CN103957289B - 一种基于复杂网络上的dnssec解析方法 - Google Patents

一种基于复杂网络上的dnssec解析方法 Download PDF

Info

Publication number
CN103957289B
CN103957289B CN201410198239.4A CN201410198239A CN103957289B CN 103957289 B CN103957289 B CN 103957289B CN 201410198239 A CN201410198239 A CN 201410198239A CN 103957289 B CN103957289 B CN 103957289B
Authority
CN
China
Prior art keywords
dns
data
dnssec
host
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410198239.4A
Other languages
English (en)
Other versions
CN103957289A (zh
Inventor
李晓东
张海阔
罗策
王楠
左鹏
李洪涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
Computer Network Information Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Network Information Center of CAS filed Critical Computer Network Information Center of CAS
Priority to CN201410198239.4A priority Critical patent/CN103957289B/zh
Publication of CN103957289A publication Critical patent/CN103957289A/zh
Application granted granted Critical
Publication of CN103957289B publication Critical patent/CN103957289B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于复杂网络上的DNSSEC解析方法。本方法为:1)递归服务器根据DNS请求查询缓存数据,有则将相应缓存数据返回给用户;没有则转2);2)根据该DNS请求向权威服务器查询DNSSEC数据;若没获得该数据,则转3);获得则转5);3)递归服务器使用动态选择策略挑选的传输协议向权威服务器查询DNSSEC数据;若未获得则转4);获得则转5);4)使用动态选择策略挑选的传输协议采用非DNSSEC方式查询DNS数据,若获得则返回不含AD位的DNS数据;否则返回失败信息;5)验证DNS数据,通过则返回含有AD位的DNS数据;否则返回失败信息。本发明提升了DNS数据报文的可达性和服务稳定性。

Description

一种基于复杂网络上的DNSSEC解析方法
技术领域
本发明涉及一种基于复杂网络上的DNSSEC解析方法,属于计算机网络技术领域。
背景技术
近年来,为了解决DNS域名系统的安全漏洞问题(例如中间人攻击),DNSSEC(Domain Name System Security Extensions)协议逐渐得到广泛部署并成为趋势。它使用了公钥加密技术和数字签名技术来为DNS提供端点鉴别和数据完整性保护(RFC 4034,RFC4035),目前根节点、com、us和cn等顶级域名都已实施部署。
引入DNSSEC功能后,DNS报文将会明显增大,数据报文的大小将会超过512字节,甚至会超过1500字节。虽然EDNS0技术扩充了DNS报文的大小,但是一些路由器不支持大于1500字节的DNS数据包,一些防火墙不支持EDNS0协议。这些限制将直接阻塞DNSSEC数据报文在互联网上的传输,最终导致相应域名无法解析。
发明内容
本发明的目的在于降低DNSSEC带来的DNS解析失败风险,提供一种复杂网络上的DNSSEC解析方法。
本发明的技术方案为:
一种基于复杂网络上的DNSSEC解析方法,其步骤为:
1)递归服务器根据用户的DNS查询请求查询缓存数据,如果有对应的缓存数据,则将该缓存数据返回给该用户;如果没有则进行步骤2);
2)递归服务器根据该DNS查询请求使用DNSSEC查询方式向权威服务器查询DNS数据;如果没有获得该DNS查询请求的DNS数据,则进行步骤3);如果获得该DNS查询请求的DNS数据,则使用DNSSEC协议验证该DNS数据,如果验证通过,则返回给该用户含有AD位的DNS数据;如果验证失败,则返回查询失败信息;
3)递归服务器使用动态选择策略挑选的传输协议向权威服务器查询DNS数据;如果未获得该DNS查询请求的DNS数据,则进行步骤4);如果获得该DNS查询请求的DNS数据,则使用DNSSEC协议验证DNS数据,如果验证通过,返回给该用户含有AD位的DNS数据;如果验证失败,返回查询失败信息;
4)递归服务器使用动态选择策略挑选的传输协议,采用非DNSSEC方式向权威服务器查询DNS数据,如果获得该DNS查询请求的DNS数据,则返回给该用户不含AD位的DNS数据,完成查询;否则返回查询失败信息。
进一步的,所述步骤2)中,递归服务器采用UDP协议,使用DNSSEC查询方式向权威服务器查询DNSSEC数据。
进一步的,所述步骤3)中,所述动态选择策略挑选的传输协议是指根据网络环境进行选择传输协议,例如TCP、UDP等。动态选择策略可以根据网络延时等等作为参数,选择出适合当前网络状态的通信协议。
进一步的,所述步骤4)中,所述动态选择策略挑选的传输协议是指根据网络环境进行选择传输协议,例如TCP、UDP等。动态选择策略可以根据网络延时等等作为参数,同时考虑上次失败的通信协议选择结果,选择出适合当前网络状态的通信协议。
在DNSSEC技术中,递归服务将会根据DNS权威服务的数据进行验证。在验证过程中,递归服务采用UDP协议作为默认传输协议进行通信,使用DNSSEC查询方式获得所需的DNS数据(即包含DNSSEC信息的DNS数据或DNSSEC数据)。当递归服务获得来自权威服务的包含DNSSEC信息的DNS数据时,将会对该数据做DNSSEC验证。如果验证成功,将会给最终用户返回含有“AD”位的DNS数据(即从客户端角度考虑,表明该DNS数据是可信赖的);如果验证失败,将分为2种情况来处理,分别如下:
1)获得DNS数据,但是发现数据被篡改
获得DNS数据,但是根据DNSSEC协议发现数据被篡改时,将会为最终用户返回“ServFail”,停止为该域名提供解析服务。
2)没有获得DNS数据
采用动态选择策略挑选的传输协议进行重新查询,获得数据,然后重新验证DNS数据。当重新查询获得数据时,将会继续验证DNS报文,验证通过时,返回含有“AD”位的DNS报文,验证没有通过时返回“ServFail”,停止为该域名提供服务;当再次没有获得数据时,递归服务将会再次动态选择传输协议并且使用非DNSSEC查询方式查询权威服务。当获得来自权威服务的报文时,将不做DNSSEC验证,并且将不含有“AD”位的DNS报文返回给最终用户,从而保证DNS能够继续工作,使得用户请求访问的URL依然可用;当再次没有获得来自权威服务的报文时,递归服务将会返回“ServFail”的DNS报文。
与现有技术相比,本发明的优点:
该方法可以满足DNS安全需求,在不降低DNSSEC安全需求的同时,可以降低复杂网络对DNSSEC数据包的影响。
该方法与现有DNS解析方法相比,创造性地利用动态选择策略来选择传输协议进行通信和重试,以当前网络状况等等为参数,选择不同传输协议,当递归服务由一种传输协议无法获得DNSSEC数据时,递归服务将会自动采用其他传输协议获得数据,从而提升了DNS数据报文的可达性和服务的稳定性,降低递归服务部署DNSSEC的风险。
该方法与现有DNS相比,增加了数据不可达的处理方法,当UDP和TCP传输协议都无法获得DNSSEC数据时,递归服务将会自动切换成非DNSSEC模式重新查询权威服务,保障域名可以被解析;本发明降低了路由器MTU问题对DNSSEC数据包的影响,解决了由于防火墙不支持EDNS0协议而造成DNS无法解析的问题,同时没有降低DNS对中间人攻击的安全性,因为中间人攻击无法制造DNS报文不可达的情况,所以该方法能够验证DNS的正确性。
附图说明
附图为递归服务解析图。
具体实施方式
本实施例的流程如图所示。其步骤描述如下:
递归服务器开启DNSSEC验证功能后,将按如下流程查询:
1)递归服务器接收用户的DNS查询请求。接收到用户的DNS查询请求后查询缓存数据,如果缓存数据有该信息,将该信息返回给用户;如果缓存数据没有该信息,则跳至第2步。
2)采用UDP协议,使用ENDS0向权威服务器查询DNSSEC数据。如果获得该数据,则跳至第5步。
3)当第2步没有返回数据时,使用动态选择策略挑选的传输协议向权威服务器查询DNSSEC数据,如果获得该数据,则跳至第5步。
4)当第3步没有返回数据时,则再次动态选择传输协议,采用非DNSSEC方式向权威服务器查询DNS数据。如果获得该数据,则返回给用户不含“AD”位的DNS数据,完成查询;如果仍然没有数据,则返回给用户“ServFail”信息,完成查询。
5)使用DNSSEC协议验证DNS数据,如果验证通过,返回给用户含有“AD”位的DNS数据;如果验证失败,返回给用户“ServFail”信息,完成查询。

Claims (7)

1.一种基于复杂网络上的DNSSEC解析方法,其步骤为:
1)递归服务器根据用户的DNS查询请求查询缓存数据,如果有对应的缓存数据,则将该缓存数据返回给该用户;如果没有则进行步骤2);
2)递归服务器根据该DNS查询请求使用DNSSEC查询方式向权威服务器查询DNS数据;如果没有获得该DNS查询请求的DNS数据,则进行步骤3);如果获得该DNS查询请求的DNS数据,则使用DNSSEC协议验证该DNS数据,如果验证通过,则返回给该用户含有AD位的DNS数据;如果验证失败,则返回查询失败信息;
3)递归服务器使用动态选择策略挑选的传输协议向权威服务器查询DNS数据;如果未获得该DNS查询请求的DNS数据,则进行步骤4);如果获得该DNS查询请求的DNS数据,则使用DNSSEC协议验证DNS数据,如果验证通过,返回给该用户含有AD位的DNS数据;如果验证失败,返回查询失败信息;
4)递归服务器使用动态选择策略挑选的传输协议,采用非DNSSEC方式向权威服务器查询DNS数据,如果获得该DNS查询请求的DNS数据,则返回给该用户不含AD位的DNS数据,完成查询;否则返回查询失败信息。
2.如权利要求1所述的方法,其特征在于所述步骤2)中,递归服务器采用UDP协议,使用DNSSEC查询方式向权威服务器查询DNSSEC数据。
3.如权利要求1所述的方法,其特征在于所述动态选择策略根据网络环境挑选传输协议。
4.如权利要求3所述的方法,其特征在于所述步骤3)中,所述动态选择策略根据网络时延选取传输协议。
5.如权利要求4所述的方法,其特征在于所述步骤3)所挑选的传输协议为TCP协议。
6.如权利要求4或5所述的方法,其特征在于所述步骤4)中,所述动态选择策略根据网络时延和上次失败的通信协议选择结果选取传输协议。
7.如权利要求6所述的方法,其特征在于所述步骤4)所挑选的传输协议为UDP协议。
CN201410198239.4A 2014-05-12 2014-05-12 一种基于复杂网络上的dnssec解析方法 Active CN103957289B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410198239.4A CN103957289B (zh) 2014-05-12 2014-05-12 一种基于复杂网络上的dnssec解析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410198239.4A CN103957289B (zh) 2014-05-12 2014-05-12 一种基于复杂网络上的dnssec解析方法

Publications (2)

Publication Number Publication Date
CN103957289A CN103957289A (zh) 2014-07-30
CN103957289B true CN103957289B (zh) 2017-10-31

Family

ID=51334512

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410198239.4A Active CN103957289B (zh) 2014-05-12 2014-05-12 一种基于复杂网络上的dnssec解析方法

Country Status (1)

Country Link
CN (1) CN103957289B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104702714B (zh) * 2015-03-31 2019-02-01 北京奇虎科技有限公司 Dns安全查询方法和装置
CN105357212A (zh) * 2015-11-23 2016-02-24 北京天地互连信息技术有限公司 一种保证安全和隐私的dns端到端解析方法
CN105306621B (zh) * 2015-11-24 2018-05-29 北京天地互连信息技术有限公司 一种基于应用层dns消息分割的dns包扩展方法
CN106302859B (zh) * 2016-09-09 2019-03-08 中国互联网络信息中心 一种dnssec否定应答的响应及处理方法
CN108769284B (zh) * 2018-05-04 2022-02-18 网宿科技股份有限公司 一种域名解析方法、服务器及系统
CN111107081B (zh) * 2019-12-17 2022-01-11 深圳网基科技有限公司 基于dpdk的多进程dns服务方法和系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491201A (zh) * 2013-08-27 2014-01-01 北京蓝汛通信技术有限责任公司 一种域名解析的方法和域名服务器

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103314566B (zh) * 2010-11-05 2017-05-03 思杰系统有限公司 用于管理域名系统安全(dnssec)的系统和方法
US8645700B2 (en) * 2011-04-29 2014-02-04 Verisign, Inc. DNSSEC inline signing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491201A (zh) * 2013-08-27 2014-01-01 北京蓝汛通信技术有限责任公司 一种域名解析的方法和域名服务器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
域名系统对IPv6协议支持分析;冷峰等;《中兴通信技术》;20130430;第19卷(第2期);全文 *

Also Published As

Publication number Publication date
CN103957289A (zh) 2014-07-30

Similar Documents

Publication Publication Date Title
CN103957289B (zh) 一种基于复杂网络上的dnssec解析方法
CN108270882B (zh) 域名的解析方法和装置、存储介质、电子装置
CN109983752A (zh) 带有编码dns级信息的网络地址
TWI565258B (zh) 過濾https傳輸內容的系統、方法及裝置
US20150215267A1 (en) Surrogate name delivery network
CN109769043A (zh) 域名解析方法、装置及系统
CN101170515B (zh) 一种处理报文的方法、系统和网关设备
EP3021537B1 (en) Method, device and system for determining content acquisition path and processing request
CN105141621A (zh) 网络访问的监控方法及装置
CN106657035B (zh) 一种网络报文传输方法及装置
CN105357212A (zh) 一种保证安全和隐私的dns端到端解析方法
WO2015039475A1 (zh) 一种域名解析方法、服务器及系统
CN104348924A (zh) 一种域名解析方法、系统及装置
US11223599B1 (en) Techniques for templated domain management
CN106487807A (zh) 一种域名解析的防护方法和装置
CN103167045A (zh) 选择网络层协议的方法、 dns 服务器和域名管理系统
CN103281292A (zh) 为数据加盖时间戳的方法和设备、验证时间戳的方法和设备
CN110392069B (zh) Cdn业务调度处理方法及cdn服务器
CN105491110B (zh) 基于http或https的根服务器扩展方法和网络
CN104158799A (zh) 一种基于url动态映射的http ddos防御方法
CN109565453B (zh) 用于扩充网络流量报告的方法及系统
CN110730189B (zh) 一种通信认证方法、装置、设备及存储介质
CN105391813A (zh) 一种socks透明代理的方法及装置
CN105812503B (zh) 根服务器地址更新方法和一种递归服务器
WO2017097092A1 (zh) 缓存集群服务的处理方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210202

Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing

Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER

Address before: 100190 Building 1, No.4, Nansi street, Zhongguancun, Shijingshan District, Beijing

Patentee before: Computer Network Information Center, Chinese Academy of Sciences

TR01 Transfer of patent right