一种DNS流量处理的方法、系统、设备及存储介质与流程

本申请涉及计算机领域，尤其涉及一种dns流量处理的方法、系统、设备及存储介质。

背景技术：

1、当前网络环境下，传统dns(域名解析系统)解析过程中，易遭受各种各样的攻击，可能产生数据泄露风险，导致传统dns解析服务器的安全性和性能无法得到保证。

2、现有技术中，往往通过doh(dns over https)或者dot(dns over tls)等协议加密数据并将dns数据发送到安全dns解析服务器。

3、然而，不管是doh协议还是dot协议都依赖于tls协议(安全传输层协议)的安全性，而tls协议的安全性主要依赖于第三方ca服务商。一旦第三方ca服务商出现运营事故或安全事故，则无法使用ca服务商的认证服务，将直接影响到使用企业it服务的最终用户。同时，无法排除一些国家具有第三方ca服务商的控制权，因此存在被攻击的可能性。

技术实现思路

1、本申请的一个目的是提供一种dns流量处理的方法、系统、设备及存储介质，用以解决现有技术中dns解析及加密受限于第三方ca服务商致使易被攻击的问题。

2、根据本申请的一个方面，提供了一种dns流量处理的方法，应用于客户端，所述方法包括：

3、本地的dns流量被劫持到所述客户端；

4、所述客户端解析所述dns流量，并基于预设规则对所述dns流量进行相应处理，包括：当所述dns流量与所述预设规则相匹配时，将dns流量的目的地址改写为指定dns服务器的地址，并对所述dns流量进行加密处理，将加密处理后的dns流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的dns流量进行安全检查，并将通过安全检查的dns流量根据所述指定dns服务器的地址发往指定dns服务器。

5、可选地，对所述dns流量进行加密处理，包括：

6、使用私有协议对所述dns流量进行加密处理。

7、可选地，所述预设规则包含需要启用指定dns的第一域名集合，所述方法还包括：

8、当所述dns流量对应的域名与所述需要启用指定dns的第一域名集合存在匹配项时，确定所述dns流量与所述预设规则相匹配。

9、可选地，所述方法还包括：

10、当所述dns流量对应的域名与所述需要启用指定dns的第一域名集合不存在匹配项时，确定所述dns流量与预设规则不匹配。

11、可选地，所述客户端解析所述dns流量，并基于预设规则对所述dns流量进行相应处理，还包括：

12、当所述dns流量与所述预设规则不匹配时，客户端不对所述dns流量的目的地址进行改写，其中，所述dns流量的目的地址为默认dns服务器的地址；

13、对所述dns流量进行加密处理，将加密处理后的dns流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的dns流量进行安全检查，并将通过安全检查的dns流量根据所述默认dns服务器的地址发往默认dns服务器。

14、可选地，所述方法包括：

15、所述客户端从管理平台接收所述预设规则。

16、本申请实施例还提供了一种dns流量处理的方法，应用于边缘节点，所述方法包括：

17、获取客户端发送的加密处理后的dns流量；

18、对所述客户端发送的加密处理后的dns流量进行安全检查，根据dns流量的目的地址，将通过安全检查的dns流量发往指定dns服务器或者默认dns服务器的地址。

19、可选地，对所述客户端发送的加密处理后的dns流量进行安全检查，包括：

20、对所述dns流量对应的数据包进行解密处理，得到解密后的dns流量；

21、对所述解密后的dns流量对应的报文进行安全检查。

22、本申请实施例还提供了一种dns流量处理的方法，应用于管理平台，所述方法包括：

23、获取预设规则；

24、将所述预设规则发送至客户端，以使得所述客户端基于所述预设规则对被劫持到客户端的本地的dns流量进行相应处理。

25、可选地，所述预设规则包括需要启用指定dns的第一域名集合，以使得当所述dns流量对应的域名与所述需要启用指定dns的第一域名集合存在匹配项时，所述客户端将被劫持到客户端的本地的dns流量的目的地址改写为指定dns服务器的地址，并对所述dns流量进行加密处理，将加密处理后的dns流量发送至边缘节点进行安全检查。

26、本申请实施例还提供了一种dns流量处理的系统，所述系统包括客户端、管理平台、边缘节点和指定dns服务器，其中，

27、所述客户端用于劫持本地的dns流量，解析所述dns流量，并基于预设规则对所述dns流量进行相应处理，包括：当所述dns流量与所述预设规则相匹配时，将dns流量的目的地址改写为指定dns服务器的地址，并对所述dns流量进行加密处理，将加密处理后的dns流量发送至边缘节点；

28、所述管理平台用于获取预设规则，将所述预设规则发送至所述客户端；

29、所述边缘节点用于获取客户端发送的加密处理后的dns流量，对所述客户端发送的加密处理后的dns流量进行安全检查，根据dns流量的目的地址，将通过安全检查的dns流量发往指定dns服务器或者默认dns服务器的地址；

30、所述指定dns服务器用于获取边缘节点发送的通过安全检查的dns流量，对所述通过安全检查的dns流量进行响应。

31、本申请实施例还提供了一种用于dns流量处理的设备，所述设备包括：

32、一个或多个处理器；以及

33、存储有计算机可读指令的存储器，所述计算机可读指令在被执行时使所述处理器执行所述用于dns流量处理的方法的操作。

34、本申请实施例还提供了一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现所述一种dns流量处理的方法。

35、与现有技术相比，本申请实施例提供的一种dns流量处理的方案中，客户端劫持本地的dns流量，解析所述dns流量，并基于预设规则对所述dns流量进行相应处理，当所述dns流量与所述预设规则相匹配时，将dns流量的目的地址改写为指定dns服务器的地址，并对所述dns流量进行加密处理，将加密处理后的dns流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的dns流量进行安全检查，并将通过安全检查的dns流量根据所述指定dns服务器的地址发往指定dns服务器。相较于需要有算法协商的过程用以适配各种浏览器的基于tls协议的传统方案，在本申请实施例的方案中，由于可以省略算法协商，直接进行密钥协商，从而可以使得协商速度更快，提升协商效率；由于是在本地的客户端进行dns引流，从而可以降低数据泄露的风险，提升数据的安全性。

技术特征：

1.一种dns流量处理的方法，其特征在于，应用于客户端，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，对所述dns流量进行加密处理，包括：

3.根据权利要求1所述的方法，其特征在于，所述预设规则包含需要启用指定dns的第一域名集合，所述方法还包括：

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

5.根据权利要求4所述的方法，其中，所述客户端解析所述dns流量，并基于预设规则对所述dns流量进行相应处理，还包括：

6.根据权利要求1-4中任意一项所述的方法，其特征在于，所述方法包括：

7.一种dns流量处理的方法，其特征在于，应用于边缘节点，所述方法包括：

8.根据权利要求7所述的方法，其特征在于，对所述客户端发送的加密处理后的dns流量进行安全检查，包括：

9.一种dns流量处理的方法，其特征在于，应用于管理平台，所述方法包括：

10.根据权利要求9所述的方法，其特征在于，所述预设规则包括需要启用指定dns的第一域名集合，以使得当所述dns流量对应的域名与所述需要启用指定dns的第一域名集合存在匹配项时，所述客户端将被劫持到客户端的本地的dns流量的目的地址改写为指定dns服务器的地址，并对所述dns流量进行加密处理，将加密处理后的dns流量发送至边缘节点进行安全检查。

11.一种dns流量处理的系统，其特征在于，所述系统包括客户端、管理平台、边缘节点和指定dns服务器，其中，

12.一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现如权利要求1至10中任一项所述的方法。

13.一种用于dns流量处理的设备，其中，所述设备包括：

技术总结
本申请的目的是提供一种DNS流量处理的方法、系统、设备及存储介质，本申请通过客户端劫持本地的DNS流量，解析所述DNS流量，并基于预设规则对所述DNS流量进行相应处理，当所述DNS流量与所述预设规则相匹配时，将DNS流量的目的地址改写为指定DNS服务器的地址，并对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的DNS流量进行安全检查，并将通过安全检查的DNS流量根据所述指定DNS服务器的地址发往指定DNS服务器。从而提升处理效率，并降低数据泄露的风险。

技术研发人员：王琪琛,胡金涌
受保护的技术使用者：上海云盾信息技术有限公司
技术研发日：
技术公布日：2024/1/15