監(jiān)測域名解析污染的方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開一種監(jiān)測域名解析污染的方法、裝置及系統(tǒng),主要內(nèi)容包括:確定NS記錄和LDNS的IP地址,并對NS記錄中的權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器及所述IP地址所指向的LDNS分別進(jìn)行發(fā)送解析請求,并對解析響應(yīng)與預(yù)期結(jié)果進(jìn)行比較,根據(jù)比較結(jié)果確定存在域名解析污染,由于是主動的對所有的權(quán)威DNS服務(wù)器及所有的LDNS服務(wù)器進(jìn)行解析探測,因此,能夠及時發(fā)現(xiàn)域名解析污染,并對其做相應(yīng)的處理,以清除或繞開域名解析污染,縮短了網(wǎng)站不能被正常訪問的時間。
【專利說明】監(jiān)測域名解析污染的方法、裝置及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種監(jiān)測域名解析污染的方法、裝置及系統(tǒng)。
【背景技術(shù)】
[0002] DNS是域名系統(tǒng)(Domain Name System)的縮寫,用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的 計算機和網(wǎng)絡(luò)服務(wù)。在互聯(lián)網(wǎng)(Internet)上域名與網(wǎng)際協(xié)議(Internet Protocol, IP)地 址之間是具有對應(yīng)關(guān)系的,域名雖然便于人們記憶,但機器之間只能互相認(rèn)識IP地址,域 名與IP地址之間的轉(zhuǎn)換工作稱為域名解析,域名解析需要由專門的域名解析服務(wù)器來完 成,DNS服務(wù)器就是進(jìn)行域名解析的服務(wù)器。
[0003] 域名解析污染指是非法入侵者通過某些手段取得某域名的解析記錄控制權(quán),進(jìn)而 修改此域名的解析結(jié)果的現(xiàn)象。一旦域名解析污染發(fā)生,對本地DNS (Local DNS,LDNS)服 務(wù)器來說,其內(nèi)的解析緩存即被污染,向LDNS發(fā)送域名解析結(jié)果的權(quán)威DNS服務(wù)器來說,該 權(quán)威DNS服務(wù)器即被劫持,可歸屬為域名解析污染中的劫持污染。此時,用戶對該域名的訪 問由原IP地址轉(zhuǎn)入到修改后的指定IP,進(jìn)而導(dǎo)致對特定的網(wǎng)址不能訪問或者訪問的是假 網(wǎng)址。
[0004] 目前,域名解析服務(wù)運營商對域名解析污染這一現(xiàn)象并沒有進(jìn)行監(jiān)控,不能及時 發(fā)現(xiàn),只有當(dāng)網(wǎng)站無法被正常訪問時,才發(fā)現(xiàn)出現(xiàn)了域名解析污染,然后聯(lián)系各地的域名解 析服務(wù)運營商進(jìn)行相應(yīng)的刷新LDNS緩存的操作,達(dá)到清除已被污染的解析緩存的目的。
[0005] 上述發(fā)現(xiàn)域名解析污染發(fā)生了一段時間后才發(fā)被發(fā)現(xiàn),發(fā)現(xiàn)域名解析污染后很被 動的對其的進(jìn)行上述刷新LDNS緩存的操作,并且進(jìn)行所述操作的過程需要消耗大量的時 間,導(dǎo)致被修改域名解析結(jié)果的網(wǎng)址在很長時間內(nèi)無法被正常訪問。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明實施例提供一種監(jiān)測域名解析污染的方法、裝置及系統(tǒng),以解決現(xiàn)有技術(shù) 中域名解析污染不能被及時發(fā)現(xiàn),而導(dǎo)致的被修改域名的解析結(jié)果的網(wǎng)站在很長時間內(nèi)無 法被正常訪問的問題。
[0007] -種監(jiān)測域名解析污染的方法,所述方法包括:
[0008] 確定域名服務(wù)器NS記錄和本地域名系統(tǒng)LDNS服務(wù)器的網(wǎng)際協(xié)議IP地址,所述NS 記錄是被監(jiān)測域及級別高于該被監(jiān)測域的所有域的NS記錄,所述NS記錄中含有域和用來 解析該域的權(quán)威域名系統(tǒng)DNS服務(wù)器的權(quán)威DNS服務(wù)器標(biāo)識的對應(yīng)關(guān)系;
[0009] 分別對所述NS記錄中的每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器和每 一所述IP地址指向的LDNS服務(wù)器發(fā)送解析請求;
[0010] 當(dāng)某一權(quán)威DNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致 的程度大于第一設(shè)定值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析污染;
[0011] 當(dāng)某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程 度大于第二設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解析污染。
[0012] 一種監(jiān)測域名解析污染的裝置,所述裝置包括:
[0013] 第一確定模塊,用于確定域名服務(wù)器NS記錄和本地域名系統(tǒng)LDNS服務(wù)器的網(wǎng)際 協(xié)議IP地址,所述NS記錄是被監(jiān)測域及級別高于該被監(jiān)測域的所有域的NS記錄,所述NS 記錄中含有域和用來解析該域的權(quán)威域名系統(tǒng)DNS服務(wù)器的權(quán)威DNS服務(wù)器標(biāo)識的對應(yīng)關(guān) 系;
[0014] 發(fā)送模塊,用于分別對所述NS記錄中的每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威 DNS服務(wù)器和每一所述IP地址指向的LDNS服務(wù)器發(fā)送解析請求;
[0015] 第二確定模塊,用于當(dāng)某一權(quán)威DNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng) 與預(yù)期結(jié)果不一致的程度大于第一設(shè)定值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析 污染;當(dāng)某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程度 大于第二設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解析污染。
[0016] 一種監(jiān)測域名解析污染的系統(tǒng),所述系統(tǒng)包括:監(jiān)測域名解析污染的裝置、權(quán)威域 名解析系統(tǒng)DNS服務(wù)器和本地域名解析系統(tǒng)LDNS服務(wù)器,其中 :
[0017] 所述檢測域名解析污染的裝置,用于確定域名服務(wù)器NS記錄和本地域名系統(tǒng) LDNS服務(wù)器的網(wǎng)際協(xié)議IP地址,所述NS記錄是被監(jiān)測域及級別高于該被監(jiān)測域的所有域 的NS記錄,所述NS記錄中含有域和用來解析該域的權(quán)威域名系統(tǒng)DNS服務(wù)器的權(quán)威DNS服 務(wù)器標(biāo)識的對應(yīng)關(guān)系;分別對所述NS記錄中的每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS 服務(wù)器和每一所述IP地址指向的LDNS服務(wù)器發(fā)送解析請求;當(dāng)某一權(quán)威DNS服務(wù)器針對 發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程度大于第一設(shè)定值時,確定該域及 該權(quán)威DNS服務(wù)器存在域名解析污染;當(dāng)某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析 響應(yīng)與預(yù)期結(jié)果不一致的程度大于第二設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解 析污染。
[0018] 本發(fā)明實施例通過確定NS記錄和LDNS的IP地址,并對NS記錄中的權(quán)威DNS服 務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器及所述IP地址所指向的LDNS分別進(jìn)行發(fā)送解析請求, 并對解析響應(yīng)與預(yù)期結(jié)果進(jìn)行比較,根據(jù)比較結(jié)果確定存在域名解析污染,由于是主動的 對所有的權(quán)威DNS服務(wù)器及所有的LDNS服務(wù)器進(jìn)行解析探測,因此,能夠及時發(fā)現(xiàn)域名解 析污染,并對其做相應(yīng)的處理,以清除或繞開域名解析污染,縮短了網(wǎng)站不能被正常訪問的 時間。
【專利附圖】
【附圖說明】
[0019] 圖1為本發(fā)明實施例一中的監(jiān)測域名解析污染的方法流程示意圖;
[0020] 圖2為本發(fā)明實施例一中的存在一級加速子域名的客戶域名結(jié)構(gòu)示意圖;
[0021] 圖3為本發(fā)明實施例一中的不存在加速子域名的客戶域名結(jié)構(gòu)示意圖;
[0022] 圖4為本發(fā)明實施例一中的針對加速域名www. abc. cdn. com的解析請求返回的解 析響應(yīng)與預(yù)期結(jié)果不一致時的示意圖;
[0023] 圖5為本發(fā)明實施例一中的針對加速子域名www. abc. cnc. cdn. com的解析請求返 回的解析響應(yīng)與預(yù)期結(jié)果不一致時的示意圖;
[0024] 圖6為本發(fā)明實施例一中的針對加速子域名www. abc. cnc. cdn. net解析請求返回 的解析響應(yīng)與預(yù)期結(jié)果不一致時的示意圖;
[0025] 圖7為本發(fā)明實施例三中的監(jiān)測域名解析污染的裝置的結(jié)構(gòu)示意圖;
[0026] 圖8為本發(fā)明實施例四中的監(jiān)測域名解析污染的系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0027] 在本發(fā)明實施例的方案中,由于域名解析過程通常是在權(quán)威DNS服務(wù)器和LDNS服 務(wù)器的共同參與下完成的,因此,對域名解析污染的監(jiān)測,分別對權(quán)威DNS服務(wù)器和LDNS服 務(wù)器進(jìn)行主動的監(jiān)測,進(jìn)而可以全面地進(jìn)行監(jiān)測,及時發(fā)現(xiàn)域名解析污染,進(jìn)而能較快地進(jìn) 行后續(xù)的污染治理工作,縮短網(wǎng)站不能被正常訪問的時間。
[0028] 本發(fā)明實施例的方案也適用于內(nèi)容分發(fā)網(wǎng)絡(luò)⑶N,在內(nèi)容分發(fā)網(wǎng)絡(luò)⑶N領(lǐng)域中網(wǎng) 站通過修改域名的別名cname將解析權(quán)交給CDN服務(wù)商。當(dāng)CDN服務(wù)商的CDN域名服務(wù)器 解析被污染時,無法正確解析出對應(yīng)的高速緩存(Cache Server)服務(wù)器。
[0029] 下面結(jié)合附圖對本發(fā)明實施例的方案進(jìn)行詳細(xì)說明。
[0030] 實施例一
[0031] 如圖1所示,為本發(fā)明是實施例一中的一種監(jiān)測域名解析污染的方法流程示意 圖,所述方法包括以下步驟:
[0032] 步驟101 :確定域名服務(wù)器NS記錄和本地域名系統(tǒng)LDNS服務(wù)器的IP地址;
[0033] 所述NS記錄是被監(jiān)測域及級別高于該被監(jiān)測域的所有域的NS記錄,所述NS記錄 中含有域和用來解析該域的權(quán)威域名系統(tǒng)DNS服務(wù)器的權(quán)威DNS服務(wù)器標(biāo)識的對應(yīng)關(guān)系;
[0034] 所述確定NS記錄,既可以通過從互聯(lián)網(wǎng)上公布的權(quán)威DNS服務(wù)器公告信息獲得, 也可以通過下面的方法確定 :
[0035] 第一步:向LDNS服務(wù)器發(fā)送域信息搜索跟蹤請求,所述域信息搜索跟蹤請求中攜 帶了所需監(jiān)測域的最低級域的信息;
[0036] 第二步:接收LDNS服務(wù)器返回的包含NS記錄的域信息搜索跟蹤響應(yīng);
[0037] 第三步:將所述域信息搜索跟蹤響應(yīng)中包含的NS記錄作為確定的NS記錄。
[0038] 需要說明的是,所述第一步中,具體是向已確定的未受污染的LDNS服務(wù)器發(fā)送域 信息跟蹤請求,此時,才能確保得到的NS記錄是正確的。此外,由于NS記錄相對比較穩(wěn)定, 因此利用上述方法確定NS記錄的操作可以定期執(zhí)行(執(zhí)行周期可配置,例如1小時或者12 小時執(zhí)行一次),LDNS服務(wù)器的IP地址也是定期維護,可根據(jù)實際情況更新LDNS服務(wù)器的 IP地址。
[0039] 具體實現(xiàn)過程中,可以在Linux系統(tǒng)或Windows XP系統(tǒng)下利用域信息搜索器 (Domain Information Groper,dig)命令和跟蹤器 trace 命令確定 NS 記錄。
[0040] 所述dig命令是一個用于詢問DNS域名服務(wù)器的工具,用于執(zhí)行DNS服務(wù)器搜索, 顯示從受請求的DNS服務(wù)器返回的響應(yīng)。
[0041] 例如:假設(shè)所需檢測的域中最低域的信息為:cnc. cdn. net,則可以利用dig cnc. cdn. net+trace命令從根服務(wù)器開始追蹤一個域名的解析過程,從顯示的解析過程中即可 確定NS記錄。
[0042] 步驟102 :分別對所述NS記錄中的每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服 務(wù)器和每一所述IP地址指向的LDNS服務(wù)器發(fā)送解析請求;
[0043] 較優(yōu)的,對所述NS記錄中的每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器發(fā) 送解析請求,具體包括:
[0044] 按照域的級別由高到低的順序,從頂級域開始,依次針對每一級域,向該級域的NS 記錄中每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器分別發(fā)送針對低一級域的A記錄 解析請求,在NS記錄中不存在加速子域名時,直至最后一級加速域名的上一級域名,在NS 記錄中存在加速子域名時,直至最后一級加速子域名的上一級域名;針對最后一級加速域 名或最后一級加速子域名,向該級域的NS記錄中每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威 DNS服務(wù)器分別發(fā)送針對該最后一級加速域名或最后一級加速子域名的A記錄解析請求; 所述A記錄中含有域名和該域名對應(yīng)的IP地址的對應(yīng)關(guān)系,所述加速域名是客戶域名的別 名CNAME指向的域名,所述加速子域名是加速域名的子域名;
[0045] 較優(yōu)的,對每一所述IP地址指向的LDNS服務(wù)器發(fā)送解析請求,具體包括:
[0046] 按照域的級別由高到低的順序,從頂級域開始,依次向每一 IP地址所指向的LDNS 服務(wù)器發(fā)送針對確定的所述NS記錄中該級域的NS記錄解析請求,在所述NS記錄中不存 在加速子域名時,直至最后一級加速域名的上一級域名,在所述NS記錄中存在加速子域名 時,直至最后一級加速子域名的上一級域名;針對最后一級加速域名或最后一級加速子域 名,向每一 IP地址所指向的LDNS服務(wù)器發(fā)送針對該最后一級加速域名或最后一級加速子 域名的A記錄解析請求。
[0047] 步驟103 :當(dāng)某一權(quán)威DNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié) 果不一致的程度大于第一設(shè)定值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析污染;當(dāng) 某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程度大于第二 設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解析污染。
[0048] 所述預(yù)期結(jié)果是指事先獲知的權(quán)威DNS服務(wù)器對解析請求應(yīng)該返回的正確的解 析響應(yīng)。
[0049] 所述第一設(shè)定值和第二設(shè)定值可以根據(jù)經(jīng)驗進(jìn)行設(shè)定,例如設(shè)定為30%。
[0050] 所述當(dāng)某一權(quán)威DNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不 一致的程度大于第一設(shè)定值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析污染,具體包 括:
[0051] 在確定針對除最后一級加速域名或最后一級加速子域名外的域,向權(quán)威DNS服務(wù) 器發(fā)送的A記錄請求所返回的解析響應(yīng)報文中應(yīng)答answer段不為空,或者權(quán)威authority 段包含的NS記錄與系統(tǒng)維護的NS記錄不相同的條數(shù),與該authority段包含的NS記錄條 數(shù)之比大于第一設(shè)定值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析污染;
[0052] 在確定針對最后一級加速域名或最后一級加速子域名向權(quán)威DNS服務(wù)器發(fā)送的A 記錄請求所返回的解析響應(yīng)報文中answer段為空,或者answer段包含的A記錄與系統(tǒng)維 護的最后一級加速域名或最后一級加速子域名的A記錄不相同的條數(shù),與該answer段包含 的A記錄條數(shù)之比大于第一設(shè)定值時,確定該最后一級加速域名或最后一級加速子域名及 該權(quán)威DNS服務(wù)器存在域名解析污染;
[0053] 所述當(dāng)某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致 的程度大于第二設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解析污染,具體包括:
[0054] 在確定針對除最后一級加速域名或最后一級加速子域名外的域,向LDNS服務(wù)器 發(fā)送的NS記錄請求所返回的解析響應(yīng)報文中answer段為空,或者answer段包含的NS記 錄與系統(tǒng)維護的NS記錄不相同的條數(shù),與該answer段包含的NS記錄條數(shù)之比大于第二設(shè) 定值時,確定該域在該LDNS服務(wù)器存在域名解析污染;
[0055] 在確定針對最后一級加速域名或最后一級加速子域名向LDNS服務(wù)器發(fā)送的A記 錄請求所返回的解析響應(yīng)報文中answer段為空,或者answer段包含的A記錄與系統(tǒng)維護 的最后一級加速域名或最后一級加速子域名的A記錄不相同的條數(shù),與該answer段包含的 A記錄條數(shù)之比大于第二設(shè)定值時,確定該最后一級加速域名或最后一級加速子域名在該 LDNS服務(wù)器存在域名解析污染。
[0056] 上述檢測域名解析污染的方法適用于整個互聯(lián)網(wǎng)DNS。
[0057] 較優(yōu)的,在本步驟103之后,在一定條件下,還可以對確定的域名解析污染進(jìn)行治 理,為了清楚地對污染治理進(jìn)行說明,首先對客戶域名結(jié)構(gòu)進(jìn)行說明。
[0058] 如圖2和圖3所示,為兩種類型的客戶域名結(jié)構(gòu),圖2為存在一級加速子域名的 客戶域名結(jié)構(gòu)示意圖,圖3為不存在加速子域名的客戶域名結(jié)構(gòu)示意圖,該客戶域名結(jié)構(gòu) 可以應(yīng)用在內(nèi)容分發(fā)網(wǎng)絡(luò)(Content Delivery Network, Q)N),通常網(wǎng)站通過修改域名的 CNAME將解析權(quán)交給CDN服務(wù)商,對CDN服務(wù)商來說,該網(wǎng)站的域名即為上述的客戶域名,別 名指向的域名即為加速域名。
[0059] 需要說明的是,圖2及圖3中,IP個數(shù)可以為大于0個的任意多個。圖2及圖3 中為三個僅為方便舉例。在加速域名為多層結(jié)構(gòu)時(即存在加速子域名),加速子域名同 級可由多個兄弟域名組成。圖3中示例中為兩個僅為方便舉例。并且加速子域名可以繼續(xù) 細(xì)分,例如www. abc. tel. cdn. com可以繼續(xù)細(xì)分為www. abc. t j. tel. cdn. com。具體的域名 規(guī)劃以實際業(yè)務(wù)為準(zhǔn)。加速子域名在DNS中,與加速域名之間可不構(gòu)成父子關(guān)系(雖然并 不推薦這樣做)。例如,www. abc. cdn. com的加速子域名可以為www. abc. gslb. net。示例 為cdn. com的子域,僅為方便舉例。此外,這也是更優(yōu)的域名結(jié)構(gòu),可以減少域名解析過程 的時間開銷。
[0060] 為了對確定的解析污染進(jìn)行處理,確定權(quán)威DNS服務(wù)器存在域名解析污染之后, 在客戶域名結(jié)構(gòu)包含別名CNAME,且該CNAME指向了非客戶域名的子域名時,所述方法還包 括:
[0061] 若針對加速域名及級別高于該加速域名的域的解析請求返回的解析響應(yīng)與預(yù)期 結(jié)果不一致,則將客戶域名的CNAME指向修改為未被污染的且不屬于被污染域的子域的備 用域名;
[0062] 圖4中所示的是在針對加速域名www. abc. cdn. com的解析請求返回的解析響應(yīng) 與預(yù)期結(jié)果不一致時的情形,也可以說該加速域名www. abc. cdn. com被污染了(圖4中 將www. abc. cdn. com所在的框填充橫線以表示其被污染了),將客戶域名www. abc. com的 CNAME指向修改為未被污染的且不屬于被污染域的子域的備用域名www. abc. cdn. net。
[0063] 若針對加速子域名的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致,則將該存在解 析污染的權(quán)威DNS服務(wù)器中該加速子域名切換為未被污染的且不屬于被污染域的子域的 備用子域名;
[0064] 圖5中所示的是在針對加速子域名www. abc. cnc. cdn. com的解析請求返回的解析 響應(yīng)與預(yù)期結(jié)果不一致時的情形,也可以說該加速子域名www. abc. cnc. cdn. com被污染了 (圖5中將www. abc. cnc. cdn. com所在的框填充橫線以表示其被污染了),將該存在解析污 染的權(quán)威DNS服務(wù)器中該加速子域名www. abc. cnc. cdn. com切換為未被污染的且不屬于被 污染域的子域的備用子域名www. abc. bgp. cdn. com。
[0065] 確定LDNS服務(wù)器存在域名解析污染后,所述方法還包括:
[0066] 若針對加速域名及級別高于該加速域名的域的解析請求返回的解析響應(yīng)與預(yù)期 結(jié)果不一致,則將該存在解析污染的LDNS服務(wù)器中客戶域名的CNAME指向修改為未被污染 的且不屬于被污染域的子域的備用域名;
[0067] 若針對加速子域名的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致,則確定該存在 解析污染的LDNS所屬的地區(qū),在用來解析該加速子域名的上層域的權(quán)威DNS服務(wù)器上,修 改針對所述地區(qū)的客戶域名的別名,使之指向未被污染的備用加速子域名。
[0068] 需要說明的是,所述用來解析該加速子域名的上層域是指該加速子域名的上一級 域和該加速子域名的上一層域;例如:加速子域名為b. com. cn,則該加速子域名的上一級 域即為com. cn,在a. com. cn的別名指向b. com. cn時,該a. com. cn即為加速子域名b. com. cn的上一層域,也就是說任一域名的別名指向b. com. cn時,該任一域名即為加速子域名 b. com. cn的上一層域。
[0069] 圖6中所示的是針對加速子域名www. abc. cnc. cdn. net解析請求返回的解析響應(yīng) 與預(yù)期結(jié)果不一致,存在解析污染的LDNS所屬的地區(qū)為上海,也即確定加加速子域名在上 海地區(qū)的LDNS服務(wù)器被污染,在用來解析該加速子域名的上一級域也就是解析.cdn. net 的權(quán)威DNS服務(wù)器上,修改針對上海的客戶域名的別名,使之指向未被污染的備用加速子 域名· cnc. cdn. com,也即由原來的 abc. cdn. net cname abc. cnc. cdn. net 修改為 abc. cdn. net cname abc. cnc. cdn. com,其他地區(qū)的加速子域名則不變,仍為原加速子域名。
[0070] 在確定權(quán)威DNS服務(wù)器存在域名解析污染時,上述治理權(quán)威DNS服務(wù)器的域名解 析污染的方法只適用于域名結(jié)構(gòu)包含CNAME,且指向了非客戶域名的子域名。例如www. baidu. com CNAME www. a. shifen. com。需要說明的是客戶域名結(jié)構(gòu)包含cname的不一定為 CDN業(yè)務(wù),域名所有者也可以根據(jù)業(yè)務(wù)需要自行拓展域名結(jié)構(gòu)。
[0071] 通過本發(fā)明實施例一的方案,由于主動對域名解析污染進(jìn)行監(jiān)測,將探測結(jié)果與 預(yù)期結(jié)果進(jìn)行了比較,可很快的確定是否存在域名解析污染,并采用更換該客戶域名的別 名或DNS服務(wù)器的加速子域名的方法繞開域名解析污染,因此,能及時的發(fā)現(xiàn)并繞開域名 解析污染,進(jìn)而縮短了網(wǎng)站不能正常被訪問的歷經(jīng)的時間。為了更清楚的說明本發(fā)明實施 例一中的監(jiān)測域名解析污染方案,本發(fā)明實施例二中用一個具體的例子對本發(fā)明實施例一 中的監(jiān)測域名解析污染方案進(jìn)行說明。
[0072] 實施例二
[0073] 本發(fā)明實施例二中的監(jiān)測域名解析污染的方法包括以下步驟:
[0074] 第一步:利用dig命令加 trace參數(shù)獲取NS。假設(shè)待監(jiān)測的最低級域信息為cnc. cdn. net,貝U可在裝有l(wèi)inux系統(tǒng)或者windows系統(tǒng)中的命令提示符輸入界面中輸入dig cnc. cdn. net+trace,輸入后,命令提示符界面上顯示如下結(jié)果:
[0075]
【權(quán)利要求】
1. 一種監(jiān)測域名解析污染的方法,其特征在于,所述方法包括: 確定域名服務(wù)器NS記錄和本地域名系統(tǒng)LDNS服務(wù)器的網(wǎng)際協(xié)議IP地址,所述NS記 錄是被監(jiān)測域及級別高于該被監(jiān)測域的所有域的NS記錄,所述NS記錄中含有域和用來解 析該域的權(quán)威域名系統(tǒng)DNS服務(wù)器的權(quán)威DNS服務(wù)器標(biāo)識的對應(yīng)關(guān)系; 分別對所述NS記錄中的每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器和每一所 述IP地址指向的LDNS服務(wù)器發(fā)送解析請求; 當(dāng)某一權(quán)威DNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程 度大于第一設(shè)定值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析污染; 當(dāng)某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程度大 于第二設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解析污染。
2. 如權(quán)利要求1所述的方法,其特征在于,所述確定NS記錄,具體包括: 向LDNS服務(wù)器發(fā)送域信息搜索跟蹤請求,所述域信息搜索跟蹤請求中攜帶了所需監(jiān) 測域的最低級域的信息; 接收該LDNS服務(wù)器返回的包含NS記錄的域信息搜索跟蹤響應(yīng); 將所述域信息搜索跟蹤響應(yīng)中包含的NS記錄作為確定的NS記錄。
3. 如權(quán)利要求1或2所述的方法,其特征在于,對所述NS記錄中的每一權(quán)威DNS服務(wù) 器標(biāo)識所表示的權(quán)威DNS服務(wù)器發(fā)送解析請求,具體包括: 按照域的級別由高到低的順序,從頂級域開始,依次針對每一級域,向該級域的NS記 錄中每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器分別發(fā)送針對低一級域的A記錄解 析請求,在確定的所述NS記錄中不存在加速子域名時,直至最后一級加速域名的上一級域 名,在確定的所述NS記錄中存在加速子域名時,直至最后一級加速子域名的上一級域名; 針對最后一級加速域名或最后一級加速子域名,向該級域的NS記錄中每一權(quán)威DNS服務(wù)器 標(biāo)識所表示的權(quán)威DNS服務(wù)器分別發(fā)送針對該最后一級加速域名或最后一級加速子域名 的A記錄解析請求;所述A記錄中含有域名和該域名對應(yīng)的IP地址的對應(yīng)關(guān)系,所述加速 域名是客戶域名的別名CNAME指向的域名,所述加速子域名是加速域名的子域名; 對每一所述IP地址指向的LDNS服務(wù)器發(fā)送解析請求,具體包括: 按照域的級別由高到低的順序,從頂級域開始,依次向每一 IP地址所指向的LDNS服務(wù) 器發(fā)送針對確定的所述NS記錄中該級域的NS記錄解析請求,在所述NS記錄中不存在加速 子域名時,直至最后一級加速域名的上一級域名,在所述NS記錄中存在加速子域名時,直 至最后一級加速子域名的上一級域名;針對最后一級加速域名或最后一級加速子域名,向 每一 IP地址所指向的LDNS服務(wù)器發(fā)送針對該最后一級加速域名或最后一級加速子域名的 A記錄解析請求。
4. 如權(quán)利要求3所述的方法,其特征在于,所述當(dāng)某一權(quán)威DNS服務(wù)器針對發(fā)送的解析 請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程度大于第一設(shè)定值時,確定該域及該權(quán)威DNS 服務(wù)器存在域名解析污染,具體包括: 在確定針對除最后一級加速域名或最后一級加速子域名外的域,向權(quán)威DNS服務(wù)器發(fā) 送的A記錄請求所返回的解析響應(yīng)報文中應(yīng)答answer段不為空,或者權(quán)威authority段包 含的NS記錄與系統(tǒng)維護的NS記錄不相同的條數(shù),與該authority段包含的NS記錄條數(shù)之 比大于第一設(shè)定值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析污染; 在確定針對最后一級加速域名或最后一級加速子域名向權(quán)威DNS服務(wù)器發(fā)送的A記錄 請求所返回的解析響應(yīng)報文中answer段為空,或者answer段包含的A記錄與系統(tǒng)維護的 最后一級加速域名或最后一級加速子域名的A記錄不相同的條數(shù),與該answer段包含的A 記錄條數(shù)之比大于第一設(shè)定值時,確定該最后一級加速域名或最后一級加速子域名及該權(quán) 威DNS服務(wù)器存在域名解析污染; 所述當(dāng)某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程 度大于第二設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解析污染,具體包括: 在確定針對除最后一級加速域名或最后一級加速子域名外的域,向LDNS服務(wù)器發(fā)送 的NS記錄請求所返回的解析響應(yīng)報文中應(yīng)答answer段為空,或者answer段包含的NS記 錄與系統(tǒng)維護的NS記錄不相同的條數(shù),與該answer段包含的NS記錄條數(shù)之比大于第二設(shè) 定值時,確定該域在該LDNS服務(wù)器存在域名解析污染; 在確定針對最后一級加速域名或最后一級加速子域名向LDNS服務(wù)器發(fā)送的A記錄請 求所返回的解析響應(yīng)報文中answer段為空,或者answer段包含的A記錄與系統(tǒng)維護的最 后一級加速域名或最后一級加速子域名的A記錄不相同的條數(shù),與該answer段包含的A記 錄條數(shù)之比大于第二設(shè)定值時,確定該最后一級加速域名或最后一級加速子域名在該LDNS 服務(wù)器存在域名解析污染。
5. 如權(quán)利要求4所述的方法,其特征在于,確定該域及該權(quán)威DNS服務(wù)器存在域名解析 污染之后,在客戶域名結(jié)構(gòu)包含別名CNAME,且該CNAME指向了非客戶域名的子域名時,所 述方法還包括: 若針對加速域名及級別高于該加速域名的域的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果 不一致,則將客戶域名的CNAME指向修改為未被污染的且不屬于被污染域的子域的備用域 名; 若針對加速子域名的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致,則將該存在解析污 染的加速子域名切換為未被污染的且不屬于被污染域的子域的備用子域名; 確定該域在該LDNS服務(wù)器存在解析污染后,所述方法還包括: 若針對加速域名及級別高于該加速域名的域的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果 不一致,則將客戶域名的CNAME指向修改為未被污染的且不屬于被污染域的子域的備用域 名; 若針對加速子域名的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致,則確定該存在解析 污染的LDNS所屬的地區(qū),在用來解析該加速子域名的上層域的權(quán)威DNS服務(wù)器上,修改針 對所述地區(qū)的客戶域名的別名,使之指向未被污染的備用加速子域名。
6. -種監(jiān)測域名解析污染的裝置,其特征在于,所述裝置包括: 第一確定模塊,用于確定域名服務(wù)器NS記錄和本地域名系統(tǒng)LDNS服務(wù)器的網(wǎng)際協(xié)議 IP地址,所述NS記錄是被監(jiān)測域及級別高于該被監(jiān)測域的所有域的NS記錄,所述NS記錄 中含有域和用來解析該域的權(quán)威域名系統(tǒng)DNS服務(wù)器的權(quán)威DNS服務(wù)器標(biāo)識的對應(yīng)關(guān)系; 發(fā)送模塊,用于分別對所述NS記錄中的每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服 務(wù)器和每一所述IP地址指向的LDNS服務(wù)器發(fā)送解析請求; 第二確定模塊,用于當(dāng)某一權(quán)威DNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與 預(yù)期結(jié)果不一致的程度大于第一設(shè)定值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析污 染;當(dāng)某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程度大 于第二設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解析污染。
7. 如權(quán)利要求6所述的裝置,其特征在于,所述第一確定模塊,具體用于向LDNS服務(wù)器 發(fā)送域信息搜索跟蹤請求,所述域信息搜索跟蹤請求中攜帶了所需監(jiān)測域的最低級域的信 息;接收該LDNS服務(wù)器返回的包含NS記錄的域信息搜索跟蹤響應(yīng);將所述域信息搜索跟 蹤響應(yīng)中包含的NS記錄作為確定的NS記錄。
8. 如權(quán)利要求6或7所述的裝置,其特征在于,所述發(fā)送模塊,具體用于按照域的級別 由高到低的順序,從頂級域開始,依次針對每一級域,向該級域的NS記錄中每一權(quán)威DNS服 務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器分別發(fā)送針對低一級域的A記錄解析請求,在確定的所 述NS記錄中不存在加速子域名時,直至最后一級加速域名的上一級域名,在確定的所述NS 記錄中存在加速子域名時,直至最后一級加速子域名的上一級域名;針對最后一級加速域 名或最后一級加速子域名,向該級域的NS記錄中每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威 DNS服務(wù)器分別發(fā)送針對該最后一級加速域名或最后一級加速子域名的A記錄解析請求; 所述A記錄中含有域名和該域名對應(yīng)的IP地址的對應(yīng)關(guān)系,所述加速域名是客戶域名的別 名CNAME指向的域名,所述加速子域名是加速域名的子域名;按照域的級別由高到低的順 序,從頂級域開始,依次向每一 IP地址所指向的LDNS服務(wù)器發(fā)送針對確定的所述NS記錄 中該級域的NS記錄解析請求,在所述NS記錄中不存在加速子域名時,直至最后一級加速域 名的上一級域名,在確定的所述NS記錄中存在加速子域名時,直至最后一級加速子域名的 上一級域名;針對最后一級加速域名或最后一級加速子域名,向每一 IP地址所指向的LDNS 服務(wù)器發(fā)送針對該最后一級加速域名或最后一級加速子域名的A記錄解析請求。
9. 如權(quán)利要求8所述的裝置,其特征在于,所述第二確定模塊,具體用于在確定針對除 最后一級加速域名或最后一級加速子域名外的域,向權(quán)威DNS服務(wù)器發(fā)送的A記錄請求所 返回的解析響應(yīng)報文中應(yīng)答answer段不為空,或者權(quán)威authority段包含的NS記錄與系 統(tǒng)維護的NS記錄不相同的條數(shù),與該authority段包含的NS記錄條數(shù)之比大于第一設(shè)定 值時,確定該域及該權(quán)威DNS服務(wù)器存在域名解析污染;在確定針對最后一級加速域名或 最后一級加速子域名向權(quán)威DNS服務(wù)器發(fā)送的A記錄請求所返回的解析響應(yīng)報文中answer 段為空,或者answer段包含的A記錄與系統(tǒng)維護的最后一級加速域名或最后一級加速子域 名的A記錄不相同的條數(shù),與該answer段包含的A記錄條數(shù)之比大于第一設(shè)定值時,確定 該最后一級加速域名或最后一級加速子域名及該權(quán)威DNS服務(wù)器存在域名解析污染;在確 定針對除最后一級加速域名或最后一級加速子域名外的域,向LDNS服務(wù)器發(fā)送的NS記錄 請求所返回的解析響應(yīng)報文中應(yīng)答answer段為空,或者answer段包含的NS記錄與系統(tǒng)維 護的NS記錄不相同的條數(shù),與該answer段包含的NS記錄條數(shù)之比大于第二設(shè)定值時,確 定該域在該LDNS服務(wù)器存在域名解析污染;在確定針對最后一級加速域名或最后一級加 速子域名向LDNS服務(wù)器發(fā)送的A記錄請求所返回的解析響應(yīng)報文中answer段為空,或者 answer段包含的A記錄與系統(tǒng)維護的最后一級加速域名或最后一級加速子域名的A記錄不 相同的條數(shù),與該answer段包含的A記錄條數(shù)之比大于第二設(shè)定值時,確定該最后一級加 速域名或最后一級加速子域名在該LDNS服務(wù)器存在域名解析污染。
10. 如權(quán)利要求9所述的裝置,其特征在于,在客戶域名結(jié)構(gòu)包含別名CNAME,且該 CNAME指向了非客戶域名的子域名時,所述裝置還包括: 執(zhí)行模塊,用于在第二確定模塊確定存在域及權(quán)威DNS服務(wù)器存在解析污染后,在針 對加速域名及級別高于該加速域名的域的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致時, 將客戶域名的CNAME指向修改為未被污染的且不屬于被污染域的子域的備用域名;在針對 加速子域名的解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致時,將該存在解析污染的加速子 域名切換為未被污染的且不屬于被污染域的子域的備用子域名;以及在第二確定模塊確定 存在域在LDNS服務(wù)器存在解析污染后,在針對加速域名及級別高于該加速域名的域的解 析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致時,將該存在解析污染的客戶域名的CNAME指向 修改為未被污染的且不屬于被污染域的子域的備用域名;在針對加速子域名的解析請求返 回的解析響應(yīng)與預(yù)期結(jié)果不一致時,確定該存在解析污染的LDNS所屬的地區(qū),在用來解析 該加速子域名的上層域的權(quán)威DNS服務(wù)器上,修改針對所述地區(qū)的客戶域名的別名,使之 指向未被污染的備用加速子域名。
11. 一種監(jiān)測域名解析污染的系統(tǒng),其特征在于,所述系統(tǒng)包括:監(jiān)測域名解析污染的 裝置、權(quán)威域名解析系統(tǒng)DNS服務(wù)器和本地域名解析系統(tǒng)LDNS服務(wù)器,其中: 所述檢測域名解析污染的裝置,用于確定域名服務(wù)器NS記錄和本地域名系統(tǒng)LDNS服 務(wù)器的網(wǎng)際協(xié)議IP地址,所述NS記錄是被監(jiān)測域及級別高于該被監(jiān)測域的所有域的NS記 錄,所述NS記錄中含有域和用來解析該域的權(quán)威域名系統(tǒng)DNS服務(wù)器的權(quán)威DNS服務(wù)器標(biāo) 識的對應(yīng)關(guān)系;分別對所述NS記錄中的每一權(quán)威DNS服務(wù)器標(biāo)識所表示的權(quán)威DNS服務(wù)器 和每一所述IP地址指向的LDNS服務(wù)器發(fā)送解析請求;當(dāng)某一權(quán)威DNS服務(wù)器針對發(fā)送的 解析請求返回的解析響應(yīng)與預(yù)期結(jié)果不一致的程度大于第一設(shè)定值時,確定該域及該權(quán)威 DNS服務(wù)器存在域名解析污染;當(dāng)某一 LDNS服務(wù)器針對發(fā)送的解析請求返回的解析響應(yīng)與 預(yù)期結(jié)果不一致的程度大于第二設(shè)定值時,確定該域在該LDNS服務(wù)器存在域名解析污染。
【文檔編號】H04L12/26GK104113447SQ201410328244
【公開日】2014年10月22日 申請日期:2014年7月10日 優(yōu)先權(quán)日:2014年7月10日
【發(fā)明者】胡偉東 申請人:北京藍(lán)汛通信技術(shù)有限責(zé)任公司