CN112769769B - Dns别名解析方法及*** - Google Patents

Dns别名解析方法及*** Download PDF

Info

Publication number
CN112769769B
CN112769769B CN202011547390.6A CN202011547390A CN112769769B CN 112769769 B CN112769769 B CN 112769769B CN 202011547390 A CN202011547390 A CN 202011547390A CN 112769769 B CN112769769 B CN 112769769B
Authority
CN
China
Prior art keywords
domain name
alias
pointing
dns
query
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011547390.6A
Other languages
English (en)
Other versions
CN112769769A (zh
Inventor
龚道彪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netgen Nanjing Network Center Co ltd
Original Assignee
Netgen Nanjing Network Center Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netgen Nanjing Network Center Co ltd filed Critical Netgen Nanjing Network Center Co ltd
Priority to CN202011547390.6A priority Critical patent/CN112769769B/zh
Publication of CN112769769A publication Critical patent/CN112769769A/zh
Application granted granted Critical
Publication of CN112769769B publication Critical patent/CN112769769B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种DNS别名解析方法及***,其中所述方法包括如下步骤:接收第一域名的解析,在确定所述第一域名的别名指向域名时,对所述别名指向域名的授权信息进行查询;确定所述授权信息是否具有所述第一域名的权限设置,根据所述第一域名的权限设置决定所述第一域名的解析应答。本发明根据不同权限对CNAME记录进行分类处理,保护正常域名不受攻击,降低非法别名指向的风险。

Description

DNS别名解析方法及***
技术领域
本发明涉及计算机网络通信技术领域,尤其涉及一种DNS别名解析方法及***。
背景技术
DNS(Domain Name System,域名***)提供了互联网上的一个重要服务,其本质是建立了人的名字世界和底层的二进制协议地址世界的桥梁。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网,而不用去记住能够被机器直接读取的 IP地址数串,通过域名最终得到该域名对应的 IP 地址的过程叫做域名解析。DNS是在1987年制定的一种开放式协议,采用明文的方式传输查询请求,由于处于互联网初期,相应的安全和策略限制考虑较少,其查询可支持的资源记录类型主要包括A记录、AAAA记录、NS记录、MX记录、PTR记录、CNAME记录及SOA记录等。
其中,CNAME(Canonical Name,别名或者规范名)记录,它允许将多个名字映射到同一台服务器上。例如,一台服务器用于同时提供WWW和MAIL服务时,这台服务器的名字可以为“services.example.com”并具有相应的A记录或AAAA记录。为了便于用户分别访问WWW和MAIL服务,会为该服务器设置两个别名,如“www.example.com”和“mail.example.com”,当访问“www.example.com”或“mail.example.com”时,实际最终请求的是“services.example.com”及获得对应的IP地址。当服务器IP地址变更时,也不必对“www.example.com”及“mail.example.com”域名分别做更改指向,只需要对“services.example.com”相应的A记录或AAAA记录进行更改,其他做别名的域名指向将会自动更改到新的IP地址上,提高了运维的效率,也是CDN(Content Delivery Network,即内容分发网络)需要使用的一种技术。
但是,现有的DNS允许CNAME记录指向任意域名,因此恶意域名管理者就可以随时把自己域名的CNAME记录指向任意其他正常的域名,当恶意域名管理者的域名提供非法或者恶意信息时,正常域名和IP就会存在被标识为恶意域名和危险IP的风险,也会给正常域名带来被动攻击的风险。但在现有的DNS架构中,正常域名管理者是无法从DNS层面主动阻止这种事情的发生,只能被动地处理可能的攻击。
发明内容
本发明的目的在于提供一种DNS别名解析方法及***,解决了现有技术中CNAME记录可以指向任意域名带来的不可控,正常域名存在被动攻击风险的技术问题。
为了解决上述技术问题,本发明的一种DNS别名解析方法,包括如下步骤:
接收第一域名的解析,在确定所述第一域名的别名指向域名时,对所述别名指向域名的授权信息进行查询;
确定所述授权信息是否具有所述第一域名的权限设置,根据所述第一域名的权限设置决定所述第一域名的解析应答。
作为本发明上述DNS别名解析方法的进一步改进,在所述第一域名为对应别名指向域名的指向范围内时,查询所述别名指向域名的IP地址返回;在所述第一域名超出对应别名指向域名的指向范围时,返回错误信息。
作为本发明上述DNS别名解析方法的进一步改进,通过递归DNS服务器响应所述第一域名的解析查询,限制查询终端获得第一域名非法指向的解析结果。
作为本发明上述DNS别名解析方法的进一步改进,如果在本地查询所述授权信息失败时,向别名指向域名对应的权威DNS服务器查询授权信息。
作为本发明上述DNS别名解析方法的进一步改进,所述授权信息以TXT记录形式存储。
作为本发明上述DNS别名解析方法的进一步改进,所述别名指向域名的管理者根据管理需求设置授权信息。
为了解决上述技术问题,本发明的一种DNS别名解析***,包括:
查询单元,用于接收第一域名的解析,在确定所述第一域名的别名指向域名时,对所述别名指向域名的授权信息进行查询;
处理单元,用于确定所述授权信息是否具有所述第一域名的权限设置,根据所述第一域名的权限设置决定所述第一域名的解析应答。
作为本发明上述DNS别名解析***的进一步改进,所述处理单元在所述第一域名为对应别名指向域名的指向范围内时,查询所述别名指向域名的IP地址返回;在所述第一域名超出对应别名指向域名的指向范围时,返回错误信息。
作为本发明上述DNS别名解析***的进一步改进,在所述查询单元中,如果在本地查询所述授权信息失败时,向别名指向域名对应的权威DNS服务器查询授权信息。
作为本发明上述DNS别名解析***的进一步改进,所述授权信息以TXT记录形式存储。
与现有技术相比,本发明在实现递归解析的过程中,对解析的第一域名权限进行授权查询,以确定是否响应相应的别名指向域名的解析应答。本发明根据不同权限对CNAME记录进行分类处理,保护正常域名不受攻击,降低非法别名指向的风险。
结合附图阅读本发明实施方式的详细描述后,本发明的其他特点和优点将变得更加清楚。
附图说明
为了更清楚地说明本发明实施方式或现有技术的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明中记载的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施方式中DNS别名解析方法流程图。
图2为本发明一实施方式中递归查询实现架构示意图。
图3为本发明一实施方式中DNS别名解析***示意图。
具体实施方式
以下将结合附图所示的各实施方式对本发明进行详细描述。但这些实施方式并不限定本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法或功能上的变化均包含在本发明的保护范围内。
需要说明的是,在不同的实施方式中,可能使用相同的标号或标记,但这些并不代表结构或功能上的绝对联系关系。并且,各实施方式中所提到的“第一”、“第二”也并不代表结构或功能上的绝对区分关系,这些仅仅是为了描述的方便。
如图1所示,本发明一实施方式中DNS别名解析方法流程图。DNS别名解析方法具体包括如下步骤:
步骤S1、接收第一域名的解析,在确定所述第一域名的别名指向域名时,对所述别名指向域名的授权信息进行查询。如图2所示,当查询终端发起第一域名的访问时,为了可以访问到第一域名对应的服务器,需要查询第一域名对应的IP地址,即对应的A记录或AAAA记录,通常会先确定查询终端是否具有相应的缓存记录,如果没有,则会向对应的递归DNS服务器发起查询,因此递归DNS服务器可以认为是查询终端与访问服务器之间访问信息的中间纽带。但在现有技术中,递归DNS服务器更多地扮演的是一个中立的查询访问方式的二传手,但并不主动介入查询终端与访问服务器之间的访问行为。在本实施方式中,当递归DNS服务器接收到第一域名的解析查询,例如www.example.com,可以优先在自有的缓存中实现本地查询,如果本地查询失败时,会向权威DNS服务器进行查询,具体地,先从根域名服务器查询顶级域名服务器(例如com顶级域名服务器),再向对应的顶级域名服务器查询二级域名服务器(例如:example.com二级域名服务器)的访问方式,对于域名www.example.com而言,二级域名服务器就是最底层的权威DNS服务器,可以在对应的二级域名服务器上查询获得对应的IP地址。但如果第一域名指向的是对应的别名时,此时获得并不是A/AAAA记录,而是对应的CNAME记录,同样地,对于获得CNAME记录中的别名也需要进行相应的查询,才能最终获得访问的IP地址。具体对于获得别名IP地址的查询,也可以先从本地发起查询,如果本地查询失败,也会从根域名服务器开始查询,直到查询到最底层的权威DNS服务器返回对应的IP地址。
如上所述,第一域名与别名指向域名( 别名)之间的匹配关系,是通过查询第一域名的CNAME记录来确定的,而CNAME记录的具体内容设置是由第一域名的管理者根据自身业务情况在最底层的权威DNS服务器中根据操作流程配置的。这里存在的问题就在于,CNAME记录的配置与别名指向域名的管理者是无关的,特别是在第一域名与别名指向域名不属于同一管理者的情况,此时对于别名指向域名的管理者而言,就会变得很被动,特别是第一域名的管理者在设置CNAME记录时并不是立足于正常使用的目的,比如提供非法或者恶意信息。
因此,为了避免别名指向域名(即可以是别名)被恶意使用,在对第一域名进行解析时,当查询第一域名确定具有相应的别名指向域名时,并不会直接查询别名指向域名的A/AAAA记录,而是先去查询别名指向域名的授权信息。优选地,授权信息是TXT记录,TXT记录是DNS协议中为域名设置说明的记录,在本实施方式中,可以直接使用TXT记录的机制,不需要重新增加新的记录格式,提高了兼容性,以下将详述。在更多的实施方式中,递归DNS服务器在确定到第一域名的别名指向域名后,查询相关的授权信息时,第一优先顺序是在本地进行查询,本地会缓存相应的TXT记录,优选地,TXT记录也会设置生存时间值,如果过期后就会被删除,进一步还会设置预取程序向对应的权威DNS服务器发起查询并缓存。如果在本地查询授权信息失败时,会向别名指向域名对应的权威DNS服务器查询相应的授权信息(即可以是TXT记录),具体地可以同时发起查询别名指向域名的A/AAAA记录,因为两者的过程都是一致的,分别都是从根域名服务器开始查询,直到最底层的权威DNS服务器,这样可以在符合权限情况下返回解析结果时减少反复查询的时间,提高解析的效率。
步骤S2、确定所述授权信息是否具有所述第一域名的权限设置,根据所述第一域名的权限设置决定所述第一域名的解析应答。在本实施方式中,通过步骤S1,当递归DNS服务器查询到对应别名指向域名的授权信息时,会根据授权信息判断第一域名的权限,递归DNS服务器在响应所述第一域名的解析查询时,会根据第一域名的权限来进行解析应答,从而限制查询终端获得第一域名非法指向的解析结果。也就是说,递归DNS服务器的功能定位已经发生了外延,可以理解为增加了执法的角色,将非法的域名指向直接阻断,将对访问服务器的攻击直接扼杀在发现访问地址的源头上。
这里需要说明的是,以TXT记录为载体的授权信息,是利用了TXT记录的格式,相应的授权信息是由别名指向域名的管理者根据管理需求设置的,比如,设置白名单,将允许解析的第一域名罗列其中,只有在白名单中的第一域名才能解析获得对应别名指向域名的IP地址,或者设置黑名单,将禁止解析的第一域名罗列其中,只有在黑名单以外的第一域名才能解析获得对应别名指向域名的IP地址。具体将设置的TXT记录配置在别名指向域名对应的权威DNS服务器中,供公共网络中的递归DNS服务器查询获得。这样在第一域名的管理者拥有设置CNAME记录权利的同时,增加了别名指向域名的管理者拥有设置TXT记录的权利,对于同一匹配对中的第一域名和别名指向域名,TXT记录的优先级高于CNAME记录的优先级,保证别名指向域名管理者的主动权。
在具体的实施方式中,在TXT记录中设置授权信息时应按照统一的标准进行嵌入,这样才能兼容地被全网的查询设备所识别到,TXT记录内容格式可以为“v=cpf1 domain:<domain>,<domain>… -all”,这里可以表示授权多个第一域名进行CNAME解析,其他之外的第一域名不允许解析。其中,v=cpf1,表示版本为cpf1,cpf是CNAME Policy Framework(别名策略框架)的缩写,具体地可以用来标记白名单机制。如:pointer.com针对CNAME配置了相应的授权信息,其配置示例如下:pointer.com IN txt “v=cpf1 domain:example.com -all”,当递归DNS服务器查询到此条TXT记录时,会只允许example.com下的子域名使用pointer.com的子域名作为CNAME类型记录的解析。如 www.example.com. IN CNAMEwww.pointer.com是pointer.com合法授权example.com的CNAME配置。假设恶意域名www.evil.com 未经过pointer.com的允许,设置的恶意配置如下:www.evil.com IN CNAMEwww.pointer.com,在DNS 域名递归解析的过程中,解析域名www.evil.com返回CNAME记录类型时,对目标域名www.pointer.com的上级域名pointer.com进行TXT记录进行解析,查找cpf1的配置,发现允许的域名是example.com,evil.com不在允许的白名单中,递归判断这个是未授权的的CNAME解析,对www.evil.com的解析返回响应码为NXDOMAIN的应答。在更多的实施方式中,还可以使用“v=cpf2 domain:<domain>,<domain>… -all”设置黑名单机制,其中cpf2可以用于标记黑名单机制,内容涉及的域名则是对应禁止解析的第一域名。在优选的实施方式中,还可以支持对授权信息中的域名实现模糊匹配,比如在配置的授权信息中可以支持使用相应的通配符,例如*、$等,不同类型的通配符可以表达不同范围的字符串,这样就可以用一个域名表达式来指向对应多个域名,相应支持模糊匹配的递归DNS服务器当接收到相应的具有模糊匹配标记的TXT记录时,通过模糊匹配程序来确定TXT记录中配置的各种域名对象,这种模糊匹配的方式尤其适用于黑名单机制中多个相似的恶意域名。
因此,在本实施方式中,在递归DNS服务器实施递归解析的过程中,会解析第一域名的CNAME记录以确定别名指向域名,然后并不是直接查询别名指向域名的IP地址,而是,对别名指向域名的上级域名(例如www.pointer.com的上级域名pointer.com)进行TXT记录查询,确定对应的上级域名是否对相应的第一域名配置了相应的授权。这里需要说明的是,在TXT记录中并不必然配置的是某特定域名的上级域名,也可以是直接的特定域名,比如直接是www.example.com和www.pointer.com的匹配关系,因此,查询TXT记录时也可能会直接采用别名指向域名本身来确定相应的TXT记录。如果对应的第一域名与对应的别名指向域名并不是合法的别名指向,此时则不需要向对应的查询终端返回具体的IP地址,相应地,如果别名指向域名的授权信息是在本地查询到的,则不需要查询别名指向域名的IP地址,相应地直接跳过向权威DNS服务器发起递归查询的过程,此时可以向查询终端返回错误信息,比如NXDOMAIN提示,以通知查询终端相应的第一域名是非法的访问域名。反之,如果对应的第一域名与对应的别名指向域名之间属于合法的别名指向关系,此时需要将查询到的对应别名指向域名的IP地址返回给查询终端,具体是优先在本地查询,如果本地查询失败时,会发起向各级权威DNS服务器进行递归查询,直到查询到最终的IP地址,从而通过递归DNS服务器返回给查询终端。
如图3所示,本发明一实施方式中DNS别名解析***示意图。DNS别名解析***具体包括查询单元U1及处理单元U2。查询单元U1是在第一域名的解析过程中确定到对应的别名指向域名时,查询别名指向域名的授权信息,这个授权信息是由别名指向域名的管理者配置的,用于防止恶意的别名指向,可以存储在对应的权威DNS服务器上,递归DNS服务器也可以向权威DNS服务器查询缓存在本地。处理单元U2是基于查询单元U1获得的授权信息来决定是否对第一域名的解析执行进一步的处理,如果授权信息包含第一域名在内的指向授权,就可以向查询终端返回对应的IP地址,因此,查询终端可以正常地访问到IP地址对应的访问服务器。反之,如果授权信息不包含第一域名的指向授权,说明第一域名在关联别名指向域名的CNAME记录配置时并没有得到别名指向域名管理者的同意,因此可以通过递归DNS服务器拒绝查询终端的解析请求,查询终端则不可以实现向相应的服务器发起访问。
查询单元U1,用于接收第一域名的解析,在确定所述第一域名的别名指向域名时,对所述别名指向域名的授权信息进行查询。查询单元U1在实施第一域名的解析时,首先在本地查询相应的资源记录,如果本地不存在对应的资源记录,会进一步向权威DNS服务器发起查询,其递归查询的架构不再赘述,这是基本的查询功能。对于设置别名指向的第一域名,第一域名直接解析获得的资源记录是CNAME记录,用以确定第一域名指向的别名指向域名是什么。当获得相应的别名指向域名时,首先应判断基于第一域名获得的权限是否可以对别名指向域名的IP地址进行解析,如果是,与对第一域名的查询类似,先从本地查询别名指向域名的对应资源记录,本地查询失败时,进一步向权威DNS服务器发起查询,直至最终获得相应的IP地址。如果超出权限不进行解析,则返回查询终端相应的错误信息。因此,当确定到第一域名的别名指向域名时,会通过查询授权信息来确定别名指向域名配置的权限范围内是否包括对应的第一域名。相应的授权信息可以是以TXT记录形式存储在本地或者对应的权威DNS服务器上的,当进行授权信息查询时,可以按照查询TXT记录的DNS协议进行操作,提高了整个***的兼容性,同时也避免产生新的记录类型。具体地,可以优先从本地开始查询,如果在本地查询所述授权信息失败时,向别名指向域名对应的权威DNS服务器查询授权信息。需要说明的是,查询别名指向域名的A/AAAA记录和TXT记录是独立的,也可以同时实施查询,以减少授权下返回对应IP地址需要再次查询的时间。而授权信息内容的设置由别名指向域名的管理者来决定,即别名指向域名的管理者根据管理需求设置授权信息,具体地,别名指向域名的管理者根据自身防控恶意攻击的能力或者确定的合作域名范围来弹性地设置授权的范围,限制CNAME的解析范围,有效地将恶意域名绑定排除在外。
处理单元U2,用于确定所述授权信息是否具有所述第一域名的权限设置,根据所述第一域名的权限设置决定所述第一域名的解析应答。对于获得的授权信息,可以是白名单机制,即确定到可以合法解析的第一域名的范围,也可以是黑名单机制,即确定到禁止解析的非法第一域名的范围。授权信息以TXT记录形式存在,可以按照相应的TXT记录格式进行识别,从而提取出相应的域名列表。进一步,在所述第一域名为对应别名指向域名的指向范围内时,查询所述别名指向域名的IP地址返回;在所述第一域名超出对应别名指向域名的指向范围时,返回错误信息,比如NXDOMAIN信息。
在本实施方式中,处理单元U2通过授权信息来对关联有别名指向的域名解析时,会根据授权范围来对相应域名实施解析,并不会对所有的域名进行解析应答,对于超出授权范围的非法域名解析直接返回错误信息,这样部分攻击由于并不实际知道目标服务器的IP地址而无法发动攻击。具体地,通过递归DNS服务器响应所述第一域名的解析查询,限制查询终端获得第一域名非法指向的解析结果,递归DNS服务器起到了对非法解析的阻击,并不向恶意的查询提供具体的访问IP地址,从源头扼制住了访问方式。
在更多的实施方式中,不具有关联别名的第二域名也可以设置类似的授权信息,这样也可以一定程度上阻击非法攻击的来源。第二域名的管理者可以通过配置TXT记录来限定可以访问对应第二域名服务器的访问终端范围,比如可以设定访问终端的IP地址范围等。在现有技术中,当访问终端向递归DNS服务器发起第二域名的解析查询时,递归DNS服务器会向访问终端返回第二域名对应的IP地址,这样访问终端就可以无限制地访问到对应的服务器。但有了授权机制之后,递归DNS服务器不当然返回第二域名对应的IP地址给访问终端,会先查询第二域名对应的授权信息,比如先在本地查询对应的授权信息,查询失败时向对应的权威DNS服务器查询,确定第二域名对应授权范围的访问终端,只有在授权范围内的访问终端才会告知访问第二域名的IP地址,这样不在授权范围内的访问终端就没办法知道对应的访问IP地址而没办法去访问对应的服务器。对于第二域名管理者而言,是一个更高效地主动阻击攻击的方式,相对于在服务器端实施过滤,它使攻击侧根本没有可定位的目标发起攻击。
需要说明的是,DNS别名解析***的具体实施方式可以参照DNS别名解析方法的具体实施方式,DNS别名解析方法也可以参照DNS别名解析***的相关内容。
结合本申请所公开的技术方案,可以直接体现为硬件、由控制单元执行的软件模块或二者组合,即一个或多个步骤和/或一个或多个步骤组合,既可以对应于计算机程序流程的各个软件模块,亦可以对应于各个硬件模块,例如ASIC(Application SpecificIntegrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或晶体逻辑器件、分立硬件组件或者其任意适当组合。为了描述的方便,描述上述装置时以功能分为各种模块分别描述,当然,在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
通过以上实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请也可以借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分也可以以软件产品的形式体现出来。该软件可以由微控制单元执行,依赖于所需要的配置,也可以包括任何类型的一个或多个微控制单元,包括但不限于微控制器、DSP(Digital Signal Processor,数字信号控制单元)或其任意组合。该软件存储在存储器,例如,易失性存储器(例如随机读取存储器等)、非易失性存储器(例如只读存储器、闪存等)或其任意组合。
综上所述,本发明在实现递归解析的过程中,对解析的第一域名权限进行授权查询,以确定是否响应相应的别名指向域名的解析应答。本发明根据不同权限对CNAME记录进行分类处理,保护正常域名不受攻击,降低非法别名指向的风险。
应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为了清楚起见,本领域技术人员应当将说明书作为一个整体,各实施方式中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。

Claims (8)

1.一种DNS别名解析方法,其特征在于,所述方法由递归DNS服务器执行,包括如下步骤:
接收第一域名的解析请求,在确定所述第一域名的别名指向域名时,对所述别名指向域名的授权信息进行查询;
确定所述授权信息是否具有所述第一域名的权限设置信息,根据所述第一域名的权限设置决定所述第一域名的解析应答;
在所述第一域名为对应别名指向域名的指向范围内时,查询所述别名指向域名的IP地址,并返回所述IP地址;在所述第一域名超出对应别名指向域名的指向范围时,返回错误信息。
2.根据权利要求1所述的DNS别名解析方法,其特征在于,通过递归DNS服务器响应所述第一域名的解析查询,限制查询终端获得第一域名非法指向的解析结果。
3.根据权利要求1所述的DNS别名解析方法,其特征在于,如果在本地查询所述授权信息失败时,向别名指向域名对应的权威DNS服务器查询授权信息。
4.根据权利要求1或3所述的DNS别名解析方法,其特征在于,所述授权信息以TXT记录形式存储。
5.根据权利要求1所述的DNS别名解析方法,其特征在于,所述别名指向域名的管理者根据管理需求设置授权信息。
6.一种DNS别名解析***,其特征在于,包括:
查询单元,用于接收第一域名的解析请求,在确定所述第一域名的别名指向域名时,对所述别名指向域名的授权信息进行查询;
处理单元,用于确定所述授权信息是否具有所述第一域名的权限设置信息,根据所述第一域名的权限设置决定所述第一域名的解析应答;
所述处理单元在所述第一域名为对应别名指向域名的指向范围内时,查询所述别名指向域名的IP地址,并返回所述IP地址;在所述第一域名超出对应别名指向域名的指向范围时,返回错误信息。
7.根据权利要求6所述的DNS别名解析***,其特征在于,在所述查询单元中,如果在本地查询所述授权信息失败时,向别名指向域名对应的权威DNS服务器查询授权信息。
8.根据权利要求6或7所述的DNS别名解析***,其特征在于,所述授权信息以TXT记录形式存储。
CN202011547390.6A 2020-12-24 2020-12-24 Dns别名解析方法及*** Active CN112769769B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011547390.6A CN112769769B (zh) 2020-12-24 2020-12-24 Dns别名解析方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011547390.6A CN112769769B (zh) 2020-12-24 2020-12-24 Dns别名解析方法及***

Publications (2)

Publication Number Publication Date
CN112769769A CN112769769A (zh) 2021-05-07
CN112769769B true CN112769769B (zh) 2022-11-11

Family

ID=75694022

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011547390.6A Active CN112769769B (zh) 2020-12-24 2020-12-24 Dns别名解析方法及***

Country Status (1)

Country Link
CN (1) CN112769769B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113315853B (zh) * 2021-05-26 2023-03-24 杭州安恒信息技术股份有限公司 一种云防护节点调度方法、***及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103561120B (zh) * 2013-10-08 2017-06-06 北京奇虎科技有限公司 检测可疑dns的方法、装置和可疑dns的处理方法、***
US10069787B2 (en) * 2014-04-01 2018-09-04 Cloudflare, Inc. Domain name system CNAME record management
CN105681491B (zh) * 2016-04-08 2018-09-14 网宿科技股份有限公司 一种域名解析加速方法、***和装置

Also Published As

Publication number Publication date
CN112769769A (zh) 2021-05-07

Similar Documents

Publication Publication Date Title
Hoffman et al. DNS terminology
US7797410B2 (en) Reverse IP method and system
US7499998B2 (en) Arrangement in a server for providing dynamic domain name system services for each received request
US8499077B2 (en) Controlling internet access using DNS root server reputation
US8219644B2 (en) Requesting a service or transmitting content as a domain name system resolver
US20060265516A1 (en) Generic top-level domain re-routing system
US20100011420A1 (en) Operating a service on a network as a domain name system server
US20150256508A1 (en) Transparent Proxy Authentication Via DNS Processing
US20140215092A1 (en) Selective Proxying In Domain Name Systems
CN105282269B (zh) 一种本地dns根服务器的配置方法和服务方法
CN112468309B (zh) 基于智能合约的域名管理***
CN111200642A (zh) 权威dns服务器信息分发方法及***
CN112769769B (zh) Dns别名解析方法及***
Jin et al. A detection method against DNS cache poisoning attacks using machine learning techniques: Work in progress
Aitchison Pro DNS and Bind
CN111193816A (zh) 权威dns服务器信息更新方法及***
CN111464668A (zh) 一种快速安全的域名解析方法
CN116170403A (zh) 基于Handle***的去中心化域名解析方法及装置
CN115174518A (zh) 一种基于rpz的递归侧域名保全方法及***
US11233767B1 (en) System and method for publishing DNS records of a domain including either signed or unsigned records
US11405353B2 (en) System and method for generating concurrently live and test versions of DNS data
CN116827902A (zh) 域名生成方法、域名检测方法和电子设备、存储介质
Weiler Deploying dnssec without a signed root
Kalafut et al. Pollution resilience for dns resolvers
Hanley DNS overview with a discussion of DNS spoofing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant