一種dns防劫持方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�����,具體而言,涉及一種DNS防劫持方法和裝置��。
【背景技術(shù)】
[0002]隨著域名系統(tǒng)飛速發(fā)展��,域名的注冊規(guī)模急劇擴大���,其管理難度急劇增加。由于DNS協(xié)議在設(shè)計之初沒有考慮太多的安全因素�,DNS上的各類數(shù)據(jù)沒有加密保護(hù)和認(rèn)證預(yù)防,DNS系統(tǒng)在實現(xiàn)上具有脆弱性,再加上人為攻擊和破壞���,DNS面臨非常嚴(yán)重的安全威脅��。常見的安全問題包括域名與IP地址之間的映射關(guān)系被修改�,客戶主機遭受欺騙攻擊�、面臨拒絕服務(wù),DNS服務(wù)器緩存中毒�、區(qū)域信息泄漏等。作為Internet上的關(guān)鍵基礎(chǔ)服務(wù)�����,DNS—旦出錯���,將影響互聯(lián)網(wǎng)大部分業(yè)務(wù)的正常運行�。所以����,DNS的安全問受到廣泛關(guān)注,對DNS系統(tǒng)安全的分析和研究就顯得尤為重要����。
[0003]當(dāng)前國內(nèi)外對于DNS防劫持技術(shù)的研究主要基于DNS服務(wù)端����,其中包括針對協(xié)議設(shè)計進(jìn)行的改進(jìn)�����、DNS服務(wù)端的流量檢測�、DNS管理和維護(hù)等幾個方面。而在客戶端進(jìn)行的防護(hù)主要體現(xiàn)在對DNS服務(wù)器合法性的判斷和自動配置方面?,F(xiàn)有技術(shù)的防劫持設(shè)備都需要極大地工作量對現(xiàn)有的系統(tǒng)和設(shè)備進(jìn)行改進(jìn),成本較高��。
【發(fā)明內(nèi)容】
[0004]有鑒于此����,本發(fā)明實施例的目的在于提供一種DNS防劫持方法和裝置。
[0005]本發(fā)明實施例提供的一種DNS防劫持方法���,應(yīng)用于DNS防劫持系統(tǒng)���,所述DNS防劫持系統(tǒng)包括客戶端和存儲設(shè)備,所述存儲設(shè)備內(nèi)存儲有標(biāo)準(zhǔn)域名-1P地址映射對���,所述標(biāo)準(zhǔn)域名-1P地址映射對為經(jīng)過預(yù)設(shè)規(guī)則驗證的滿足通信協(xié)議的映射對�����,所述方法包括:
[0006]所述客戶端接收網(wǎng)絡(luò)層發(fā)送的DNS解析請求�����;
[0007]根據(jù)所述DNS解析請求在所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的IP地址����;
[0008]若所述客戶端查找到所述DNS解析請求對應(yīng)的IP地址��,將所查找到所述DNS解析請求對應(yīng)的所述IP地址發(fā)送至所述網(wǎng)絡(luò)層��。
[0009]優(yōu)選地���,所述客戶端根據(jù)所述DNS解析請求在所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的IP地址�,具體包括:
[0010]接收所述存儲設(shè)備發(fā)送的清空指令�,根據(jù)所述清空指令清除本地緩存內(nèi)存儲的原始域名-1P地址映射對;
[0011]接收所述存儲設(shè)備導(dǎo)入本地緩存的所述標(biāo)準(zhǔn)域名-1P地址映射對����;
[0012]根據(jù)所接收的所述DNS解析請求在所述本地緩存內(nèi)的所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的所述IP地址。
[0013]優(yōu)選地��,所述客戶端根據(jù)所述DNS解析請求在所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的IP地址,具體包括:
[0014]接收所述存儲設(shè)備的清空指令��,根據(jù)所述清空指令清除本地緩存內(nèi)的標(biāo)準(zhǔn)域名-IP地址映射對�;
[0015]根據(jù)所接收的DNS解析請求生成IP地址查詢指令;
[0016]將所述IP地址查詢指令發(fā)送至所述存儲設(shè)備��,以使所述存儲設(shè)備在所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的所述IP地址���。
[0017]優(yōu)選地�����,所述DNS防劫持系統(tǒng)還包括多個DNS服務(wù)器����,所述方法還包括:
[0018]若所述客戶端沒有查找到與所述DNS解析請求對應(yīng)的所述IP地址�����,生成多個DNS查詢數(shù)據(jù)包�����;
[0019]將生成的多個所述DNS查詢數(shù)據(jù)包發(fā)送至多個所述DNS服務(wù)器,其中�,每個所述DNS服務(wù)器接收一個DNS查詢數(shù)據(jù)包,以使每個所述DNS服務(wù)器根據(jù)所接收的所述DNS查詢數(shù)據(jù)包反饋一個DNS應(yīng)答數(shù)據(jù)包至所述客戶端����;
[0020]根據(jù)第一判決機制和多個所述DNS服務(wù)器反饋的所述DNS應(yīng)答數(shù)據(jù)包得出與所述DNS解析請求對應(yīng)的IP地址,將所述IP地址發(fā)送至所述網(wǎng)絡(luò)層���。
[0021 ]優(yōu)選地,所述方法還包括:
[0022]隨機抓取經(jīng)過網(wǎng)卡的自動DNS數(shù)據(jù)包���,所述DNS數(shù)據(jù)包包括所述DNS解析請求和自動IP地址��;
[0023]根據(jù)所述DNS解析請求在所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的標(biāo)準(zhǔn)IP地址��;
[0024]根據(jù)所述自動IP地址�、所述標(biāo)準(zhǔn)IP地址和第二判決機制得到DNS防劫持狀態(tài)監(jiān)測結(jié)果���。
[0025]本發(fā)明實施例提供的一種DNS防劫持裝置��,應(yīng)用于DNS防劫持系統(tǒng)����,所述DNS防劫持系統(tǒng)包括客戶端和存儲設(shè)備��,所述存儲設(shè)備內(nèi)存儲有標(biāo)準(zhǔn)域名-1P地址映射對,所述標(biāo)準(zhǔn)域名-1P地址映射對為經(jīng)過預(yù)設(shè)規(guī)則驗證的滿足通信協(xié)議的映射對��,所述客戶端包括所述的DNS防劫持裝置�,所述DNS防劫持裝置包括DNS解析請求接收單元、查找單元和IP地址發(fā)送單元����;
[0026]DNS解析請求接收單元,用于接收網(wǎng)絡(luò)層發(fā)送的DNS解析請求�;
[0027]查找單元,用于根據(jù)所述DNS解析請求在所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的IP地址�;
[0028]IP地址發(fā)送單元,用于在所述客戶端查找到所述DNS解析請求對應(yīng)的IP地址時�,將所查找到所述DNS解析請求對應(yīng)的所述IP地址發(fā)送至所述網(wǎng)絡(luò)層。
[0029]優(yōu)選地��,所述查找單元包括第一清空子單元�����、標(biāo)準(zhǔn)域名-1P地址映射對接收子單元和IP地址查找子單元�����;
[0030]所述第一清空子單元,用于接收所述存儲設(shè)備的清空指令���,根據(jù)所述清空指令清除本地緩存內(nèi)存儲的原始域名-1P地址映射對��;
[0031]所述標(biāo)準(zhǔn)域名-1P地址映射對接收子單元����,接收所述存儲設(shè)備導(dǎo)入本地緩存的所述標(biāo)準(zhǔn)域名-1P地址映射對��;
[0032]所述IP地址查找子單元�,用于根據(jù)所接收的所述DNS解析請求在所述本地緩存內(nèi)的所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的所述IP地址�。
[0033]優(yōu)選地,所述查找單元包括第二清空子單元����、IP地址查詢指令生成子單元、IP地址查詢指令發(fā)送子單元�;
[0034]所述第二清空子單元,用于接收所述存儲設(shè)備的清空指令�����,根據(jù)所述清空指令清除本地緩存內(nèi)存儲的原始域名-1P地址映射對���;
[0035]所述IP地址查詢指令生成子單元�����,用于根據(jù)所接收的DNS解析請求生成IP地址查詢指令�;
[0036]所述IP地址查詢指令發(fā)送子單元,用于將所述IP地址查詢指令發(fā)送至所述存儲設(shè)備�,以使所述存儲設(shè)備在所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的IP地址。
[0037]優(yōu)選地��,所述DNS防劫持系統(tǒng)還包括多個DNS服務(wù)器���,所述DNS防劫持裝置還包括DNS查詢數(shù)據(jù)包生成單元�����、DNS查詢數(shù)據(jù)包發(fā)送單元和判決單元�;
[0038]所述DNS查詢數(shù)據(jù)包生成單元����,用于在所述客戶端沒有查找到與所述DNS解析請求對應(yīng)的IP地址時,生成多個DNS查詢數(shù)據(jù)包���;
[0039]所述DNS查詢數(shù)據(jù)包發(fā)送單元����,用于將生成的多個所述DNS查詢數(shù)據(jù)包發(fā)送至多個所述DNS服務(wù)器,其中���,每個所述DNS服務(wù)器接收一個DNS查詢數(shù)據(jù)包��,以使每個所述DNS服務(wù)器根據(jù)所接收的所述DNS查詢數(shù)據(jù)包反饋一個DNS應(yīng)答數(shù)據(jù)包至所述判決單元�����;
[0040]所述判決單元��,用于根據(jù)多個所述DNS服務(wù)器反饋的所述DNS應(yīng)答數(shù)據(jù)包和第一判決機制得出與所述DNS解析請求對應(yīng)的IP地址�,將所述IP地址發(fā)送至所述網(wǎng)絡(luò)層��。
[0041]優(yōu)選地���,還包括自動DNS數(shù)據(jù)包抓取單元、標(biāo)準(zhǔn)IP地址獲取單元和狀態(tài)監(jiān)測單元��;
[0042]所述DNS數(shù)據(jù)包抓取單元�����,用于隨機抓取講過網(wǎng)卡的自動DNS數(shù)據(jù)包,所述DNS數(shù)據(jù)包包括所述DNS解析請求和自動IP地址�;
[0043]所述標(biāo)準(zhǔn)IP地址獲取單元,用于根據(jù)所述DNS解析請求在所述標(biāo)準(zhǔn)域名-1P地址映射對內(nèi)查找與所述DNS解析請求對應(yīng)的標(biāo)準(zhǔn)IP地址���;
[0044]所述狀態(tài)監(jiān)測單元�,用于根據(jù)所述自動IP地址�����、所述標(biāo)準(zhǔn)IP地址和第二判決機制得到DNS防劫持狀態(tài)監(jiān)測結(jié)果���。
[0045]與現(xiàn)有技術(shù)相比���,本發(fā)明的DNS防劫持方法及其所應(yīng)用的DNS防劫持系統(tǒng),所述系統(tǒng)包括DNS防劫持裝置�,包括客戶端和存儲設(shè)備,增設(shè)的存儲設(shè)備內(nèi)存儲有標(biāo)準(zhǔn)域名-1P地址映射對�����,所述標(biāo)準(zhǔn)域名-1P地址映射對為經(jīng)過預(yù)設(shè)規(guī)則驗證的滿足通信協(xié)議的映射對�,客戶端在接收到網(wǎng)絡(luò)層的DNS解析請求時,從存儲有標(biāo)準(zhǔn)域名-1P地址映射對的存儲設(shè)備中查找IP地址�,以較為安全的方式實現(xiàn)了 DNS系統(tǒng)的應(yīng)用安全性����。
[0046]為使本發(fā)明的上述目的�����、特征和優(yōu)點能更明顯易懂�,下文特舉較佳實施例,并配合所附附圖���,作詳細(xì)說明如下�。
【附圖說明】
[0047]為了更清楚地說明本發(fā)明實施例的技術(shù)方案�,下面將對