DNS查询流量控制方法、设备和系统与流程

本发明涉及计算机网络领域，尤其是一种DNS(Domain Name System，域名系统)流量控制方法、设备和系统。

背景技术：

在传统网络中，如图1所示，DNS查询流量基于用户端设置的DNS服务器地址被传送至目的DNS服务器14，黑客可以通过恶意篡改用户端设备12的DNS配置，将正常的DNS服务器14地址修改为恶意的DNS服务器16地址。从而使用户的互联网访问指向仿冒欺诈网页，造成安全隐患。

技术实现要素：

本发明实施例所要解决的一个技术问题是：如何防止用户的DNS查询流量被恶意劫持。

根据本发明实施例的第一个方面，提供了一种DNS查询流量控制方法，包括：DNS查询流量控制设备接收网络业务控制设备发送的来自用户端设备的DNS查询流量；DNS查询流量控制设备对DNS查询流量进行安全处理；DNS查询流量控制设备将处理后的DNS查询流量转发到DNS服务节点。

在一个实施例中，DNS查询流量控制设备对DNS查询流量进行安全处理包括：DNS查询流量控制设备提取DNS查询流量中的DNS服务器地址，根据提取的DNS服务器地址判断用户端设备的DNS服务器地址配置信息是否被篡改，如果被篡改，将DNS查询流量中的被篡改的DNS服务器地址修改为合法DNS服务器地址。

在一个实施例中，根据提取的DNS服务器地址判断用户端设备的 DNS服务器地址配置信息是否被篡改包括：将提取的DNS服务器地址与DNS服务器地址的白名单进行比对，如果与白名单中的任一项匹配，判定用户端设备的DNS服务器地址配置信息未被篡改；如果与白名单中的任一项均不匹配，将提取的DNS服务器地址与已探知的恶意DNS服务器地址列表进行比对，如果与恶意DNS服务器地址列表中的任一项匹配，判定用户端设备的DNS服务器地址配置信息被篡改。

在一个实施例中，DNS查询流量控制设备从安全系统获得恶意DNS服务器地址列表。

在一个实施例中，DNS查询流量控制设备将处理后的DNS查询流量转发到DNS服务节点包括：DNS查询流量控制设备根据各个DNS服务节点的负荷情况，将DNS查询流量转发到负荷较小的DNS服务节点。

在一个实施例中，DNS查询流量控制设备从网管系统获得各个DNS服务器节点的负荷情况。

在一个实施例中，DNS查询流量控制设备将处理后的DNS查询流量转发到DNS服务节点包括：根据用户属性、时间或基站中的至少一项参考因素，将DNS查询流量转发到与所依据参考因素对应的DNS服务节点。

根据本发明实施例的第二个方面，提供一种DNS查询流量控制设备，位于用户端设备和DNS服务节点之间，包括：接收模块，用于接收网络业务控制设备发送的来自用户端设备的DNS查询流量；处理模块，对DNS查询流量进行安全处理；转发模块，用于将处理后的DNS查询流量转发到DNS服务节点。

在一个实施例中，处理模块包括判断单元和修改单元；判断单元用于提取DNS查询流量中的DNS服务器地址，根据提取的DNS服务器地址判断用户端设备的DNS服务器地址配置信息是否被篡改；修改单元用于将DNS查询流量中的被篡改的DNS服务器地址修改为合法DNS服务器地址。

在一个实施例中，判断单元用于将提取的DNS服务器地址与DNS 服务器地址的白名单进行比对，如果与白名单中的任一项匹配，判定用户端设备的DNS服务器地址配置信息未被篡改；如果与白名单中的任一项均不匹配，将提取的DNS服务器地址与已探知的恶意DNS服务器地址列表进行比对，如果与恶意DNS服务器地址列表中的任一项匹配，判定用户端设备的DNS服务器地址配置信息被篡改。

在一个实施例中，转发模块用于根据各个DNS服务节点的负荷情况，将DNS查询流量转发到负荷较小的DNS服务节点。

在一个实施例中，转发模块用于根据用户属性、时间或基站中的至少一项参考因素，将DNS查询流量转发到与所依据参考因素对应的DNS服务节点。

根据本发明实施例的第三个方面，提供一种DNS查询流量控制系统，包括：前述任一种DNS查询流量控制设备和网络业务控制设备，网络业务控制设备用于将用户端设备发送的DNS查询流量牵引到DNS查询流量控制设备。

在一个实施例中，系统还包括安全设备，用于向DNS查询流量控制设备提供恶意DNS服务器地址列表。

在一个实施例中，系统还包括网管设备，用于向DNS查询流量控制设备提供各个DNS服务器节点的负荷情况。

在一个实施例中，系统还包括支撑设备，用于提供用户端设备IP与用户属性、时间或基站的对应关系。

本发明通过引入DNS查询流量控制设备，将用户端的DNS查询流量统一牵引至DNS查询流量控制设备，并由DNS查询流量控制设备对DNS查询流量进行安全处理后再转发到DNS服务节点，避免了DNS查询流量被恶意劫持，提高了系统的安全性。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将 对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是现有技术的域名解析的网络部署示意图。

图2是本发明的域名解析的网络部署示意图。

图3示出本发明DNS查询流量控制方法的一个实施例的流程图。

图4示出本发明DNS查询流量安全处理方法的一个实施例的流程图。

图5示出本发明DNS查询流量控制方法的另一个实施例的流程图。

图6示出本发明DNS查询流量差异化处理的一个实施例的流程图。

图7示出本发明DNS查询流量控制方法的又一个实施例的流程图。

图8示出本发明DNS查询流量控制系统的一个实施例的结构图。

图9示出本发明DNS查询流量控制设备的一个实施例的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了防止用户的DNS查询流量被恶意劫持，本发明提出一种DNS查询流量控制方案。参考图2所示，本发明引入DNS查询流量控制设备28，将用户端12的DNS查询流量统一牵引至DNS查询流量控制设备，并由DNS查询流量控制设备对DNS查询流量进行安全处理后再 转发至DNS服务节点14，避免了DNS查询流量被恶意劫持，提高了系统的安全性。

下面参考图3描述本发明一个实施例的DNS查询流量控制方法。

图3为本发明DNS查询流量控制方法的一个实施例的流程图。如图3所示，该实施例的方法包括：

步骤S302，用户端设备发起DNS查询。

步骤S304，网络业务控制设备识别出用户端设备发出的是DNS查询流量，将用户端发送的DNS查询流量牵引到DNS查询流量控制设备，DNS查询流量控制设备接收DNS查询流量。

其中，网络业务控制设备例如可以通过目的UDP端口号来识别DNS查询流量，如果一个数据包的目的UDP端口号＝53，则表示该数据包是DNS查询流量。

步骤S306，DNS查询流量控制设备对DNS查询流量进行安全处理。

步骤S308，DNS查询流量控制设备将处理后的DNS查询流量转发到DNS服务节点。

上述方案通过引入DNS查询流量控制设备，将用户端的DNS查询流量统一牵引至DNS查询流量控制设备，并由DNS查询流量控制设备对DNS查询流量进行安全处理后再转发到DNS服务节点，避免了DNS查询流量被恶意劫持，提高了系统的安全性。

一种常见的DNS查询流量恶意劫持方法为，通过恶意篡改用户端设备的DNS配置，将正常的DNS服务器地址修改为恶意的DNS服务器地址。针对此类DNS查询流量恶意劫持情况，下面结合图4对步骤S306的一种安全处理过程进行描述。

图4为本发明DNS查询流量安全处理方法的一个实施例的流程图。如图4所示，步骤S306具体包括：

步骤S4062，DNS查询流量控制设备提取DNS查询流量中的DNS服务器地址。

步骤S4064，DNS查询流量控制设备根据提取的DNS服务器地址 判断用户端设备的DNS服务器地址配置信息是否被篡改。

步骤S4066，如果DNS服务器地址被篡改，将DNS查询流量中的被篡改的DNS服务器地址修改为合法DNS服务器地址DNS查询流量，以避免DNS查询流量被恶意劫持。

在步骤S4064中判断用户端设备的DNS服务器地址配置信息是否被恶意篡改时，可以采用如下方法：首先，将提取的DNS服务器地址与DNS服务器地址的白名单(即，合法DNS服务器地址列表)进行比对，如果与白名单中的任一项匹配，判定用户端设备的DNS服务器地址配置信息未被篡改；如果与白名单中的任一项均不匹配，将提取的DNS服务器地址与已探知的恶意DNS服务器地址列表(即，黑名单)进行比对，如果与恶意DNS服务器地址列表中的任一项匹配，就可以判定用户端设备的DNS服务器地址配置信息被篡改。如果既不在白名单也不在黑名单，可以标记为待定状态，并提示安全风险。

为了方便查询和判断，可以扩展安全系统与DNS查询流量控制设备之间的接口，使DNS查询流量控制设备从安全系统获得DNS查询流量黑名单、白名单等。

在步骤S308中，即在DNS查询流量控制设备将处理后的DNS查询流量转发到DNS服务节点的过程中，还可以采用动态调整转发的策略，对本发明的方法进行进一步的优化。例如可以根据DNS服务器的负荷情况进行调整。下面参考图5描述本发明根据DNS服务器负荷动态转发DNS查询流量的方法。

图5为本发明DNS查询流量控制方法的另一个实施例的流程图。如图5所示，该实施例的方法包括：

步骤S302，用户端设备发起DNS查询。

步骤S304，网络业务控制设备识别出用户端设备发出的是DNS查询流量，将用户端发送的DNS查询流量牵引到DNS查询流量控制设备，DNS查询流量控制设备接收DNS查询流量。

步骤S306，DNS查询流量控制设备对DNS查询流量进行安全处理。

步骤S5082，DNS查询流量控制设备获取各个DNS服务节点的负荷情况。

一种获取方法为，可以扩展DNS查询流量控制设备与网管系统之间的接口，使DNS查询流量控制设备可以从网管系统获得各个DNS服务器节点的负荷情况。此外，DNS查询流量控制设备还可以从网管系统获得各个DNS服务器节点的运转情况，以DNS查询流量防止将DNS查询流量转发到出现故障的DNS服务节点，使系统具有较高的可靠性。

步骤S5084，DNS查询流量控制设备根据各个DNS服务节点的负荷情况，将DNS查询流量转发到负荷较小的DNS服务节点。

通过采用这种方法，能够合理分配DNS查询流量，防止某一DNS服务节点的负荷过大，从而提高系统效率和DNS服务节点的利用率。

除了根据DNS查询流量接收端的情况对DNS查询流量进行动态调整以外，在步骤S308中，还可以根据用户端的相关属性对DNS查询流量进行差异化处理。下面参考图6描述本发明DNS查询流量差异化处理的方法。

图6为本发明DNS查询流量差异化处理的一个实施例的流程图。如图6所示，步骤S308具体包括：

步骤S6082，获取用户端设备对应的用户属性、时间或基站中的至少一项参考因素。

步骤S6084，将DNS查询流量转发到与所依据参考因素对应的DNS服务节点。

其中，用户端设备对应的参考因素主要为通过查询用户端的IP所获得的参考因素。用户端的IP与参考因素的对应关系例如可以从运营商的支撑系统中获取。下面参考图7描述本发明根据用户属性进行DNS查询流量差异化处理的方法。

图7为本发明DNS查询流量控制方法的又一个实施例的流程图。如图7所示，该实施例的方法包括：

步骤S702，高级用户的用户端设备发起DNS查询。

步骤S704，网络业务控制设备将用户端发送的DNS查询流量牵引到DNS查询流量控制设备，DNS查询流量控制设备接收DNS查询流量。

步骤S706，DNS查询流量控制设备分析DNS查询流量，获取用户端设备的IP地址和DNS服务器地址。

步骤S708，DNS查询流量控制设备向运营商支撑系统发起查询请求，获得用户端IP对应的用户属性为高级用户。

步骤S710，DNS查询流量控制设备对DNS查询流量进行安全处理。

步骤S712，DNS查询流量控制设备将处理后的DNS查询流量转发到高级用户专有的DNS服务器节点。

通过采用这种方法，能够为具有不同用户属性的用户提供差异化的服务。

上述实施例的方法同样可以用于根据时间和基站属性对DNS查询流量进行差异化转发。例如，在某个时间段内或者某个基站覆盖的区域内的活动由专用的DNS服务器提供服务，而其他的DNS服务器无法提供相同的服务。此时，可以通过向运营商支撑系统查询用户端IP对应的操作时间或基站，将DNS查询流量转发到专用的DNS服务器。

下面参考图8描述本发明一个实施例的DNS查询流量控制系统。

图8为本发明DNS查询流量控制系统的一个实施例的结构图。如图8所示，系统包括DNS查询流量控制设备82和网络业务控制设备84，网络业务控制设备84用于将用户端设备发送的DNS查询流量牵引到DNS查询流量控制设备82。网络业务控制设备84例如可以为宽带接入服务器或者全业务路由器。

其中，系统还可以包括安全设备，用于向DNS查询流量控制设备提供恶意DNS服务器地址列表。

其中，系统还可以包括网管设备，用于向DNS查询流量控制设备提供各个DNS服务器节点的负荷情况。

其中，系统还可以包括支撑设备，用于提供用户端设备IP与用户属性、时间或基站的对应关系。

下面参考图9描述本发明一个实施例的DNS查询流量控制设备。

图9为本发明DNS查询流量控制设备的一个实施例的结构图。如图9所示，该设备位于用户端设备和DNS服务节点之间，包括：接收模块922，用于接收网络业务控制设备发送的来自用户端设备的DNS查询流量；处理模块924，对DNS查询流量进行安全处理；转发模块926，用于将处理后的DNS查询流量转发到DNS服务节点。

处理模块924可以包括判断单元和修改单元；判断单元用于提取DNS查询流量中的DNS服务器地址，根据提取的DNS服务器地址判断用户端设备的DNS服务器地址配置信息是否被篡改，如果被篡改，修改单元将DNS查询流量中的被篡改的DNS服务器地址修改为合法DNS服务器地址。

其中，判断单元用于将提取的DNS服务器地址与DNS服务器地址的白名单进行比对，如果与白名单中的任一项匹配，判定用户端设备的DNS服务器地址配置信息未被篡改；如果与白名单中的任一项均不匹配，将提取的DNS服务器地址与已探知的恶意DNS服务器地址列表进行比对，如果与恶意DNS服务器地址列表中的任一项匹配，判定用户端设备的DNS服务器地址配置信息被篡改。

转发模块926可以用于根据各个DNS服务节点的负荷情况，将DNS查询流量转发到负荷较小的DNS服务节点。

其中，转发模块926可以用于根据用户属性、时间或基站中的至少一项参考因素，将DNS查询流量转发到与所依据参考因素对应的DNS服务节点。

此外，根据本发明的方法还可以实现为一种计算机程序产品，该计算机程序产品包括计算机可读介质，在该计算机可读介质上存储有用于执行本发明的方法中限定的上述功能的计算机程序。本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组 合。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。