亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

域名系統(tǒng)服務(wù)器緩存感染的防御方法和網(wǎng)絡(luò)出口設(shè)備的制作方法

文檔序號(hào):7745050閱讀:156來(lái)源:國(guó)知局
專(zhuān)利名稱(chēng):域名系統(tǒng)服務(wù)器緩存感染的防御方法和網(wǎng)絡(luò)出口設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及域名解析技術(shù),尤其涉及域名系統(tǒng)(DNS,Domain NameSystem)服務(wù)器緩存感染的防御方法。
背景技術(shù)
目前,人們通常使用域名(例如www. ABC. com)訪問(wèn)網(wǎng)絡(luò)。而網(wǎng)絡(luò)中的實(shí)體之間一 般通過(guò)IP地址進(jìn)行互相識(shí)別。為保證人們通過(guò)域名能夠訪問(wèn)網(wǎng)絡(luò),網(wǎng)絡(luò)需要將域名轉(zhuǎn)換為 某個(gè)或某些實(shí)體的IP地址,一般將這種轉(zhuǎn)換工作稱(chēng)為域名解析。域名解析可以由專(zhuān)用的服 務(wù)器來(lái)完成,一般將完成域名解析工作的服務(wù)器稱(chēng)為DNS服務(wù)器。下面結(jié)合圖1,簡(jiǎn)單介紹域名解析的過(guò)程。如圖1所示,客戶(hù)端向DNS服務(wù)器發(fā)出 攜帶有域名的請(qǐng)求消息(步驟1),DNS服務(wù)器查找與所述域名對(duì)應(yīng)的名字服務(wù)器(NS,Name Server)的信息,向與所述域名對(duì)應(yīng)的NS發(fā)出攜帶有所述域名的請(qǐng)求消息(步驟2),NS查 找與所述域名對(duì)應(yīng)的IP地址,向DNS服務(wù)器返回?cái)y帶所述IP地址的響應(yīng)消息(步驟3), DNS服務(wù)器向客戶(hù)端返回?cái)y帶所述IP地址的響應(yīng)消息(步驟4)。為了提高解析效率,DNS服務(wù)器中一般設(shè)置有緩存,用于暫存一些域名與IP地址 的對(duì)應(yīng)關(guān)系,這樣,當(dāng)客戶(hù)端請(qǐng)求DNS服務(wù)器解析某個(gè)域名時(shí),如果DNS服務(wù)器的緩存中暫 存有這個(gè)域名與某個(gè)IP地址的對(duì)應(yīng)關(guān)系,那么DNS服務(wù)器直接將與這個(gè)域名對(duì)應(yīng)的IP地 址返回給客戶(hù)端,而無(wú)須再向NS請(qǐng)求獲得與這個(gè)域名對(duì)應(yīng)的IP地址。然而,在實(shí)際應(yīng)用中,DNS服務(wù)器可能會(huì)獲得非法的IP地址,即,獲得并不與域名 對(duì)應(yīng)的IP地址,并在緩存中保存域名與非法的IP地址的對(duì)應(yīng)關(guān)系,這種現(xiàn)象稱(chēng)為緩存感 染。在緩存感染的情況下,如果客戶(hù)端請(qǐng)求DNS服務(wù)器解析域名時(shí),DNS服務(wù)器就可能將非 法的IP地址返回給客戶(hù)端,導(dǎo)致客戶(hù)端訪問(wèn)非法IP地址對(duì)應(yīng)的網(wǎng)絡(luò)實(shí)體。

發(fā)明內(nèi)容
本發(fā)明提供DNS服務(wù)器緩存感染的防御方法和網(wǎng)絡(luò)出口設(shè)備,用以避免在DNS服 務(wù)器緩存感染的情況下,DNS服務(wù)器向客戶(hù)端提供非法的IP地址,導(dǎo)致客戶(hù)端訪問(wèn)非法IP 地址對(duì)應(yīng)的網(wǎng)絡(luò)實(shí)體。本發(fā)明提供一種DNS服務(wù)器緩存感染的防御方法,適用于客戶(hù)端與DNS服務(wù)器之 間設(shè)置有網(wǎng)絡(luò)出口設(shè)備的網(wǎng)絡(luò)環(huán)境,所述方法包括網(wǎng)絡(luò)出口設(shè)備確定需要解析的域名; 網(wǎng)絡(luò)出口設(shè)備向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名;網(wǎng)絡(luò)出口設(shè)備獲得多個(gè)DNS服務(wù)器返 回的與所述域名對(duì)應(yīng)的IP地址;網(wǎng)絡(luò)出口設(shè)備針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將 與所述域名對(duì)應(yīng)的IP地址提供給客戶(hù)端。本發(fā)明還提供一種網(wǎng)絡(luò)出口設(shè)備,設(shè)置在客戶(hù)端與DNS服務(wù)器之間,所述網(wǎng)絡(luò)出 口設(shè)備包括域名確定單元,用于確定需要解析的域名;域名解析請(qǐng)求單元,用于向多個(gè) DNS服務(wù)器請(qǐng)求解析所述域名;解析結(jié)果獲得單元,用于在所述域名解析請(qǐng)求單元向多個(gè) DNS服務(wù)器請(qǐng)求解析所述域名后,獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址;IP地址提供單元,用于針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將與所述域名對(duì)應(yīng)的IP地址提供給客戶(hù)端。在本發(fā)明中,網(wǎng)絡(luò)出口設(shè)備向多個(gè)DNS服務(wù)器請(qǐng)求解析域名,并獲得多個(gè)DNS服務(wù) 器返回的與所述域名對(duì)應(yīng)的IP地址,這種情況下,即使某個(gè)或某些DNS服務(wù)器緩存感染,網(wǎng) 絡(luò)出口設(shè)備也很容易發(fā)現(xiàn)這個(gè)現(xiàn)象,從而不會(huì)盲目的將某個(gè)DNS服務(wù)器返回的IP地址提供 給客戶(hù)端,避免了客戶(hù)端訪問(wèn)非法IP地址對(duì)應(yīng)的網(wǎng)絡(luò)實(shí)體。


為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以 根據(jù)這些附圖獲得其他的附圖。圖1為現(xiàn)有的域名解析方法的示意圖;圖2為本發(fā)明應(yīng)用的網(wǎng)絡(luò)環(huán)境示意圖;圖3為本發(fā)明的一種DNS服務(wù)器緩存感染的防御方法流程圖;圖4為本發(fā)明的一種網(wǎng)絡(luò)出口設(shè)備的邏輯結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;?本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。為使本領(lǐng)域技術(shù)人員清楚的理解本發(fā)明,首先對(duì)本發(fā)明應(yīng)用的網(wǎng)絡(luò)環(huán)境和涉及的 一些技術(shù)要點(diǎn)進(jìn)行說(shuō)明。如圖2所示,在客戶(hù)端與DNS服務(wù)器之間設(shè)置有網(wǎng)絡(luò)出口設(shè)備。網(wǎng)絡(luò)出口設(shè)備可 以設(shè)置在客戶(hù)端所在的局域網(wǎng)的出口。網(wǎng)絡(luò)出口設(shè)備可以具有防火墻的功能,也可以具有網(wǎng)關(guān)的功能,還可以同時(shí)具有 防火墻和網(wǎng)關(guān)的功能。網(wǎng)絡(luò)出口設(shè)備可以傳遞客戶(hù)端與DNS服務(wù)器之間的消息,也可以主動(dòng)請(qǐng)求DNS服 務(wù)器解析域名。網(wǎng)絡(luò)出口設(shè)備中可以配置有多個(gè)DNS服務(wù)器的IP地址,這樣,網(wǎng)絡(luò)出口設(shè) 備可以根據(jù)這些IP地址,請(qǐng)求多個(gè)DNS服務(wù)器解析域名。在實(shí)際應(yīng)用中,網(wǎng)絡(luò)可以被劃分 為多個(gè)區(qū)域,一個(gè)區(qū)域部署有至少一個(gè)DNS服務(wù)器,如果網(wǎng)絡(luò)出口設(shè)備中配置有多個(gè)區(qū)域 的DNS服務(wù)器的IP地址,那么網(wǎng)絡(luò)出口設(shè)備就可以根據(jù)這些IP地址,請(qǐng)求多個(gè)區(qū)域的DNS 服務(wù)器解析域名。網(wǎng)絡(luò)出口設(shè)備可以保存域名與IP地址之間的對(duì)應(yīng)關(guān)系。即使客戶(hù)端沒(méi)有請(qǐng)求解 析域名,網(wǎng)絡(luò)出口設(shè)備也可以主動(dòng)向多個(gè)DNS服務(wù)器請(qǐng)求解析某個(gè)或某些域名。如果這些 DNS服務(wù)器返回的與某個(gè)域名對(duì)應(yīng)的IP地址完全一致,則網(wǎng)絡(luò)出口設(shè)備保存這個(gè)域名與對(duì) 應(yīng)的IP地址之間的對(duì)應(yīng)關(guān)系。當(dāng)有客戶(hù)端請(qǐng)求解析某個(gè)域名時(shí),如果網(wǎng)絡(luò)出口設(shè)備已經(jīng)保 存了這個(gè)域名與某個(gè)IP地址的對(duì)應(yīng)關(guān)系,則網(wǎng)絡(luò)出口設(shè)備可以不必再向DNS服務(wù)器請(qǐng)求解析這個(gè)域名,而是直接將保存的與這個(gè)域名對(duì)應(yīng)的IP地址返回給客戶(hù)端。當(dāng)然,為了保證 提供給客戶(hù)端的IP地址更安全,即使網(wǎng)絡(luò)出口設(shè)備已經(jīng)保存了這個(gè)域名與某個(gè)IP地址的 對(duì)應(yīng)關(guān)系,那么網(wǎng)絡(luò)出口設(shè)備也可以再向多個(gè)DNS服務(wù)器請(qǐng)求解析這個(gè)域名,如果這些DNS 服務(wù)器返回的與這個(gè)域名對(duì)應(yīng)的IP地址都與之前保存的與這個(gè)域名對(duì)應(yīng)的IP地址相同, 則網(wǎng)絡(luò)出口設(shè)備可以向客戶(hù)端返回與這個(gè)域名對(duì)應(yīng)的IP地址。網(wǎng)絡(luò)出口設(shè)備可以周期性的請(qǐng)求多個(gè)DNS服務(wù)器解析域名。在每次獲得多個(gè)DNS 服務(wù)器返回的對(duì)應(yīng)某個(gè)域名的IP地址后,將返回的IP地址與之前保存的IP地址進(jìn)行比 較,如果完全一致,則可以不必修改之前保存的這個(gè)域名與IP地址的對(duì)應(yīng)關(guān)系,如果不完 全一致,則可以有多種處理方式。例如,網(wǎng)絡(luò)出口設(shè)備再向與之前請(qǐng)求過(guò)的多個(gè)DNS服務(wù)器 不同的多個(gè)DNS服務(wù)器請(qǐng)求解析這個(gè)域名,如果當(dāng)前返回的IP地址與之前返回的IP地址 完全一致,則說(shuō)明這個(gè)域名對(duì)應(yīng)的IP地址極有可能發(fā)生了變化,所以,將之前保存的這個(gè) 域名對(duì)應(yīng)的IP地址修改為返回的IP地址,如果當(dāng)前返回的IP地址與之前返回的IP地址 也不一致,則說(shuō)明可能有DNS服務(wù)器受到了緩存感染攻擊,此時(shí),可以判斷返回的IP地址中 哪個(gè)IP地址的數(shù)量最多,如果某個(gè)IP地址的數(shù)量最多,且返回這個(gè)IP地址的DNS服務(wù)器 又是分別部署在不同區(qū)域的DNS服務(wù)器,則將之前保存的這個(gè)域名對(duì)應(yīng)的IP地址修改為上 述數(shù)量最多的IP地址。再例如,如果返回的IP地址與之前保存的IP地址不完全一致,則 可以仍然將之前保存的IP地址作為這個(gè)域名對(duì)應(yīng)的IP地址,不必修改之前保存的這個(gè)域 名對(duì)應(yīng)的IP地址,也不必再向多個(gè)DNS服務(wù)器請(qǐng)求解析這個(gè)域名。網(wǎng)絡(luò)出口設(shè)備也可以在客戶(hù)端發(fā)出解析某個(gè)域名的請(qǐng)求后,再向DNS服務(wù)器請(qǐng)求 解析這個(gè)域名。具體的,網(wǎng)絡(luò)出口設(shè)備在獲得客戶(hù)端發(fā)出的解析某個(gè)域名的請(qǐng)求后,如果發(fā) 現(xiàn)沒(méi)有保存這個(gè)域名與IP地址的對(duì)應(yīng)關(guān)系,那么可以向多個(gè)DNS服務(wù)器請(qǐng)求解析這個(gè)域 名。網(wǎng)絡(luò)出口設(shè)備在獲得多個(gè)DNS服務(wù)器返回的與這個(gè)域名對(duì)應(yīng)的IP地址后,如果確定返 回的這些IP地址完全一致,那么可以將與這個(gè)域名對(duì)應(yīng)的IP地址返回給客戶(hù)端,并且還可 以保存這個(gè)域名與這個(gè)IP地址的對(duì)應(yīng)關(guān)系。另外,網(wǎng)絡(luò)出口設(shè)備在獲得客戶(hù)端發(fā)出的解析 某個(gè)域名的請(qǐng)求后,即使發(fā)現(xiàn)沒(méi)有保存這個(gè)域名與IP地址的對(duì)應(yīng)關(guān)系,也可以不必一定向 多個(gè)DNS服務(wù)器請(qǐng)求解析這個(gè)域名,而是按照現(xiàn)有的處理方式,只向一個(gè)DNS服務(wù)器請(qǐng)求解 析這個(gè)域名。在具體實(shí)現(xiàn)時(shí),網(wǎng)絡(luò)出口設(shè)備中可以配置需要向多個(gè)DNS服務(wù)器請(qǐng)求解析域 名的客戶(hù)端的端口號(hào)或IP地址。網(wǎng)絡(luò)出口設(shè)備在獲得客戶(hù)端發(fā)出的解析某個(gè)域名的請(qǐng)求 后,如果發(fā)現(xiàn)沒(méi)有保存這個(gè)域名與IP地址的對(duì)應(yīng)關(guān)系,那么再判斷發(fā)出請(qǐng)求的客戶(hù)端的端 口號(hào)或IP地址是否是上述配置的端口號(hào)或IP地址,如果是,則向多個(gè)DNS服務(wù)器請(qǐng)求解析 這個(gè)域名,否則,只向一個(gè)DNS服務(wù)器請(qǐng)求解析這個(gè)域名。需要說(shuō)明的是,本發(fā)明所指的域名可以是指一類(lèi)域名,也可以是指一類(lèi)域名中的 一個(gè)域名,例如,“ABC. com”是一類(lèi)域名,“www. ABC. com”、“news. ABC. com”等包括“ABC. com” 的域名是屬于ABC. com這類(lèi)域名中的域名。本發(fā)明所指的解析域名既可以是指解析一類(lèi)域 名,也可以是指解析一類(lèi)域名中的一個(gè)域名。下面結(jié)合圖3,介紹本發(fā)明的一種DNS服務(wù)器緩存感染的防御方法。如圖3所示, 這種方法包括S301 網(wǎng)絡(luò)出口設(shè)備確定需要解析的域名。網(wǎng)絡(luò)出口設(shè)備可以預(yù)先存儲(chǔ)需要解析的域名,當(dāng)網(wǎng)絡(luò)出口設(shè)備獲得某個(gè)事件(例如開(kāi)機(jī))或定時(shí)器的觸發(fā)后,網(wǎng)絡(luò)出口設(shè)備查找預(yù)先存儲(chǔ)的需要解析的域名,這樣就確定 了需要解析的域名。網(wǎng)絡(luò)出口設(shè)備也可以在客戶(hù)端請(qǐng)求解析域名時(shí),從客戶(hù)端發(fā)出的攜帶需要解析的 域名的請(qǐng)求消息中確定需要解析的域名。S302 網(wǎng)絡(luò)出口設(shè)備向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名。網(wǎng)絡(luò)出口設(shè)備確定需要解析的域名后,就可以向多個(gè)DNS服務(wù)器請(qǐng)求解析上述需 要解析的域名。前面提到過(guò),多個(gè)DNS服務(wù)器可以是指多個(gè)區(qū)域的DNS服務(wù)器,例如,如果向3個(gè) DNS服務(wù)器請(qǐng)求解析域名,則可以向3個(gè)區(qū)域的DNS服務(wù)器請(qǐng)求解析域名,對(duì)于任何一個(gè)區(qū) 域,可以只向其中的一個(gè)DNS服務(wù)器請(qǐng)求解析域名。前面提到過(guò),網(wǎng)絡(luò)出口設(shè)備中可以配置有DNS服務(wù)器的IP地址。當(dāng)網(wǎng)絡(luò)出口設(shè)備 需要向DNS服務(wù)器請(qǐng)求解析域名時(shí),可以向保存的全部IP地址對(duì)應(yīng)的DNS服務(wù)器請(qǐng)求解析 域名,也可以從全部IP地址對(duì)應(yīng)的DNS服務(wù)器中選擇一部分DNS服務(wù)器,并向這部分DNS 服務(wù)器請(qǐng)求解析域名。網(wǎng)絡(luò)出口設(shè)備向DNS服務(wù)器請(qǐng)求解析域名時(shí),可以向DNS服務(wù)器發(fā)出解析域名的 請(qǐng)求消息,請(qǐng)求消息中攜帶有需要解析的域名。在實(shí)際應(yīng)用中,網(wǎng)絡(luò)出口設(shè)備可以向同一個(gè) DNS服務(wù)器請(qǐng)求解析一個(gè)域名,也可以請(qǐng)求解析多個(gè)域名。如果網(wǎng)絡(luò)出口設(shè)備向同一個(gè)DNS 服務(wù)器請(qǐng)求解析多個(gè)域名,那么網(wǎng)絡(luò)出口設(shè)備可以分別向這個(gè)DNS服務(wù)器發(fā)出多個(gè)請(qǐng)求消 息,每個(gè)請(qǐng)求消息只攜帶一個(gè)域名。S303 網(wǎng)絡(luò)出口設(shè)備獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址。網(wǎng)絡(luò)出口設(shè)備向多個(gè)DNS服務(wù)器請(qǐng)求解析域名后,這些DNS服務(wù)器一般都要返回 與請(qǐng)求解析的域名對(duì)應(yīng)的IP地址。在實(shí)際應(yīng)用中,這些DNS服務(wù)器針對(duì)同一個(gè)域名返回的IP地址一般都會(huì)一致,但 由于DNS服務(wù)器緩存感染等原因,這些DNS服務(wù)器返回的IP地址也可能不完全一致。如果多個(gè)DNS服務(wù)器返回的與請(qǐng)求解析的域名對(duì)應(yīng)的IP地址不完全一致,那么網(wǎng) 絡(luò)出口設(shè)備可以將IP地址相同數(shù)量最多的IP地址作為與請(qǐng)求解析的域名對(duì)應(yīng)的IP地址。 例如,假設(shè)網(wǎng)絡(luò)出口設(shè)備分別向區(qū)域1的DNS服務(wù)器1、區(qū)域2的DNS服務(wù)器1和區(qū)域3的 DNS服務(wù)器1請(qǐng)求解析域名1,區(qū)域1的DNS服務(wù)器1和區(qū)域2的DNS服務(wù)器1返回的IP 地址相同,區(qū)域3的DNS服務(wù)器1返回的IP地址與上述兩個(gè)IP地址不同,那么網(wǎng)絡(luò)出口設(shè) 備可以將區(qū)域1的DNS服務(wù)器1和區(qū)域2的DNS服務(wù)器1返回的IP地址作為域名1對(duì)應(yīng) 的IP地址。如果多個(gè)DNS服務(wù)器返回的與請(qǐng)求解析的域名對(duì)應(yīng)的IP地址不完全一致,那么網(wǎng) 絡(luò)出口設(shè)備可以向與請(qǐng)求過(guò)的DNS服務(wù)器不同的多個(gè)DNS服務(wù)器請(qǐng)求解析域名。如果獲得 的多個(gè)與請(qǐng)求解析的域名對(duì)應(yīng)的IP地址完全一致,那么可以將完全一致的IP地址作為與 請(qǐng)求解析的域名對(duì)應(yīng)的IP地址,否則,向之前請(qǐng)求過(guò)的所有DNS服務(wù)器不同的多個(gè)DNS服 務(wù)器請(qǐng)求解析域名,以此類(lèi)推,直至獲得的多個(gè)與請(qǐng)求解析的域名對(duì)應(yīng)的IP地址完全一致 為止。需要說(shuō)明的是,網(wǎng)絡(luò)出口設(shè)備在重新選擇DNS服務(wù)器解析域名時(shí),可以從與之前選擇 過(guò)的DNS服務(wù)器所在區(qū)域不同的區(qū)域中選擇DNS服務(wù)器,也可以從之前選擇過(guò)的DNS服務(wù) 器所在的區(qū)域中選擇DNS服務(wù)器。例如,假設(shè)網(wǎng)絡(luò)出口設(shè)備分別向區(qū)域1的DNS服務(wù)器1、區(qū)域2的DNS服務(wù)器1和區(qū)域3的DNS服務(wù)器1請(qǐng)求解析域名1,區(qū)域1的DNS服務(wù)器1和 區(qū)域2的DNS服務(wù)器1返回的IP地址相同,區(qū)域3的DNS服務(wù)器1返回的IP地址與上述 兩個(gè)IP地址不同,那么網(wǎng)絡(luò)出口設(shè)備可以再向區(qū)域4的DNS服務(wù)器1、區(qū)域5的DNS服務(wù) 器1和區(qū)域6的DNS服務(wù)器1請(qǐng)求解析域名1,如果返回的IP地址完全一致,則將區(qū)域4的 DNS服務(wù)器1、區(qū)域5的DNS服務(wù)器1和區(qū)域6的DNS服務(wù)器1返回的IP地址作為對(duì)應(yīng)區(qū) 域1的IP地址。S304 網(wǎng)絡(luò)出口設(shè)備針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將與所述域名對(duì)應(yīng) 的IP地址提供給客戶(hù)端。網(wǎng)絡(luò)出口設(shè)備在獲得客戶(hù)端發(fā)出的解析某個(gè)域名的請(qǐng)求后,可以執(zhí)行S302和 S303,獲得多個(gè)DNS服務(wù)器返回的與這個(gè)域名對(duì)應(yīng)的IP地址,之后,將獲得的IP地址提供
給客戶(hù)端。前面提到過(guò),網(wǎng)絡(luò)出口設(shè)備可以預(yù)先保存域名與IP地址的對(duì)應(yīng)關(guān)系。如果網(wǎng)絡(luò)出口設(shè)備獲得的對(duì)應(yīng)某個(gè)域名的IP地址與之前保存的對(duì)應(yīng)這個(gè)域名的IP地址不相同,則網(wǎng) 絡(luò)出口設(shè)備可以針對(duì)客戶(hù)端發(fā)出的解析這個(gè)域名的請(qǐng)求,將之前保存的對(duì)應(yīng)這個(gè)域名的IP 地址提供給客戶(hù)端。網(wǎng)絡(luò)出口設(shè)備也可以在執(zhí)行S301、S302和S303之后,獲得客戶(hù)端發(fā)出的解析某個(gè) 域名的請(qǐng)求。如果客戶(hù)端通過(guò)S301、S302和S303已經(jīng)獲得了對(duì)應(yīng)這個(gè)域名的IP地址,那 么網(wǎng)絡(luò)出口設(shè)備可以直接將對(duì)應(yīng)這個(gè)域名的IP地址提供給客戶(hù)端。另外,網(wǎng)絡(luò)出口設(shè)備在執(zhí)行S303之后,會(huì)獲得對(duì)應(yīng)某個(gè)或某些域名的IP地址,如 果網(wǎng)絡(luò)出口設(shè)備之前沒(méi)有保存過(guò)這個(gè)或這些域名的IP地址,那么網(wǎng)絡(luò)出口設(shè)備可以建立 這個(gè)或這些域名與IP地址的對(duì)應(yīng)關(guān)系,或者說(shuō),保存與這個(gè)或這些域名對(duì)應(yīng)的IP地址。前面提到過(guò),網(wǎng)絡(luò)出口設(shè)備可以周期性的向多個(gè)DNS服務(wù)器請(qǐng)求解析域名。在這 個(gè)方法實(shí)施例中,可以周期性的執(zhí)行S301、S302和S303。對(duì)應(yīng)于圖3所示的方法,本發(fā)明還提供一種網(wǎng)絡(luò)出口設(shè)備。如圖4所示,這種網(wǎng) 絡(luò)出口設(shè)備包括域名確定單元401,用于確定需要解析的域名;域名解析請(qǐng)求單元402,用 于向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名;解析結(jié)果獲得單元403,用于在域名解析請(qǐng)求單元 402向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名后,獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的 IP地址;IP地址提供單元404,用于針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將與所述域名 對(duì)應(yīng)的IP地址提供給客戶(hù)端。圖4所示的網(wǎng)絡(luò)出口設(shè)備還可以包括存儲(chǔ)單元405,用于存儲(chǔ)的需要解析的域名。 域名確定單元401具體可以用于查找預(yù)先存儲(chǔ)的需要解析的域名。域名確定單元401具體可以用于獲得客戶(hù)端發(fā)出的攜帶需要解析的域名的請(qǐng)求 消息。上述的多個(gè)DNS服務(wù)器可以是多個(gè)不同區(qū)域的服務(wù)器。圖4所示的網(wǎng)絡(luò)出口設(shè)備還可以包括判斷單元406,用于在解析結(jié)果獲得單元403 獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址后,判斷多個(gè)與所述域名對(duì)應(yīng)的IP 地址是否一致,如果不一致,則將IP地址相同數(shù)量最多的IP地址作為與所述域名對(duì)應(yīng)的IP 地址。判斷單元406也可以用于在解析結(jié)果獲得單元403獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址后,判斷多個(gè)與所述域名對(duì)應(yīng)的IP地址是否一致。域名解析請(qǐng)求單元402具體可以用于在判斷單元406確定多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP 地址不一致時(shí),向與所述多個(gè)DNS服務(wù)器不同的多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名。判斷 單元406如果確定解析結(jié)果獲得單元403獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址完全一致, 則將所述完全一致的IP地址作為與所述域名對(duì)應(yīng)的IP地址,否則,域名解析請(qǐng)求單元402 向與之前請(qǐng)求過(guò)的所有DNS服務(wù)器不同的多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名,以此類(lèi)推,直 至解析結(jié)果獲得單元403獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址完全一致為止。存儲(chǔ)單元405也可以用于保存與域名對(duì)應(yīng)的IP地址。判斷單元406也可以用于 在解析結(jié)果獲得單元403獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址后,判斷獲 得的多個(gè)與所述域名對(duì)應(yīng)的IP地址與存儲(chǔ)單元405之前保存的與所述域名對(duì)應(yīng)的IP地址 是否一致。如果判斷單元406確定獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址與存儲(chǔ)單元405 之前保存的與所述域名對(duì)應(yīng)的IP地址不一致,則IP地址提供單元404針對(duì)客戶(hù)端發(fā)出的 解析所述域名的請(qǐng)求,將保存的與所述域名對(duì)應(yīng)的IP地址提供給客戶(hù)端。存儲(chǔ)單元405也可以用于保存與域名對(duì)應(yīng)的IP地址。在解析結(jié)果獲得單元403 獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址后,如果存儲(chǔ)單元405之前沒(méi)有保存 過(guò)與所述域名對(duì)應(yīng)的IP地址,則存儲(chǔ)單元405保存與所述域名對(duì)應(yīng)的IP地址。綜上所述,在本發(fā)明中,網(wǎng)絡(luò)出口設(shè)備向多個(gè)DNS服務(wù)器請(qǐng)求解析域名,并獲得多 個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址,這種情況下,即使某個(gè)或某些DNS服務(wù)器 緩存感染,網(wǎng)絡(luò)出口設(shè)備也很容易發(fā)現(xiàn)這個(gè)現(xiàn)象,從而不會(huì)盲目的將某個(gè)DNS服務(wù)器返回 的IP地址提供給客戶(hù)端,避免了客戶(hù)端訪問(wèn)非法IP地址對(duì)應(yīng)的網(wǎng)絡(luò)實(shí)體。一般情況下,不同區(qū)域的DNS服務(wù)器很少會(huì)同時(shí)遭到攻擊。在本發(fā)明中,網(wǎng)絡(luò)出口 設(shè)備可以向不同區(qū)域的DNS服務(wù)器請(qǐng)求解析同一個(gè)域名,這樣,網(wǎng)絡(luò)出口設(shè)備可以更加準(zhǔn) 確的判斷是否有DNS服務(wù)器遭到了攻擊,從而將正確的IP地址提供給客戶(hù)端。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以 通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì) 中,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程。其中,所述的存儲(chǔ)介質(zhì)可為 磁碟、光盤(pán)、只讀存儲(chǔ)記憶體(Read-OnlyMemory,ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory, RAM)等。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人 員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下,還可以作出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng) 視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
一種域名系統(tǒng)DNS服務(wù)器緩存感染的防御方法,其特征在于,適用于客戶(hù)端與DNS服務(wù)器之間設(shè)置有網(wǎng)絡(luò)出口設(shè)備的網(wǎng)絡(luò)環(huán)境,所述方法包括網(wǎng)絡(luò)出口設(shè)備確定需要解析的域名;網(wǎng)絡(luò)出口設(shè)備向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名;網(wǎng)絡(luò)出口設(shè)備獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址;網(wǎng)絡(luò)出口設(shè)備針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將與所述域名對(duì)應(yīng)的IP地址提供給客戶(hù)端。
2.如權(quán)利要求1所述的方法,其特征在于,網(wǎng)絡(luò)出口設(shè)備按照下述方式確定需要解析 的域名網(wǎng)絡(luò)出口設(shè)備查找預(yù)先存儲(chǔ)的需要解析的域名,或者獲得客戶(hù)端發(fā)出的攜帶需要 解析的域名的請(qǐng)求消息。
3.如權(quán)利要求1所述的方法,其特征在于,所述多個(gè)DNS服務(wù)器為多個(gè)不同區(qū)域的DNS 服務(wù)器。
4.如權(quán)利要求1所述的方法,其特征在于,網(wǎng)絡(luò)出口設(shè)備獲得多個(gè)DNS服務(wù)器返回的與 所述域名對(duì)應(yīng)的IP地址后,還包括如果發(fā)現(xiàn)多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址不一致,則將IP地址相同 數(shù)量最多的IP地址作為與所述域名對(duì)應(yīng)的IP地址。
5.如權(quán)利要求1所述的方法,其特征在于,網(wǎng)絡(luò)出口設(shè)備獲得多個(gè)DNS服務(wù)器返回的與 所述域名對(duì)應(yīng)的IP地址后,還包括如果發(fā)現(xiàn)多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址不一致,則向與所述多個(gè) DNS服務(wù)器不同的多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名;如果獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址完全一致,則將所述完全一致的IP地址作 為與所述域名對(duì)應(yīng)的IP地址,否則,向與之前請(qǐng)求過(guò)的所有DNS服務(wù)器不同的多個(gè)DNS服 務(wù)器請(qǐng)求解析所述域名,以此類(lèi)推,直至獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址完全一致為 止。
6.如權(quán)利要求1所述的方法,其特征在于,網(wǎng)絡(luò)出口設(shè)備獲得多個(gè)DNS服務(wù)器返回的與 所述域名對(duì)應(yīng)的IP地址之前,網(wǎng)絡(luò)出口設(shè)備保存有與所述域名對(duì)應(yīng)的IP地址;網(wǎng)絡(luò)出口設(shè)備按照下述方式針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將與所述域名對(duì) 應(yīng)的IP地址提供給客戶(hù)端網(wǎng)絡(luò)出口設(shè)備如果發(fā)現(xiàn)獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址 與保存的與所述域名對(duì)應(yīng)的IP地址不一致,則針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將 保存的與所述域名對(duì)應(yīng)的IP地址提供給客戶(hù)端。
7.如權(quán)利要求1所述的方法,其特征在于,網(wǎng)絡(luò)出口設(shè)備獲得多個(gè)DNS服務(wù)器返回的與 所述域名對(duì)應(yīng)的IP地址后,如果之前沒(méi)有保存過(guò)與所述域名對(duì)應(yīng)的IP地址,則保存與所述 域名對(duì)應(yīng)的IP地址。
8.如權(quán)利要求1所述的方法,其特征在于,網(wǎng)絡(luò)出口設(shè)備周期性的執(zhí)行確定需要解析 的域名、向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名、獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng) 的IP地址的步驟。
9.如權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)絡(luò)出口設(shè)備具有防火墻和/或網(wǎng)關(guān)的 功能。
10.一種網(wǎng)絡(luò)出口設(shè)備,其特征在于,設(shè)置在客戶(hù)端與DNS服務(wù)器之間,所述網(wǎng)絡(luò)出口設(shè)備包括域名確定單元,用于確定需要解析的域名;域名解析請(qǐng)求單元,用于向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名;解析結(jié)果獲得單元,用于在所述域名解析請(qǐng)求單元向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域 名后,獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址;IP地址提供單元,用于針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將與所述域名對(duì)應(yīng)的 IP地址提供給客戶(hù)端。
11.如權(quán)利要求10所述的網(wǎng)絡(luò)出口設(shè)備,其特征在于,還包括存儲(chǔ)單元,用于存儲(chǔ)需 要解析的域名;所述域名確定單元具體用于查找預(yù)先存儲(chǔ)的需要解析的域名。
12.如權(quán)利要求10所述的網(wǎng)絡(luò)出口設(shè)備,其特征在于,所述域名確定單元具體用于獲 得客戶(hù)端發(fā)出的攜帶需要解析的域名的請(qǐng)求消息。
13.如權(quán)利要求10所述的網(wǎng)絡(luò)出口設(shè)備,其特征在于,所述多個(gè)DNS服務(wù)器為多個(gè)不同 區(qū)域的DNS服務(wù)器。
14.如權(quán)利要求10所述的網(wǎng)絡(luò)出口設(shè)備,其特征在于,還包括判斷單元,用于在所述 解析結(jié)果獲得單元獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址后,判斷多個(gè)與所 述域名對(duì)應(yīng)的IP地址是否一致,如果不一致,則將IP地址相同數(shù)量最多的IP地址作為與 所述域名對(duì)應(yīng)的IP地址。
15.如權(quán)利要求10所述的網(wǎng)絡(luò)出口設(shè)備,其特征在于,還包括判斷單元,用于在所述 解析結(jié)果獲得單元獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址后,判斷多個(gè)與所 述域名對(duì)應(yīng)的IP地址是否一致;所述域名解析請(qǐng)求單元具體用于在所述判斷單元確定多個(gè)DNS服務(wù)器返回的與所述 域名對(duì)應(yīng)的IP地址不一致時(shí),向與所述多個(gè)DNS服務(wù)器不同的多個(gè)DNS服務(wù)器請(qǐng)求解析所 述域名;所述判斷單元如果確定所述解析結(jié)果獲得單元獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址 完全一致,則將所述完全一致的IP地址作為與所述域名對(duì)應(yīng)的IP地址,否則,所述域名解 析請(qǐng)求單元向與之前請(qǐng)求過(guò)的所有DNS服務(wù)器不同的多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名, 以此類(lèi)推,直至所述解析結(jié)果獲得單元獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址完全一致為止。
16.如權(quán)利要求10所述的網(wǎng)絡(luò)出口設(shè)備,其特征在于,還包括存儲(chǔ)單元,用于保存與域名對(duì)應(yīng)的IP地址;判斷單元,用于在所述解析結(jié)果獲得單元獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng) 的IP地址后,判斷獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址與所述存儲(chǔ)單元之前保存的與所 述域名對(duì)應(yīng)的IP地址是否一致;如果所述判斷單元確定獲得的多個(gè)與所述域名對(duì)應(yīng)的IP地址與所述存儲(chǔ)單元之前保 存的與所述域名對(duì)應(yīng)的IP地址不一致,則所述IP地址提供單元針對(duì)客戶(hù)端發(fā)出的解析所 述域名的請(qǐng)求,將保存的與所述域名對(duì)應(yīng)的IP地址提供給客戶(hù)端。
17.如權(quán)利要求10所述的網(wǎng)絡(luò)出口設(shè)備,其特征在于,還包括存儲(chǔ)單元,用于保存與 域名對(duì)應(yīng)的IP地址;在所述解析結(jié)果獲得單元獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址后,如 果所述存儲(chǔ)單元之前沒(méi)有保存過(guò)與所述域名對(duì)應(yīng)的IP地址,則所述存儲(chǔ)單元保存與所述 域名對(duì)應(yīng)的IP地址。
18.如權(quán)利要求10所述的網(wǎng)絡(luò)出口設(shè)備,其特征在于,所述網(wǎng)絡(luò)出口設(shè)備具有防火墻 和/或網(wǎng)關(guān)的功能。
全文摘要
本發(fā)明提供一種DNS服務(wù)器緩存感染的防御方法,適用于客戶(hù)端與DNS服務(wù)器之間設(shè)置有網(wǎng)絡(luò)出口設(shè)備的網(wǎng)絡(luò)環(huán)境,所述方法包括網(wǎng)絡(luò)出口設(shè)備確定需要解析的域名;網(wǎng)絡(luò)出口設(shè)備向多個(gè)DNS服務(wù)器請(qǐng)求解析所述域名;網(wǎng)絡(luò)出口設(shè)備獲得多個(gè)DNS服務(wù)器返回的與所述域名對(duì)應(yīng)的IP地址;網(wǎng)絡(luò)出口設(shè)備針對(duì)客戶(hù)端發(fā)出的解析所述域名的請(qǐng)求,將與所述域名對(duì)應(yīng)的IP地址提供給客戶(hù)端。本發(fā)明還提供一種網(wǎng)絡(luò)出口設(shè)備。本發(fā)明可以避免在DNS服務(wù)器緩存感染的情況下,DNS服務(wù)器向客戶(hù)端提供非法的IP地址,導(dǎo)致客戶(hù)端訪問(wèn)非法IP地址對(duì)應(yīng)的網(wǎng)絡(luò)實(shí)體。
文檔編號(hào)H04L29/12GK101827136SQ20101013779
公開(kāi)日2010年9月8日 申請(qǐng)日期2010年3月30日 優(yōu)先權(quán)日2010年3月30日
發(fā)明者張斌 申請(qǐng)人:聯(lián)想網(wǎng)御科技(北京)有限公司
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1