[19]
中华人民共和国国家知识产权局
[12]发明专利申请公布说明书
[11]公开号CN 101257450A [43]公开日2008年9月3日
[21]申请号200810089838.7[22]申请日2008.03.28
[21]申请号200810089838.7
[71]申请人华为技术有限公司
地址518129广东省深圳市龙岗区坂田华为总部
办公楼
[72]发明人蒋武 [74]专利代理机构北京集佳知识产权代理有限公司代理人逯长明
[51]Int.CI.H04L 12/56 (2006.01)H04L 29/06 (2006.01)
权利要求书 2 页 说明书 9 页 附图 5 页
[54]发明名称
统
[57]摘要
本发明实施例公开一种网络安全防护方法、网
字段表明字节被截断;接收所述客户端根据所述应
答报文发送的传输控制协议TCP连接请求,建立所
述客户端与域名系统DNS服务器之间的TCP连接。相
应的,本发明实施例还提供一种网关设备、客户端
和网络系统。本发明实施例提供的技术方案能够提
高网络的安全防护。
200810089838.7权 利 要 求 书第1/2页 1、一种网络安全防护方法,其特征在于,包括:
接收客户端发送的用户数据报协议U D P查询请求报文; 向所述客户端返回应答报文,所述应答报文中的TC字段表明字节被截断;
接收所述客户端根据所述应答报文发送的传输控制协议TCP连接请求,建立所述客户端与域名系统DNS服务器之间的TCP连接。
2、根据权利要求1所述的网络安全防护方法,其特征在于,该方法还包括:
把所述应答报文中的TC字段设置为1,所述应答报文中被截断的字节为512字节。
3、根据权利要求1或2所述的网络安全防护方法,其特征在于: 所述接收所述客户端根据所述应答报文发送的TCP连接请求,建立所述客户端与DNS服务器之间的TCP连接具体为:
接收所述客户端根据所述应答报文发送的TCP连接请求后,与所述客户段进行三次握手连接过程,在所述三次握手连接完成后,建立所述客户端与DNS服务器之间的TCP连接。
4、根据权利要求3所述的网络安全防护方法,其特征在于: 所述接收客户端发送的UDP查询请求报文具体为:
防火墙或防火墙类网关接收客户端发送的U D P查询请求报文。
5、一种网关设备,其特征在于,包括:
接收单元,用于接收客户端发送的UDP查询请求报文,接收客户端根据应答报文发送的TCP连接请求;
反弹单元,用于在所述接收单元接收所述UDP查询请求报文后,向所述客户端返回应答报文,所述应答报文中的T C字段表明字节被截断; 处理单元,用于在所述接收单元接收所述TCP连接请求后,建立所述客户端与DNS服务器之间的TCP连接。
200810089838.7权 利 要 求 书 第2/2页 6、根据权利要求5所述的网关设备,其特征在于,所述反弹单元包括: 设置单元,用于将应答报文中的TC字段设置为1,将应答报文中的数据设置为截断的512字节;
发送单元,用于向客户端发送所述设置单元设置的应答报文。
7、根据权利要求5或6所述的网关设备,其特征在于: 所述网关设备为防火墙或防火墙类网关。
8、一种客户端,其特征在于,包括:
发送单元,用于向网关设备发送用户数据报协议UDP查询请求报文; 接收单元,用于接收所述网关设备根据所述UDP查询请求报文返回的应答报文,所述应答报文中的TC字段表明字节被截断;
处理单元,用于根据所述接收单元接收的应答报文向所述网关设备发送传输控制协议TCP连接请求,通过所述网关设备建立本客户端与域名系统DNS服务器之间的TCP连接。
9、根据权利要求8所述的客户端,其特征在于,所述处理单元包括: 第一处理单元,用于根据所述接收单元接收的应答报文向所述网关设备发送传输控制协议TCP连接请求;
第二处理单元,用于在所述第一处理单元发送所述TCP连接请求后,与所述网关设备进行三次握手连接过程,在所述三次握手连接完成后,通过所述网关设备建立本客户端与DNS服务器之间的TCP连接。
10、一种网络系统,其特征在于,包括:
客户端,用于发送请求;
网关设备,用于接收客户端发送的UDP查询请求报文,向所述客户端返回应答报文,所述应答报文中的TC字段表明字节被截断,接收所述客户端根据所述应答报文发送的TCP连接请求,建立所述客户端与DNS服务器之间的TCP连接;
D N S服务器,用于通过所述网关设备建立与所述客户端的连接。
200810089838.7说 明 书第1/9页网络安全防护方法、网关设备、客户端及网络系统
技术领域
本发明涉及通信技术领域,具体涉及一种网络安全防护方法、网关设备、客户端及网络系统。
背景技术
D N S(D o m a i n N a m e S y s t e m,域名系统)是一种以层次结构分布的命名系统。在如互联网Internet之类的TCP/IP(Transmission Control Protocol/Internet P r o t o c o l,传输控制协议/网间协议)网络中,使用D N S名字来定位计算机,如果在应用程序中输入D N S名,就可以由D N S服务器中的数据库提供包括IP地址在内的与名称相关的信息。
D N S服务容易在网络上遭受攻击,因此一般通过在D N S服务器和客户端之间设置防火墙进行安全防护,允许正常报文通过,并过滤掉攻击报文。客户端和D N S服务器之间一般是使用U D P(U s e r D a t a g r a m P r o t o c o l,用户数据报协议)传输报文,客户端存在重传机制,在没有收到服务器的响应报文后会重复向DNS服务器发送报文。
现有技术中,当客户端采用U D P方式发出U D P查询请求报文,并经过防火墙发送到D N S服务器的U D P端口时,D N S服务器准备应答,但发现报文的数据长度超过512字节,就会把应答报文中报头的标志F l a g字段中的T C 字段标记为1,然后把报文的前512个字节截断后返回给客户端,客户端接收到这个报文后,首先读取T C字段,知道该报文是截断的,则改为采用T C P 连接的方式主动向D N S服务器的T C P端口进行连接,重新发出请求,进行报文传输。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题: 因为现有技术中客户端和D
N S服务器之间一般是使用U D P方式传输报文,而U D P方式不采用建立连接方式进行通信,也没有连接握手等机制,只是在字节超过512字节时才可能改为采用T C P方式,因此网络安全性还不高,
200810089838.7说 明 书 第2/9页存在D N S欺骗、I P欺骗等一系列安全问题。例如对于D N S欺骗,因为D N S 服务器向客户端返回报文中,将包含有客户端发送的报文中的头两个字节I D (查询I D)以表示对应回答。如果这个查询I D被监听到或预测到,则会被利用向DNS服务器或客户程序发送虚假信息。
发明内容
本发明实施例要解决的技术问题是提供一种网络安全防护方法、网关设备、客户端及网络系统,能够提高网络的安全防护。
为解决上述技术问题,本发明所提供的实施例是通过以下技术方案实现的:
本发明实施例提供一种网络安全防护方法,包括:接收客户端发送的用户数据报协议U D P查询请求报文;向所述客户端返回应答报文,所述应答报文中的T C字段表明字节被截断;接收所述客户端根据所述应答报文发送的传输控制协议T C P连接请求,建立所述客户端与域名系统D N S服务器之间的TCP连接。
本发明实施例提供一种网关设备,包括:接收单元,用于接收客户端发送的U D P查询请求报文,接收
客户端根据应答报文发送的T C P连接请求;反弹单元,用于在所述接收单元接收所述U D P查询请求报文后,向所述客户端返回应答报文,所述应答报文中的T C字段表明字节被截断;处理单元,用于在所述接收单元接收所述T C P连接请求后,建立所述客户端与D N S服务器之间的TCP连接。
本发明实施例提供一种客户端,包括:发送单元,用于向网关设备发送用户数据报协议U D P查询请求报文;接收单元,用于接收所述网关设备返回的应答报文,所述应答报文中的T C字段表明字节被截断;处理单元,用于根据所述接收单元接收的应答报文向所述网关设备发送传输控制协议T C P连接请求,通过所述网关设备建立本客户端与域名系统D N S服务器之间的T C P 连接。
本发明实施例提供一种网络系统,包括:客户端,用于发送请求;网关设备,用于接收客户端发送的U D P查询请求报文,向所述客户端返回应答报
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议