流量浪費(fèi)���,但當(dāng)采用 TCP方式時(shí)���,可以通過其TCP代理方式拒絕掉所有的偽造IP的數(shù)據(jù),因此完滿 解決IP欺騙問題�����。改為采用TCP方式還可以利用TCP中現(xiàn)有的安全模塊大幅提 高DNS安全防護(hù)�,由于TCP是有連接的傳輸協(xié)議,在其中可以構(gòu)建很多安全防范算法��,因此DNS釆用TCP方式能利用這些算法大幅度提高DNS安全防護(hù)程度�。上述內(nèi)容詳細(xì)介紹了本發(fā)明實(shí)施例網(wǎng)絡(luò)安全防護(hù)方法,相應(yīng)的��,本發(fā)明 實(shí)施例提供一種網(wǎng)關(guān)設(shè)備�、網(wǎng)絡(luò)系統(tǒng)及客戶端。請(qǐng)參閱圖4����,是本發(fā)明實(shí)施例網(wǎng)關(guān)設(shè)備結(jié)構(gòu)示意圖。如圖4所示�,網(wǎng)關(guān)設(shè)備包括接收單元401、反彈單元402和處理單元403���。接收單元401,用于接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文����,接收客戶端 根據(jù)應(yīng)答報(bào)文發(fā)送的TCP連接請(qǐng)求。反彈單元402��,用于在所述接收單元401接收所述UDP查詢請(qǐng)求報(bào)文后�, 向所述客戶端返回應(yīng)答報(bào)文,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?��。處理單?03 ��,用于在所述接收單元401接收所述客戶端根據(jù)所述應(yīng)答報(bào) 文發(fā)送的TCP連接請(qǐng)求后�����,建立所述客戶端與DNS服務(wù)器之間的TCP連接�。所述反彈單元402包括設(shè)置單元4021和發(fā)送單元4022����。設(shè)置單元4021,用于將應(yīng)答報(bào)文中的TC字段設(shè)置為1,將應(yīng)對(duì)艮文中的 數(shù)據(jù)設(shè)置為截?cái)嗟?12字節(jié)��,發(fā)送單元4022����,用于向客戶端發(fā)送所述設(shè)置單元4021設(shè)置的應(yīng)答報(bào)文。這里的所述網(wǎng)關(guān)設(shè)備為防火墻或防火墻類網(wǎng)關(guān)�。請(qǐng)參閱圖5���,是本發(fā)明實(shí)施例網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖。如圖5所示�,網(wǎng)絡(luò)系統(tǒng)包括客戶端501���、網(wǎng)關(guān)設(shè)備502和DNS服務(wù)器503�?���?蛻舳?01,用于發(fā)送請(qǐng)求����。網(wǎng)關(guān)設(shè)備502,用于接收客戶端501發(fā)送的UDP查詢請(qǐng)求報(bào)文���,向所述 客戶端501返回應(yīng)答報(bào)文����,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?�,接?所述客戶端501根據(jù)所述應(yīng)答報(bào)文發(fā)送的TCP連接請(qǐng)求����,建立所述客戶端501 與DNS服務(wù)器503之間的TCP連接��。DNS服務(wù)器503,用于通過所述網(wǎng)關(guān)設(shè)備502建立與所述客戶端501的 連接�����。所述網(wǎng)關(guān)設(shè)備502的結(jié)構(gòu)如圖4所示���,包括接收單元401、反彈單元402 和處理單元403���。接收單元401,用于接收客戶端501發(fā)送的UDP查詢請(qǐng)求報(bào)文���。反彈單元402,用于在所述接收單元401接收UDP查詢請(qǐng)求報(bào)文后��,向 所述客戶端501返回應(yīng)^艮文�����,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?���。處理單?03,用于接收所述客戶端501根據(jù)所述應(yīng)答報(bào)文發(fā)送的TCP 連接請(qǐng)求��,建立所述客戶端501與DNS服務(wù)器503之間的TCP連接�����。所述反彈單元402包括設(shè)置單元4021和發(fā)送單元4022�。設(shè)置單元4021�����,用于將應(yīng)答報(bào)文中的TC字段設(shè)置為1,將應(yīng)答報(bào)文中的 數(shù)據(jù)設(shè)置為截?cái)嗟?12字節(jié)�,發(fā)送單元4022�,用于向客戶端501發(fā)送所述設(shè)置單元4021設(shè)置的應(yīng)答才艮文。這里的所述網(wǎng)關(guān)設(shè)備502為防火墻或防火墻類網(wǎng)關(guān)����。 請(qǐng)參閱圖6,是本發(fā)明實(shí)施例客戶端結(jié)構(gòu)示意圖����。如圖6所示,客戶端包括發(fā)送單元601����、接收單元602���、處理單元603。發(fā)送單元601,用于向網(wǎng)關(guān)設(shè)備發(fā)送用戶數(shù)據(jù)報(bào)協(xié)議UDP查詢請(qǐng)求報(bào)文��。接收單元602,用于接收所述網(wǎng)關(guān)設(shè)備根據(jù)所述UDP查詢請(qǐng)求報(bào)文返回 的應(yīng)敘艮文�����,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?��。處理單?03����,用于根據(jù)所述接收單元601接收的應(yīng)答報(bào)文向所述網(wǎng)關(guān)設(shè) 備發(fā)送傳輸控制協(xié)議TCP連接請(qǐng)求�,通過所述網(wǎng)關(guān)設(shè)備建立本客戶端與域名 系統(tǒng)DNS服務(wù)器之間的TCP連接。所述處理單元603進(jìn)一步包括第一處理單元6031�����、第二處理單元6032�����。第一處理單元6031,用于根據(jù)所述接收單元601接收的應(yīng)&艮文向所述 網(wǎng)關(guān)設(shè)備發(fā)送傳輸控制協(xié)議TCP連接請(qǐng)求�。第二處理單元6032��,用于在所述第一處理單元6031發(fā)送所述TCP連接 請(qǐng)求后���,與所述網(wǎng)關(guān)設(shè)備進(jìn)行三次握手連接過程,在所述三次握手連接完成后�,通過所述網(wǎng)關(guān)設(shè)備建立本客戶端與DNS服務(wù)器之間的TCP連接。綜上所述�����,本發(fā)明實(shí)施例技術(shù)方案通過接收客戶端發(fā)送的UDP查詢請(qǐng)求 報(bào)文后����,無論其是否超過512字節(jié)�,都將應(yīng)答報(bào)文的TC字段設(shè)置為表明字節(jié)被 截?cái)啵瑥亩昧爽F(xiàn)有技術(shù)的DNS特性���,使得客戶端改為采用TCP方式進(jìn)行報(bào) 文傳輸�����,提高了網(wǎng)絡(luò)安全防護(hù)程度���。進(jìn)一步的����,本發(fā)明實(shí)施例技術(shù)方案不但適用于防火墻�,還可以適用于其 他防火墻類網(wǎng)關(guān),只要是串接網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備都可以采用此方案提高網(wǎng)絡(luò)安 全�,更好保護(hù)DNS服務(wù)器。以上對(duì)本發(fā)明實(shí)施例所提供的一種網(wǎng)絡(luò)安全防護(hù)方法����、網(wǎng)關(guān)設(shè)備、客戶 端及網(wǎng)絡(luò)系統(tǒng)進(jìn)行了詳細(xì)介紹���,對(duì)于本領(lǐng)域的一般技術(shù)人員�����,依據(jù)本發(fā)明實(shí) 施例的思想��,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處�����,綜上所述���,本 說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制����。
權(quán)利要求
1��、一種網(wǎng)絡(luò)安全防護(hù)方法�����,其特征在于�,包括接收客戶端發(fā)送的用戶數(shù)據(jù)報(bào)協(xié)議UDP查詢請(qǐng)求報(bào)文;向所述客戶端返回應(yīng)答報(bào)文����,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)啵唤邮账隹蛻舳烁鶕?jù)所述應(yīng)答報(bào)文發(fā)送的傳輸控制協(xié)議TCP連接請(qǐng)求����,建立所述客戶端與域名系統(tǒng)DNS服務(wù)器之間的TCP連接�����。
2����、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全防護(hù)方法����,其特征在于�����,該方法還包括把所述應(yīng)答報(bào)文中的TC字段設(shè)置為1��,所述應(yīng)答報(bào)文中被截?cái)嗟淖止?jié)為 512字節(jié)����。
3、 根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)安全防護(hù)方法����,其特征在于所述接收所述客戶端根據(jù)所述應(yīng)答報(bào)文發(fā)送的TCP連接請(qǐng)求,建立所述 客戶端與DNS服務(wù)器之間的TCP連接具體為接收所述客戶端根據(jù)所述應(yīng)答報(bào)文發(fā)送的TCP連接請(qǐng)求后��,與所述客戶 段進(jìn)行三次握手連接過程��,在所述三次握手連接完成后�����,建立所述客戶端與 DNS服務(wù)器之間的TCP連接。
4�����、 根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)安全防護(hù)方法�����,其特征在于 所述接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文具體為 防火墻或防火墻類網(wǎng)關(guān)接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文�����。
5���、 一種網(wǎng)關(guān)設(shè)備����,其特征在于����,包括接收單元���,用于接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文����,接收客戶端根據(jù) 應(yīng)答報(bào)文發(fā)送的TCP連接請(qǐng)求;反彈單元��,用于在所述接收單元接收所述UDP查詢請(qǐng)求報(bào)文后���,向所述 客戶端返回應(yīng)答報(bào)文��,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?���;處理單元�����,用于在所述接收單元接收所述TCP連接請(qǐng)求后�,建立所i^ 戶端與DNS服務(wù)器之間的TCP連接。
6��、 根據(jù)權(quán)利要求5所述的網(wǎng)關(guān)設(shè)備�����,其特征在于�����,所述反彈單元包括設(shè)置單元,用于將應(yīng)答報(bào)文中的TC字段設(shè)置為1���,將應(yīng)答報(bào)文中的數(shù)據(jù) 設(shè)置為截?cái)嗟?12字節(jié)��;發(fā)送單元����,用于向客戶端發(fā)送所述設(shè)置單元設(shè)置的應(yīng)答報(bào)文�����。
7�、 根據(jù)權(quán)利要求5或6所述的網(wǎng)關(guān)設(shè)備,其特征在于 所述網(wǎng)關(guān)設(shè)備為防火墻或防火墻類網(wǎng)關(guān)��。
8�、 一種客戶端,其特征在于����,包括發(fā)送單元,用于向網(wǎng)關(guān)設(shè)備發(fā)送用戶數(shù)據(jù)報(bào)協(xié)議UDP查詢請(qǐng)求報(bào)文�����;接收單元����,用于接收所述網(wǎng)關(guān)設(shè)備根據(jù)所述UDP查詢請(qǐng)求報(bào)文返回的應(yīng) 敘艮文,所述應(yīng)&艮文中的TC字段表明字節(jié)被截?cái)?�;處理單元��,用于根?jù)所述接收單元接收的應(yīng)答"^艮文向所述網(wǎng)關(guān)設(shè)備發(fā)送 傳輸控制協(xié)議TCP連接請(qǐng)求��,通過所述網(wǎng)關(guān)設(shè)備建立本客戶端與域名系統(tǒng) DNS服務(wù)器之間的TCP連接���。
9�、 根據(jù)權(quán)利要求8所述的客戶端����,其特征在于,所述處理單元包括第一處理單元����,用于根據(jù)所述接收單元接收的應(yīng)答報(bào)文向所述網(wǎng)關(guān)設(shè)備 發(fā)送傳輸控制協(xié)議TCP連接請(qǐng)求;第二處理單元�,用于在所述第一處理單元發(fā)送所述TCP連接請(qǐng)求后����,與 所述網(wǎng)關(guān)設(shè)備進(jìn)行三次握手連接過程����,在所述三次握手連接完成后,通過所 述網(wǎng)關(guān)設(shè)備建立本客戶端與DNS服務(wù)器之間的TCP連接��。
10����、 一種網(wǎng)絡(luò)系統(tǒng),其特征在于�����,包括 客戶端�����,用于發(fā)送請(qǐng)求���;網(wǎng)關(guān)設(shè)備�,用于接收客戶端發(fā)送的UDP查詢請(qǐng)求報(bào)文,向所述客戶端返 回應(yīng)^艮文�����,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?����,接收所述客戶端?據(jù)所述應(yīng)答報(bào)文發(fā)送的TCP連接請(qǐng)求�����,建立所述客戶端與DNS服務(wù)器之間的 TCP連接�;DNS服務(wù)器��,用于通過所述網(wǎng)關(guān)設(shè)備建立與所述客戶端的連接�����。
全文摘要
本發(fā)明實(shí)施例公開一種網(wǎng)絡(luò)安全防護(hù)方法��、網(wǎng)關(guān)設(shè)備���、客戶端及網(wǎng)絡(luò)系統(tǒng)�����。所述方法包括接收客戶端發(fā)送的用戶數(shù)據(jù)報(bào)協(xié)議UDP查詢請(qǐng)求報(bào)文����;向所述客戶端返回應(yīng)答報(bào)文,所述應(yīng)答報(bào)文中的TC字段表明字節(jié)被截?cái)?���;接收所述客戶端根?jù)所述應(yīng)答報(bào)文發(fā)送的傳輸控制協(xié)議TCP連接請(qǐng)求,建立所述客戶端與域名系統(tǒng)DNS服務(wù)器之間的TCP連接���。相應(yīng)的���,本發(fā)明實(shí)施例還提供一種網(wǎng)關(guān)設(shè)備、客戶端和網(wǎng)絡(luò)系統(tǒng)���。本發(fā)明實(shí)施例提供的技術(shù)方案能夠提高網(wǎng)絡(luò)的安全防護(hù)����。
文檔編號(hào)H04L29/06GK101257450SQ200810089838
公開日2008年9月3日 申請(qǐng)日期2008年3月28日 優(yōu)先權(quán)日2008年3月28日
發(fā)明者武 蔣 申請(qǐng)人:華為技術(shù)有限公司