CN102231766B - 一种域名解析验证的方法及*** - Google Patents
一种域名解析验证的方法及*** Download PDFInfo
- Publication number
- CN102231766B CN102231766B CN2011102144634A CN201110214463A CN102231766B CN 102231766 B CN102231766 B CN 102231766B CN 2011102144634 A CN2011102144634 A CN 2011102144634A CN 201110214463 A CN201110214463 A CN 201110214463A CN 102231766 B CN102231766 B CN 102231766B
- Authority
- CN
- China
- Prior art keywords
- domain name
- request
- ldns
- address
- identifying code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种域名解析验证的方法及***,应用于通信技术领域。该方法包括:当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时,获取当前的***时间,并将该***时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。应用本发明提供的方法和***能够验证DNS在解析请求过程中是否发生了转发。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种域名解析验证的方法及***。
背景技术
因特网***中,使用IP(Internet Protocol,互联网协议)地址识别各个终端,例如123.123.123.123。然而用户终端访问某个服务器时,为了便于记忆和识别,一般是基于域名地址而不是IP地址,因此使用DNS(Domain NameSystem,域名***)实现IP地址与域名地址之间的转换。这样,用户终端访问某个服务器处的网页时,仅需要输入域名即可。
为了验证DNS解析的结果,我们一般使用dig等客户端软件,向本地域名***发出域名解析请求,若收到解析的DNS解析***不能解析所述域名解析请求,则向权威域名服务器发出解析请求,并将权威域名服务器返回的解析结果返回给用户。
为了减轻权威域名服务器的服务压力,权威域名服务器一般会将解析结果赋予一定的生存周期(TTL),LDNS在接收到解析结果后,如果解析结果没有过期,将不必向权威域名服务器再次发起解析请求。这使得,验证解析的整个过程时,很难实时验证LDNS和权威域名服务器之间的解析过程。
很多LDNS出于特殊目标,会将DNS解析请求转发到其他地址的LDNS上或者通过其他的IP地址来发送这些DNS请求。权威域名服务器接收到的DNS请求来源地址将不同于原始的LDNS IP地址,权威域名服务器将无法获知原始的LDNS地址。例如,大型的LDNS对外往往提供一个唯一的地址,举例来讲提供服务器123.123.123.123来充当LDNS服务角色,但是往往有数台服务器采用负载均衡或者IP AnyCast的方式同时提供服务,这些后台服务器伺服在不同的IP地址,导致权威域名服务器接受的DNS解析请求有可能不再是123.123.123.123。
LDNS如果发生了转发,权威域名服务器将不能够得到域名请求的原始发送方地址。如果权威域名服务器错误的理解了域名请求的原始发送方地址,将导致权威域名服务器做出错误的决策,从而使得维护人员无法排查域名解析中出现的故障点。例如:域名解析请求的原始发送方地址为北京的LDNS,如果在域名请求过程中转发到广州的LDNS,权威域名服务器接收到DNS解析请求时,则会确定是广东的用户发起的解析请求。该权威域名服务器在根据请求方不同,而分配不同策略时,可能将广东用户的服务资源指派给北京的用户,引起后续的不恰当访问。
综上所述,在验证DNS解析过程中,现有的解决方案将无法实时验证权威服务器的服务正确性,也无法获知DNS解析过程中是否发生了转发。
发明内容
本发明提供一种域名解析验证的方法,用于解决现有技术中无法实时验证权威服务器的服务正确性性、也无法获知DNS解析过程中是否发生了转发的问题。
本发明实施例提供一种域名解析验证的方法,包括:
当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时,获取当前的***时间,并将该***时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;
权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。
根据上述方法,本发明还提供一种域名解析验证的***,包括:
域名请求客户端,用于通过LDNS将域名解析请求转发至权威域名服务器时,获取当前的***时间,并将该***时间作为可变因子与LDNS的IP地址添加到所述域名解析请求中;
权威域名服务器,用于在接收到域名解析请求后,获取域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。
本发明实施例提供的方法相对于传统的DNS解析验证方法,能验证DNS在解析请求过程中是否发生了转发;另外,本方法能实时的验证DNS解析的正确性;另外本发明实施例提供的方案还增加安全加密环节,能有效拒绝非授权的DNS解析验证请求。
附图说明
图1为本发明实施例一种域名解析验证的方法的流程图;
图2为本发明实施例中LDNS终端生成该域名验证码的流程图;
图3为本发明实施例权威域名服务器验证域名解析请求的流程图;
图4为本发明实施例一种域名解析验证的***的结构图。
具体实施方式
本发明实施例提供一种域名解析验证的方法,该方法包括:当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时,获取当前的***时间,并将该***时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。
如图1所示,本发明实施例提供一种域名解析验证的方法,具体实现步骤包括:
步骤101,当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时,获取当前的***时间,并将该***时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;
在本发明实施例中,域名请求客户端工具(ccdig)自动获取当前的***时间,作为可变因子拼接上LDNS的IP地址,并利用密钥串将其加密。因为时间戳一直在发生变化,所以该域名解析请求被发送到LDNS后,很难与LDNS中缓存的域名进行匹配,迫使LDNS将该域名解析请求发送到权威的域名服务器或者转发重新获取解析结果。
步骤102,权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。
在本发明实施例中,为了避免无授权的用户对权威域名服务器发送特殊域名解析请求,本发明实施例的权威域名服务器在判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同之前,还根据域名解析请求中的域名验证码对所述域名解析请求进行鉴权,鉴权的具体步骤包括:
在本发明实施例中,所述域名解析请求的来源IP地址是指直接将所述域名解析请求发送到权威域名服务器的LDNS的IP地址。因为,权威域名服务器在接收到域名解析请求时,该域名解析请求可能经过了好几个LDNS,所以需要验证域名解析请求是否经过转发,则需要确定最后一个将域名解析请求发送到权威域名服务器的LDNS是否与最初发送的LDNS是否相同。
从接收到的域名解析请求中获取时间戳、解析类型、LDNS的IP地址和待解析的真实域名拼接成字符串:
根据客户端的加密算法,对所述字符串进行加密运算得到域名验证码;
将加密运算后的域名验证码与域名请求中的域名验证码进行对比,如果相同则鉴权通过。
如图2所示,本发明实施例中生成域名解析请求可以通过以下步骤实现:
步骤201,将获取到的当前时间戳、LDNS的IP地址,公用密码串、待解析的真实域名和解析类型拼接成字符串;
所述当前时间戳为东八区UTC时间戳,后面简称为时间戳;
在本发明实施例中,拼接出的字符串可以是以下形式:解析类型-LDNS的IP地址-时间戳-真实域名-公用密码串。具体是实现方式包括多种,而且包括的字段也不限定。
步骤202,对所述字符串进行加密运算得到域名验证码。
进行加密运算的实现方式包括多种,在本发明实施例中可以采用拼接字符串的MD5值作为域名验证码。
步骤203,拼接域名解析请求;
在本发明实施例中,该域名解析请求可以是字段:标示头、解析类型、时间戳、LDNS的IP地址、验证码和待解析的真实域名依序通过连接符连接形成的字符串;如:标示头-解析类型-时间戳-LDNS的IP地址.MD5.真实域名。其中,除真实域名固定设置与字符串末尾,其他字段的位置可根据具体的情况改变。
如图3所示,权威域名服务器在接收到域名请求后,将按照以下步骤验证域名解析请求过程中是否发生了转发:
步骤301,从接收到的域名请求中获取时间戳、解析类型、LDNS的IP地址,MD5值和真实域名。
步骤302,将从域名解析请求中获取到的信息拼接出一个字符串:解析类型-LDNS的IP地址-时间戳-真实域名-公用密码串。
如果接收到的验证码是MD5值的,本发明实施例的方法还包括:
步骤303,对拼接字符串进行MD5运算得到字符串的MD5值。
步骤304,将计算得出的MD5值与获取的MD5值进行比对,如果相同则鉴权通过,则转入步骤305;否则丢弃该域名解析请求。
步骤305,对比域名请求来源的IP地址与域名解析请求中的IP地址是否一致,不同则认为是发生了DNS解析请求的转发。
如图4所示,本发明实施例还提供一种域名解析验证的***,包括域名请求客户端401和权威域名服务器402:
域名请求客户端401,用于通过LDNS将域名解析请求转发至权威域名服务器时,获取当前的***时间,并将该***时间作为可变因子与LDNS的IP地址添加到所述域名解析请求中;
所述域名请求客户端401还用于将获取到的当前时间戳、LDNS的IP地址,公用密码串、待解析的真实域名和解析类型拼接成字符串;对所述字符串进行加密运算得到域名验证码,并将生成的域名验证码添加到所述域名解析请求中。
为了将***时间和LDNS的IP地址添加到域名解析请求中,则
所述域名请求客户端401还用于将标示头、解析类型、时间戳、LDNS的IP地址、验证码和待解析的真实域名依序通过连接符连接形成域名解析请求。
权威域名服务器402,用于在接收到域名解析请求后,获取域名解析请求中的LDNS的IP地址作为待验证的LDNS IP地址,判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。
为了能有效拒绝非授权的DNS解析验证请求,则
所述权威域名服务器402还用于根据域名解析请求中的域名验证码对所述域名解析请求进行鉴权,包括:
从接收到的域名解析请求中获取时间戳、解析类型、LDNS的IP地址和待解析的真实域名拼接成字符串:
根据客户端的加密算法,对所述字符串进行加密运算得到域名验证码;
将加密运算后的域名验证码与域名请求中的域名验证码进行对比,如果相同则鉴权通过。
本发明实施例提供的方法相对于传统的DNS解析验证方法,能验证DNS在解析请求过程中是否发生了转发;另外,本方法能实时的验证DNS解析的正确性;另外本发明实施例提供的方案还增加安全加密环节,能有效拒绝非授权的DNS解析验证请求。
本发明所述的方法并不限于具体实施方式中所述的实施例,本领域技术人员根据本发明的技术方案得出其它的实施方式,同样属于本发明的技术创新范围。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种域名解析验证的方法,其特征在于,包括:
域名请求客户端生成域名解析请求,并将所述域名解析请求通过LDNS转发给权威域名服务器;
权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发;
其中,所述生成域名解析请求包括:域名请求客户端获取当前的***时间,并将该***时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中。
2.如权利要求1所述的方法,其特征在于,所述域名解析请求中还包括域名验证码,生成该域名验证码包括:
将获取到的当前时间戳、LDNS的IP地址,公用密码串、待解析的真实域名和解析类型拼接成字符串;
对所述字符串进行加密运算得到域名验证码。
3.如权利要求1所述的方法,其特征在于,所述域名解析请求为字段标示头、解析类型、时间戳、LDNS的IP地址、验证码和待解析的真实域名依序通过连接符连接形成的字符串。
4.如权利要求2所述的方法,其特征在于,在判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,进一步包括,根据域名解析请求中的域名验证码对所述域名解析请求进行鉴权,包括:
从接收到的域名解析请求中获取时间戳、解析类型、LDNS的IP地址和待解析的真实域名拼接成字符串:
根据客户端的加密算法,对所述字符串进行加密运算得到域名验证码;
将加密运算后的域名验证码与域名请求中的域名验证码进行对比,如果相同则鉴权通过。
5.一种域名解析验证的***,其特征在于,包括:
域名请求客户端,用于生成域名解析请求,并将所述域名解析请求通过LDNS转发给权威域名服务器;
权威域名服务器,用于在接收到域名解析请求后,获取域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发;
其中,所述生成域名解析请求包括:域名请求客户端获取当前的***时间,并将该***时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中。
6.如权利要求5所述的***,其特征在于,所述域名请求客户端还用于将获取到的当前时间戳、LDNS的IP地址,公用密码串、待解析的真实域名和解析类型拼接成字符串;对所述字符串进行加密运算得到域名验证码,并将生成的域名验证码添加到所述域名解析请求中。
7.如权利要求5所述的***,其特征在于,所述域名请求客户端还用于将标示头、解析类型、时间戳、LDNS的IP地址、验证码和待解析的真实域名依序通过连接符连接形成域名解析请求。
8.如权利要求5所述的***,其特征在于,所述权威域名服务器还用于根据域名解析请求中的域名验证码对所述域名解析请求进行鉴权,包括:
从接收到的域名解析请求中获取时间戳、解析类型、LDNS的IP地址和待解析的真实域名拼接成字符串:
根据客户端的加密算法,对所述字符串进行加密运算得到域名验证码;
将加密运算后的域名验证码与域名请求中的域名验证码进行对比,如果相同则鉴权通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102144634A CN102231766B (zh) | 2011-07-28 | 2011-07-28 | 一种域名解析验证的方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102144634A CN102231766B (zh) | 2011-07-28 | 2011-07-28 | 一种域名解析验证的方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102231766A CN102231766A (zh) | 2011-11-02 |
| CN102231766B true CN102231766B (zh) | 2013-10-09 |
Family
ID=44844298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102144634A Active CN102231766B (zh) | 2011-07-28 | 2011-07-28 | 一种域名解析验证的方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102231766B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312724B (zh) * | 2013-07-05 | 2017-03-29 | 北京蓝汛通信技术有限责任公司 | 一种dns请求的认证方法及设备 |
| CN104079668B (zh) * | 2014-07-21 | 2018-12-28 | 清远初曲智能科技有限公司 | 一种dns负载均衡调节方法和*** |
| CN108270882B (zh) * | 2018-01-24 | 2022-03-11 | 腾讯科技(深圳)有限公司 | 域名的解析方法和装置、存储介质、电子装置 |
| CN110717173B (zh) * | 2019-10-25 | 2021-07-16 | 宁波奥克斯电气股份有限公司 | 账户激活方法、装置、网络终端和计算机可读存储介质 |
| CN111245973B (zh) * | 2020-01-20 | 2022-06-03 | 烽火通信科技股份有限公司 | 一种基于域名的报文传输方法、报文转发控制方法及*** |
| CN111314197B (zh) * | 2020-02-03 | 2021-06-29 | 杭州迪普科技股份有限公司 | 域名资源管理装置及域名资源管理方法 |
| CN113301172B (zh) * | 2020-06-09 | 2022-05-06 | 阿里巴巴集团控股有限公司 | 响应时间测量方法、设备、***及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159542A (zh) * | 2007-11-12 | 2008-04-09 | 中兴通讯股份有限公司 | 在终端网络设备上保存和/或获取鉴权参数的方法及*** |
| CN101904135A (zh) * | 2007-12-20 | 2010-12-01 | 雅虎公司 | 为全局流量负载均衡确定客户端位置和解析器负载的dns通配符信标 |
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护*** |
-
2011
- 2011-07-28 CN CN2011102144634A patent/CN102231766B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159542A (zh) * | 2007-11-12 | 2008-04-09 | 中兴通讯股份有限公司 | 在终端网络设备上保存和/或获取鉴权参数的方法及*** |
| CN101904135A (zh) * | 2007-12-20 | 2010-12-01 | 雅虎公司 | 为全局流量负载均衡确定客户端位置和解析器负载的dns通配符信标 |
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102231766A (zh) | 2011-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102231766B (zh) | 一种域名解析验证的方法及*** | |
| CN103873461B (zh) | 基于iec62351的goose报文的安全交互方法 | |
| CN102761630B (zh) | 一种面向真实用户身份信息的IPv6地址分配方法 | |
| CN102884764B (zh) | 一种报文接收方法、深度包检测设备及*** | |
| CN102904865B (zh) | 一种基于移动终端的多个数字证书的管理方法、***和设备 | |
| CN101534309A (zh) | 节点注册方法、路由更新方法、通讯***以及相关设备 | |
| CN105072108B (zh) | 用户信息的传输方法、装置及*** | |
| CN103701946A (zh) | 一种客户端通过url与服务器通讯的方法及*** | |
| CN103973665A (zh) | 认证与授权的方法及*** | |
| CN104410622A (zh) | 登陆Web***的安全认证方法、客户端及*** | |
| CN115189913B (zh) | 数据报文的传输方法和装置 | |
| CN101637004B (zh) | 用于通信***中的前缀可达性的方法 | |
| CN102611683B (zh) | 一种用于执行第三方认证的方法、装置、设备和*** | |
| CN104079683A (zh) | 一种授权域名服务器直接响应的域名解析方法及*** | |
| US20190306110A1 (en) | Experience differentiation | |
| CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
| CN103312724B (zh) | 一种dns请求的认证方法及设备 | |
| CN109274579A (zh) | 一种基于微信平台的多应用用户统一认证方法 | |
| US20160323260A1 (en) | Obtaining data for connection to a device via a network | |
| CN105208042A (zh) | 一种资源安全访问方法及*** | |
| CN110730189A (zh) | 一种通信认证方法、装置、设备及存储介质 | |
| CN103546426A (zh) | 信息共享方法、管理服务器 | |
| CN103546439A (zh) | 内容请求的处理方法及装置 | |
| JP2012527794A (ja) | ホストアイデンティティタグ取得のための方法およびシステム | |
| CN111600969B (zh) | 域名寻址方法、***、域名服务器、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20220225 Granted publication date: 20131009 |