CN106550056B - 一种域名解析方法及装置 - Google Patents
一种域名解析方法及装置 Download PDFInfo
- Publication number
- CN106550056B CN106550056B CN201510599652.6A CN201510599652A CN106550056B CN 106550056 B CN106550056 B CN 106550056B CN 201510599652 A CN201510599652 A CN 201510599652A CN 106550056 B CN106550056 B CN 106550056B
- Authority
- CN
- China
- Prior art keywords
- dns
- domain name
- dns query
- query request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种域名解析方法及装置,所述方法包括重定向DNS服务器采集网络出口设备的DNS查询请求;并,获取所述DNS查询请求中的IP以及目的DNS服务器的IP;判断所述目的DNS服务器的IP是否在预置的DNS白名单中;若否,则根据所述DNS查询请求进行域名解析,并获得查询的域名的IP;根据所述查询的域名的IP,构造以所述目的DNS服务器的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的网络设备。通过本发明的方案能够提高用户信息的安全性,或提高用户访问网络的速度。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种域名解析方法及装置。
背景技术
DNS(Domain Name System,域名***)服务器是互联网的入口,DNS查询请求发生在用户访问互联网的第一环节,ICP(Internet Content Provider,因特网内容提供商)的内容资源,CDN(Content Delivery Network,内容分发网络)等都依赖于DNS服务器的正确调度才能将用户流量引导到最合适的资源节点。用户终端设置的DNS是由用户自身配置的,现实情况中黑客利用安全漏洞,恶意代码等将用户网络路由设备或终端电脑上的DNS篡改为黑客所控制的非法DNS服务器的安全事件越发频繁。当不知情的用户访问非法DNS服务器为用户提供的特定网站时,如钓鱼网站,会造成用户信息泄露和重大损失。例如,如图1所示,为用户的默认DNS被黑客篡改为非法DNS后,将原本发给合法DNS服务器的DNS查询请求发送给了非法DNS服务器;由此使黑客通过非法DNS服务器窃取用户信息,该过程以用户发送服务器A的DNS查询为例,进行说明,包括以下步骤:
其中,服务器A的正确IP(Internet Protocol Address,互联网协议地址)假设为1.1.1.1、服务B为黑客伪造的服务器A,且假设服务器B的IP为2.2.2.2。
步骤101:终端发起查询服务器A的DNS查询请求,该查询请求的目的IP为非法DNS服务器的IP。
步骤102:非法DNS服务器接收到DNS查询请求后,伪造服务器A的IP为服务器B的IP。
步骤103:非法DNS服务器将服务器B的IP作为服务器A的IP,返回给终端。
步骤104:终端向服务器B发起业务请求;
步骤105:服务器B响应用户发起的业务请求,窃取用户信息。
相关技术中为了防止访问非法DNS服务器造成用户信息泄露,往往在终端安装安全软件。而安全软件对于远程非法DNS的识别能力取决于知识库,由于非法DNS表现出来的行为特征完全不同于常规病毒和木马,安全软件常常无法根据知识库识别。此外,安全软件能适配的终端***只能覆盖主流操作***如windows系列,对非windows***则无能为力。故此,相关技术中仍存用户信息泄露的风险。
此外,即使用户网络路由设备或终端电脑上的DNS未被篡改,若用户自身配置的DNS不合理,例如第一网络运营商的用户配置的是第二网络运营商的DNS,那么用户在访问网络时,内容提供商的授权DNS会根据第二网络运营商的DNS归属信息,将第二网络内运营商内的服务器调度给用户使用,而不会将第一网络运营商内的最优服务器调度给用户,从而影响用户上网体验,导致用户访问网络的速度慢。
发明内容
本发明实施例提供了一种域名解析方法及装置,用以解决目前存在的用户信息存在安全风险,因用户配置DNS不合理导致调度出错造成访问网络的速度慢等的问题。
本发明实施例提供了一种域名解析方法,包括:
重定向DNS服务器采集网络出口设备的DNS查询请求;并,
获取所述DNS查询请求中的源IP以及目的DNS服务器的IP;
判断所述目的DNS服务器的IP是否在预置的DNS白名单中;所述DNS白名单中包括至少一个可信DNS服务器的IP;
若否,则根据所述DNS查询请求进行域名解析,并获得查询的域名的IP;
根据所述查询的域名的IP,构造以所述目的DNS服务器的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的网络设备。
进一步地,本发明实施例还提供了一种域名解析装置,包括:
采集模块,用于采集网络出口设备的DNS查询请求;并,
信息获取模块,用于获取所述DNS查询请求中的源IP以及目的DNS服务器的IP;
判断模块,用于判断所述目的DNS服务器的IP是否在预置的DNS白名单中;所述DNS白名单中包括至少一个可信DNS服务器的IP;
域名解析模块,用于若所述判断模块的判断结果为否,则根据所述DNS查询请求进行域名解析,并获得查询的域名的IP;
应答模块,用于根据所述查询的域名的IP,构造以所述目的DNS服务器的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的网络设备。
本发明有益效果如下:本发明实施例中,通过采用网络出口设备的DNS查询请求,并对该DNS查询请求进行分析,若该DNS查询请求中的目的DNS服务器的IP不在预置的DNS白名单中;则根据所述DNS查询请求进行域名解析,并以所述目的DNS服务器的名义将解析结果发送给与所述DNS查询请求中的源IP对应的网络设备。这样,当DNS查询请求是发送给非法DNS服务器时,由重定向DNS服务器进行域名解析并反馈域名解析结果,由于重定向DNS服务器是合法的,可保证发送给网络设备的域名解析结果是用户查询域名的正确IP,从而能够保证用户信息安全。
此外,可以将外网的DNS服务器的IP不配置在DNS白名单中,那么,当DNS查询请求中的目的DNS服务器的IP不在预置的DNS白名单中时,也可能是本网用户没有合理配置DNS,故此,通过重定向DNS服务器进行域名解析并反馈域名解析结果,可保证用户通过本网访问查询的域名的服务器,提高用户访问网络的速度和用户体验。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为相关技术中所述域名解析方法的流程示意图;
图2所示为本发明实施例一中所述域名解析方法的流程示意图;
图3所示为本发明实施例二中所述域名解析方法的流程示意图;
图4所示为本发明实施例三中所述域名解析方法的流程示意图;
图5所示为本发明实施例四中所述域名解析装置的结构示意图一;
图6所示为本发明实施例四中所述域名解析装置的结构示意图二。
具体实施方式
本发明实施例提供了一种域名解析方法,该方法适用于企业网、城域网等需要域名解析服务的网络环境。在本发明实施例所述技术方案中,由于重定向DNS服务器采集网络出口设备的DNS查询请求,并获取所述DNS查询请求中的源IP以及目的DNS服务器的IP;并判断所述目的DNS服务器的IP是否在预置的DNS白名单中;若否,则根据所述DNS查询请求进行域名解析,并以所述目的DNS服务器的名义将解析结果发送给与所述DNS查询请求中的源IP对应的网络设备。这样,当DNS查询请求是发送给非法DNS服务器时,由重定向DNS服务器进行域名解析并反馈域名解析结果,由于重定向DNS服务器是合法的,可保证发送给网络设备的域名解析结果是用户查询域名的正确IP,从而能够保证用户信息安全。
此外,可以将外网的DNS服务器的IP不配置在DNS白名单中,那么,当DNS查询请求中的目的DNS服务器的IP不在预置的DNS白名单中时,也可能是本网用户没有合理配置DNS,故此,通过重定向DNS服务器进行域名解析并反馈域名解析结果,可保证用户通过本网访问查询的域名的服务器,提高用户访问网络的速度和用户体验。
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一:
如图2所示,其为本发明实施例一中所述域名解析方法的流程示意图,所述域名解析方法可包括以下步骤:
步骤201:重定向DNS服务器采集网络出口设备的DNS查询请求。
步骤202:获取所述DNS查询请求中的源IP以及目的DNS服务器的IP。
步骤203:判断所述目的DNS服务器的IP是否在预置的DNS白名单中;所述DNS白名单中包括至少一个可信DNS服务器的IP。
其中,在一个实施例中,当所述目的DNS服务器的IP在预置的DNS白名单中,则将所述DNS查询请求转发给目的DNS服务器。
步骤204:若所述目的DNS服务器的IP不在预置的DNS白名单中,则根据所述DNS查询请求进行域名解析,并获得查询的域名的IP。
步骤205:根据所述查询的域名的IP,构造以所述目的DNS服务器的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的网络设备。
其中,在一个实施例中,为了避免单点故障(即避免重定向DNS服务器出现故障无法应答DNS查询请求,致使网络设备发送DNS查询请求后无法获取查询结果),本发明实施例中,步骤201可执行为通过镜像或分光方式采集所述网络出口设备的DNS查询请求,以使所述目的DNS服务器接收所述DNS查询请求并将针对所述DNS查询请求的第二DNS应答报文发送给所述网络设备。这样,若出现单点故障,且目的DNS服务器实际上也是合法的DNS服务器时,网络设备发送的DNS查询请求也能够得到应答。
其中,在一个实施例中,重定向DNS服务器中一般缓存域名与IP对应关系,这样步骤204(即根据所述DNS查询请求进行域名解析,并获得查询的域名的IP),可具体执行为:先查找自身缓存的域名与IP对应关系中是否存在与所述查询的域名对应的IP,若存在,则根据查找结果,执行步骤205。这样,由于重定向DNS服务器距离网络设备距离近,且,重定向DNS服务器通过自身缓存的域名与IP对应关系进行域名解析并将第一DNS应答报文发送给网络设备,相比较前述目的DNS服务器将第二DNS应答报文发送给网络设备,网络设备会先接收到第一DNS应答报文,后接收到第二DNS应答报文。根据DNS协议网络设备会丢弃第二DNS应答报文。这样,重定向DNS服务器通过抢先应答机制,早于目的DNS服务器应答DNS查询请求。这样,即使目的DNS服务器对DNS查询请求进行了应答,由于网络设备丢弃了该应答,网络设备之后仍按照第一应答报文进行业务请求,那么非法用户也无法窃取用户信息,从而可保证用户信息安全。
其中,在一个实施例中,当重定向DNS服务器自身缓存的域名与IP对应关系中不存在与所述查询的域名对应的IP时,重定向DNS服务器可以在域名树中的各分支的上下进行递归查询。然而进行递归查询的速度慢,为了能够实现上述的抢先应答机制,保护用户信息,本发明实施例中,需要提高域名解析的速度。故此,为了能够争分夺秒,提高域名解析的速度,以便于重定向DNS服务器的域名解析结果能够尽快的反馈给网络设备,步骤204(即根据所述DNS查询请求进行域名解析,并获得查询的域名的IP),可具体执行为:查询自身缓存的域名与IP对应关系中是否存在与所述查询的域名对应的IP;若查询不到与所述查询的域名对应的IP,则将所述DNS查询请求转发给可信本地DNS服务器;并,接收所述可信本地DNS服务器发送的所述查询的域名的IP。其中,可信本地DNS服务器是网络上靠近终端的本网运营商local dns,具有递归速度快,缓存容量大,存储纪录多,所以具有域名解析效率高的特点。
其中,在一个实施例中,前述的网络设备(即发送DNS查询请求的网络设备),可以是除重定向DNS服务器之外的其它DNS服务器,也可以是终端。本发明实施例中,为达到保护用户信息或提高用户访问网络的速度的目的,仅需要处理终端发送的DNS查询请求即可,无需对DNS服务器发送的DNS查询请求进行处理。基于此,为避免处理DNS服务器发送的DNS查询请求造成处理资源的浪费,并产生冗余的网络流量,本发明实施例中,在执行步骤202之前,还可以先判断DNS查询请求的来源是终端还是DNS服务器。具体的,DNS查询请求中有标注该DNS查询请求的来源是终端还是DNS服务器的期望递归字段,具体的,DNS查询请求中的flag标志里有一个RD(recursion desired,期望递归)字段;该字段置位1时,表示采用递归查询(此时发起DNS请求的来源是终端);该字段置位为0时,表示采用迭代查询(此时发起DNS请求的来源是DNS服务器)。故此,本发明实施例中,还可以在步骤202之前,获取所述DNS查询请求中的用于表示所述DNS查询请求来源的期望递归字段值;根据所述期望递归字段值,确定所述DNS查询请求的来源是否是终端。这样,可以实现仅对来源为终端的DNS查询请求进行上述步骤202-步骤205的处理。当然,“获取所述DNS查询请求中的用于表示所述DNS查询请求来源的期望递归字段值”的步骤可以与步骤202同时执行,也可以在步骤202之后、且步骤203之前执行,然后,在步骤203之前,确定所述DNS查询请求的来源是否为终端,本发明实施例对此不做限定。
其中,在一个实施例中,为了满足特殊用户的需求,例如该用户为实现域名解析的测试,则可以将特殊用户发送的DNS查询请求,交由用户要求的目的DNS服务器执行。故此,本发明实施例中,在执行步骤204(即根据所述DNS查询请求进行域名解析)之前,还可以先判断所述DNS查询请求中的源IP是否在预置的IP白名单中,若不在预置的IP白名单中,则执行根据所述DNS查询请求进行域名解析的操作。其中,所述IP白名单中包括至少一个可信IP,该可信IP为有特殊需求的用户的IP。
综上,本发明实施例中,通过采集网络出口设备的DNS查询请求,并对该DNS查询请求进行分析,若该DNS查询请求中的目的DNS服务器的IP不在预置的DNS白名单中;则根据所述DNS查询请求进行域名解析,并以所述目的DNS服务器的名义将解析结果发送给与所述DNS查询请求中的源IP对应的网络设备。这样,当DNS查询请求是发送给非法DNS服务器时,由重定向DNS服务器进行域名解析并反馈域名解析结果,由于重定向DNS服务器是合法的,可保证发送给网络设备的域名解析结果是用户查询域名的正确IP,从而能够保证用户信息安全。
此外,可以将外网的DNS服务器的IP不配置在DNS白名单中,那么,当DNS查询请求中的目的DNS服务器的IP不在预置的DNS白名单中时,也可能是本网用户没有合理配置DNS,故此,通过重定向DNS服务器进行域名解析并反馈域名解析结果,可保证用户通过本网访问查询的域名的服务器,提高用户访问网络的速度和用户体验。
此外,本发明实施例中,通过镜像或分光采集方式采集DNS查询请求,以使所述目的DNS服务器将针对所述DNS查询请求的第二DNS应答报文发送给所述网络设备。不仅能够避免单点故障,还由于重定向DNS服务器距离网络设备近,且能够更早更快的将第一DNS应答报文发送给网络设备,使网络设备丢弃第二DNS应答报文,实现了抢先应答的机制,继而可保护用户信息安全。
此外,本发明实施例中,当重定向DNS服务器查询自身缓存的域名与IP对应关系中不存在与所述查询的域名对应的IP;则将所述DNS查询请求转发给可信本地DNS服务器;并,接收所述可信本地DNS服务器发送的所述查询的域名的IP。可以提高重定向DNS服务器反馈第一DNS应答报文的速度,继而提高了用户获得域名解析结果的速度,还能够更好的保证抢先应答机制的有效运行,进而可保护用户信息安全。
实施例二
如图3所示,其为本发明实施例二中所述域名解析方法的流程示意图,该实施例中以抢先应答机制保护用户信息为例,对本发明实施例中的域名解析方法进行说明,该方法可包括以下步骤:
步骤301:重定向DNS服务器通过镜像或分光方式采集所述网络出口设备的DNS查询请求,以使所述目的DNS服务器接收所述DNS查询请求并将针对所述DNS查询请求的第二DNS应答报文发送给与所述DNS查询请求中的源IP对应的终端。
步骤302:重定向DNS服务器获取所述DNS查询请求中的用于表示所述DNS查询请求来源的递归字段值;并,根据所述递归字段值,确定所述DNS查询请求的来源是否为终端,若是,则执行步骤303,否则结束操作。
步骤303:重定向DNS服务器获取所述DNS查询请求中的源IP以及目的DNS服务器的IP。
步骤304:重定向DNS服务器判断所述目的DNS服务器的IP是否在预置的DNS白名单中;若是,则结束操作,若否,则执行步骤305。
步骤305:重定向DNS服务器判断所述DNS查询请求中的源IP是否在预置的IP白名单中,若是,则结束操作;若否,则执行步骤306。
步骤306:重定向DNS服务器查询自身缓存的域名与IP对应关系中是否存在与查询的域名对应的IP,若是,则执行步骤309,若否,则执行步骤307。
步骤307:重定向DNS服务器将所述DNS查询请求转发给可信本地DNS服务器。
步骤308:重定向DNS服务器接收所述可信本地DNS服务器发送的所述查询的域名的IP。
步骤309:重定向DNS服务器根据所述查询的域名的IP,构造以所述目的DNS服务器的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的终端。
步骤310:终端接收重定向DNS服务器发送的第一DNS查询应答报文,并根据第一DNS查询应答报文向查询的域名的服务器发起业务请求。
步骤311:终端接收目的DNS服务器发送的第二DNS查询应答报文,并丢弃该第二DNS查询应答报文。
综上,本发明实施例中,通过抢先应答机制,使得终端先接收到第一DNS查询应答报文,并丢弃随后接收到的第二DNS查询应答报文,从而可保证避免相关技术中伪造服务器窃取用户信息。故此,本发明实施例可保证用户信息安全。
实施例三
如图4所示,其为本发明实施例三中所述域名解析方法的流程示意图,该实施例中以A网提供商的用户B将自己的DNS配置为C网提供商的DNS,导致用户A访问网络慢的情景为例,对本发明实施例中的域名解析方法在该情景下提高用户访问网络速度的方法进行说明,该方法可包括以下步骤:
其中,A网重定向DNS服务器中的DNS白名单中不包括C网的DNS服务器D的IP。
步骤401:A网重定向DNS服务器通过镜像或分光方式采集所述网络出口设备的DNS查询请求,所述DNS查询请求中的目的DNS服务器的IP为C网的DNS服务器D的IP,以使所述DNS服务器D接收所述DNS查询请求并将针对所述DNS查询请求的第二DNS应答报文发送给与所述DNS查询请求中的源IP对应的终端。
步骤402:A网重定向DNS服务器获取所述DNS查询请求中的用于表示所述DNS查询请求来源的递归字段值;并,根据所述递归字段值,确定所述DNS查询请求的来源是否为终端,若是,则执行步骤403,否则结束操作。
步骤403:A网重定向DNS服务器获取所述DNS查询请求中的源IP以及DNS服务器D的IP。
步骤404:A网重定向DNS服务器判断DNS服务器D的IP是否在预置的DNS白名单中;若是,则结束操作,若否,则执行步骤405。
步骤405:A网重定向DNS服务器判断所述DNS查询请求中的源IP是否在预置的IP白名单中,若是,则结束操作;若否,则执行步骤406。
步骤406:A网重定向DNS服务器查询自身缓存的域名与IP对应关系中是否存在与查询的域名对应的IP,若是,则执行步骤409,若否,则执行步骤407。
步骤407:A网重定向DNS服务器将所述DNS查询请求转发给可信本地DNS服务器。
步骤408:A网重定向DNS服务器接收所述可信本地DNS服务器发送的所述查询的域名的IP。
步骤409:A网重定向DNS服务器根据所述查询的域名的IP,构造以DNS服务器D的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的终端。
步骤410:终端接收A网重定向DNS服务器发送的第一DNS查询应答报文,并根据第一DNS查询应答报文向查询的域名的服务器发起业务请求。
步骤411:终端接收DNS服务器D发送的第二DNS查询应答报文,并丢弃该第二DNS查询应答报文。
综上,本发明实施例中,在用户配置了外网提供商的DNS后,还能够通过本网的重定向DNS服务器为用户进行域名解析,并反馈域名解析结果给用户,从而保证用户无需跨网访问网络,提高用户访问网络的速度。
实施例四
基于相同的发明构思,本发明实施例还提供一种域名解析装置,如图5所示,该装置包括:
采集模块501,用于采集网络出口设备的DNS查询请求;并,
信息获取模块502,用于获取所述DNS查询请求中的源互联网协议地址IP以及目的DNS服务器的IP;
判断模块503,用于判断所述目的DNS服务器的IP是否在预置的DNS白名单中;所述DNS白名单中包括至少一个可信DNS服务器的IP;
域名解析模块504,用于若所述判断模块的判断结果为否,则根据所述DNS查询请求进行域名解析,并获得查询的域名的IP;
应答模块505,用于根据所述查询的域名的IP,构造以所述目的DNS服务器的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的网络设备。
其中,在一个实施例中,所述采集模块501,具体用于通过镜像或分光方式采集所述网络出口设备的DNS查询请求,以使所述目的DNS服务器接收所述DNS查询请求并将针对所述DNS查询请求的第二DNS应答报文发送给所述网络设备。
其中,在一个实施例中,如图6所示,所述域名解析模块504,具体包括:
缓存查询单元506,用于查询自身缓存的域名与IP对应关系中是否存在与所述查询的域名对应的IP;
转发单元507,用于若所述缓存查询单元查询不到与所述查询的域名对应的IP,则将所述DNS查询请求转发给可信本地DNS服务器;
接收单元508,用于接收所述可信本地DNS服务器发送的所述查询的域名的IP。
其中,在一个实施例中,如图6所示,所述装置还包括:
第一确定模块509,用于所述域名解析模块根据所述DNS查询请求进行域名解析之前,确定所述DNS查询请求中的源IP不在预置的IP白名单中,所述IP白名单中包括至少一个可信IP。
其中,在一个实施例中,如图6所示,所述装置还包括:
字段值获取模块510,用于所述判断模块判断所述目的DNS服务器的IP是否在预置的DNS白名单中之前,获取所述DNS查询请求中的用于表示所述DNS查询请求来源的期望递归字段值;
第二确定模块511,用于根据所述期望递归字段值,确定所述DNS查询请求的来源为终端。
本发明实施例提供的域名解析装置,通过采用网络出口设备的DNS查询请求,并对该DNS查询请求进行分析,若该DNS查询请求中的目的DNS服务器的IP不在预置的DNS白名单中;则根据所述DNS查询请求进行域名解析,并以所述目的DNS服务器的名义将解析结果发送给与所述DNS查询请求中的源IP对应的网络设备。这样,当DNS查询请求是发送给非法DNS服务器时,由重定向DNS服务器进行域名解析并反馈域名解析结果,由于重定向DNS服务器是合法的,可保证发送给网络设备的域名解析结果是用户查询域名的正确IP,从而能够保证用户信息安全。
此外,可以将外网的DNS服务器的IP不配置在DNS白名单中,那么,当DNS查询请求中的目的DNS服务器的IP不在预置的DNS白名单中时,也可能是本网用户没有合理配置DNS,故此,通过重定向DNS服务器进行域名解析并反馈域名解析结果,可保证用户通过本网访问查询的域名的服务器,提高用户访问网络的速度和用户体验。
此外,本发明实施例中,通过镜像或分光采集的方式采集DNS查询请求,以使所述目的DNS服务器将针对所述DNS查询请求的第二DNS应答报文发送给所述网络设备。不仅能够避免单点故障,还由于重定向DNS服务器距离网络设备近,且能够更早更快的将第一DNS应答报文发送给网络设备,使网络设备丢弃第二DNS应答报文,实现了抢先应答的机制,继而可保护用户信息安全。
此外,本发明实施例中,当重定向DNS服务器查询自身缓存的域名与IP对应关系中不存在与所述查询的域名对应的IP;则将所述DNS查询请求转发给可信本地DNS服务器;并,接收所述可信本地DNS服务器发送的所述查询的域名的IP。可以提高重定向DNS服务器反馈第一DNS应答报文的速度,继而提高了用户获得域名解析结果的速度,还能够更好的保证抢先应答机制的有效运行,进而可保护用户信息安全。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(装置)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理装置的处理器以产生一个机器,使得通过计算机或其他可编程数据处理装置的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理装置上,使得在计算机或其他可编程装置上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程装置上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种域名解析方法,其特征在于,包括:
重定向域名***DNS服务器采集网络出口设备的DNS查询请求;并,
获取所述DNS查询请求中的源互联网协议地址IP以及目的DNS服务器的IP;
判断所述目的DNS服务器的IP是否在预置的DNS白名单中;所述DNS白名单中包括至少一个可信DNS服务器的IP;
若否,则根据所述DNS查询请求进行域名解析,并获得查询的域名的IP;
根据所述查询的域名的IP,构造以所述目的DNS服务器的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的网络设备。
2.根据权利要求1所述的方法,其特征在于,所述采集网络出口设备的DNS查询请求,具体包括:
通过镜像或分光方式采集所述网络出口设备的DNS查询请求,以使所述目的DNS服务器接收所述DNS查询请求并将针对所述DNS查询请求的第二DNS应答报文发送给所述网络设备。
3.根据权利要求1所述的方法,其特征在于,所述根据所述DNS查询请求进行域名解析,并获得查询的域名的IP,具体包括:
查询自身缓存的域名与IP对应关系中是否存在与所述查询的域名对应的IP;
若查询不到与所述查询的域名对应的IP,则将所述DNS查询请求转发给可信本地DNS服务器;并,
接收所述可信本地DNS服务器发送的所述查询的域名的IP。
4.根据权利要求1所述的方法,其特征在于,所述根据所述DNS查询请求进行域名解析之前,所述方法还包括:
确定所述DNS查询请求中的源IP不在预置的IP白名单中,所述IP白名单中包括至少一个可信IP。
5.根据权利要求1所述的方法,其特征在于,所述判断所述目的DNS服务器的IP是否在预置的DNS白名单中之前,所述方法还包括:
获取所述DNS查询请求中的用于表示所述DNS查询请求来源的期望递归字段值;
根据所述期望递归字段值,确定所述DNS查询请求的来源为终端。
6.一种域名解析装置,其特征在于,包括:
采集模块,用于采集网络出口设备的DNS查询请求;并,
信息获取模块,用于获取所述DNS查询请求中的源互联网协议地址IP以及目的DNS服务器的IP;
判断模块,用于判断所述目的DNS服务器的IP是否在预置的DNS白名单中;所述DNS白名单中包括至少一个可信DNS服务器的IP;
域名解析模块,用于若所述判断模块的判断结果为否,则根据所述DNS查询请求进行域名解析,并获得查询的域名的IP;
应答模块,用于根据所述查询的域名的IP,构造以所述目的DNS服务器的IP为源IP、且以所述DNS查询请求中的源IP为目的IP的第一DNS查询应答报文,并将所述第一DNS查询应答报文发送给与所述DNS查询请求中的源IP对应的网络设备。
7.根据权利要求6所述的装置,其特征在于,所述采集模块,具体用于通过镜像或分光方式采集所述网络出口设备的DNS查询请求,以使所述目的DNS服务器接收所述DNS查询请求并将针对所述DNS查询请求的第二DNS应答报文发送给所述网络设备。
8.根据权利要求6所述的装置,其特征在于,所述域名解析模块,具体包括:
缓存查询单元,用于查询自身缓存的域名与IP对应关系中是否存在与所述查询的域名对应的IP;
转发单元,用于若所述缓存查询单元查询不到与所述查询的域名对应的IP,则将所述DNS查询请求转发给可信本地DNS服务器;
接收单元,用于接收所述可信本地DNS服务器发送的所述查询的域名的IP。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一确定模块,用于所述域名解析模块根据所述DNS查询请求进行域名解析之前,确定所述DNS查询请求中的源IP不在预置的IP白名单中,所述IP白名单中包括至少一个可信IP。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
字段值获取模块,用于所述判断模块判断所述目的DNS服务器的IP是否在预置的DNS白名单中之前,获取所述DNS查询请求中的用于表示所述DNS查询请求来源的期望递归字段值;
第二确定模块,用于根据所述期望递归字段值,确定所述DNS查询请求的来源为终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510599652.6A CN106550056B (zh) | 2015-09-18 | 2015-09-18 | 一种域名解析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510599652.6A CN106550056B (zh) | 2015-09-18 | 2015-09-18 | 一种域名解析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106550056A CN106550056A (zh) | 2017-03-29 |
| CN106550056B true CN106550056B (zh) | 2019-09-10 |
Family
ID=58362590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510599652.6A Active CN106550056B (zh) | 2015-09-18 | 2015-09-18 | 一种域名解析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106550056B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707683B (zh) * | 2017-05-22 | 2018-06-08 | 贵州白山云科技有限公司 | 一种减小dns报文长度的方法和装置 |
| CN109246256A (zh) * | 2017-07-10 | 2019-01-18 | 中国电信股份有限公司 | 域名解析方法和***、授信域名***服务器 |
| CN107592374B (zh) * | 2017-09-04 | 2021-06-04 | 北京新流万联网络技术有限公司 | 域名错误解析的纠正方法和*** |
| CN111092966B (zh) * | 2019-12-30 | 2022-04-26 | 中国联合网络通信集团有限公司 | 域名***、域名访问方法和装置 |
| CN111614783A (zh) * | 2020-05-29 | 2020-09-01 | 北京邮电大学 | 域名解析应急响应方法及*** |
| CN111814043B (zh) * | 2020-06-29 | 2024-05-31 | 北京达佳互联信息技术有限公司 | 版权信息的查询方法、装置及服务器 |
| CN114301614A (zh) * | 2020-09-23 | 2022-04-08 | 中国电信股份有限公司 | 检测网络中的域名非法监听的方法与*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102301682A (zh) * | 2011-04-29 | 2011-12-28 | 华为技术有限公司 | 网络缓存方法和***及dns重定向子*** |
| CN102790807A (zh) * | 2011-05-16 | 2012-11-21 | 奇智软件(北京)有限公司 | 域名解析代理方法和***、域名解析代理服务器 |
| CN103391272A (zh) * | 2012-05-08 | 2013-11-13 | 深圳市腾讯计算机***有限公司 | 检测虚假攻击源的方法及*** |
| CN103957195A (zh) * | 2014-04-04 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns***以及dns攻击的防御方法和防御装置 |
| CN104427007A (zh) * | 2013-08-23 | 2015-03-18 | 政务和公益机构域名注册管理中心 | Dns的域名查询方法 |
-
2015
- 2015-09-18 CN CN201510599652.6A patent/CN106550056B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102301682A (zh) * | 2011-04-29 | 2011-12-28 | 华为技术有限公司 | 网络缓存方法和***及dns重定向子*** |
| CN102790807A (zh) * | 2011-05-16 | 2012-11-21 | 奇智软件(北京)有限公司 | 域名解析代理方法和***、域名解析代理服务器 |
| CN103391272A (zh) * | 2012-05-08 | 2013-11-13 | 深圳市腾讯计算机***有限公司 | 检测虚假攻击源的方法及*** |
| CN104427007A (zh) * | 2013-08-23 | 2015-03-18 | 政务和公益机构域名注册管理中心 | Dns的域名查询方法 |
| CN103957195A (zh) * | 2014-04-04 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns***以及dns攻击的防御方法和防御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106550056A (zh) | 2017-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106550056B (zh) | 一种域名解析方法及装置 | |
| JP7222036B2 (ja) | モデルトレーニングシステムおよび方法および記憶媒体 | |
| US11695744B2 (en) | Using credentials stored in different directories to access a common endpoint | |
| EP3457627B1 (en) | Automatic login method and device between multiple websites | |
| CN104184832B (zh) | 网络应用中的数据提交方法及装置 | |
| US8032930B2 (en) | Segregating anonymous access to dynamic content on a web server, with cached logons | |
| CN104506510B (zh) | 用于设备认证的方法、装置及认证服务*** | |
| US10412091B2 (en) | Systems and methods for controlling sign-on to web applications | |
| CN112261172B (zh) | 服务寻址访问方法、装置、***、设备及介质 | |
| US10476733B2 (en) | Single sign-on system and single sign-on method | |
| EP3170091B1 (en) | Method and server of remote information query | |
| MX2011003223A (es) | Acceso al proveedor de servicio. | |
| JP2017509936A (ja) | リソースへの繰返しアクセスについてリソースオーナーから認可を要求する要求のバッチ処理の、サードパーティによる実行の容易化 | |
| CN102413151A (zh) | 分享网络资源的方法及*** | |
| CN102932391A (zh) | P2sp***中处理数据的方法、装置和*** | |
| CN103428179A (zh) | 一种登录多域名网站的方法、***以及装置 | |
| CN110430188A (zh) | 一种快速url过滤方法及装置 | |
| CN107135203A (zh) | 一种终端访问控制策略优化的方法及*** | |
| WO2018112878A1 (zh) | 一种基于令牌机制的检测和防御cc攻击的***和方法 | |
| CN117321589A (zh) | 通过使用代理进行web抓取及其应用 | |
| CN105991640A (zh) | 处理http请求的方法及装置 | |
| US10762224B2 (en) | Document providing method and apparatus | |
| CN107770203B (zh) | 一种服务请求转发方法、装置及*** | |
| CN113596105B (zh) | 内容的获取方法、边缘节点及计算机可读存储介质 | |
| CN109462614B (zh) | 一种借用他人账户实现登录的方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |