本發(fā)明涉及計算機網(wǎng)絡(luò)領(lǐng)域，尤其是一種DNS(Domain Name System，域名系統(tǒng))流量控制方法、設(shè)備和系統(tǒng)。

背景技術(shù)：

在傳統(tǒng)網(wǎng)絡(luò)中，如圖1所示，DNS查詢流量基于用戶端設(shè)置的DNS服務(wù)器地址被傳送至目的DNS服務(wù)器14，黑客可以通過惡意篡改用戶端設(shè)備12的DNS配置，將正常的DNS服務(wù)器14地址修改為惡意的DNS服務(wù)器16地址。從而使用戶的互聯(lián)網(wǎng)訪問指向仿冒欺詐網(wǎng)頁，造成安全隱患。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例所要解決的一個技術(shù)問題是：如何防止用戶的DNS查詢流量被惡意劫持。

根據(jù)本發(fā)明實施例的第一個方面，提供了一種DNS查詢流量控制方法，包括：DNS查詢流量控制設(shè)備接收網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備發(fā)送的來自用戶端設(shè)備的DNS查詢流量；DNS查詢流量控制設(shè)備對DNS查詢流量進行安全處理；DNS查詢流量控制設(shè)備將處理后的DNS查詢流量轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點。

在一個實施例中，DNS查詢流量控制設(shè)備對DNS查詢流量進行安全處理包括：DNS查詢流量控制設(shè)備提取DNS查詢流量中的DNS服務(wù)器地址，根據(jù)提取的DNS服務(wù)器地址判斷用戶端設(shè)備的DNS服務(wù)器地址配置信息是否被篡改，如果被篡改，將DNS查詢流量中的被篡改的DNS服務(wù)器地址修改為合法DNS服務(wù)器地址。

在一個實施例中，根據(jù)提取的DNS服務(wù)器地址判斷用戶端設(shè)備的 DNS服務(wù)器地址配置信息是否被篡改包括：將提取的DNS服務(wù)器地址與DNS服務(wù)器地址的白名單進行比對，如果與白名單中的任一項匹配，判定用戶端設(shè)備的DNS服務(wù)器地址配置信息未被篡改；如果與白名單中的任一項均不匹配，將提取的DNS服務(wù)器地址與已探知的惡意DNS服務(wù)器地址列表進行比對，如果與惡意DNS服務(wù)器地址列表中的任一項匹配，判定用戶端設(shè)備的DNS服務(wù)器地址配置信息被篡改。

在一個實施例中，DNS查詢流量控制設(shè)備從安全系統(tǒng)獲得惡意DNS服務(wù)器地址列表。

在一個實施例中，DNS查詢流量控制設(shè)備將處理后的DNS查詢流量轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點包括：DNS查詢流量控制設(shè)備根據(jù)各個DNS服務(wù)節(jié)點的負荷情況，將DNS查詢流量轉(zhuǎn)發(fā)到負荷較小的DNS服務(wù)節(jié)點。

在一個實施例中，DNS查詢流量控制設(shè)備從網(wǎng)管系統(tǒng)獲得各個DNS服務(wù)器節(jié)點的負荷情況。

在一個實施例中，DNS查詢流量控制設(shè)備將處理后的DNS查詢流量轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點包括：根據(jù)用戶屬性、時間或基站中的至少一項參考因素，將DNS查詢流量轉(zhuǎn)發(fā)到與所依據(jù)參考因素對應(yīng)的DNS服務(wù)節(jié)點。

根據(jù)本發(fā)明實施例的第二個方面，提供一種DNS查詢流量控制設(shè)備，位于用戶端設(shè)備和DNS服務(wù)節(jié)點之間，包括：接收模塊，用于接收網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備發(fā)送的來自用戶端設(shè)備的DNS查詢流量；處理模塊，對DNS查詢流量進行安全處理；轉(zhuǎn)發(fā)模塊，用于將處理后的DNS查詢流量轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點。

在一個實施例中，處理模塊包括判斷單元和修改單元；判斷單元用于提取DNS查詢流量中的DNS服務(wù)器地址，根據(jù)提取的DNS服務(wù)器地址判斷用戶端設(shè)備的DNS服務(wù)器地址配置信息是否被篡改；修改單元用于將DNS查詢流量中的被篡改的DNS服務(wù)器地址修改為合法DNS服務(wù)器地址。

在一個實施例中，判斷單元用于將提取的DNS服務(wù)器地址與DNS 服務(wù)器地址的白名單進行比對，如果與白名單中的任一項匹配，判定用戶端設(shè)備的DNS服務(wù)器地址配置信息未被篡改；如果與白名單中的任一項均不匹配，將提取的DNS服務(wù)器地址與已探知的惡意DNS服務(wù)器地址列表進行比對，如果與惡意DNS服務(wù)器地址列表中的任一項匹配，判定用戶端設(shè)備的DNS服務(wù)器地址配置信息被篡改。

在一個實施例中，轉(zhuǎn)發(fā)模塊用于根據(jù)各個DNS服務(wù)節(jié)點的負荷情況，將DNS查詢流量轉(zhuǎn)發(fā)到負荷較小的DNS服務(wù)節(jié)點。

在一個實施例中，轉(zhuǎn)發(fā)模塊用于根據(jù)用戶屬性、時間或基站中的至少一項參考因素，將DNS查詢流量轉(zhuǎn)發(fā)到與所依據(jù)參考因素對應(yīng)的DNS服務(wù)節(jié)點。

根據(jù)本發(fā)明實施例的第三個方面，提供一種DNS查詢流量控制系統(tǒng)，包括：前述任一種DNS查詢流量控制設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備，網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備用于將用戶端設(shè)備發(fā)送的DNS查詢流量牽引到DNS查詢流量控制設(shè)備。

在一個實施例中，系統(tǒng)還包括安全設(shè)備，用于向DNS查詢流量控制設(shè)備提供惡意DNS服務(wù)器地址列表。

在一個實施例中，系統(tǒng)還包括網(wǎng)管設(shè)備，用于向DNS查詢流量控制設(shè)備提供各個DNS服務(wù)器節(jié)點的負荷情況。

在一個實施例中，系統(tǒng)還包括支撐設(shè)備，用于提供用戶端設(shè)備IP與用戶屬性、時間或基站的對應(yīng)關(guān)系。

本發(fā)明通過引入DNS查詢流量控制設(shè)備，將用戶端的DNS查詢流量統(tǒng)一牽引至DNS查詢流量控制設(shè)備，并由DNS查詢流量控制設(shè)備對DNS查詢流量進行安全處理后再轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點，避免了DNS查詢流量被惡意劫持，提高了系統(tǒng)的安全性。

通過以下參照附圖對本發(fā)明的示例性實施例的詳細描述，本發(fā)明的其它特征及其優(yōu)點將會變得清楚。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將 對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是現(xiàn)有技術(shù)的域名解析的網(wǎng)絡(luò)部署示意圖。

圖2是本發(fā)明的域名解析的網(wǎng)絡(luò)部署示意圖。

圖3示出本發(fā)明DNS查詢流量控制方法的一個實施例的流程圖。

圖4示出本發(fā)明DNS查詢流量安全處理方法的一個實施例的流程圖。

圖5示出本發(fā)明DNS查詢流量控制方法的另一個實施例的流程圖。

圖6示出本發(fā)明DNS查詢流量差異化處理的一個實施例的流程圖。

圖7示出本發(fā)明DNS查詢流量控制方法的又一個實施例的流程圖。

圖8示出本發(fā)明DNS查詢流量控制系統(tǒng)的一個實施例的結(jié)構(gòu)圖。

圖9示出本發(fā)明DNS查詢流量控制設(shè)備的一個實施例的結(jié)構(gòu)圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。以下對至少一個示例性實施例的描述實際上僅僅是說明性的，決不作為對本發(fā)明及其應(yīng)用或使用的任何限制?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

為了防止用戶的DNS查詢流量被惡意劫持，本發(fā)明提出一種DNS查詢流量控制方案。參考圖2所示，本發(fā)明引入DNS查詢流量控制設(shè)備28，將用戶端12的DNS查詢流量統(tǒng)一牽引至DNS查詢流量控制設(shè)備，并由DNS查詢流量控制設(shè)備對DNS查詢流量進行安全處理后再 轉(zhuǎn)發(fā)至DNS服務(wù)節(jié)點14，避免了DNS查詢流量被惡意劫持，提高了系統(tǒng)的安全性。

下面參考圖3描述本發(fā)明一個實施例的DNS查詢流量控制方法。

圖3為本發(fā)明DNS查詢流量控制方法的一個實施例的流程圖。如圖3所示，該實施例的方法包括：

步驟S302，用戶端設(shè)備發(fā)起DNS查詢。

步驟S304，網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備識別出用戶端設(shè)備發(fā)出的是DNS查詢流量，將用戶端發(fā)送的DNS查詢流量牽引到DNS查詢流量控制設(shè)備，DNS查詢流量控制設(shè)備接收DNS查詢流量。

其中，網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備例如可以通過目的UDP端口號來識別DNS查詢流量，如果一個數(shù)據(jù)包的目的UDP端口號＝53，則表示該數(shù)據(jù)包是DNS查詢流量。

步驟S306，DNS查詢流量控制設(shè)備對DNS查詢流量進行安全處理。

步驟S308，DNS查詢流量控制設(shè)備將處理后的DNS查詢流量轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點。

上述方案通過引入DNS查詢流量控制設(shè)備，將用戶端的DNS查詢流量統(tǒng)一牽引至DNS查詢流量控制設(shè)備，并由DNS查詢流量控制設(shè)備對DNS查詢流量進行安全處理后再轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點，避免了DNS查詢流量被惡意劫持，提高了系統(tǒng)的安全性。

一種常見的DNS查詢流量惡意劫持方法為，通過惡意篡改用戶端設(shè)備的DNS配置，將正常的DNS服務(wù)器地址修改為惡意的DNS服務(wù)器地址。針對此類DNS查詢流量惡意劫持情況，下面結(jié)合圖4對步驟S306的一種安全處理過程進行描述。

圖4為本發(fā)明DNS查詢流量安全處理方法的一個實施例的流程圖。如圖4所示，步驟S306具體包括：

步驟S4062，DNS查詢流量控制設(shè)備提取DNS查詢流量中的DNS服務(wù)器地址。

步驟S4064，DNS查詢流量控制設(shè)備根據(jù)提取的DNS服務(wù)器地址 判斷用戶端設(shè)備的DNS服務(wù)器地址配置信息是否被篡改。

步驟S4066，如果DNS服務(wù)器地址被篡改，將DNS查詢流量中的被篡改的DNS服務(wù)器地址修改為合法DNS服務(wù)器地址DNS查詢流量，以避免DNS查詢流量被惡意劫持。

在步驟S4064中判斷用戶端設(shè)備的DNS服務(wù)器地址配置信息是否被惡意篡改時，可以采用如下方法：首先，將提取的DNS服務(wù)器地址與DNS服務(wù)器地址的白名單(即，合法DNS服務(wù)器地址列表)進行比對，如果與白名單中的任一項匹配，判定用戶端設(shè)備的DNS服務(wù)器地址配置信息未被篡改；如果與白名單中的任一項均不匹配，將提取的DNS服務(wù)器地址與已探知的惡意DNS服務(wù)器地址列表(即，黑名單)進行比對，如果與惡意DNS服務(wù)器地址列表中的任一項匹配，就可以判定用戶端設(shè)備的DNS服務(wù)器地址配置信息被篡改。如果既不在白名單也不在黑名單，可以標記為待定狀態(tài)，并提示安全風險。

為了方便查詢和判斷，可以擴展安全系統(tǒng)與DNS查詢流量控制設(shè)備之間的接口，使DNS查詢流量控制設(shè)備從安全系統(tǒng)獲得DNS查詢流量黑名單、白名單等。

在步驟S308中，即在DNS查詢流量控制設(shè)備將處理后的DNS查詢流量轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點的過程中，還可以采用動態(tài)調(diào)整轉(zhuǎn)發(fā)的策略，對本發(fā)明的方法進行進一步的優(yōu)化。例如可以根據(jù)DNS服務(wù)器的負荷情況進行調(diào)整。下面參考圖5描述本發(fā)明根據(jù)DNS服務(wù)器負荷動態(tài)轉(zhuǎn)發(fā)DNS查詢流量的方法。

圖5為本發(fā)明DNS查詢流量控制方法的另一個實施例的流程圖。如圖5所示，該實施例的方法包括：

步驟S302，用戶端設(shè)備發(fā)起DNS查詢。

步驟S304，網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備識別出用戶端設(shè)備發(fā)出的是DNS查詢流量，將用戶端發(fā)送的DNS查詢流量牽引到DNS查詢流量控制設(shè)備，DNS查詢流量控制設(shè)備接收DNS查詢流量。

步驟S306，DNS查詢流量控制設(shè)備對DNS查詢流量進行安全處理。

步驟S5082，DNS查詢流量控制設(shè)備獲取各個DNS服務(wù)節(jié)點的負荷情況。

一種獲取方法為，可以擴展DNS查詢流量控制設(shè)備與網(wǎng)管系統(tǒng)之間的接口，使DNS查詢流量控制設(shè)備可以從網(wǎng)管系統(tǒng)獲得各個DNS服務(wù)器節(jié)點的負荷情況。此外，DNS查詢流量控制設(shè)備還可以從網(wǎng)管系統(tǒng)獲得各個DNS服務(wù)器節(jié)點的運轉(zhuǎn)情況，以DNS查詢流量防止將DNS查詢流量轉(zhuǎn)發(fā)到出現(xiàn)故障的DNS服務(wù)節(jié)點，使系統(tǒng)具有較高的可靠性。

步驟S5084，DNS查詢流量控制設(shè)備根據(jù)各個DNS服務(wù)節(jié)點的負荷情況，將DNS查詢流量轉(zhuǎn)發(fā)到負荷較小的DNS服務(wù)節(jié)點。

通過采用這種方法，能夠合理分配DNS查詢流量，防止某一DNS服務(wù)節(jié)點的負荷過大，從而提高系統(tǒng)效率和DNS服務(wù)節(jié)點的利用率。

除了根據(jù)DNS查詢流量接收端的情況對DNS查詢流量進行動態(tài)調(diào)整以外，在步驟S308中，還可以根據(jù)用戶端的相關(guān)屬性對DNS查詢流量進行差異化處理。下面參考圖6描述本發(fā)明DNS查詢流量差異化處理的方法。

圖6為本發(fā)明DNS查詢流量差異化處理的一個實施例的流程圖。如圖6所示，步驟S308具體包括：

步驟S6082，獲取用戶端設(shè)備對應(yīng)的用戶屬性、時間或基站中的至少一項參考因素。

步驟S6084，將DNS查詢流量轉(zhuǎn)發(fā)到與所依據(jù)參考因素對應(yīng)的DNS服務(wù)節(jié)點。

其中，用戶端設(shè)備對應(yīng)的參考因素主要為通過查詢用戶端的IP所獲得的參考因素。用戶端的IP與參考因素的對應(yīng)關(guān)系例如可以從運營商的支撐系統(tǒng)中獲取。下面參考圖7描述本發(fā)明根據(jù)用戶屬性進行DNS查詢流量差異化處理的方法。

圖7為本發(fā)明DNS查詢流量控制方法的又一個實施例的流程圖。如圖7所示，該實施例的方法包括：

步驟S702，高級用戶的用戶端設(shè)備發(fā)起DNS查詢。

步驟S704，網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備將用戶端發(fā)送的DNS查詢流量牽引到DNS查詢流量控制設(shè)備，DNS查詢流量控制設(shè)備接收DNS查詢流量。

步驟S706，DNS查詢流量控制設(shè)備分析DNS查詢流量，獲取用戶端設(shè)備的IP地址和DNS服務(wù)器地址。

步驟S708，DNS查詢流量控制設(shè)備向運營商支撐系統(tǒng)發(fā)起查詢請求，獲得用戶端IP對應(yīng)的用戶屬性為高級用戶。

步驟S710，DNS查詢流量控制設(shè)備對DNS查詢流量進行安全處理。

步驟S712，DNS查詢流量控制設(shè)備將處理后的DNS查詢流量轉(zhuǎn)發(fā)到高級用戶專有的DNS服務(wù)器節(jié)點。

通過采用這種方法，能夠為具有不同用戶屬性的用戶提供差異化的服務(wù)。

上述實施例的方法同樣可以用于根據(jù)時間和基站屬性對DNS查詢流量進行差異化轉(zhuǎn)發(fā)。例如，在某個時間段內(nèi)或者某個基站覆蓋的區(qū)域內(nèi)的活動由專用的DNS服務(wù)器提供服務(wù)，而其他的DNS服務(wù)器無法提供相同的服務(wù)。此時，可以通過向運營商支撐系統(tǒng)查詢用戶端IP對應(yīng)的操作時間或基站，將DNS查詢流量轉(zhuǎn)發(fā)到專用的DNS服務(wù)器。

下面參考圖8描述本發(fā)明一個實施例的DNS查詢流量控制系統(tǒng)。

圖8為本發(fā)明DNS查詢流量控制系統(tǒng)的一個實施例的結(jié)構(gòu)圖。如圖8所示，系統(tǒng)包括DNS查詢流量控制設(shè)備82和網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備84，網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備84用于將用戶端設(shè)備發(fā)送的DNS查詢流量牽引到DNS查詢流量控制設(shè)備82。網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備84例如可以為寬帶接入服務(wù)器或者全業(yè)務(wù)路由器。

其中，系統(tǒng)還可以包括安全設(shè)備，用于向DNS查詢流量控制設(shè)備提供惡意DNS服務(wù)器地址列表。

其中，系統(tǒng)還可以包括網(wǎng)管設(shè)備，用于向DNS查詢流量控制設(shè)備提供各個DNS服務(wù)器節(jié)點的負荷情況。

其中，系統(tǒng)還可以包括支撐設(shè)備，用于提供用戶端設(shè)備IP與用戶屬性、時間或基站的對應(yīng)關(guān)系。

下面參考圖9描述本發(fā)明一個實施例的DNS查詢流量控制設(shè)備。

圖9為本發(fā)明DNS查詢流量控制設(shè)備的一個實施例的結(jié)構(gòu)圖。如圖9所示，該設(shè)備位于用戶端設(shè)備和DNS服務(wù)節(jié)點之間，包括：接收模塊922，用于接收網(wǎng)絡(luò)業(yè)務(wù)控制設(shè)備發(fā)送的來自用戶端設(shè)備的DNS查詢流量；處理模塊924，對DNS查詢流量進行安全處理；轉(zhuǎn)發(fā)模塊926，用于將處理后的DNS查詢流量轉(zhuǎn)發(fā)到DNS服務(wù)節(jié)點。

處理模塊924可以包括判斷單元和修改單元；判斷單元用于提取DNS查詢流量中的DNS服務(wù)器地址，根據(jù)提取的DNS服務(wù)器地址判斷用戶端設(shè)備的DNS服務(wù)器地址配置信息是否被篡改，如果被篡改，修改單元將DNS查詢流量中的被篡改的DNS服務(wù)器地址修改為合法DNS服務(wù)器地址。

其中，判斷單元用于將提取的DNS服務(wù)器地址與DNS服務(wù)器地址的白名單進行比對，如果與白名單中的任一項匹配，判定用戶端設(shè)備的DNS服務(wù)器地址配置信息未被篡改；如果與白名單中的任一項均不匹配，將提取的DNS服務(wù)器地址與已探知的惡意DNS服務(wù)器地址列表進行比對，如果與惡意DNS服務(wù)器地址列表中的任一項匹配，判定用戶端設(shè)備的DNS服務(wù)器地址配置信息被篡改。

轉(zhuǎn)發(fā)模塊926可以用于根據(jù)各個DNS服務(wù)節(jié)點的負荷情況，將DNS查詢流量轉(zhuǎn)發(fā)到負荷較小的DNS服務(wù)節(jié)點。

其中，轉(zhuǎn)發(fā)模塊926可以用于根據(jù)用戶屬性、時間或基站中的至少一項參考因素，將DNS查詢流量轉(zhuǎn)發(fā)到與所依據(jù)參考因素對應(yīng)的DNS服務(wù)節(jié)點。

此外，根據(jù)本發(fā)明的方法還可以實現(xiàn)為一種計算機程序產(chǎn)品，該計算機程序產(chǎn)品包括計算機可讀介質(zhì)，在該計算機可讀介質(zhì)上存儲有用于執(zhí)行本發(fā)明的方法中限定的上述功能的計算機程序。本領(lǐng)域技術(shù)人員還將明白的是，結(jié)合這里的公開所描述的各種示例性邏輯塊、模塊、電路和算法步驟可以被實現(xiàn)為電子硬件、計算機軟件或兩者的組 合。

以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。