本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及一種防止域名系統(tǒng)DNS污染的方法和網(wǎng)關(guān)。

背景技術(shù)：

域名(Domain Name)是互聯(lián)網(wǎng)上計(jì)算機(jī)或計(jì)算機(jī)組的名稱，用于在數(shù)據(jù)傳輸時(shí)標(biāo)識(shí)計(jì)算機(jī)的電子方位(有時(shí)也指地理位置)。在互聯(lián)網(wǎng)中，域名系統(tǒng)(Domain Name System，DNS)作為域名和互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址相互映射的一個(gè)聯(lián)機(jī)分布式數(shù)據(jù)庫(kù)系統(tǒng)，能夠使用戶更方便的訪問(wèn)互聯(lián)網(wǎng)。通過(guò)域名，最終得到該域名對(duì)應(yīng)的IP地址的過(guò)程叫做域名解析。DNS服務(wù)器是進(jìn)行域名和與之相對(duì)應(yīng)的IP地址轉(zhuǎn)換的服務(wù)器。

現(xiàn)有技術(shù)中用戶終端訪問(wèn)網(wǎng)站的場(chǎng)景如圖1所示，訪問(wèn)網(wǎng)站(如www.test.com)的流程如下步驟1至5：

1、用戶終端在瀏覽器中訪問(wèn)www.test.com時(shí)，先向DNS服務(wù)器發(fā)送DNS查詢請(qǐng)求，DNS查詢請(qǐng)求報(bào)文中包含要查詢IP地址的網(wǎng)站信息，即www.test.com。

2、網(wǎng)關(guān)(例如家庭網(wǎng)關(guān)、企業(yè)網(wǎng)關(guān))獲取到DNS查詢請(qǐng)求報(bào)文并轉(zhuǎn)發(fā)到運(yùn)營(yíng)商設(shè)備(例如運(yùn)營(yíng)商網(wǎng)關(guān))，運(yùn)營(yíng)商設(shè)備將DNS查詢請(qǐng)求報(bào)文發(fā)送到DNS服務(wù)器。

3、DNS服務(wù)器收到DNS查詢請(qǐng)求報(bào)文后，查詢www.test.com對(duì)應(yīng)的IP地址，并將攜帶有該IP地址的DNS解析報(bào)文發(fā)送到運(yùn)營(yíng)商設(shè)備。

4、運(yùn)營(yíng)商設(shè)備獲取DNS解析報(bào)文并轉(zhuǎn)發(fā)給網(wǎng)關(guān)，網(wǎng)關(guān)將DNS解析報(bào)文發(fā)送到用戶終端。

5、用戶終端向www.test.com對(duì)應(yīng)的IP地址發(fā)起TCP三次握手過(guò)程打開(kāi)網(wǎng)站頁(yè)面。

但是部分惡意運(yùn)營(yíng)商在運(yùn)營(yíng)商設(shè)備處旁路部署了劫持服務(wù)器，當(dāng)運(yùn)營(yíng)商設(shè)備獲取到DNS查詢請(qǐng)求報(bào)文后，劫持服務(wù)器通過(guò)DNS污染等手段向運(yùn)營(yíng)商設(shè)備發(fā)送含有錯(cuò)誤的IP地址的DNS解析報(bào)文，該錯(cuò)誤的IP地址對(duì)應(yīng)的網(wǎng)頁(yè)可能含有惡意廣告、木馬等。由于劫持服務(wù)器屬于旁路部署，所以錯(cuò)誤的DNS解析報(bào)文會(huì)先于正確的DNS解析報(bào)文到達(dá)用戶終端，用戶終端會(huì)將后到達(dá)的正確的DNS解析報(bào)文丟棄。這樣，用戶終端的瀏覽器就會(huì)打開(kāi)一個(gè)錯(cuò)誤的網(wǎng)站。

可見(jiàn)，由于存在DNS污染的現(xiàn)象，在訪問(wèn)網(wǎng)站時(shí)，用戶會(huì)發(fā)現(xiàn)無(wú)法訪問(wèn)正確的目標(biāo)網(wǎng)站，甚至打開(kāi)帶有病毒木馬網(wǎng)站的情況，給用戶帶來(lái)安全隱患。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述問(wèn)題，本發(fā)明提出了克服上述問(wèn)題的一種防止域名系統(tǒng)DNS污染的方法和網(wǎng)關(guān)。

第一方面，本發(fā)明提出一種防止域名系統(tǒng)DNS污染的方法，包括：

網(wǎng)關(guān)發(fā)送DNS查詢請(qǐng)求測(cè)試報(bào)文，并基于接收到的DNS解析測(cè)試報(bào)文建立DNS污染的IP地址庫(kù)；

所述網(wǎng)關(guān)在獲取到用戶終端發(fā)送的DNS查詢請(qǐng)求報(bào)文后，轉(zhuǎn)發(fā)所述DNS查詢請(qǐng)求報(bào)文，并接收DNS解析報(bào)文；

所述網(wǎng)關(guān)判斷所述IP地址庫(kù)中是否存在所述DNS解析報(bào)文中攜帶的IP地址，若是，則丟棄所述DNS解析報(bào)文，防止DNS污染。

可選的，所述網(wǎng)關(guān)發(fā)送DNS查詢請(qǐng)求測(cè)試報(bào)文，并基于接收到的DNS解析測(cè)試報(bào)文建立DNS污染的IP地址庫(kù)，包括：

所述網(wǎng)關(guān)基于多個(gè)預(yù)設(shè)的互不相同的測(cè)試域名，發(fā)送多個(gè)DNS查詢請(qǐng)求測(cè)試報(bào)文；多個(gè)所述測(cè)試域名與多個(gè)所述DNS查詢請(qǐng)求測(cè)試報(bào)文一一對(duì)應(yīng)；

所述網(wǎng)關(guān)接收各所述DNS查詢請(qǐng)求測(cè)試報(bào)文對(duì)應(yīng)的DNS解析測(cè)試報(bào)文；

所述網(wǎng)關(guān)將各DNS解析測(cè)試報(bào)文中相同的IP地址記錄到所述DNS污染的IP地址庫(kù)中，以建立所述DNS污染的IP地址庫(kù)。

可選的，所述網(wǎng)關(guān)判斷所述IP地址庫(kù)中是否存在所述DNS解析報(bào)文中攜帶的IP地址，若否，則將所述DNS解析報(bào)文發(fā)送到所述用戶終端。

第二方面，本發(fā)明還提出一種網(wǎng)關(guān)，包括：

建立單元，用于發(fā)送DNS查詢請(qǐng)求測(cè)試報(bào)文，并基于接收到的DNS解析測(cè)試報(bào)文建立DNS污染的IP地址庫(kù)；

通信單元，用于在獲取到用戶終端發(fā)送的DNS查詢請(qǐng)求報(bào)文后，轉(zhuǎn)發(fā)所述DNS查詢請(qǐng)求報(bào)文，并接收DNS解析報(bào)文；

處理單元，用于判斷所述IP地址庫(kù)中是否存在所述DNS解析報(bào)文中攜帶的IP地址，若是，則丟棄所述DNS解析報(bào)文，防止DNS污染。

可選的，所述建立單元，用于基于多個(gè)預(yù)設(shè)的互不相同的測(cè)試域名，發(fā)送多個(gè)DNS查詢請(qǐng)求測(cè)試報(bào)文；多個(gè)所述測(cè)試域名與多個(gè)所述DNS查詢請(qǐng)求測(cè)試報(bào)文一一對(duì)應(yīng)；接收各所述DNS查詢請(qǐng)求測(cè)試報(bào)文對(duì)應(yīng)的DNS解析測(cè)試報(bào)文；將各DNS解析測(cè)試報(bào)文中相同的IP地址記錄到所述DNS污染的IP地址庫(kù)中，以建立所述DNS污染的IP地址庫(kù)。

可選的，所述處理單元，用于判斷所述IP地址庫(kù)中是否存在所述DNS解析報(bào)文中攜帶的IP地址，若否，則將所述DNS解析報(bào)文發(fā)送到所述用戶終端。

相比于現(xiàn)有技術(shù)，本發(fā)明提出的防止域名系統(tǒng)DNS污染的方法和網(wǎng)關(guān)，通過(guò)建立DNS污染的IP地址庫(kù)，判斷收到的DNS解析報(bào)文中的IP地址是否屬于IP地址庫(kù)，從而過(guò)濾掉DNS污染的IP地址，使用戶訪問(wèn)網(wǎng)頁(yè)時(shí)可以正常瀏覽，提高瀏覽質(zhì)量，避免惡意劫持帶來(lái)的盜號(hào)，廣告風(fēng)險(xiǎn)。

附圖說(shuō)明

圖1為現(xiàn)有技術(shù)中用戶終端訪問(wèn)網(wǎng)站的場(chǎng)景示意圖；

圖2為本發(fā)明第一實(shí)施例公開(kāi)的一種防止域名系統(tǒng)DNS污染的方法流程圖；

圖3為本發(fā)明第二實(shí)施例公開(kāi)的一種網(wǎng)關(guān)結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。

需要說(shuō)明的是，本文中提及的用戶終端可以包括任何類型的設(shè)備，諸如手持式計(jì)算機(jī)、個(gè)人數(shù)字助理PDA、網(wǎng)絡(luò)家電、智能電視、智能手機(jī)、平板電腦、筆記本電腦、掌上游戲機(jī)、智能手表、媒體播放器或者這些數(shù)據(jù)處理設(shè)備或其他數(shù)據(jù)處理設(shè)備中的任何兩個(gè)或多個(gè)的組合。

如圖2所示，本實(shí)施例公開(kāi)一種防止域名系統(tǒng)DNS污染的方法，該方法的執(zhí)行主體為網(wǎng)關(guān)，網(wǎng)關(guān)包括家庭網(wǎng)關(guān)，企業(yè)網(wǎng)關(guān)等非運(yùn)營(yíng)商網(wǎng)關(guān)，所述方法可包括以下步驟201至204：

201、網(wǎng)關(guān)發(fā)送DNS查詢請(qǐng)求測(cè)試報(bào)文，并基于接收到的DNS解析測(cè)試報(bào)文建立DNS污染的IP地址庫(kù)。

以圖1所示的場(chǎng)景為例，網(wǎng)關(guān)向DNS服務(wù)器發(fā)送DNS查詢請(qǐng)求測(cè)試報(bào)文。運(yùn)營(yíng)商設(shè)備獲取DNS查詢請(qǐng)求測(cè)試報(bào)文，并轉(zhuǎn)發(fā)到DNS服務(wù)器。DNS服務(wù)器將DNS解析測(cè)試報(bào)文發(fā)送到運(yùn)營(yíng)商設(shè)備。運(yùn)營(yíng)商設(shè)備再轉(zhuǎn)發(fā)到網(wǎng)關(guān)。由于運(yùn)營(yíng)商設(shè)備處旁路部署了劫持服務(wù)器，劫持服務(wù)器向運(yùn)營(yíng)商設(shè)備發(fā)送的錯(cuò)誤的DNS解析測(cè)試報(bào)文先被運(yùn)營(yíng)商設(shè)備轉(zhuǎn)發(fā)到網(wǎng)關(guān)。這樣，基于先接收到的DNS解析測(cè)試報(bào)文，可提取出DNS污染的IP地址，從而建立DNS污染的IP地址庫(kù)。

202、所述網(wǎng)關(guān)在獲取到用戶終端發(fā)送的DNS查詢請(qǐng)求報(bào)文后，轉(zhuǎn)發(fā)所述DNS查詢請(qǐng)求報(bào)文，并接收DNS解析報(bào)文。

203、所述網(wǎng)關(guān)判斷所述IP地址庫(kù)中是否存在所述DNS解析報(bào)文中攜帶的IP地址，若是，則執(zhí)行步驟204。

204、丟棄所述DNS解析報(bào)文，防止DNS污染。

本實(shí)施例中，當(dāng)判定所述IP地址庫(kù)中存在所述DNS解析報(bào)文中攜帶的IP地址，則說(shuō)明該IP地址為DNS污染的IP地址，因此丟棄所述DNS解析報(bào)文，以獲取正確的DNS解析報(bào)文。

本實(shí)施例中，當(dāng)判定所述IP地址庫(kù)中不存在所述DNS解析報(bào)文中攜帶的IP地址，則說(shuō)明該IP地址為正確的IP地址，因此將所述DNS解析報(bào)文發(fā)送到所述用戶終端。

相比于現(xiàn)有技術(shù)，本實(shí)施例公開(kāi)的防止域名系統(tǒng)DNS污染的方法，通過(guò)建立DNS污染的IP地址庫(kù)，判斷收到的DNS解析報(bào)文中的IP地址是否屬于IP地址庫(kù)，從而過(guò)濾掉DNS污染的IP地址，使用戶訪問(wèn)網(wǎng)頁(yè)時(shí)可以正常瀏覽，提高瀏覽質(zhì)量，避免惡意劫持帶來(lái)的盜號(hào)，廣告風(fēng)險(xiǎn)。

在一個(gè)具體的例子中，給出圖2所示的步驟201“所述網(wǎng)關(guān)發(fā)送DNS查詢請(qǐng)求測(cè)試報(bào)文，并基于接收到的DNS解析測(cè)試報(bào)文建立DNS污染的IP地址庫(kù)”的一種優(yōu)選實(shí)施方式，具體包括圖2中未示出的步驟2011～2013：

2011、所述網(wǎng)關(guān)基于多個(gè)預(yù)設(shè)的互不相同的測(cè)試域名，發(fā)送多個(gè)DNS查詢請(qǐng)求測(cè)試報(bào)文；多個(gè)所述測(cè)試域名與多個(gè)所述DNS查詢請(qǐng)求測(cè)試報(bào)文一一對(duì)應(yīng)。

2012、所述網(wǎng)關(guān)接收各所述DNS查詢請(qǐng)求測(cè)試報(bào)文對(duì)應(yīng)的DNS解析測(cè)試報(bào)文。

2013、所述網(wǎng)關(guān)將各DNS解析測(cè)試報(bào)文中相同的IP地址記錄到所述DNS污染的IP地址庫(kù)中，以建立所述DNS污染的IP地址庫(kù)。

本實(shí)施例，考慮DNS服務(wù)器被DNS污染，甚至是多個(gè)DNS服務(wù)器被DNS污染的情況，由于DNS污染后，DNS解析結(jié)果中的IP一般為同一個(gè)IP地址，因此，若發(fā)送攜帶有不同的測(cè)試域名的DNS查詢請(qǐng)求測(cè)試報(bào)文后接收到的DNS解析測(cè)試報(bào)文有相同的IP地址，則說(shuō)明該IP地址為DNS污染的IP地址。

如圖3所示，本實(shí)施例公開(kāi)一種網(wǎng)關(guān)，包括家庭網(wǎng)關(guān)，企業(yè)網(wǎng)關(guān)等非運(yùn)營(yíng)商網(wǎng)關(guān)，所述網(wǎng)關(guān)可包括以下單元：建立單元31、通信單元32以及處理單元33。各單元說(shuō)明如下：

建立單元31，用于發(fā)送DNS查詢請(qǐng)求測(cè)試報(bào)文，并基于接收到的DNS解析測(cè)試報(bào)文建立DNS污染的IP地址庫(kù)；

通信單元32，用于在獲取到用戶終端發(fā)送的DNS查詢請(qǐng)求報(bào)文后，轉(zhuǎn)發(fā)所述DNS查詢請(qǐng)求報(bào)文，并接收DNS解析報(bào)文；

處理單元33，用于判斷所述IP地址庫(kù)中是否存在所述DNS解析報(bào)文中攜帶的IP地址，若是，則丟棄所述DNS解析報(bào)文，防止DNS污染。

本實(shí)施例公開(kāi)的網(wǎng)關(guān)，可實(shí)現(xiàn)圖2所示的防止域名系統(tǒng)DNS污染的方法流程，因此，本實(shí)施例中的網(wǎng)關(guān)的效果及說(shuō)明可參見(jiàn)圖2所示的方法實(shí)施例，在此不再贅述。

在一個(gè)具體的例子中，所述建立單元31，用于基于多個(gè)預(yù)設(shè)的互不相同的測(cè)試域名，發(fā)送多個(gè)DNS查詢請(qǐng)求測(cè)試報(bào)文；多個(gè)所述測(cè)試域名與多個(gè)所述DNS查詢請(qǐng)求測(cè)試報(bào)文一一對(duì)應(yīng)；接收各所述DNS查詢請(qǐng)求測(cè)試報(bào)文對(duì)應(yīng)的DNS解析測(cè)試報(bào)文；將各DNS解析測(cè)試報(bào)文中相同的IP地址記錄到所述DNS污染的IP地址庫(kù)中，以建立所述DNS污染的IP地址庫(kù)。

在一個(gè)具體的例子中，所述處理單元33，用于判斷所述IP地址庫(kù)中是否存在所述DNS解析報(bào)文中攜帶的IP地址，若否，則將所述DNS解析報(bào)文發(fā)送到所述用戶終端。

本領(lǐng)域技術(shù)人員可以理解，可以把實(shí)施例中的各單元組合成一個(gè)單元，以及此外可以把它們分成多個(gè)子單元。除了這樣的特征和/或過(guò)程或者單元中的至少一些是互相排斥之處，可以采用任何組合對(duì)本說(shuō)明書中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述，本說(shuō)明書中公開(kāi)的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。

本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。

本領(lǐng)域技術(shù)人員可以理解，實(shí)施例中的各單元可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。

雖然結(jié)合附圖描述了本發(fā)明的實(shí)施方式，但是本領(lǐng)域技術(shù)人員可以在不脫離本發(fā)明的精神和范圍的情況下做出各種修改和變型，這樣的修改和變型均落入由所附權(quán)利要求所限定的范圍之內(nèi)。