CN104065766B - 一种旁路缓存域名解析方法 - Google Patents
一种旁路缓存域名解析方法 Download PDFInfo
- Publication number
- CN104065766B CN104065766B CN201410334694.2A CN201410334694A CN104065766B CN 104065766 B CN104065766 B CN 104065766B CN 201410334694 A CN201410334694 A CN 201410334694A CN 104065766 B CN104065766 B CN 104065766B
- Authority
- CN
- China
- Prior art keywords
- dns
- domain name
- caching
- client
- resolution request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种旁路缓存域名解析方法,包括:步骤S1000,客户端发送DNS解析请求,所述DNS解析请求携带了域名和目标DNS服务器信息;步骤S2000,所述DNS解析请求经分光器或者路由器被发送到外部网络和DNS旁路缓存子系统;步骤S3000,所述DNS旁路缓存子系统接收客户端发送的域名系统DNS解析请求,确认所述DNS解析请求携带的域名和目标DNS服务器信息;步骤S4000,所述DNS旁路缓存子系统确定所述目标DNS服务器是否在黑名单中;步骤S5000,所述DNS旁路缓存子系统向所述客户端返回域名解析结果。本发明可以提升通信运营商对用户流量调度的能力。
Description
技术领域
本发明涉及一种旁路缓存域名解析方法和系统。
背景技术
在IP(Internet Protocol,互联网协议)网络中,域名系统(Domain Name System,DNS)是因特网最关键的基础服务之一,为众多网络应用提供根本性支撑,其主要功能是将易于人们记忆的域名(Domain Name)与网络可识别的IP地址作转换。域名和IP地址之间的转换称为域名解析,执行域名解析的网络主机可以称为DNS服务器。通过域名系统DNS服务器的查询服务,可以找到所需站点或资源的入口,进而对站点或资源进行访问。
目前一个DNS结果过程通过会遇到两种DNS设备,分别是缓存DNS服务器和授权DNS服务器。
缓存服务器通常由通讯运营商管理,比如中国电信,中国联通,中国移动管理这大量的缓存DNS服务器,这些缓存服务器为通讯运营商的用户提供DNS解析代理服务,这里指的缓存DNS是指具备缓存或递归功能的DNS服务器。
授权服务器通常由域名所有者负责管理,域名所有者负责将域名和IP对应的关系写入授权服务器,授权服务器只提供自己管理的域名的解析。
传统的DNS解析流程如图1所示。具体为:1.用户向运营商缓存DNS发起DNS请求;2.运营商缓存DNS如有缓存则直接应答用户,无缓存时运营商缓存DNS向授权DNS递归请求;3.授权DNS应答运营商缓存DNS请求,运营商缓存DNS写入缓存;4.运营商缓存DNS应答用户。
DNS优化系统的业务流程如图2所示。具体为:1.用户向运营商缓存DNS发起DNS请求;2.运营商缓存DNS有缓存则直接应答用户,若无缓存,向授权DNS递归请求;3.劫持系统镜像运营商缓存DNS向授权DNS的递归请求;4.劫持系统对镜像的请求包进行分析,对比现有列表;5.列表已存在,就应答给运营商缓存DNS,若不存在,丢弃报文,不做任何处理;4.运营商缓存DNS获取到劫持系统的应答和授权DNS的应答报文,通常劫持设备的报文会优先达到运营商缓存DNS,缓存DNS将获得的结果缓存到本机;5.运营商缓存DNS将结果应答给请求用户。
缓存服务器除了通信运营商控制以外有一些第三方公司也开始搭建缓存DNS服务器为用户提供服务,比如谷歌8.8.8.8缓存DNS集群,国内的114.114.114.114缓存DNS集群。但是一般通信运营商都会在自己的缓存DNS做一些流量引导策略,来提供用户的访问互联网的速度和减低自己的运营成本,比如通过流量调度减少互联互通的带宽来减少费用。
但是如果用户使用的第三方缓存DNS服务器,那么通信运营商的DNS服务器上的优化调度策略就不会对这些用户生效导致用户访问体检变差,同时运营商成本增高。而上述的传统的DNS解析或DNS劫持系统都不能解决这个问题。
发明内容
本发明的目的在于,提供一种域名解析方法及系统。
用于解决问题的方案
为了实现上述目的,本发明创造提供一种旁路缓存域名解析方法,包括:
步骤S1000,客户端发送DNS解析请求,所述DNS解析请求携带了域名和目标DNS服务器信息;
步骤S2000,所述DNS解析请求经分光器或者路由器被发送到外部网络和DNS旁路缓存子系统;
步骤S3000,所述DNS旁路缓存子系统接收客户端发送的域名系统DNS解析请求,确认所述DNS解析请求携带的域名和目标DNS服务器信息;
步骤S4000,所述DNS旁路缓存子系统确定所述目标DNS服务器是否在黑名单中;
步骤S5000,所述DNS旁路缓存子系统向所述客户端返回域名解析结果。
优选地,所述DNS旁路缓存子系统向所述客户端返回域名解析结果,包括:
步骤S5100,如所述DNS旁路缓存子系统确认所述DNS解析请求携带的域名是否在缓存中,
步骤S5200,如所述DNS解析请求携带的域名在缓存中,向所述客户端返回域名解析结果,
步骤S5300,如所述DNS解析请求携带的域名不在缓存中,则所述DNS旁路缓存子系统进行递归查询,并将递归查询结果写入缓存,然后向所述客户端返回域名解析结果。
优选地,所述DNS旁路缓存子系统伪装为目标DNS服务器向所述客户端返回域名解析结果。
本发明还提供一种旁路缓存域名解析系统,包括:
包抓取模块,用于抓取客户端发送DNS解析请求,所述DNS解析请求携带了域名和目标DNS服务器信息;
包过滤模块,用于过滤所述DNS解析请求携带的域名,并确认所述目标DNS服务器信息是否在黑名单中,并向下述解析模块发送未被过滤的域名和目标DNS服务器;
解析模块,用于对域名进行解析,并伪装为目标DNS服务器向所述客户端返回域名解析结果。
优选地,旁路缓存域名解析系统,还包括递归模块;
所述解析模块,还用于确认域名是否在缓存中,并向所述递归模块发送不在缓存中的域名;
所述递归模块,用于递归查询域名解析结果。
优选地,旁路缓存域名解析系统,所述递归模块,还用于向缓存中写入所述递归查询域名解析结果。
有益效果
使用第三方缓存DNS的网内用户也会被通信运营商的缓存DNS策略所影响,提升通信运营商对用户流量调度的能力。
附图说明
图1为传统的DNS解析流程示意图;
图2为传统的DNS劫持流程示意图;
图3为本发明一实施例的流程示意图;
图4为本发明一实施例的第一返回解析结果流程示意图;
图5为本发明一实施例的第二返回解析结果流程示意图;
图6为本发明优化的系统示意图。
具体实施方式
下面对本发明创造实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明创造部分实施例,而不是全部的实施例。基于本发明创造中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明创造保护的范围。
如图3所示,一种旁路缓存域名解析方法,包括:
步骤S1000,客户端发送DNS解析请求,所述DNS解析请求携带了域名和目标DNS服务器信息;
步骤S2000,所述DNS解析请求经分光器或者路由器被发送到外部网络和DNS旁路缓存子系统;
步骤S3000,所述DNS旁路缓存子系统接收客户端发送的域名系统DNS解析请求,确认所述DNS解析请求携带的域名和目标DNS服务器信息;
步骤S4000,所述DNS旁路缓存子系统确定所述目标DNS服务器是否在黑名单中;
步骤S5000,所述DNS旁路缓存子系统向所述客户端返回域名解析结果。
优选地,如图4所示,所述DNS旁路缓存子系统向所述客户端返回域名解析结果,包括:
步骤S5100,如所述DNS旁路缓存子系统确认所述DNS解析请求携带的域名是否在缓存中,
步骤S5200,如所述DNS解析请求携带的域名在缓存中,向所述客户端返回域名解析结果。
优选地,如图5所示,所述DNS旁路缓存子系统向所述客户端返回域名解析结果,包括:
步骤S5100,如所述DNS旁路缓存子系统确认所述DNS解析请求携带的域名是否在缓存中,
步骤S5300,如所述DNS解析请求携带的域名不在缓存中,则所述DNS旁路缓存子系统进行递归查询,并将递归查询结果写入缓存,然后向所述客户端返回域名解析结果。
一个典型的业务流程如图6所示,具体为:
1.用户端DNS设置为第三方缓存DNS时,用户直接向第三方DNS发起DNS请求;
2.旁路缓存域名解析服务器的包抓取模块获取用户请求DNS镜像;
3.缓存解析服务器的DNS包过滤模块进行包过滤操作,过滤出符合条件的报文传递给解析模块;
4.解析模块将系统缓存列表已存结果在应答给请求用户,如果缓存中没有的则传递给递归模块;
5.递归模块去请求运营商缓存DNS或自己递归,运营商缓存DNS负责将请求应答给旁路缓存域名解析服务器;
6.缓存解析服务器将运营商缓存DNS应答的请求缓存到系统列表内,并将结果应答给请求用户,同时第三方的缓存服务器也会给用户一个应答,但是通常旁路解析服务器的应答会优先到达,因为通常旁路缓存服务器的网络路由比较近,所有用户会优先获得旁路缓存服务器的应答。
本发明还提供一种旁路缓存域名解析系统,包括:
包抓取模块,用于抓取客户端发送DNS解析请求,所述DNS解析请求携带了域名和目标DNS服务器信息;
包过滤模块,用于过滤所述DNS解析请求携带的域名,并确认所述目标DNS服务器信息是否在黑名单中,并向下述解析模块发送未被过滤的域名和目标DNS服务器;
解析模块,用于对域名进行解析,并伪装为目标DNS服务器向所述客户端返回域名解析结果。
优选地,旁路缓存域名解析系统,还包括递归模块;
所述解析模块,还用于确认域名是否在缓存中,并向所述递归模块发送不在缓存中的域名;
所述递归模块,用于递归查询域名解析结果。
优选地,旁路缓存域名解析系统,所述递归模块,还用于向缓存中写入所述递归查询域名解析结果。
旁路缓存域名解析服务器系统,主要涉及包抓取模块、DNS包过滤模块、DNS解析模块,递归模块等。
包抓取模块:由于本发明需要解决的问题是用户的缓存DNS设置成第三方的缓存DNS,所有通信运营商的DNS的策略无法生效的问题,所以我们需要有一个新的模块来获取用户请求第三方缓存DNS的报文,这需要在用户和第三方DNS的数据包必经的路由器或交换机上COPY一份DNS的请求流量,通常由分光或者镜向流量的方式,分光或者镜向的流量需要被旁路缓存域名解析服务器抓取并提交给包过滤模块。
包过滤模块:包过滤模块不仅仅需要过滤掉非DNS报文,同时需要过滤掉通信运营商的缓存DNS发出的请求,否则会导致业务流程死循环,也要过滤掉大量的DNS攻击报文,如果这些攻击报文不被过滤掉会导致攻击网外第三方攻击的报文被传递给通信运营商的缓存DNS导致巨大的损失,本发明通过学习的方式获取前N个解析结果正常的域名作为服务对象,其它的域名一律过滤掉。没有被过滤掉的域名会被传递给下一个模块,DNS解析模块。
DNS解析模块:DNS解析模块拿到去第三方请求的DNS报文后,在缓存中寻找是否有匹配的记录,如果有则伪造第三方DNS的IP地址进行应答,如果没有则会调用下一个模块递归模块进行递归将递归请求的结果写入缓存然后应答用户,如果需要和通信运营商的DNS的策略保持一致,哪么DNS解析结果一定不能使用轮训或者其它特殊DNS应答策略,必须要严格按照递归模块回复的IP地址顺序将IP地址回复给用户,当然如果有其它的策略也可以在该模块体现。
DNS递归模块:为了通信运营商的缓存DNS策略生效需要将DNS的解析结果优化权限交给通信运营商的DNS来做,所以不能采用传统的DNS递归方式,要将需要递归的请求转发给运营商的缓存DNS,为了不给通信运营商的缓存DNS带来太多的压力,需要给转发的设备建立一个阀值,确保通信运营商的缓存DNS健康运行,不吸收网内用户攻击网外DNS的流量。
通过旁路的方式获取网内用户请求第三方缓存DNS域名服务器的请求,通过转发的方式同步通信运营商的DNS优化调度策略。通过以上两点实现使用第三方缓存DNS的网内用户也会被通信运营商的缓存DNS策略所影响,提升通信运营商对用户流量调度的能力。
以上所述,仅为本发明创造的具体实施方式,但本发明创造的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明创造揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明创造的保护范围之内。因此,本发明创造的保护范围应所述以权利要求的保护范围为准。
Claims (3)
1.一种旁路缓存域名解析方法,其特征在于,包括:
步骤S1000,客户端向第三方缓存DNS服务器发送DNS解析请求,所述DNS解析请求携带了域名和目标DNS服务器信息;
步骤S2000,所述DNS解析请求经分光器或者路由器被发送到外部网络和DNS旁路缓存子系统;
步骤S3000,所述DNS旁路缓存子系统接收客户端发送的域名系统DNS解析请求,确认所述DNS解析请求携带的域名和目标DNS服务器信息;
步骤S4000,所述DNS旁路缓存子系统确定所述目标DNS服务器是否在黑名单中;
步骤S5000,所述DNS旁路缓存子系统向所述客户端返回域名解析结果。
2.根据权利要求1所述的旁路缓存域名解析方法,其特征在于,所述DNS旁路缓存子系统向所述客户端返回域名解析结果,包括:
步骤S5100,如所述DNS旁路缓存子系统确认所述DNS解析请求携带的域名是否在缓存中,
步骤S5200,如所述DNS解析请求携带的域名在缓存中,向所述客户端返回域名解析结果,
步骤S5300,如所述DNS解析请求携带的域名不在缓存中,则所述DNS旁路缓存子系统进行递归查询,并将递归查询结果写入缓存,然后向所述客户端返回域名解析结果。
3.根据权利要求1或2所述的旁路缓存域名解析方法,其特征在于,所述DNS旁路缓存子系统伪装为目标DNS服务器向所述客户端返回域名解析结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410334694.2A CN104065766B (zh) | 2014-07-14 | 2014-07-14 | 一种旁路缓存域名解析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410334694.2A CN104065766B (zh) | 2014-07-14 | 2014-07-14 | 一种旁路缓存域名解析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104065766A CN104065766A (zh) | 2014-09-24 |
| CN104065766B true CN104065766B (zh) | 2018-01-30 |
Family
ID=51553293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410334694.2A Expired - Fee Related CN104065766B (zh) | 2014-07-14 | 2014-07-14 | 一种旁路缓存域名解析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104065766B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110795656A (zh) * | 2019-11-01 | 2020-02-14 | 成都云智天下科技股份有限公司 | 一种基于分光技术的http缓存方法 |
| CN111010460A (zh) * | 2019-12-16 | 2020-04-14 | 南京亚信智网科技有限公司 | 域名解析方法和装置 |
| CN115174518B (zh) * | 2022-06-15 | 2023-11-21 | 哈尔滨工业大学 | 一种基于rpz的递归侧域名保全方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025793A (zh) * | 2010-01-22 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种ip网络中的域名解析方法、系统及dns服务器 |
| KR20110062994A (ko) * | 2009-12-04 | 2011-06-10 | 이학종 | 디엔에스 패킷 변조를 통한 인터넷 접속 경로 우회 유도시스템 및 그 방법 |
| CN102624750A (zh) * | 2012-04-22 | 2012-08-01 | 吴兴利 | 抵御dns递归攻击的方法和系统 |
| CN102868669A (zh) * | 2011-07-08 | 2013-01-09 | 上海寰雷信息技术有限公司 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
| CN103701957A (zh) * | 2014-01-14 | 2014-04-02 | 互联网域名系统北京市工程研究中心有限公司 | Dns递归方法及其系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7844735B2 (en) * | 2005-05-03 | 2010-11-30 | International Business Machines Corporation | Determining address of edge server by using authoritative domain name server and bypassing assigned domain name server |
-
2014
- 2014-07-14 CN CN201410334694.2A patent/CN104065766B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110062994A (ko) * | 2009-12-04 | 2011-06-10 | 이학종 | 디엔에스 패킷 변조를 통한 인터넷 접속 경로 우회 유도시스템 및 그 방법 |
| CN102025793A (zh) * | 2010-01-22 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种ip网络中的域名解析方法、系统及dns服务器 |
| CN102868669A (zh) * | 2011-07-08 | 2013-01-09 | 上海寰雷信息技术有限公司 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
| CN102624750A (zh) * | 2012-04-22 | 2012-08-01 | 吴兴利 | 抵御dns递归攻击的方法和系统 |
| CN103701957A (zh) * | 2014-01-14 | 2014-04-02 | 互联网域名系统北京市工程研究中心有限公司 | Dns递归方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104065766A (zh) | 2014-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101465856B (zh) | 一种对用户进行访问控制的方法和系统 | |
| CN105516165B (zh) | 一种识别计费欺诈的非法代理的方法、设备及系统 | |
| CN102724189B (zh) | 一种控制用户url访问的方法及装置 | |
| CN104811371B (zh) | 一种全新的即时通信系统 | |
| CN103905574B (zh) | 一种dns业务访问方法、dns数据同步方法及设备 | |
| CN104333567A (zh) | 采用安全即服务的web缓存 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN102932496B (zh) | 一种管理域名系统信息的方法和系统 | |
| CN104767690B (zh) | 一种流量调度装置及方法 | |
| CN103685304A (zh) | 一种共享session信息的方法和系统 | |
| CN105119787B (zh) | 一种基于软件定义的公共互联网接入系统和方法 | |
| CN102783119A (zh) | 访问控制方法、系统及接入终端 | |
| CN106453669A (zh) | 一种负载均衡方法及一种服务器 | |
| CN104065766B (zh) | 一种旁路缓存域名解析方法 | |
| CN114039875B (zh) | 一种基于eBPF技术的数据采集方法、装置及系统 | |
| CN106550056A (zh) | 一种域名解析方法及装置 | |
| CN109617753A (zh) | 一种网络平台管理方法、系统及电子设备和存储介质 | |
| CN109644335A (zh) | 一种标识信息的处理方法、数据库控制系统以及相关设备 | |
| CN101599857B (zh) | 检测共享接入主机数目的方法、装置及网络检测系统 | |
| CN106161406A (zh) | 获取用户账号的方法和装置 | |
| CN102263837B (zh) | 一种域名系统dns解析方法及装置 | |
| CN101729310B (zh) | 实现业务监控的方法、系统以及信息获取设备 | |
| CN104734869A (zh) | 基于动态探测的智能dns域名系统及方法 | |
| CN106411819A (zh) | 一种识别代理互联网协议地址的方法及装置 | |
| US20170064023A1 (en) | Page Push Method, Device, Server and System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20171219 Address after: 210036, unit two, unit two, unit 1106, No. 121, Jiangdong North Road, Drum Tower District, Nanjing, Jiangsu Applicant after: Wu Xingli Address before: 100080 Suzhou Street 55 Suzhou Street, Haidian District, Beijing, 3 layer 01-A340 Applicant before: Beijing Kuai Yibo Science and Technology Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180904 Address after: 310024 room 6581, 99 South Street, Xihu District Tong Tang street, Hangzhou, Zhejiang. Patentee after: Zhejiang Yun Nuo Communication Technology Co., Ltd. Address before: 210036 room two, unit 3, 3 Jiangdong North Road, Gulou District, Nanjing, Jiangsu, 1106 Patentee before: Wu Xingli |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180130 Termination date: 20190714 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |