一种防止域名系统DNS污染的方法和网关与流程

本发明涉及网络技术领域，具体涉及一种防止域名系统DNS污染的方法和网关。

背景技术：

域名(Domain Name)是互联网上计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位(有时也指地理位置)。在互联网中，域名系统(Domain Name System，DNS)作为域名和互联网协议(Internet Protocol，IP)地址相互映射的一个联机分布式数据库系统，能够使用户更方便的访问互联网。通过域名，最终得到该域名对应的IP地址的过程叫做域名解析。DNS服务器是进行域名和与之相对应的IP地址转换的服务器。

现有技术中用户终端访问网站的场景如图1所示，访问网站(如www.test.com)的流程如下步骤1至5：

1、用户终端在浏览器中访问www.test.com时，先向DNS服务器发送DNS查询请求，DNS查询请求报文中包含要查询IP地址的网站信息，即www.test.com。

2、网关(例如家庭网关、企业网关)获取到DNS查询请求报文并转发到运营商设备(例如运营商网关)，运营商设备将DNS查询请求报文发送到DNS服务器。

3、DNS服务器收到DNS查询请求报文后，查询www.test.com对应的IP地址，并将携带有该IP地址的DNS解析报文发送到运营商设备。

4、运营商设备获取DNS解析报文并转发给网关，网关将DNS解析报文发送到用户终端。

5、用户终端向www.test.com对应的IP地址发起TCP三次握手过程打开网站页面。

但是部分恶意运营商在运营商设备处旁路部署了劫持服务器，当运营商设备获取到DNS查询请求报文后，劫持服务器通过DNS污染等手段向运营商设备发送含有错误的IP地址的DNS解析报文，该错误的IP地址对应的网页可能含有恶意广告、木马等。由于劫持服务器属于旁路部署，所以错误的DNS解析报文会先于正确的DNS解析报文到达用户终端，用户终端会将后到达的正确的DNS解析报文丢弃。这样，用户终端的浏览器就会打开一个错误的网站。

可见，由于存在DNS污染的现象，在访问网站时，用户会发现无法访问正确的目标网站，甚至打开带有病毒木马网站的情况，给用户带来安全隐患。

技术实现要素：

鉴于上述问题，本发明提出了克服上述问题的一种防止域名系统DNS污染的方法和网关。

第一方面，本发明提出一种防止域名系统DNS污染的方法，包括：

网关发送DNS查询请求测试报文，并基于接收到的DNS解析测试报文建立DNS污染的IP地址库；

所述网关在获取到用户终端发送的DNS查询请求报文后，转发所述DNS查询请求报文，并接收DNS解析报文；

所述网关判断所述IP地址库中是否存在所述DNS解析报文中携带的IP地址，若是，则丢弃所述DNS解析报文，防止DNS污染。

可选的，所述网关发送DNS查询请求测试报文，并基于接收到的DNS解析测试报文建立DNS污染的IP地址库，包括：

所述网关基于多个预设的互不相同的测试域名，发送多个DNS查询请求测试报文；多个所述测试域名与多个所述DNS查询请求测试报文一一对应；

所述网关接收各所述DNS查询请求测试报文对应的DNS解析测试报文；

所述网关将各DNS解析测试报文中相同的IP地址记录到所述DNS污染的IP地址库中，以建立所述DNS污染的IP地址库。

可选的，所述网关判断所述IP地址库中是否存在所述DNS解析报文中携带的IP地址，若否，则将所述DNS解析报文发送到所述用户终端。

第二方面，本发明还提出一种网关，包括：

建立单元，用于发送DNS查询请求测试报文，并基于接收到的DNS解析测试报文建立DNS污染的IP地址库；

通信单元，用于在获取到用户终端发送的DNS查询请求报文后，转发所述DNS查询请求报文，并接收DNS解析报文；

处理单元，用于判断所述IP地址库中是否存在所述DNS解析报文中携带的IP地址，若是，则丢弃所述DNS解析报文，防止DNS污染。

可选的，所述建立单元，用于基于多个预设的互不相同的测试域名，发送多个DNS查询请求测试报文；多个所述测试域名与多个所述DNS查询请求测试报文一一对应；接收各所述DNS查询请求测试报文对应的DNS解析测试报文；将各DNS解析测试报文中相同的IP地址记录到所述DNS污染的IP地址库中，以建立所述DNS污染的IP地址库。

可选的，所述处理单元，用于判断所述IP地址库中是否存在所述DNS解析报文中携带的IP地址，若否，则将所述DNS解析报文发送到所述用户终端。

相比于现有技术，本发明提出的防止域名系统DNS污染的方法和网关，通过建立DNS污染的IP地址库，判断收到的DNS解析报文中的IP地址是否属于IP地址库，从而过滤掉DNS污染的IP地址，使用户访问网页时可以正常浏览，提高浏览质量，避免恶意劫持带来的盗号，广告风险。

附图说明

图1为现有技术中用户终端访问网站的场景示意图；

图2为本发明第一实施例公开的一种防止域名系统DNS污染的方法流程图；

图3为本发明第二实施例公开的一种网关结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

需要说明的是，本文中提及的用户终端可以包括任何类型的设备，诸如手持式计算机、个人数字助理PDA、网络家电、智能电视、智能手机、平板电脑、笔记本电脑、掌上游戏机、智能手表、媒体播放器或者这些数据处理设备或其他数据处理设备中的任何两个或多个的组合。

如图2所示，本实施例公开一种防止域名系统DNS污染的方法，该方法的执行主体为网关，网关包括家庭网关，企业网关等非运营商网关，所述方法可包括以下步骤201至204：

201、网关发送DNS查询请求测试报文，并基于接收到的DNS解析测试报文建立DNS污染的IP地址库。

以图1所示的场景为例，网关向DNS服务器发送DNS查询请求测试报文。运营商设备获取DNS查询请求测试报文，并转发到DNS服务器。DNS服务器将DNS解析测试报文发送到运营商设备。运营商设备再转发到网关。由于运营商设备处旁路部署了劫持服务器，劫持服务器向运营商设备发送的错误的DNS解析测试报文先被运营商设备转发到网关。这样，基于先接收到的DNS解析测试报文，可提取出DNS污染的IP地址，从而建立DNS污染的IP地址库。

202、所述网关在获取到用户终端发送的DNS查询请求报文后，转发所述DNS查询请求报文，并接收DNS解析报文。

203、所述网关判断所述IP地址库中是否存在所述DNS解析报文中携带的IP地址，若是，则执行步骤204。

204、丢弃所述DNS解析报文，防止DNS污染。

本实施例中，当判定所述IP地址库中存在所述DNS解析报文中携带的IP地址，则说明该IP地址为DNS污染的IP地址，因此丢弃所述DNS解析报文，以获取正确的DNS解析报文。

本实施例中，当判定所述IP地址库中不存在所述DNS解析报文中携带的IP地址，则说明该IP地址为正确的IP地址，因此将所述DNS解析报文发送到所述用户终端。

相比于现有技术，本实施例公开的防止域名系统DNS污染的方法，通过建立DNS污染的IP地址库，判断收到的DNS解析报文中的IP地址是否属于IP地址库，从而过滤掉DNS污染的IP地址，使用户访问网页时可以正常浏览，提高浏览质量，避免恶意劫持带来的盗号，广告风险。

在一个具体的例子中，给出图2所示的步骤201“所述网关发送DNS查询请求测试报文，并基于接收到的DNS解析测试报文建立DNS污染的IP地址库”的一种优选实施方式，具体包括图2中未示出的步骤2011～2013：

2011、所述网关基于多个预设的互不相同的测试域名，发送多个DNS查询请求测试报文；多个所述测试域名与多个所述DNS查询请求测试报文一一对应。

2012、所述网关接收各所述DNS查询请求测试报文对应的DNS解析测试报文。

2013、所述网关将各DNS解析测试报文中相同的IP地址记录到所述DNS污染的IP地址库中，以建立所述DNS污染的IP地址库。

本实施例，考虑DNS服务器被DNS污染，甚至是多个DNS服务器被DNS污染的情况，由于DNS污染后，DNS解析结果中的IP一般为同一个IP地址，因此，若发送携带有不同的测试域名的DNS查询请求测试报文后接收到的DNS解析测试报文有相同的IP地址，则说明该IP地址为DNS污染的IP地址。

如图3所示，本实施例公开一种网关，包括家庭网关，企业网关等非运营商网关，所述网关可包括以下单元：建立单元31、通信单元32以及处理单元33。各单元说明如下：

建立单元31，用于发送DNS查询请求测试报文，并基于接收到的DNS解析测试报文建立DNS污染的IP地址库；

通信单元32，用于在获取到用户终端发送的DNS查询请求报文后，转发所述DNS查询请求报文，并接收DNS解析报文；

处理单元33，用于判断所述IP地址库中是否存在所述DNS解析报文中携带的IP地址，若是，则丢弃所述DNS解析报文，防止DNS污染。

本实施例公开的网关，可实现图2所示的防止域名系统DNS污染的方法流程，因此，本实施例中的网关的效果及说明可参见图2所示的方法实施例，在此不再赘述。

在一个具体的例子中，所述建立单元31，用于基于多个预设的互不相同的测试域名，发送多个DNS查询请求测试报文；多个所述测试域名与多个所述DNS查询请求测试报文一一对应；接收各所述DNS查询请求测试报文对应的DNS解析测试报文；将各DNS解析测试报文中相同的IP地址记录到所述DNS污染的IP地址库中，以建立所述DNS污染的IP地址库。

在一个具体的例子中，所述处理单元33，用于判断所述IP地址库中是否存在所述DNS解析报文中携带的IP地址，若否，则将所述DNS解析报文发送到所述用户终端。

本领域技术人员可以理解，可以把实施例中的各单元组合成一个单元，以及此外可以把它们分成多个子单元。除了这样的特征和/或过程或者单元中的至少一些是互相排斥之处，可以采用任何组合对本说明书中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。

本领域技术人员可以理解，实施例中的各单元可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。

虽然结合附图描述了本发明的实施方式，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。