本申请涉及计算机领域,尤其涉及一种dns流量处理的方法、系统、设备及存储介质。
背景技术:
1、当前网络环境下,传统dns(域名解析系统)解析过程中,易遭受各种各样的攻击,可能产生数据泄露风险,导致传统dns解析服务器的安全性和性能无法得到保证。
2、现有技术中,往往通过doh(dns over https)或者dot(dns over tls)等协议加密数据并将dns数据发送到安全dns解析服务器。
3、然而,不管是doh协议还是dot协议都依赖于tls协议(安全传输层协议)的安全性,而tls协议的安全性主要依赖于第三方ca服务商。一旦第三方ca服务商出现运营事故或安全事故,则无法使用ca服务商的认证服务,将直接影响到使用企业it服务的最终用户。同时,无法排除一些国家具有第三方ca服务商的控制权,因此存在被攻击的可能性。
技术实现思路
1、本申请的一个目的是提供一种dns流量处理的方法、系统、设备及存储介质,用以解决现有技术中dns解析及加密受限于第三方ca服务商致使易被攻击的问题。
2、根据本申请的一个方面,提供了一种dns流量处理的方法,应用于客户端,所述方法包括:
3、本地的dns流量被劫持到所述客户端;
4、所述客户端解析所述dns流量,并基于预设规则对所述dns流量进行相应处理,包括:当所述dns流量与所述预设规则相匹配时,将dns流量的目的地址改写为指定dns服务器的地址,并对所述dns流量进行加密处理,将加密处理后的dns流量发送至边缘节点,以使得所述边缘节点对所述加密处理后的dns流量进行安全检查,并将通过安全检查的dns流量根据所述指定dns服务器的地址发往指定dns服务器。
5、可选地,对所述dns流量进行加密处理,包括:
6、使用私有协议对所述dns流量进行加密处理。
7、可选地,所述预设规则包含需要启用指定dns的第一域名集合,所述方法还包括:
8、当所述dns流量对应的域名与所述需要启用指定dns的第一域名集合存在匹配项时,确定所述dns流量与所述预设规则相匹配。
9、可选地,所述方法还包括:
10、当所述dns流量对应的域名与所述需要启用指定dns的第一域名集合不存在匹配项时,确定所述dns流量与预设规则不匹配。
11、可选地,所述客户端解析所述dns流量,并基于预设规则对所述dns流量进行相应处理,还包括:
12、当所述dns流量与所述预设规则不匹配时,客户端不对所述dns流量的目的地址进行改写,其中,所述dns流量的目的地址为默认dns服务器的地址;
13、对所述dns流量进行加密处理,将加密处理后的dns流量发送至边缘节点,以使得所述边缘节点对所述加密处理后的dns流量进行安全检查,并将通过安全检查的dns流量根据所述默认dns服务器的地址发往默认dns服务器。
14、可选地,所述方法包括:
15、所述客户端从管理平台接收所述预设规则。
16、本申请实施例还提供了一种dns流量处理的方法,应用于边缘节点,所述方法包括:
17、获取客户端发送的加密处理后的dns流量;
18、对所述客户端发送的加密处理后的dns流量进行安全检查,根据dns流量的目的地址,将通过安全检查的dns流量发往指定dns服务器或者默认dns服务器的地址。
19、可选地,对所述客户端发送的加密处理后的dns流量进行安全检查,包括:
20、对所述dns流量对应的数据包进行解密处理,得到解密后的dns流量;
21、对所述解密后的dns流量对应的报文进行安全检查。
22、本申请实施例还提供了一种dns流量处理的方法,应用于管理平台,所述方法包括:
23、获取预设规则;
24、将所述预设规则发送至客户端,以使得所述客户端基于所述预设规则对被劫持到客户端的本地的dns流量进行相应处理。
25、可选地,所述预设规则包括需要启用指定dns的第一域名集合,以使得当所述dns流量对应的域名与所述需要启用指定dns的第一域名集合存在匹配项时,所述客户端将被劫持到客户端的本地的dns流量的目的地址改写为指定dns服务器的地址,并对所述dns流量进行加密处理,将加密处理后的dns流量发送至边缘节点进行安全检查。
26、本申请实施例还提供了一种dns流量处理的系统,所述系统包括客户端、管理平台、边缘节点和指定dns服务器,其中,
27、所述客户端用于劫持本地的dns流量,解析所述dns流量,并基于预设规则对所述dns流量进行相应处理,包括:当所述dns流量与所述预设规则相匹配时,将dns流量的目的地址改写为指定dns服务器的地址,并对所述dns流量进行加密处理,将加密处理后的dns流量发送至边缘节点;
28、所述管理平台用于获取预设规则,将所述预设规则发送至所述客户端;
29、所述边缘节点用于获取客户端发送的加密处理后的dns流量,对所述客户端发送的加密处理后的dns流量进行安全检查,根据dns流量的目的地址,将通过安全检查的dns流量发往指定dns服务器或者默认dns服务器的地址;
30、所述指定dns服务器用于获取边缘节点发送的通过安全检查的dns流量,对所述通过安全检查的dns流量进行响应。
31、本申请实施例还提供了一种用于dns流量处理的设备,所述设备包括:
32、一个或多个处理器;以及
33、存储有计算机可读指令的存储器,所述计算机可读指令在被执行时使所述处理器执行所述用于dns流量处理的方法的操作。
34、本申请实施例还提供了一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现所述一种dns流量处理的方法。
35、与现有技术相比,本申请实施例提供的一种dns流量处理的方案中,客户端劫持本地的dns流量,解析所述dns流量,并基于预设规则对所述dns流量进行相应处理,当所述dns流量与所述预设规则相匹配时,将dns流量的目的地址改写为指定dns服务器的地址,并对所述dns流量进行加密处理,将加密处理后的dns流量发送至边缘节点,以使得所述边缘节点对所述加密处理后的dns流量进行安全检查,并将通过安全检查的dns流量根据所述指定dns服务器的地址发往指定dns服务器。相较于需要有算法协商的过程用以适配各种浏览器的基于tls协议的传统方案,在本申请实施例的方案中,由于可以省略算法协商,直接进行密钥协商,从而可以使得协商速度更快,提升协商效率;由于是在本地的客户端进行dns引流,从而可以降低数据泄露的风险,提升数据的安全性。
1.一种dns流量处理的方法,其特征在于,应用于客户端,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,对所述dns流量进行加密处理,包括:
3.根据权利要求1所述的方法,其特征在于,所述预设规则包含需要启用指定dns的第一域名集合,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求4所述的方法,其中,所述客户端解析所述dns流量,并基于预设规则对所述dns流量进行相应处理,还包括:
6.根据权利要求1-4中任意一项所述的方法,其特征在于,所述方法包括:
7.一种dns流量处理的方法,其特征在于,应用于边缘节点,所述方法包括:
8.根据权利要求7所述的方法,其特征在于,对所述客户端发送的加密处理后的dns流量进行安全检查,包括:
9.一种dns流量处理的方法,其特征在于,应用于管理平台,所述方法包括:
10.根据权利要求9所述的方法,其特征在于,所述预设规则包括需要启用指定dns的第一域名集合,以使得当所述dns流量对应的域名与所述需要启用指定dns的第一域名集合存在匹配项时,所述客户端将被劫持到客户端的本地的dns流量的目的地址改写为指定dns服务器的地址,并对所述dns流量进行加密处理,将加密处理后的dns流量发送至边缘节点进行安全检查。
11.一种dns流量处理的系统,其特征在于,所述系统包括客户端、管理平台、边缘节点和指定dns服务器,其中,
12.一种计算机可读介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如权利要求1至10中任一项所述的方法。
13.一种用于dns流量处理的设备,其中,所述设备包括: