專利名稱:用于過濾網(wǎng)絡流量的方法和系統(tǒng)的制作方法
用于過濾網(wǎng)絡流量的方法和系統(tǒng)
背景技術:
因特網(wǎng)正日益成為支持各種形式和等級的通信的計算機全球化網(wǎng)絡。例如�,在萬維網(wǎng)(www)上,信息可被呈現(xiàn)在通常稱為網(wǎng)站的世界范圍可利用的頁面上�����。因特網(wǎng)也借助電郵�、即時短信和IP語音(VoIP)通信支持終端用戶之間的一對一通信。因為因特網(wǎng)的開放特性��,涉及網(wǎng)絡通信的安全問題已經(jīng)暴露�����。舉個例子�,黑客已試圖借助因特網(wǎng)打斷并失效計算機系統(tǒng)并經(jīng)常成功。該危害的示例是分配式拒絕服務(DDoS) 攻擊�,其中多個受到損害的系統(tǒng)清除目標系統(tǒng)(一般是一個或多個網(wǎng)絡服務器)的帶寬或資源。除了惡意網(wǎng)絡攻擊,網(wǎng)絡路由數(shù)據(jù)中的錯誤會導致不被希望的網(wǎng)絡流量�。例如,具有誤配置DNS服務器的普及站點可將流量指向非預期的目標或頂級域(TLD)操作�。為了防止網(wǎng)絡上的惡意攻擊,已利用分組過濾器增加網(wǎng)絡安全性并降低不希望的流量���。過濾器可用于通過拒絕分組經(jīng)過網(wǎng)絡接口而限制某種種類的通信�。分組過濾器的示例是使用從德州休斯頓的Portmasters. com獲得的PortMaster網(wǎng)絡接口的過濾器���。用于限制網(wǎng)絡流量的過濾器由Portmaster網(wǎng)絡接口應用。當分組試圖經(jīng)過網(wǎng)絡接口時�,由系統(tǒng)操作員產(chǎn)生的過濾器分析分組中的報頭信息并允許分組經(jīng)過網(wǎng)絡接口或使得該分組被丟棄。盡管當前可用的系統(tǒng)提供了用于過濾經(jīng)過網(wǎng)絡傳送的流量的功能���,但本領域需要過濾網(wǎng)絡流量的改進方法和系統(tǒng)���。發(fā)明概述
本發(fā)明總體上涉及數(shù)據(jù)網(wǎng)絡。更具體而言����,本發(fā)明涉及用于過濾網(wǎng)絡流量的方法和系統(tǒng)。僅僅通過示例����,本發(fā)明已應用于將分組過濾器分配到處理引擎的系統(tǒng)����,所述處理引擎向因特網(wǎng)流量應用分組過濾器�,在有限時間段阻止預定百分比的因特網(wǎng)流量。該方法和技術可應用于因特網(wǎng)協(xié)議(IP)服務運營商��,包括DNS查詢流量���、WHOIS查詢流量���,OCSP查詢,等寸���。根據(jù)本發(fā)明實施例�,提供一種過濾多個DNS查詢的方法���。每個DNS查詢包括查詢名稱和資源記錄類型����。該方法包括確定包括域名���、過濾類型和節(jié)流率的過濾規(guī)則并形成包括過濾規(guī)則的過濾文件��。該方法還包括將所述過濾文件從服務器傳送到多個過濾代理���,將所述過濾文件從所述多個過濾代理的每個傳送到一個或多個處理引擎�,并在一個或多個處理器之一接收所述多個DNS查詢��。該方法進一步包括對于所述多個DNS查詢的子集確定所述域名和所述查詢名稱之間以及所述資源記錄類型和所述過濾類型之間的匹配����。所述預定百分比等于所述節(jié)流率。根據(jù)本發(fā)明的另一實施例����,提供一種過濾網(wǎng)絡請求的方法�。該方法包括確定包括過濾標準、過濾模式和節(jié)流率的過濾規(guī)則并接收網(wǎng)絡請求��;分析所接收的網(wǎng)絡請求���。該方法還包括確定所述所接收的網(wǎng)絡請求的部分中第一字段匹配所述過濾標準并阻止預定百分比的所述網(wǎng)絡請求的部分���。所述預定百分比等于所述節(jié)流率����。根據(jù)本發(fā)明的具體實施例��,提供一種存儲多條指令用于控制數(shù)據(jù)處理器過濾網(wǎng)絡請求的計算機可讀介質���。所述多條指令包括使得所述數(shù)據(jù)處理器確定包括過濾標準����、過濾模式和節(jié)流率的指令以及使得所述數(shù)據(jù)處理器接收網(wǎng)絡請求的指令����。所述多條指令還包括使得所述數(shù)據(jù)處理器分析所接收的網(wǎng)絡請求的指令,和使得所述數(shù)據(jù)處理器確定所述所接收的網(wǎng)絡請求的部分中第一字段匹配所述過濾標準的指令�,以及使得所述數(shù)據(jù)處理器阻止預定百分比的所述網(wǎng)絡請求的部分的指令。所述預定百分比等于所述節(jié)流率���。通過本發(fā)明可以實現(xiàn)相對于常規(guī)技術的許多優(yōu)勢��。例如����,本發(fā)明實施例提供用于快速高效地將分組過濾器分配到位于多個遠程站點的多個處理引擎的方法和系統(tǒng)��。此外, 實施例提供的分組過濾器能使系統(tǒng)操作員根據(jù)多種網(wǎng)絡標準完全地或部分地阻止惡意網(wǎng)絡流量���。而且��,分組過濾器的自動期滿能使遠程站點在預定時間段之后返回常規(guī)操作�,即使解析站點和中央數(shù)據(jù)中心之間的聯(lián)系已丟失�。此外,為了確保分組過濾器具有所需效果且沒有不期望的副作用�,過濾測試模式允許操作員顯現(xiàn)過濾器的效果且不影響網(wǎng)絡服務。該過濾方法通過在服務層提供過濾而提供顯著的其他優(yōu)勢����。而且,它在多個硬件結構和操作系統(tǒng)中提供了一致的過濾接口�����。將結合如下文本和附圖詳細描述本發(fā)明的這些和其他實施例��,以及許多其優(yōu)勢和特點�����。附圖簡述
圖1是用于根據(jù)本發(fā)明實施例分配網(wǎng)絡流量過濾規(guī)則的系統(tǒng)的簡化示意圖���; 圖2是根據(jù)本發(fā)明實施例的過濾文件語法的簡化示意��; 圖3是示出根據(jù)本發(fā)明實施例過濾多個DNS查詢的方法的簡化流程圖��; 圖4是示出根據(jù)本發(fā)明實施例過濾網(wǎng)絡分組的方法的簡化流程圖�����; 圖5是用于根據(jù)本發(fā)明實施例創(chuàng)建分組過濾器的簡化編程接口 ���; 圖6是根據(jù)本發(fā)明實施例過濾流量的方法的簡化流程圖; 圖7是服務來自因特網(wǎng)的流量的多站點部署的簡化示意圖�; 圖8A是根據(jù)本發(fā)明實施例提供因特網(wǎng)流量的服務站點架構的簡化示意圖; 圖8B是根據(jù)本發(fā)明實施例提供因特網(wǎng)流量的一部分并過濾因特網(wǎng)流量的另一部分的服務站點架構的簡化示意圖���。發(fā)明詳述
如本說明書更詳細所述�,由本發(fā)明實施例提供的方法和系統(tǒng)提供可用于在逐個請求的基礎上控制網(wǎng)絡性能的分組過濾器�����。本文所述的過濾器用于由常規(guī)系統(tǒng)不能解決的多種情況���。過濾機制具有用于創(chuàng)建并分配過濾器的組件�、分配過濾器中所用的過濾代理、以及將過濾器應用于網(wǎng)絡流量的處理引擎����。本發(fā)明實施例提供用于再次應用有效過濾器的機制,以便過濾器源和處理引擎 (例如�,在解析站點中)之間的連接丟失將不導致超過預定時間不合需要地應用過濾器。過濾器可通過單獨一致接口應用于多個平臺����。另外,本文所述的某些實施例提供的過濾器是單一源并然后在短時間段內(nèi)將過濾器復制到多個地理分配的位置���,保護網(wǎng)絡免受惡意攻
擊ο圖7是服務來自因特網(wǎng)的流量的多站點部署的簡化示意圖����。如圖7所示�����,地理分散的網(wǎng)絡服務運營商使用構成整個服務的多個點出現(xiàn)處理來自因特網(wǎng)的流量����。為了便于解釋�,多個城市如所示由網(wǎng)絡服務運營商服務���。服務流量由網(wǎng)絡服務運營商從因特網(wǎng)接收以及以適于特定應用地提供服務。圖1是用于根據(jù)本發(fā)明實施例執(zhí)行網(wǎng)絡流量過濾的簡化示意圖����。參見圖1,過濾工具110用于確定過濾規(guī)則��。涉及過濾規(guī)則的其他描述在以下更具體地提供����。過濾工具然后將過濾規(guī)則添加到過濾文件,該過濾文件經(jīng)過網(wǎng)絡(例如����,因特網(wǎng))被分配到一個或多個過濾代理120a/120b。圖1所示是兩個過濾代理120a/120b�,但在常規(guī)實施方式中可以使用兩個以上的過濾代理。過濾代理位于地理分配位置�����。過濾代理120a/120b然后將過濾文件分配到其他過濾代理或直接分配到處理引擎��。雖然圖1所示是兩個過濾代理120a/120b,但本發(fā)明并不限于該具體數(shù)目以及當適于特定應用時可利用其他數(shù)目�����。位于多個位置或站點130a/130b/130C/130e的網(wǎng)絡示出將分組過濾器分配到一個或多個處理引擎PE1-Pl中的其他過濾代理�����。因此�����,在位置130a��,過濾代理與多個處理引擎通信���。網(wǎng)絡位置130d是與其他位置130a/130b/130C/130e不同的位置���,將從過濾代理120b接收的過濾文件直接分配到處理引擎PEfPl。處理引擎PE1-P 在多個操作系統(tǒng)(包括��,SolariiLinux���,等等)上運行��。雖然所示利用三個處理引擎的最小數(shù)量���,但取決于特定應用可利用更多或更少的處理引擎。此外����,雖然只示出Solaris和Linux 為操作系統(tǒng),但本發(fā)明并不限于這些特定的操作系統(tǒng)并可以利用其他的操作系統(tǒng)�。本領域普通技術人員將理解許多變化、修改和替換��。當然��,取決于網(wǎng)絡拓撲���,過濾代理的數(shù)量����、體系的級數(shù)(在所示示例中是兩級)��、處理引擎的總數(shù)等都可以以適于特定應用地修改���。作為示例��,過濾代理120a并非將過濾文件分配到位于位置130a�、130b和130c的三個過濾代理,而是過濾代理120a可以與三個以上的位置(例如��,6個位置)通信���。類似的不同數(shù)量可應用于過濾代理120b和各個位置之間的連接�����。過濾代理也可以鏈接在一起用于傳輸多個網(wǎng)絡��。作為示例��,過濾代理120a可以將過濾器分配到另一過濾代理����,該過濾代理并沒有與協(xié)議引擎共處�����,新的過濾代理接著將過濾器分配到另一過濾代理��,該過濾代理也不必要與協(xié)議引擎共處���,等等�。本領域普通技術人員將理解許多變化、修改和替換��。利用圖1所示的系統(tǒng)���,單個過濾工具110可用于快速準確地將分組過濾器分配到位于不同地理站點的大量處理引擎。因此�,本發(fā)明實施例提供將過濾文件并發(fā)地分配到地理分散位置,每個包含一個或多個處理引擎���,其中在所有處理引擎(其可是數(shù)百計或數(shù)千計)之間一致地并對于相同預定時間段確定過濾規(guī)則����。過濾文件到多個處理引擎的體系的與并發(fā)的分配與常規(guī)技術形成強烈對比���,在常規(guī)技術中����,過濾器被應用于一個網(wǎng)絡��、一個網(wǎng)絡接口����、一個防火墻����,等等��。對于和DNS解析相關的大型分配式網(wǎng)絡���,快速并廣泛地分配提供了常規(guī)系統(tǒng)不能獲得的優(yōu)勢��。一旦系統(tǒng)操作員創(chuàng)建并向過濾代理分配過濾文件���,過濾文件快速地分配到大量處理引擎。并發(fā)分配導致處理引擎的大型網(wǎng)絡在極短時間段內(nèi)(常規(guī)地以秒計)接收過濾器���。 這是系統(tǒng)實施大型網(wǎng)絡的重要方面��,如同域名解析應用��,其中利用位于跨越全球的站點的數(shù)千個服務器���。如在本說明書中更充分地所述,本文所述的方法和系統(tǒng)提供域名系統(tǒng)(DNS)查詢����、 OCSP查詢�、WHOIS查詢��、VoIP查詢���、IM查詢�����、處于因特網(wǎng)協(xié)議以上的層的其他應用協(xié)議,等等的過濾��。如本發(fā)明實施例實施的過濾理論向系統(tǒng)操作員提供阻斷或忽略對于特定域名的查詢���、來自IP地址或IP地址塊的查詢��、或根據(jù)請求內(nèi)容��,等等���。雖然本文所述的實施例結合.COM、. NET以及.EDU討論�����,但本發(fā)明并不限于這些特定頂級域(TLD)并也可應用于其他 TLD。實施例也可應用于除了 TLD的其他網(wǎng)絡服務�。例如,雖然本文結合TLD描述DNS實施方式��,但DNS樹的其他等級也包括在本發(fā)明范圍內(nèi)��。
作為網(wǎng)絡流量過濾的示例��,如果系統(tǒng)操作員識別到因特網(wǎng)上的系統(tǒng)表現(xiàn)異常并每秒向DNS解析系統(tǒng)發(fā)送許多查詢���,這些查詢可以對DNS解析系統(tǒng)的整體性能產(chǎn)生有害影響�����。為了減少對因特網(wǎng)的有害影響�����,可以在預定時間段忽略查詢的來源����,該來源可以是誤配置的名稱服務器����。在非惡意操作的情況下����,系統(tǒng)操作員可能聯(lián)系名稱服務器控制員�,其可以合適地配置名稱服務器,因此消除錯誤查詢����。在預定時間段期滿之后,可以恢復查詢源用于完全接入�。由本發(fā)明實施例提供的自動期滿設置的本文所述系統(tǒng)不同于常規(guī)過濾器,在常規(guī)過濾器中�,防火墻經(jīng)修改以避免由特定IP地址或IP地址塊的訪問。在這些常規(guī)系統(tǒng)中�����,對 IP地址的單獨過濾器在每個防火墻手工地實施�����,需要系統(tǒng)操作員配置多個站點�����。如果系統(tǒng)操作員可以取消各種過濾器以及其上實施過濾器的防火墻�����,為了去除過濾器�����,系統(tǒng)操作員必須手工去除過濾器����。根據(jù)本發(fā)明實施例,一旦過濾器文件被發(fā)送到所有處理引擎�,則過濾器中包括的期滿時間在時間段等于期滿時間之后將系統(tǒng)恢復到常規(guī)操作。因此�,和常規(guī)系統(tǒng)相比,本發(fā)明實施例可以顯著減少系統(tǒng)操作員輸入�����。而且�,本發(fā)明實施例提供網(wǎng)絡流量的適應性過濾,其中響應網(wǎng)絡流量對過濾性能進行修改�����。例如,如果在第一預定時間之后���,阻止的惡意網(wǎng)絡流量仍然試圖經(jīng)過網(wǎng)絡���,過濾器的期滿時間可以經(jīng)擴展以持續(xù)阻止不希望的流量。再次參見圖1�����,用于過濾流量的方法和系統(tǒng)提供可應用于多個服務實施方式的方案���。如圖1所示�����,高級結構包括分配用于服務的過濾文件并將其分配到一個或多個過濾代理120的過濾工具110�����。多個過濾代理節(jié)點120然后將過濾文件分配到末端節(jié)點130。在末端節(jié)點130����,多個服務協(xié)議引擎(PE)實施服務協(xié)議��,但也可經(jīng)配置以根據(jù)從過濾代理分配的過濾文件實施過濾邏輯��。當在PE中設置過濾規(guī)則時���,隨著請求從因特網(wǎng)發(fā)送到PE,過濾規(guī)則被查詢以及取決于每個單個請求是否滿足一個或多個過濾規(guī)則而接受或拒絕該流量�����。 因此���,利用本發(fā)明實施例�,提供了實施全面過濾功能的過濾分配系統(tǒng)����。圖8A是根據(jù)本發(fā)明實施例的服務因特網(wǎng)流量的服務站點結構的簡化示意圖。圖 8A示出位于單個站點的一般性網(wǎng)絡服務�,該站點包括連接在一起接收來自因特網(wǎng)的請求并向因特網(wǎng)提供響應的一組計算機。示例性站點可以是圖1所示的站點130a-130e之一��。如所示���,向每個請求提供匹配的響應����。作為示例,如果接收DNS請求���,則包括DNS解析處理結果的響應將返回到請求者��。雖然所示只有三個請求和響應����,但本領域普通技術人員將理解在實際實施方式中一般接收并提供其他的請求和響應�。圖8B是根據(jù)本發(fā)明實施例提供因特網(wǎng)流量的一部分并過濾因特網(wǎng)流量的另一部分的服務站點結構的簡化示意圖。如圖8B所示�,在單個站點的一般性網(wǎng)絡服務包括如圖8A 所示連接在一起的一組計算機。當從因特網(wǎng)接收請求時��,對于請求的一部分提供響應���。然而�,與圖8A相反�,使用本發(fā)明實施例對請求2進行過濾,并不向請求者提供響應�。涉及過濾請求的進一步討論在本說明書以及更具體地以下提供。圖2是根據(jù)本發(fā)明實施例一般過濾文件的簡化示意圖���。圖2中的一般過濾文件的格式是pseudo-Backus-Naurform (pseudo-BNF)���。一般過濾文件代表系統(tǒng)操作員可用于產(chǎn)生過濾規(guī)則的框架。特定過濾規(guī)則的示例在以下提供�����。一般過濾文件包括版本號��、以及和過濾器創(chuàng)建相關的時戳(從該創(chuàng)建點以秒計)�。版本號和時戳都是正整數(shù)。IP地址過濾器�、 域名過濾器、協(xié)議報頭過濾器及組合過濾器示出在圖2中所示的一般過濾文件中���。將接著解決這些過濾器�����。需要注意��,過濾文件的格式以及確定各種過濾文件的語義將對于不同服務共享相似性和差異���。因此���,以下提供的示例僅僅示出特定格式和語義而不用于限制本發(fā)明的范圍。 具體而言�����,不同種類規(guī)則的語義稍有不同��,并實際上取決于服務流量的種類每個服務將常規(guī)地具有不同規(guī)則類型�����。在高層��,過濾文件將包括過濾版本��,其是使用運行較老版本的軟件(而其他軟件較為當前)處理編碼普及部署的技術����;序列號,其是對著過濾規(guī)則集每次改變增加的唯一識別符��;文件中過濾器的每個“類型”的計數(shù)��;以及對于文件中過濾器的每個 “類型”的單個過濾規(guī)則(編號0···計數(shù))的列表。如以下所述����,每個過濾器包括一個或多個過濾規(guī)則�����。因此��,操作員從一系列的規(guī)則創(chuàng)建過濾文件�。規(guī)則指定將要丟棄的流量的種類。本發(fā)明實施例對DNS系統(tǒng)提供至少四種類型的過濾規(guī)則
(1)排除過濾器具有兩種形式
a.網(wǎng)絡地址(例如�,以CIDR標記的IP地址塊)
b.域名和類型
(2)報頭過濾器允許對所接收查詢分組的報頭中具體成分的過濾,包括
a.存在或不存在QR��、AA���、TC�����、RD���、RA��、AD��、CD或Z位��;
b.分組的響應編碼(例如�,N0ERR0R�、NXD0MAIN,等等);
c.分組的opcode (例如�,QUERY、I QUERY, UPDATE,等等)��;
d.報頭的十六進制表示�����,允許覆蓋不能符號表示的報頭的其他部分���,諸如部分計數(shù)��。(3)組合過濾器���,其是排除過濾器和/或報頭過濾器的兩種種類的組合。(4)通配符過濾器,其具有兩種形式
a.網(wǎng)絡地址(例如�����,以CIDR標記的IP地址塊)����;
b.域名。排除規(guī)則以“DNS名稱和類型”的形式確定域名(例如��,example, com)和查詢類型 (例如��,A=1���,MX=15,…)�����。查詢類型也稱為資源記錄類型�。當查詢中的域名等同于規(guī)則中確定的域名以及用于規(guī)則中確定的相同查詢類型時,請求匹配規(guī)則����。需要注意,該特定過濾規(guī)則常規(guī)地只應用于DNS協(xié)議服務�����。根據(jù)本發(fā)明實施例,通配符過濾器結合DNS解析系統(tǒng)的其他配置利用��。DNS系統(tǒng)作為整體支持“通配符^錄的想法�����,原理上類似撲克游戲中的外卡(wild card)其可用于填充沒有的位置���。例如���,如果向DNS名稱服務器查詢特定名稱,以及名稱沒有明確地存在于名稱數(shù)據(jù)庫中而存在通配符���,則名稱服務器使用通配符記錄構建響應而不是只響應“名稱不
存在”�����。通配符名稱過濾器可用于避免當響應匹配過濾器中名稱的查詢時系統(tǒng)使用通配符記錄�����。通配符網(wǎng)絡過濾器可用于指出哪些網(wǎng)絡地址塊將以及哪些不將接收通配符響應����。 如果系統(tǒng)作為整體經(jīng)配置以利用通配表示,則匹配通配符網(wǎng)絡地址過濾器的任何IP地址不將接收通配符響應它們將接收“無該名稱”的響應�����。相反地�,如果系統(tǒng)經(jīng)配置以不利用通配表示,則匹配通配符網(wǎng)絡地址過濾器的任何IP地址將接收通配符響應而不是“無該名稱”錯誤����。對于DNS服務����,考慮如下過濾器作為示例
(1)對于192. 168. 17. 0/24的排除網(wǎng)絡塊規(guī)則,節(jié)流為75%(2)對于NO-SUCH-DOMAIN. COM. ANY的排除名稱類型規(guī)則�。(3)匹配具有RD位使能的任何查詢的排除報頭規(guī)則
第一規(guī)則將阻止來自192. 168. 17. 0-192. 168. 17. 255的范圍的IP地址75%的所有查詢。根據(jù)該過濾器��,查詢將被丟棄以及不發(fā)送響應�����。第二規(guī)則將阻止具有任何類型的對名稱NO-SUCH-DOMAIN. COM的所有查詢。無論類型�,如果查詢名稱是N0-SUCH-D0MAIN. COM,則丟棄查詢。第三規(guī)則將阻止具有RD (需要遞歸)位使能的所有查詢����。常規(guī)地,這些查詢來自試圖使用DNS系統(tǒng)的組件作為遞歸名稱服務器解析器或名稱服務器而不是依靠附近團體或ISP名稱服務器�。IP過濾器由*drop-ip-ruleS:*確定,其包括計數(shù)器ipCount�����,以及IP規(guī)則���。計數(shù)器ipCount是指示和分組過濾器相關的IP規(guī)則數(shù)量的正整數(shù)����。IP規(guī)則由ipRule_N_確定����, 其中N是規(guī)則的順序IP編號,以零開始并以一遞增���。IP規(guī)則包括要阻止的IP地址(以CIDR 格式表示)��、模式(實際或測試)�����、過濾器的時限(_ttl_)�����、節(jié)流百分比(0和100%之間)以及時戳���。在過濾器創(chuàng)建期間設置的節(jié)流百分比指出要丟棄的請求的統(tǒng)計百分比��。排除規(guī)則以“網(wǎng)絡地址”形式確定IP地址或IP地址范圍��。當請求的地址確切匹配IP地址或落入規(guī)則中定義的地址范圍時請求匹配規(guī)則�。該種類的規(guī)則可應用于包括DNS 協(xié)議服務���、OCSP協(xié)議服務以及WHOIS協(xié)議服務的多種服務。IP過濾器可一般應用于任何基于IP的協(xié)議以及它們的應用型不限于本說明書所述的各種服務�����。IP過濾器的示例如下
FilterVersiori = 8 serialNumber = 1224250330 ipCount = 1
ipRuleO = 192.168.10,0/24 REAL 1800 100 1224086663
在以上所示的IP過濾器中����,過濾器版本是6�。如果過濾代理不支持過濾器的版本��,則過濾器將被丟棄���。序列號是12M250330�����,其是自從創(chuàng)建點以秒計的時間�。單個IP規(guī)則包括在 IP過濾器中(即�����,ipCoimt=l)��。對于該特定過濾器的IP規(guī)則被確定為IP規(guī)則編號零(以零開始的規(guī)則的計數(shù))�。IP過濾器將阻止在C類網(wǎng)絡192. 168. 10/24中的IP地址。過濾器被操作為實際過濾器�����,而非測試模式�����。該過濾器的期滿時間段是1800秒(S卩,30分鐘)���,節(jié)流率是100%�,以及期滿時間是1224086663���,再次自從創(chuàng)建點以秒計�����。過濾器中包括的期滿時間確保過濾器在預定時間期滿�。因此���,自動地執(zhí)行過濾器的分配和期滿��。以上的示例IP過濾器利用CIDR格式以確定將由處理引擎阻止的多個源IP地址�����。 網(wǎng)絡地址192. 168. 10.0/24 (其以不分級域間路由(CIDR)標記法表示)是C類網(wǎng)絡,是256 個計算機的組合(192. 168. 10. 0-192. 168. 10. 255)���。因為IP地址是32位長��,CIDR標記法的 “/24”指出IP地址的最相關部分是前M位�����,即����,前三個八比特組192. 168. 10.。雖然IP地址是以IPv4格式給出的�,但也可以使用其他格式。本領域普通技術人員將理解許多變化��、 修改和替換����。除了過濾利用CIDR標記法的計算機網(wǎng)絡,也可以過濾單個計算機�,該單個計算機由諸如192. 168. 10. 10的IP地址指示。諸如192. 168. 10. 10/32的標記可用于確定將被過濾的IP地址����。此外,雖然利用CIDR以確定過濾的IP地址組合�����,但該特定格式不是本發(fā)明必須的,而是可以利用其他格式(包括點分十進制記法或列出每個IP地址)��。本領域普通技術人員將理解許多變化�、修改和替換。通過將節(jié)流率修改為0和100%之間的值�,預定百分比的來自所確定IP地址塊的查詢將被阻止,使得對于阻止0%以上的過濾器某些流量經(jīng)過處理引擎�����。在以上給出的示例中�����,100%的節(jié)流率阻止來自所確定網(wǎng)絡的所有流量���。向系統(tǒng)操作員提供優(yōu)勢的本發(fā)明方面是操作模式實際或測試����。測試模式使得系統(tǒng)操作員公布過濾器并如果過濾器實際由處理引擎實施時確定多少流量將被阻止��。因此, 在實施可以可能丟棄不希望的網(wǎng)絡流量的過濾器之前��,可以在實際實施之前測試過濾器��。 報告軟件經(jīng)提供以使得系統(tǒng)操作員觀察測試模式期間的流量模式用于確定在向處理引擎公布過濾器之后哪些流量將被丟棄�。再次參見圖2�,域名(DNS)過濾器由^drop-domain-rules:*確定,其包括計數(shù)器 domainCount以及DNS規(guī)則���。計數(shù)器domainCount是指出和分組過濾器相關的DNS規(guī)則數(shù)量的正整數(shù)����。DNS規(guī)則由domainRule_N_確定����,其中N是規(guī)則的順序ID編號,以零開始并以一遞增����。DNS規(guī)則包括要阻止的域名、資源記錄類型(_dnS-type_)�、模式(實際或測試)、過濾器的時限(_ttl_)�����、節(jié)流率(0和100%之間)以及時戳。關于_d0main_element��,DNS過濾器可應用于二 (或更高)級域���。如下給出對于驟w. example, com的DNS過濾器的示例�����。如果DNS查詢到達并匹配給定的二級域字符串(即�, example),過濾器將被應用于該DNS查詢���。域名過濾器匹配所有的子域�,但僅僅在標簽限制上��。即�,域名過濾器不只是檢查后綴。在以上給出的示例中��,如果DNS查詢是www. example, com,則DNS查詢將被過濾����,但如果DNS查詢是對于firstexample. com則不過濾�����。需要注意�, 在該特定實施方式中���,example, com不會由DNS過濾器阻止。資源記錄(RR)類型是有效的DNS RR類型����。有效DNS RR類型的當前列表可在 http://www. iana. org/assignments/dns-parameters ¢^ 1
權利要求
1.一種過濾多個DNS查詢的方法,每個DNS查詢包括查詢名稱和資源記錄類型����,該方法包括確定過濾規(guī)則,所述過濾規(guī)則包括域名��、過濾類型和節(jié)流率�����; 形成包括所述過濾規(guī)則的過濾文件�; 將所述過濾文件從服務器傳送到多個過濾代理;將所述過濾文件從所述多個過濾代理中的每個傳送到一個或多個處理引擎����; 在所述一個或多個處理引擎之一接收所述多個DNS查詢�����;對于所述多個DNS查詢的子集確定所述域名和所述查詢名稱之間以及所述資源記錄類型和所述過濾類型之間的匹配���;以及阻止預定百分比的所述多個DNS查詢的子集,其中所述預定百分比等于所述節(jié)流率����。
2.如權利要求1所述的方法,其中所述過濾規(guī)則進一步包括期滿時間�����。
3.如權利要求2所述的方法進一步包括在小于所述期滿時間的預定時間段之后刷新所述過濾規(guī)則�����。
4.如權利要求1所述的方法進一步包括將過濾規(guī)則狀態(tài)從所述多個過濾代理傳送到所述服務器���。
5.如權利要求1所述的方法����,其中所述節(jié)流率在零和100%之間。
6.如權利要求1所述的方法進一步包括在阻止預定百分比的所述多個DNS查詢的子集之前測試所述過濾規(guī)則�。
7.如權利要求1所述的方法,其中確定所述過濾規(guī)則包括確定實際模式或測試模式中的至少一個����。
8.—種過濾網(wǎng)絡請求的方法,該方法包括確定包括過濾標準���、過濾模式和節(jié)流率的過濾規(guī)則��; 接收網(wǎng)絡請求; 分析所接收的網(wǎng)絡請求�;確定在所接收網(wǎng)絡請求的部分中的第一字段匹配所述過濾標準;以及阻止預定百分比的所述網(wǎng)絡請求的部分���,其中所述預定百分比等于所述節(jié)流率�。
9.如權利要求8所述的方法��,其中所述過濾標準包括如下中的至少一個域名���、源IP 地址范圍或協(xié)議報頭位�����。
10.如權利要求9所述的方法���,其中所述源IP地址的范圍以CIDR標記法表示�。
11.如權利要求10所述的方法�����,其中確定在所接收網(wǎng)絡請求的部分中的第一字段匹配所述過濾標準包括匹配所接收的網(wǎng)絡請求的部分中的源IP地址與所述過濾規(guī)則中的 IP地址��。
12.如權利要求9所述的方法����,其中所述過濾標準進一步包括DNS資源記錄類型。
13.如權利要求9所述的方法�,其中所述網(wǎng)絡標準包括含有HTTP報頭的協(xié)議報頭。
14.如權利要求8所述的方法�����,其中所述過濾規(guī)則進一步包括期滿時間�。
15.如權利要求14所述的方法,進一步包括在小于所述期滿時間的預定時間段之后刷新所述過濾規(guī)則�。
16.如權利要求8所述的方法,其中所述網(wǎng)絡標準包括OCSP請求或WHOIS請求中的至少一個�。
17.如權利要求8所述的方法�����,進一步包括在阻止所述預定百分比的所述網(wǎng)絡分組的部分之前測試所述過濾規(guī)則���。
18.如權利要求8所述的方法,進一步包括向多個遠程站點分配所述過濾規(guī)則��,其中在所述多個遠程站點執(zhí)行分析�����、確定和阻止����。
19.如權利要求8所述的系統(tǒng)�����,進一步包括向管理工作臺報告有效過濾的狀態(tài)�。
20.一種存儲多條指令用于控制數(shù)據(jù)處理器過濾網(wǎng)絡請求的計算機可讀介質,所述多條指令包括使得所述數(shù)據(jù)處理器確定包括過濾標準�����、過濾模式和節(jié)流率的過濾規(guī)則的指令; 使得所述數(shù)據(jù)處理器接收網(wǎng)絡請求的指令�����; 使得所述數(shù)據(jù)處理器分析所接收的網(wǎng)絡請求的指令�����;使得所述數(shù)據(jù)處理器確定所述所接收的網(wǎng)絡請求的部分中的第一字段匹配所述過濾規(guī)則的指令����;以及使得所述數(shù)據(jù)處理器阻止預定百分比的所述網(wǎng)絡請求的部分,其中所述預定百分比等于所述節(jié)流率的指令����。
21.如權利要求20所述的計算機可讀介質,其中所述過濾標準包括如下中的至少一個域名����、源IP地址范圍或協(xié)議報頭位。
22.如權利要求21所述的計算機可讀介質���,其中所述過濾標準進一步包括DNS資源記錄類型���。
23.如權利要求21所述的計算機可讀介質��,其中所述源IP地址的范圍以CIDR標記法表不��。
24.如權利要求21所述的計算機可讀介質����,其中所述協(xié)議報頭位包括HTTP報頭�����。
25.如權利要求20所述的計算機可讀介質�,其中所述網(wǎng)絡標準包括OCSP請求或WHOIS 請求中的至少一個。
26.如權利要求20所述的計算機可讀介質�,進一步包括指令,使得所述數(shù)據(jù)處理器在阻止所述預定百分比的所述網(wǎng)絡分組的部分之前測試所述過濾規(guī)則�。
27.如權利要求20所述的計算機可讀介質,進一步包括指令�,使得所述數(shù)據(jù)處理器將所述過濾規(guī)則分配到多個遠程站點。
全文摘要
一種過濾多個DNS查詢的方法�,其中每個DNS查詢包括查詢名稱和資源記錄類型��,該方法包括確定包括域名����、過濾類型以及節(jié)流率的過濾規(guī)則并形成包括過濾規(guī)則的過濾文件����。該方法還包括將過濾文件從服務器傳送到多個過濾代理�����,將過濾文件從多個過濾代理的每個傳送到一個或多個處理引擎����,并在所述一個或多個處理引擎之一接收所述多個DNS查詢。該方法包括對于所述多個DNS查詢的子集確定域名和查詢名稱之間以及資源記錄類型和過濾類型之間的匹配�,并阻止預定百分比(等于節(jié)流率)的多個DNS查詢的子集。
文檔編號H04W4/00GK102474700SQ201080034533
公開日2012年5月23日 申請日期2010年8月4日 優(yōu)先權日2009年8月5日
發(fā)明者A. 史密斯 C., A. 本托夫斯基 M., 巴伯 P., 蒙特卡斯爾 S. 申請人:弗里塞恩公司