专利名称:一种域名解析验证的方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种域名解析验证的方法及系统。
背景技术:
因特网系统中,使用IPdnternet Protocol,互联网协议)地址识别各个终端,例如123. 123. 123. 123。然而用户终端访问某个服务器时,为了便于记忆和识别,一般是基于域名地址而不是IP地址,因此使用DNS (Domain Name System,域名系统)实现IP地址与域名地址之间的转换。这样,用户终端访问某个服务器处的网页时,仅需要输入域名即可。为了验证DNS解析的结果,我们一般使用dig等客户端软件,向本地域名系统发出域名解析请求,若收到解析的DNS解析系统不能解析所述域名解析请求,则向权威域名服务器发出解析请求,并将权威域名服务器返回的解析结果返回给用户。为了减轻权威域名服务器的服务压力,权威域名服务器一般会将解析结果赋予一定的生存周期(TTL),LDNS在接收到解析结果后,如果解析结果没有过期,将不必向权威域名服务器再次发起解析请求。这使得,验证解析的整个过程时,很难实时验证LDNS和权威域名服务器之间的解析过程。很多LDNS出于特殊目标,会将DNS解析请求转发到其他地址的LDNS上或者通过其他的IP地址来发送这些DNS请求。权威域名服务器接收到的DNS请求来源地址将不同于原始的LDNS IP地址,权威域名服务器将无法获知原始的LDNS地址。例如,大型的LDNS 对外往往提供一个唯一的地址,举例来讲提供服务器123. 123. 123. 123来充当LDNS服务角色,但是往往有数台服务器采用负载均衡或者IP AnyCast的方式同时提供服务,这些后台服务器伺服在不同的IP地址,导致权威域名服务器接受的DNS解析请求有可能不再是 123. 123. 123. 123。LDNS如果发生了转发,权威域名服务器将不能够得到域名请求的原始发送方地址。如果权威域名服务器错误的理解了域名请求的原始发送方地址,将导致权威域名服务器做出错误的决策,从而使得维护人员无法排查域名解析中出现的故障点。例如域名解析请求的原始发送方地址为北京的LDNS,如果在域名请求过程中转发到广州的LDNS,权威域名服务器接收到DNS解析请求时,则会确定是广东的用户发起的解析请求。该权威域名服务器在根据请求方不同,而分配不同策略时,可能将广东用户的服务资源指派给北京的用户,引起后续的不恰当访问。综上所述,在验证DNS解析过程中,现有的解决方案将无法实时验证权威服务器的服务正确性,也无法获知DNS解析过程中是否发生了转发。
发明内容
本发明提供一种域名解析验证的方法,用于解决现有技术中无法实时验证权威服务器的服务正确性性、也无法获知DNS解析过程中是否发生了转发的问题。本发明实施例提供一种域名解析验证的方法,包括
当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时,获取当前的系统时间,并将该系统时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的 IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。根据上述方法,本发明还提供一种域名解析验证的系统,包括域名请求客户端,用于通过LDNS将域名解析请求转发至权威域名服务器时,获取当前的系统时间,并将该系统时间作为可变因子与LDNS的IP地址添加到所述域名解析请求中;权威域名服务器,用于在接收到域名解析请求后,获取域名解析请求中添加的 LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。本发明实施例提供的方法相对于传统的DNS解析验证方法,能验证DNS在解析请求过程中是否发生了转发;另外,本方法能实时的验证DNS解析的正确性;另外本发明实施例提供的方案还增加安全加密环节,能有效拒绝非授权的DNS解析验证请求。
图1为本发明实施例一种域名解析验证的方法的流程图;图2为本发明实施例中LDNS终端生成该域名验证码的流程图;图3为本发明实施例权威域名服务器验证域名解析请求的流程图;图4为本发明实施例一种域名解析验证的系统的结构图。
具体实施例方式本发明实施例提供一种域名解析验证的方法,该方法包括当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时,获取当前的系统时间,并将该系统时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址, 并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。如图1所示,本发明实施例提供一种域名解析验证的方法,具体实现步骤包括步骤101,当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时, 获取当前的系统时间,并将该系统时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;在本发明实施例中,域名请求客户端工具(ccdig)自动获取当前的系统时间,作为可变因子拼接上LDNS的IP地址,并利用密钥串将其加密。因为时间戳一直在发生变化, 所以该域名解析请求被发送到LDNS后,很难与LDNS中缓存的域名进行匹配,迫使LDNS将该域名解析请求发送到权威的域名服务器或者转发重新获取解析结果。步骤102,权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。在本发明实施例中,为了避免无授权的用户对权威域名服务器发送特殊域名解析请求,本发明实施例的权威域名服务器在判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同之前,还根据域名解析请求中的域名验证码对所述域名解析请求进行鉴权,鉴权的具体步骤包括在本发明实施例中,所述域名解析请求的来源IP地址是指直接将所述域名解析请求发送到权威域名服务器的LDNS的IP地址。因为,权威域名服务器在接收到域名解析请求时,该域名解析请求可能经过了好几个LDNS,所以需要验证域名解析请求是否经过转发,则需要确定最后一个将域名解析请求发送到权威域名服务器的LDNS是否与最初发送的LDNS是否相同。从接收到的域名解析请求中获取时间戳、解析类型、LDNS的IP地址和待解析的真实域名拼接成字符串根据客户端的加密算法,对所述字符串进行加密运算得到域名验证码;将加密运算后的域名验证码与域名请求中的域名验证码进行对比,如果相同则鉴权通过。如图2所示,本发明实施例中生成域名解析请求可以通过以下步骤实现步骤201,将获取到的当前时间戳、LDNS的IP地址,公用密码串、待解析的真实域名和解析类型拼接成字符串;所述当前时间戳为东八区UTC时间戳,后面简称为时间戳;在本发明实施例中,拼接出的字符串可以是以下形式解析类型-LDNS的IP地址-时间戳-真实域名-公用密码串。具体是实现方式包括多种,而且包括的字段也不限定。步骤202,对所述字符串进行加密运算得到域名验证码。进行加密运算的实现方式包括多种,在本发明实施例中可以采用拼接字符串的 MD5值作为域名验证码。步骤203,拼接域名解析请求;在本发明实施例中,该域名解析请求可以是字段标示头、解析类型、时间戳、 LDNS的IP地址、验证码和待解析的真实域名依序通过连接符连接形成的字符串;如标示头-解析类型-时间戳-LDNS的IP地址.MD5.真实域名。其中,除真实域名固定设置与字符串末尾,其他字段的位置可根据具体的情况改变。如图3所示,权威域名服务器在接收到域名请求后,将按照以下步骤验证域名解析请求过程中是否发生了转发步骤301,从接收到的域名请求中获取时间戳、解析类型、LDNS的IP地址,MD5值和真实域名。步骤302,将从域名解析请求中获取到的信息拼接出一个字符串解析类型-LDNS 的IP地址-时间戳-真实域名-公用密码串。如果接收到的验证码是MD5值的,本发明实施例的方法还包括步骤303,对拼接字符串进行MD5运算得到字符串的MD5值。
步骤304,将计算得出的MD5值与获取的MD5值进行比对,如果相同则鉴权通过,则转入步骤305 ;否则丢弃该域名解析请求。步骤305,对比域名请求来源的IP地址与域名解析请求中的IP地址是否一致,不同则认为是发生了 DNS解析请求的转发。如图4所示,本发明实施例还提供一种域名解析验证的系统,包括域名请求客户端401和权威域名服务器402 域名请求客户端401,用于通过LDNS将域名解析请求转发至权威域名服务器时, 获取当前的系统时间,并将该系统时间作为可变因子与LDNS的IP地址添加到所述域名解析请求中;所述域名请求客户端401还用于将获取到的当前时间戳、LDNS的IP地址,公用密码串、待解析的真实域名和解析类型拼接成字符串;对所述字符串进行加密运算得到域名验证码,并将生成的域名验证码添加到所述域名解析请求中。为了将系统时间和LDNS的IP地址添加到域名解析请求中,则所述域名请求客户端401还用于将标示头、解析类型、时间戳、LDNS的IP地址、验证码和待解析的真实域名依序通过连接符连接形成域名解析请求。权威域名服务器402,用于在接收到域名解析请求后,获取域名解析请求中的 LDNS的IP地址作为待验证的LDNS IP地址,判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。为了能有效拒绝非授权的DNS解析验证请求,则所述权威域名服务器402还用于根据域名解析请求中的域名验证码对所述域名解析请求进行鉴权,包括从接收到的域名解析请求中获取时间戳、解析类型、LDNS的IP地址和待解析的真实域名拼接成字符串根据客户端的加密算法,对所述字符串进行加密运算得到域名验证码;将加密运算后的域名验证码与域名请求中的域名验证码进行对比,如果相同则鉴权通过。本发明实施例提供的方法相对于传统的DNS解析验证方法,能验证DNS在解析请求过程中是否发生了转发;另外,本方法能实时的验证DNS解析的正确性;另外本发明实施例提供的方案还增加安全加密环节,能有效拒绝非授权的DNS解析验证请求。本发明所述的方法并不限于具体实施方式
中所述的实施例,本领域技术人员根据本发明的技术方案得出其它的实施方式,同样属于本发明的技术创新范围。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种域名解析验证的方法,其特征在于,包括当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时,获取当前的系统时间,并将该系统时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的 LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。
2.如权利要求1所述的方法,其特征在于,所述域名解析请求中还包括域名验证码,生成该域名验证码包括将获取到的当前时间戳、LDNS的IP地址,公用密码串、待解析的真实域名和解析类型拼接成字符串;对所述字符串进行加密运算得到域名验证码。
3.如权利要求1所述的方法,其特征在于,所述域名解析请求为字段标示头、解析类型、时间戳、LDNS的IP地址、验证码和待解析的真实域名依序通过连接符连接形成的字符串ο
4.如权利要求2所述的方法,其特征在于,在判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,进一步包括,根据域名解析请求中的域名验证码对所述域名解析请求进行鉴权,包括从接收到的域名解析请求中获取时间戳、解析类型、LDNS的IP地址和待解析的真实域名拼接成字符串根据客户端的加密算法,对所述字符串进行加密运算得到域名验证码; 将加密运算后的域名验证码与域名请求中的域名验证码进行对比,如果相同则鉴权通过。
5.一种域名解析验证的系统,其特征在于,包括域名请求客户端,用于通过LDNS将域名解析请求转发至权威域名服务器时,获取当前的系统时间,并将该系统时间作为可变因子与LDNS的IP地址添加到所述域名解析请求中;权威域名服务器,用于在接收到域名解析请求后,获取域名解析请求中添加的LDNS的 IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。
6.如权利要求5所述的系统,其特征在于,所述域名请求客户端还用于将获取到的当前时间戳、LDNS的IP地址,公用密码串、待解析的真实域名和解析类型拼接成字符串;对所述字符串进行加密运算得到域名验证码,并将生成的域名验证码添加到所述域名解析请求中。
7.如权利要求5所述的系统,其特征在于,所述域名请求客户端还用于将标示头、解析类型、时间戳、LDNS的IP地址、验证码和待解析的真实域名依序通过连接符连接形成域名解析请求。
8.如权利要求5所述的系统,其特征在于,所述权威域名服务器还用于根据域名解析请求中的域名验证码对所述域名解析请求进行鉴权,包括从接收到的域名解析请求中获取时间戳、解析类型、LDNS的IP地址和待解析的真实域名拼接成字符串根据客户端的加密算法,对所述字符串进行加密运算得到域名验证码; 将加密运算后的域名验证码与域名请求中的域名验证码进行对比,如果相同则鉴权通过。
全文摘要
本发明公开了一种域名解析验证的方法及系统,应用于通信技术领域。该方法包括当域名请求客户端通过LDNS向权威域名服务器转发域名解析请求时,获取当前的系统时间,并将该系统时间作为可变因子与所述LDNS的IP地址添加到所述域名解析请求中;权威域名服务器解析所述域名解析请求,获取该域名解析请求中添加的LDNS的IP地址作为待验证的LDNS IP地址,并判断所述域名解析请求的来源IP地址和所述待验证的LDNS IP地址是否相同,如果不相同,则确定发生了域名解析请求的转发。应用本发明提供的方法和系统能够验证DNS在解析请求过程中是否发生了转发。
文档编号H04L29/12GK102231766SQ20111021446
公开日2011年11月2日 申请日期2011年7月28日 优先权日2011年7月28日
发明者宗劼, 李健松, 李孟, 陈奇 申请人:北京蓝汛通信技术有限责任公司