一种dns防劫持方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络通信技术领域,具体而言,涉及一种DNS防劫持方法和装置。
【背景技术】
[0002]随着域名系统飞速发展,域名的注册规模急剧扩大,其管理难度急剧增加。由于DNS协议在设计之初没有考虑太多的安全因素,DNS上的各类数据没有加密保护和认证预防,DNS系统在实现上具有脆弱性,再加上人为攻击和破坏,DNS面临非常严重的安全威胁。常见的安全问题包括域名与IP地址之间的映射关系被修改,客户主机遭受欺骗攻击、面临拒绝服务,DNS服务器缓存中毒、区域信息泄漏等。作为Internet上的关键基础服务,DNS—旦出错,将影响互联网大部分业务的正常运行。所以,DNS的安全问受到广泛关注,对DNS系统安全的分析和研究就显得尤为重要。
[0003]当前国内外对于DNS防劫持技术的研究主要基于DNS服务端,其中包括针对协议设计进行的改进、DNS服务端的流量检测、DNS管理和维护等几个方面。而在客户端进行的防护主要体现在对DNS服务器合法性的判断和自动配置方面。现有技术的防劫持设备都需要极大地工作量对现有的系统和设备进行改进,成本较高。
【发明内容】
[0004]有鉴于此,本发明实施例的目的在于提供一种DNS防劫持方法和装置。
[0005]本发明实施例提供的一种DNS防劫持方法,应用于DNS防劫持系统,所述DNS防劫持系统包括客户端和存储设备,所述存储设备内存储有标准域名-1P地址映射对,所述标准域名-1P地址映射对为经过预设规则验证的满足通信协议的映射对,所述方法包括:
[0006]所述客户端接收网络层发送的DNS解析请求;
[0007]根据所述DNS解析请求在所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的IP地址;
[0008]若所述客户端查找到所述DNS解析请求对应的IP地址,将所查找到所述DNS解析请求对应的所述IP地址发送至所述网络层。
[0009]优选地,所述客户端根据所述DNS解析请求在所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的IP地址,具体包括:
[0010]接收所述存储设备发送的清空指令,根据所述清空指令清除本地缓存内存储的原始域名-1P地址映射对;
[0011]接收所述存储设备导入本地缓存的所述标准域名-1P地址映射对;
[0012]根据所接收的所述DNS解析请求在所述本地缓存内的所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的所述IP地址。
[0013]优选地,所述客户端根据所述DNS解析请求在所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的IP地址,具体包括:
[0014]接收所述存储设备的清空指令,根据所述清空指令清除本地缓存内的标准域名-IP地址映射对;
[0015]根据所接收的DNS解析请求生成IP地址查询指令;
[0016]将所述IP地址查询指令发送至所述存储设备,以使所述存储设备在所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的所述IP地址。
[0017]优选地,所述DNS防劫持系统还包括多个DNS服务器,所述方法还包括:
[0018]若所述客户端没有查找到与所述DNS解析请求对应的所述IP地址,生成多个DNS查询数据包;
[0019]将生成的多个所述DNS查询数据包发送至多个所述DNS服务器,其中,每个所述DNS服务器接收一个DNS查询数据包,以使每个所述DNS服务器根据所接收的所述DNS查询数据包反馈一个DNS应答数据包至所述客户端;
[0020]根据第一判决机制和多个所述DNS服务器反馈的所述DNS应答数据包得出与所述DNS解析请求对应的IP地址,将所述IP地址发送至所述网络层。
[0021 ]优选地,所述方法还包括:
[0022]随机抓取经过网卡的自动DNS数据包,所述DNS数据包包括所述DNS解析请求和自动IP地址;
[0023]根据所述DNS解析请求在所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的标准IP地址;
[0024]根据所述自动IP地址、所述标准IP地址和第二判决机制得到DNS防劫持状态监测结果。
[0025]本发明实施例提供的一种DNS防劫持装置,应用于DNS防劫持系统,所述DNS防劫持系统包括客户端和存储设备,所述存储设备内存储有标准域名-1P地址映射对,所述标准域名-1P地址映射对为经过预设规则验证的满足通信协议的映射对,所述客户端包括所述的DNS防劫持装置,所述DNS防劫持装置包括DNS解析请求接收单元、查找单元和IP地址发送单元;
[0026]DNS解析请求接收单元,用于接收网络层发送的DNS解析请求;
[0027]查找单元,用于根据所述DNS解析请求在所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的IP地址;
[0028]IP地址发送单元,用于在所述客户端查找到所述DNS解析请求对应的IP地址时,将所查找到所述DNS解析请求对应的所述IP地址发送至所述网络层。
[0029]优选地,所述查找单元包括第一清空子单元、标准域名-1P地址映射对接收子单元和IP地址查找子单元;
[0030]所述第一清空子单元,用于接收所述存储设备的清空指令,根据所述清空指令清除本地缓存内存储的原始域名-1P地址映射对;
[0031]所述标准域名-1P地址映射对接收子单元,接收所述存储设备导入本地缓存的所述标准域名-1P地址映射对;
[0032]所述IP地址查找子单元,用于根据所接收的所述DNS解析请求在所述本地缓存内的所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的所述IP地址。
[0033]优选地,所述查找单元包括第二清空子单元、IP地址查询指令生成子单元、IP地址查询指令发送子单元;
[0034]所述第二清空子单元,用于接收所述存储设备的清空指令,根据所述清空指令清除本地缓存内存储的原始域名-1P地址映射对;
[0035]所述IP地址查询指令生成子单元,用于根据所接收的DNS解析请求生成IP地址查询指令;
[0036]所述IP地址查询指令发送子单元,用于将所述IP地址查询指令发送至所述存储设备,以使所述存储设备在所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的IP地址。
[0037]优选地,所述DNS防劫持系统还包括多个DNS服务器,所述DNS防劫持装置还包括DNS查询数据包生成单元、DNS查询数据包发送单元和判决单元;
[0038]所述DNS查询数据包生成单元,用于在所述客户端没有查找到与所述DNS解析请求对应的IP地址时,生成多个DNS查询数据包;
[0039]所述DNS查询数据包发送单元,用于将生成的多个所述DNS查询数据包发送至多个所述DNS服务器,其中,每个所述DNS服务器接收一个DNS查询数据包,以使每个所述DNS服务器根据所接收的所述DNS查询数据包反馈一个DNS应答数据包至所述判决单元;
[0040]所述判决单元,用于根据多个所述DNS服务器反馈的所述DNS应答数据包和第一判决机制得出与所述DNS解析请求对应的IP地址,将所述IP地址发送至所述网络层。
[0041]优选地,还包括自动DNS数据包抓取单元、标准IP地址获取单元和状态监测单元;
[0042]所述DNS数据包抓取单元,用于随机抓取讲过网卡的自动DNS数据包,所述DNS数据包包括所述DNS解析请求和自动IP地址;
[0043]所述标准IP地址获取单元,用于根据所述DNS解析请求在所述标准域名-1P地址映射对内查找与所述DNS解析请求对应的标准IP地址;
[0044]所述状态监测单元,用于根据所述自动IP地址、所述标准IP地址和第二判决机制得到DNS防劫持状态监测结果。
[0045]与现有技术相比,本发明的DNS防劫持方法及其所应用的DNS防劫持系统,所述系统包括DNS防劫持装置,包括客户端和存储设备,增设的存储设备内存储有标准域名-1P地址映射对,所述标准域名-1P地址映射对为经过预设规则验证的满足通信协议的映射对,客户端在接收到网络层的DNS解析请求时,从存储有标准域名-1P地址映射对的存储设备中查找IP地址,以较为安全的方式实现了 DNS系统的应用安全性。
[0046]为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
【附图说明】
[0047]为了更清楚地说明本发明实施例的技术方案,下面将对