CN104468865A - 域名解析控制、响应方法及相应的装置 - Google Patents

Abstract

本发明涉及一种域名解析控制方法，包括以下步骤：监听并接收本机的域名解析请求数据；加密该域名解析请求数据并发送给预设的网络地址；接收由所述网络地址反馈的经加密的域名解析结果数据；解密该域名解析结果数据并据以应答本机的所述域名解析请求数据。还公开一种域名解析响应方法，包括如下步骤：接收加密的域名解析请求数据并将之解密；向预设的域名服务器查询所述请求数据所包含的域名以获取对应的域名解析结果数据，该数据包含对应于该域名的IP地址；加密所述域名解析结果数据，以加密后的域名解析结果数据应答所述加密的域名解析请求数据。相应的，本发明还公开了相应的装置。以本发明所构造的DNS客户端和服务器的通信更为安全。

Description

域名解析控制、响应方法及相应的装置

技术领域

本发明涉及互联网安全技术，一方面，涉及一种域名解析控制方法和装置，另一方面，涉及一种域名解析响应方法和装置。

背景技术

DNS是域名系统(Domain Name System)的缩写，是因特网(Internet)一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。

Internet主机域名的一般结构为：主机名.三级域名.二级域名.顶级域名。Internet的顶级域名由Internet网络协会域名注册查询负责网络地址分配的委员会进行登记和管理，它还为Internet的每一台主机分配唯一的IP地址。

其中，DNS根服务器是DNS树型域名空间的“根”，负责DNS的解析，对于域名解析起着极其关键的作用。从理论上说，任何形式的标准域名要想被实现解析，按照技术流程，都必须经过全球“层级式”域名解析体系的工作才能完成。

由于域名系统(DNS：Domain Name System)设计上的先天不足，如果遭遇DNS污染，用户在浏览器里输入域名以后，浏览器就可能接收到DNS服务器返回的错误IP地址，进而访问不当的网络对象，进一步造成安全问题。

针对这类问题，IETF在二十几年前便开始研究DNS的安全扩展(DNSSEC)。Kaminsky的发现极大地推动了DNSSEC的发展。DNSSEC利用公开密钥加密技术，对DNS数据进行数字签名，据此能够验证DNS数据来源合法性，以及验证传输过程中DNS数据是否被篡改，但是DNSSEC并不保证DNS数据的机密性。由于DNS数据本身并没有被加密，并且DNS采用阶层式模式，利用这一特点，一些机构监视或者控制网络等。典型的例子就是不能访问一些海外的网站。DNSSEC由于数字签名、签名验证和信任链机制，需要额外的数据运算，反而更容易受到攻击。

因此，基于DNS协议的既有缺陷，目前用户通过终端访问互联网的安全问题依然尚未得到完善的克服，这一安全问题尤其容易出现在终端与DNS服务器的交互过程中，有鉴于此，DNS服务及其数据的安全性，仍有较大提升空间。

发明内容

有鉴于上述至少一个方面的问题，本发明的目的在于提供一种域名解析控制方法和相应的装置。

作为前一目的的不同侧面，本发明的第二目的在于提供一种域名解析响应方法以及相应的装置。

为实现本发明的目的，本发明采取如下技术方案：

本发明提供的一种域名解析控制方法，包括以下步骤：

监听并接收本机的域名解析请求数据；

加密该域名解析请求数据并发送给预设的网络地址；

接收由所述网络地址反馈的经加密的域名解析结果数据；

解密该域名解析结果数据并据以应答本机的所述域名解析请求数据。

进一步，本机用于为其提供DNS解析服务的网络地址被设置为本机地址。本机地址的表现形式为如下IP地址形式任意之一：127.0.0.1，或本机接入局域网或公网所属的固定IP地址。

较佳的，通过UDP协议的53端口实施所述的监听，以获取所述域名解析请求数据。

较佳的，采用非对称加密算法对所述域名解析请求数据进行加密、对域名解析结果数据进行解密。

进一步，所述域名解析请求数据、域名解析结果数据，其密文中包含有随机码。

具体的，所述的加密、解密的过程中，基于网络协议中的链路层，分别对所述域名解析请求数据、域名解析结果数据相应实施数据包级别的加密、解密。

可选的，当未能成功解密所述域名解析结果数据时，丢弃相应的数据包。

进一步，以所述解密后的域名解析结果数据对所述域名解析请求数据的应答，导致本机的用户界面的至少部分显示内容的改变。

较佳的，当监听到产生所述的域名解析请求数据时，优先依据域名从缓存数据表中检索相对应的IP地址，当存在对应的IP地址时，直接以该IP地址为域名解析结果数据应答所述域名解析请求数据；所述缓存数据表存储有从解密后的域名解析结果数据中提取出的域名和对应的IP地址。

较佳的，本方法由独立的系统服务进程运行于本机操作系统中加以实施。

可选的，本机为个人计算机或移动终端。

本发明提供的一种域名解析控制装置，包括：

监听单元，用于监听并接收本机的域名解析请求数据；

加密单元，用于加密该域名解析请求数据并发送给预设的网络地址；

接收单元，用于接收由所述网络地址反馈的经加密的域名解析结果数据；

解密单元，用于解密该域名解析结果数据并据以应答本机的所述域名解析请求数据。

进一步，本机用于为其提供DNS解析服务的网络地址被设置为本机地址。本机地址的表现形式为如下IP地址形式任意之一：127.0.0.1，或本机接入局域网或公网所属的固定IP地址。

较佳的，所述的监听单元被配置为通过UDP协议的53端口实施所述的监听，以获取所述域名解析请求数据。

较佳的，所述加密单元和解密单元分别被配置为采用非对称加密算法对所述域名解析请求数据进行加密、对域名解析结果数据进行解密。

进一步，所述域名解析请求数据、域名解析结果数据，其密文中包含有随机码。

具体的，所述加密单元和解密单元，被配置为基于网络协议中的链路层，分别对所述域名解析请求数据、域名解析结果数据相应实施数据包级别的加密、解密。

较佳的，所述解密单元被配置为当未能成功解密所述域名解析结果数据时，丢弃相应的数据包。

进一步，所述解密单元以所述解密后的域名解析结果数据对所述域名解析请求数据的应答，导致本机的用户界面的至少部分显示内容的改变。

较佳的，所述监控单元被配置为当监听到产生所述的域名解析请求数据时，优先依据域名从缓存数据表中检索相对应的IP地址，当存在对应的IP地址时，直接以该IP地址为域名解析结果数据应答所述域名解析请求数据；所述缓存数据表存储有从解密后的域名解析结果数据中提取出的域名和对应的IP地址。

较佳的，本装置被实现为由独立的系统服务进程运行于本机操作系统中加以实施。

可选的，本机为个人计算机或移动终端。

本发明的一种域名解析响应方法，包括如下步骤：

接收加密的域名解析请求数据并将之解密；

向预设的域名服务器查询所述请求数据所包含的域名以获取对应的域名解析结果数据，该数据包含对应于该域名的IP地址；

加密所述域名解析结果数据，以加密后的域名解析结果数据应答所述加密的域名解析请求数据。

较佳的，采用非对称加密算法对所述域名解析请求数据进行解密、对域名解析结果数据进行加密。

进一步，所述域名解析请求数据、域名解析结果数据，其密文中包含有随机码。

进一步，所述的解密、加密的过程中，基于网络协议中的链路层，分别对所述域名解析请求数据、域名解析结果数据相应实施数据包级别的解密、加密。

较佳的，当未能成功解密所述域名解析请求数据时，丢弃相应的数据包。

本发明提供的一种域名解析响应装置，包括：

解密单元，用于接收加密的域名解析请求数据并将之解密；

查询单元，用于向预设的域名服务器查询所述请求数据所包含的域名以获取对应的域名解析结果数据，该数据包含对应于该域名的IP地址；

加密单元，用于加密所述域名解析结果数据，以加密后的域名解析结果数据应答所述加密的域名解析请求数据。

较佳的，所述解密单元和加密单元，被配置为采用非对称加密算法分别对所述域名解析请求数据进行解密、对域名解析结果数据进行加密。

进一步，所述域名解析请求数据、域名解析结果数据，其密文中包含有随机码。

具体的，所述的解密单元、加密单元，被配置为基于网络协议中的链路层，分别对所述域名解析请求数据、域名解析结果数据相应实施数据包级别的解密、加密。

较佳的，所述的解密单元被配置为当未能成功解密所述域名解析请求数据时，丢弃相应的数据包。

相较于现有技术，本发明至少具有如下优点：

1、本发明的域名解析控制方法及其装置与本发明的域名解析响应方法及其装置之间存在相应性，前者可以构造为客户端，后者可以构造为服务器，无论是客户端还是服务器，依其在本发明中实现的功能而言，均能通过加密确保DNS查询通信过程的安全，并且通过解密手段获得相应的正确数据。

2、本发明的域名解析控制方法及相应的装置，能够起到代理解析域名的作用，依据其与DNS服务器(通过预设的网络地址识别)之间的协议，确保客户与DNS服务器之间DNS数据的传输安全，侧重于客户端和第一级DNS服务器之间的通信安全，并且在必要时还能实现缓存解析结果以备后用，当出现异常情况时，例如DDos攻击等，启动相关安全联动措施，仅对正常域名进行解答服务。

3、在客户端与服务端之间，均实现了与DNS相关的数据的加密，并且是以链路层级别进行的加密，因此，本发明通过加密DNS流量，无论是在客户端对请求数据进行的加密，还是在服务端对结果数据进行的加密，均可阻止常见的DNS攻击，如重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击，防止DNS污染。相对于DNSSEC，本发明还进一步结合公钥加密算法和随机码对DNS数据进行了加密，能为DNS数据包提供机密性和完整性保护，这种保护是链路级的，这样更有效率，可以负担起每条查询都单独加密，且只需要维护客户端到服务器间的通道，从而也进一步体现其安全性。

4、实现了本发明方法和装置的客户端和服务器，均可以抵御放大攻击，收到响应包时，客户端或服务器会使用根据解密信息尝试解密，如果失败则直接丢弃。该过程速度很快，能够抵御此类攻击。针对ID猜测和预测查询攻击，攻击者虽然构造了满足传输协议参数的数据包，但是却没有用于加密的由客户端和服务器共享的密码信息，客户端或服务器收到伪造的数据包后解密失败直接将其丢弃。

5、实现了本发明方法和装置的客户端和服务器，可对预设的重点域/域名进行重点保护；并对域名的对递归解析结果进行监控。

6、实现了本发明方法和装置的客户端和服务器，可防域名投毒和域名劫持；

概括而言，本发明所实现的相关方法和装置，能满足DNS数据的隐私性需求并可防止第三方篡改DNS数据以保证数据完整性，分别为DNS客户端和DNS服务器提供了相应的易于实现的技术方案。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1是本发明的域名解析控制方法的流程示意图；

图2是本发明的域名解析控制装置的原理框图；

图3是本发明的域名解析响应方法的流程示意图；

图4是本发明的域名解析响应装置的原理框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。

本技术领域技术人员可以理解，这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备，其仅具备无发射能力的无线信号接收器的设备，又包括接收和发射硬件的设备，其具有能够在双向通信链路上，执行双向通信的接收和发射硬件的设备。这种设备可以包括：蜂窝或其他通信设备，其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备；PCS(Personal Communications Service，个人通信系统)，其可以组合语音、数据处理、传真和/或数据通信能力；PDA(PersonalDigital Assistant，个人数字助理)，其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global PositioningSystem，全球定位系统)接收器；常规膝上型和/或掌上型计算机或其他设备，其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的，或者适合于和/或配置为在本地运行，和/或以分布形式，运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端，例如可以是PDA、MID(Mobile Internet Device，移动互联网设备)和/或具有音乐/视频播放功能的移动电话，也可以是智能电视、机顶盒等设备。

本技术领域技术人员可以理解，这里所使用的服务器、云端、远端网络设备等概念，具有等同效果，其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此，云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机。本发明的实施例中，远端网络设备、终端设备与WNS服务器之间可通过任何通信方式实现通信，包括但不限于，基于3GPP、LTE、WIMAX的移动通信、基于TCP/IP、UDP协议的计算机网络通信以及基于蓝牙、红外传输标准的近距无线传输方式。

本领域技术人员应当理解，本发明所称的“应用”、“应用程序”、“应用软件”以及类似表述的概念，是业内技术人员所公知的相同概念，是指由一系列计算机指令及相关数据资源有机构造的适于电子运行的计算机软件。除非特别指定，这种命名本身不受编程语言种类、级别，也不受其赖以运行的操作系统或平台所限制。理所当然地，此类概念也不受任何形式的终端所限制。

本发明的方法及其装置，可以通过编程实现为软件，安装到计算机、移动终端等设备中进行运行，这些设备，依其所实现的具体方法和装置的不同，而表现为客户端、服务端等形式。具体而言，本发明的域名解析控制方法及相应的装置，适宜配置在个人计算机与手机、平板电脑等移动终端设备中，以此构造客户端。本发明的域名解析响应方法及相应原装置，适宜配置在具有服务器能力的计算机设备中，接入互联网开放其服务，而构造出一台本地DNS服务器，与所述的客户端共同构成一个基于C/S架构的DNS系统。

图1通过步骤流程的形式揭示了本发明的一个实施例，该实施例属于对本发明的域名解析控制方法的具体实现，具体而言，实现为一个可以安装于诸如Windows系列操作系统(包括但不限于Windows XP,Window 7,Windows 8,Windows Phone等)或者Unix系列操作系统(包括但不限于Unix、Android、Linux、IOS、Ubuntu等)的软件，由该软件的运行，而实现相应的具体步骤。这些步骤包括：

步骤S11、监听并接收本机的域名解析请求数据。

这里所称的本机，即是安装有该软件的计算机设备，或手机、平板等移动终端设备。本步骤的实质是要实现对本机自身所设置的DNS服务器的接管，因此，本步骤可以通过指令将本机所设置的，用于为本机提供DNS解析服务的网络地址修改为本机地址。这里所称的指令，因应操作系统的不同而不同，例如，在Windows操作系统中，便可通过调用以下格式的DOS指令来修改：

netsh interface ip set dns"网络连接"static 114.114.114.114

当然也可直接以程序代码来实现。由于本领域技术人员熟知各种操作系统中的多种用于修改DNS地址的指令或程序的实现方式，故而恕不对此加以赘述。所称的网络地址，即本机原来设置的DNS服务器地址，或者来自于DHCP自动获取，或者来源于用户的手工设置，均在本步骤中被修改为指向本机自身。而本机地址的表现形式，也表现出多种灵活的设置方式，例如，IP地址127.0.0.1即是指向本机的默认IP地址；通过DHCP获取本机的局域网IP地址后，这个IP地址也便是本机地址；同理，假设用户将本机的IP地址设置为192.168.88.100，则本机地址即指192.168.88.100。甚至某些情况下，本机如果接入公网，也可以其公网IP地址指代自身。修改了本机所指向的DNS服务器的地址后，可以在本机的相关设置页面中直观的获知这一设置结果，例如，在Windows操作系统中，可以通过查看网卡属性中的TCP/IP协议的高级属性，从其中的首选DNS服务器和/或备选DNS服务器项中直观地看到。本领域技术人员可以根据这些方式，察看IP地址的变化，而直观地确定是否对本机原来所设置的DNS服务器地址做出了修改，恕不赘述。

由于DNS协议是通过UDP协议的53号端口进行通信的，并且已经将本机的DNS服务器地址指向本机，因此，本发明进一步便在UDP的53号端口监听本机发起的DNS解析请求。一旦用户通过浏览器发起基于域名的网页访问，便会生成DNS解析请求，该请求便能被本发明接收，从而获得一个域名解析请求数据。为了后续更易于理解，以下以一个网页访问为例，说明其工作机理：

1)数据从应用层产生(HTTP协议)

2)数据被从应用层送到传输层，这时候必须包含端口信息以便构造传输层的TCP协议的头部。由于是WEB应用，目标端口就是80,本地端口由操作系统自动产生。

3)数据被送到IP层。IP层要求应用提供源和目的端的IP地址。由于用户输入的是域名，这时候，请求DNS应用，即计算机上的DNS应用需要向DNS服务器发出一个DNS请求。

4)从应用层(DNS协议)产生DNS请求包，送入传输层(UDP),加上UDP头部后，送入IP层，加上IP头部后(此时，本机和DNS的IP都已知，可以构成IP头)。送入链路层。

5)链路层构造头部需要加上本机及网关的MAC地址。此时，需发送ARP请求。

6)所以，计算机首先会发出ARP请求包(这是链路层的工作)

7)收到ARP应答后，就立即发出DNS请求包。

8)收到DNS应答后，就可以启动TCP协议，进行三次握手，进行连接。

9)TCP建立连接后，HTTP协议就可以发送，HTTP的请求，这时，应用层之间就可以互相进行通讯了。

由以上过程可以看出，在步骤4)之后，在链路层中，已经完成了UDP头部的封装，在步骤7)之后，会立刻发出最终的DNS请求包，等候DNS服务器反馈应答数据。本机由于实现了监听功能，因此将通过UDP协议的53号端口收到相应的域名解析请求数据，这一数据的不论其在网络协议的不同层次中如何变化，在本质上均是基于一个域名发起的一个要求DNS服务器解析该域名的IP地址的请求。

诚然，除上述的实现方式，也可通过类似DNS劫持的方式，来实现这种对本机的域名解析请求数据的监听和获取。本领域技术人员应当知晓这一变通，对本步骤的理解不应受限于上述特例。

通过以上的方式获取本机发起的域名解析请求数据后，本发明将可做进一步处理。

步骤S12、加密该域名解析请求数据并发送给预设的网络地址。

实现了本方法的软件，只是起到代理解析的作用，因此本身记载有为自身提供DNS解析服务的服务器的网络地址，当其接收到本机发起的域名解析请求(数据)时，便通过该网络地址向所述服务器进一步发起DNS解析请求，后续当获取服务器的应答后，再应答该域名解析请求数据。

本发明为了进一步加强DNS请求的安全性，尤其是其中的数据的安全性，如前所述，避免承受各种攻击，避免被篡改等，在本步骤中对域名解析请求数据进行链路级的加密，也就是在链路层对相应的请求包进行加密。需要注意，提出链路级加密同理只是本发明的一个特例，本领域技术人员同理不应受此限制，而可依据加密效果的要求，灵活选用其他公知的加密层级和相适应的加密方法。

本发明优先推荐采用非对称加密算法，也即公钥算法，对本机产生的域名解析请求数据进行加密，并且，也可结合随机码进行。理论上，只要客户端(本机)与DNS服务器之间存在可以互相理解的加密协议，便不影响本发明的实施。但本发明采用非对称加密算法而实现的加密方案，显然能够体现出更高的保密效果，实现更安全的通信。

进一步，为了进一步加强安全性，可以考虑在非对称加密之前，加入随机码，藉由该随机码进一步确保来源合法性。

非对称加密算法与随机码，可以由本领域技术人员灵活结合运用，不仅可以用于本发明的域名解析请求数据的加解密，也可以用于本发明的域名解析结果数据的加解密。以下给出一个对全文进行保护的方法供本领域技术人员参照实施：

1、加密过程概述：

1)抽取全文数据(域名解析请求数据、域名解析结果数据等)的消息摘要；

2)利用消息摘要算法对随机生成的扰动串(随机码)和所述消息摘要进行散列运算，得到数字签名；

3)将非对称加密后的扰动串、数字签名及全文数据组合成加密后的加密数据发放给目标地址(预设的网络地址所指向的DNS服务器、客户端本机等)。

2、解密过程概述：

1)接收含有加密的扰动串、数字签名及全文数据的加密数据，以约定的非对称加密算法的密钥解密所述扰动串；

2)按与发送加密数据方约定的方法抽取所接收的全文数据的消息摘要；

3)利用消息摘要算法对解密后的扰动串和所述消息摘要进行散列运算，得到数字签名；

4)将该数字签名与加密数据中的数字签名进行比较，在比较结果相同时，确认全文数据合法。

通过上述提供的一种适于本发明的结合了非对称加密技术和随机码加密技术的方法，本领域技术人员显然能进一步变化出更多的加密方案，从而在本发明的思维的引领下，轻易地设计出本发明的更多的同理变例。

前述所称的预设的网络地址，一般通过实现了本发明的软件提供的用户界面进行设置，或者，在软件出厂时便已经实现了这种默认设置，甚至，也可通过默认地址从云端中下载实现这种预设。因此，该网络地址的预设，应当理解为更广泛的提供一个与本机存在协议默契的网络中的本地DNS服务器的多种灵活的提供方式任意之一，只是其在本发明所实现的客户端软件中，将表现为一个网络地址，一般是表现为一个IP地址，而该客户端软件，则将其所有加密后的域名解析请求数据通过该网络地址发送给该网络地址所指向的DNS服务器。本实施例的DNS解析记DNS的解析记录通常包括：该域名对应的IP地址(、该域名对应的别名记录(cname记录)、邮件交换记录(Mail Exchanger，MX记录)。

本发明实施例中，在对域名信息的解析的过程中，会访问到域名空间所有层次的节点，本发明实施例能够将这些节点信息的授权记录备份下来，根据记录的相互关系，组成一个备份的域名层次空间，称为"授权信息数据库"。这个授权数据库对应域名空间的每一级，并且数据信息是实时更新。即，本发明实施例能够将“授权信息数据库”变成了一个互联网域名层次的镜像。由于数据库拥有全部的授权信息记录，本发明实施例可以在根节点甚至是任何一级的域名节点服务器出现故障时，替代这一级的服务器进行授权解析服务。因此，本发明实施例能够制止域名信息的递归操作，进而阻止域名信息继续被劫持。进而，本发明实施例能够保证更加及时修复被投毒和/或被劫持的域名信息，方便用户继续浏览或者使用等。而对于重要等级较低的域名信息，本发明实施例能够对域名信息进行监控，以及时发现域名信息的异常，并提示用户浏览当前域名信息对应的响应结果可能存在安全性风险。

通过执行本步骤，便已经将本机的域名解析请求数据真正提交给了互联网上的本地DNS服务器，后续将予以详细揭示其由本发明实现的实现方式和工作原理。对于本方法而言，表现在客户端软件的运行过程中，一旦发送出该域名解析请求数据，将等候相应的反馈，也即等候所述网络地址所指向的DNS服务器的应答数据。

步骤S13、接收由所述网络地址反馈的经加密的域名解析结果数据。

DNS服务器与客户端的通信是非常迅速的，因此，本发明的客户端软件将迅速地接收到由该网络地址所指向的DNS服务器的域名解析结果数据。需要注意的是，DNS服务器也采用前述所揭示的加密方法对所述域名解析结果数据进行了加密，因此，本步骤接收到的是加密后的域名解析结果数据。显然，对于这种加密的域名解析结果数据，需要由本发明的客户端软件进行解密后，才能提供用以正常应答本机发起的DNS解析请求。

步骤S14、解密该域名解析结果数据并据以应答本机的所述域名解析请求数据。

对该域名解析结果数据进行解密，实质上是前述加密方法的逆过程，也一并在前述的解密过程中予以揭示。将该域名解析结果数据进行解密后，将得到可以被DNS协议正确识别的反馈数据，依据本发明所实现的客户端软件服务进程便可以将解密后的这种域名解析结果数据作为反馈数据，用于应答发起域名解析请求的进程，也就是应答本机发起的所述域名解析请求数据，例如前述的用于访问网页的浏览器。

为了避免放大攻击(DDOS)，客户端实施解密时，会根据解密信息(例如私钥)尝试解密，如果不能顺利解密所述加密的域名解析结果数据，则直接将之丢弃。该过程速度很快，能够抵御此类攻击。针对ID猜测和预测查询攻击，攻击者虽然构造了满足传输协议参数的数据包，但是却没有用于加密的由本发明的客户端和DNS服务器共享的密码信息，客户端收到伪造的数据包后解密失败直接将其丢弃，因此这类攻击将无法得逞。

实施本发明后，在某些应用场景下，例如前述的浏览器，按照前述所揭示的网页访问流程，当其接收到DNS解析数据时，便可进一步据此访问网页，网页被下载到本地后，在浏览器上便会呈现至少一部分显示内容的改变，反映在用户界面上，自然也做出了变化。当然，一些默认场景下，可能是静默进行的。不管如何，本领域技术人员均可通过对数据包的分析来确定本步骤是否得以实施。

本发明的客户端软件，适宜通过向系统注册一个服务，以该服务运行时的进程来执行前述各步骤，当然，还可以实现一些用户界面，以便提供给用户实施一些诸如预设的网络地址之类的设定，并提供查询服务，并返回告警信息等，以上告警信息也可以结合安全厂商预先采集的非法DNSIP和合法的DNS IP地址白名单列表地址确定，例如预先收集的恶意DNSIP地址列表可以是由安全厂商预先收集的一组非法DNS IP地址，该预先收集的恶意DNS IP地址列表可以为客户端数据库中预先收集的恶意DNSIP地址列表，或者也可以为从网站上下载至客户端数据库中的恶意DNSIP地址列表。该预先设置的合法的DNS IP地址白名单列表可以预先存储在客户端数据库中，也可以从网站的服务器(例如：云安全服务器)上下载；

在具体实现中，主要的安全等级包括“危险”、“警告”和“安全”，其中，安全等级为“危险”的表示对用户的威胁最大，为“警告”的次之，为“安全”的最弱。界面上提示也可以据此进行。

进一步，可以借助缓存技术使本发明的运行更为高效，从而提供另一进一步完善的实施例。具体而言，在步骤S14中，可以从解密后的域名解析结果数据中提取出域名和相对应的IP地址，作为一条记录将其存储于一个缓存数据表中，如有必要，还可为每条记录赋予一个生命周期，在该生命周期内，该记录有效，超过该生命周期，则可由本方法予以删除或者忽略。而在步骤S11中，当其监听到所述的域名解析请求数据时，在免于执行后续步骤的情况下，优先依据请求数据中的域名，检索所述的缓存数据表，找到相应的有效的记录，获得相应的IP地址，然后由客户端软件服务进程自行以这一解析结果应答该请求数据。当然，如果超过所述的生命周期，或者缓存数据表中不存在相应的记录，则可继续本方法的各步骤。由于同一个终端设备一般由同一用户使用，其上网行为表现出一定的惯性，贯于访问部分特定网站，因此，通过这一缓存数据表及其相关技术，可以为用户提高更高效更快速的DNS解析服务，并且可以节省一些移动终端设备的流量消耗。

在详细揭示了本发明的上述方法的多种实施形式之后，以下结合模块化思维，揭示利用本发明的域名解析控制方法进一步实现的相应的装置的实施例，以便本领域技术人员更透彻地理解本发明。需要注意的是，本方法所采用的概念及原理，同理适用于本发明的相应的装置，故以下的描述将简化部分说明。

请参阅图2，本发明的域名解析控制装置，配置于一台计算机设备或者移动终端中，包括监听单元11、加密单元12、接收单元13以及解密单元14。

监听单元11，用于监听并接收本机的域名解析请求数据。

这里所称的本机，即是安装有该软件的计算机设备，或手机、平板等移动终端设备。本监听单元11的实质是要实现对本机自身所设置的DNS服务器的接管，因此，本监听单元11可以通过指令将本机所设置的，用于为本机提供DNS解析服务的网络地址修改为本机地址。这里所称的指令，因应操作系统的不同而不同，例如，在Windows操作系统中，便可通过调用以下格式的DOS指令来修改：

netsh interface ip set dns"网络连接"static 114.114.114.114

当然也可直接以程序代码来实现。由于本领域技术人员熟知各种操作系统中的多种用于修改DNS地址的指令或程序的实现方式，故而恕不对此加以赘述。所称的网络地址，即本机原来设置的DNS服务器地址，或者来自于DHCP自动获取，或者来源于用户的手工设置，均在本监控单元的作用下被修改为指向本机自身。而本机地址的表现形式，也表现出多种灵活的设置方式，例如，IP地址127.0.0.1即是指向本机的默认IP地址；通过DHCP获取本机的局域网IP地址后，这个IP地址也便是本机地址；同理，假设用户将本机的IP地址设置为192.168.88.100，则本机地址即指192.168.88.100。甚至某些情况下，本机如果接入公网，也可以其公网IP地址指代自身。修改了本机所指向的DNS服务器的地址后，可以在本机的相关设置页面中直观的获知这一设置结果，例如，在Windows操作系统中，可以通过查看网卡属性中的TCP/IP协议的高级属性，从其中的首选DNS服务器和/或备选DNS服务器项中直观地看到。本领域技术人员可以根据这些方式，察看IP地址的变化，而直观地确定是否对本机原来所设置的DNS服务器地址做出了修改，恕不赘述。

由于DNS协议是通过UDP协议的53号端口进行通信的，并且已经将本机的DNS服务器地址指向本机，因此，本发明进一步便在UDP的53号端口监听本机发起的DNS解析请求。一旦用户通过浏览器发起基于域名的网页访问，便会生成DNS解析请求，该请求便能被本发明接收，从而获得一个域名解析请求数据。为了后续更易于理解，以下以一个网页访问为例，说明其工作机理：

1)数据从应用层产生(HTTP协议)

2)数据被从应用层送到传输层，这时候必须包含端口信息以便构造传输层的TCP协议的头部。由于是WEB应用，目标端口就是80,本地端口由操作系统自动产生。

3)数据被送到IP层。IP层要求应用提供源和目的端的IP地址。由于用户输入的是域名，这时候，请求DNS应用，即计算机上的DNS应用需要向DNS服务器发出一个DNS请求。

4)从应用层(DNS协议)产生DNS请求包，送入传输层(UDP),加上UDP头部后，送入IP层，加上IP头部后(此时，本机和DNS的IP都已知，可以构成IP头)。送入链路层。

5)链路层构造头部需要加上本机及网关的MAC地址。此时，需发送ARP请求。

6)所以，计算机首先会发出ARP请求包(这是链路层的工作)

7)收到ARP应答后，就立即发出DNS请求包。

8)收到DNS应答后，就可以启动TCP协议，进行三次握手，进行连接。

9)TCP建立连接后，HTTP协议就可以发送，HTTP的请求，这时，应用层之间就可以互相进行通讯了。

由以上过程可以看出，在步骤4)之后，在链路层中，已经完成了UDP头部的封装，在步骤7)之后，会立刻发出最终的DNS请求包，等候DNS服务器反馈应答数据。本机由于实现了监听功能，因此将通过UDP协议的53号端口收到相应的域名解析请求数据，这一数据的不论其在网络协议的不同层次中如何变化，在本质上均是基于一个域名发起的一个要求DNS服务器解析该域名的IP地址的请求。

诚然，除上述的实现方式，也可通过类似DNS劫持的方式，来实现这种对本机的域名解析请求数据的监听和获取。本领域技术人员应当知晓这一变通，对本监控单元的理解不应受限于上述特例。

通过以上的方式获取本机发起的域名解析请求数据后，本发明将可做进一步处理。

加密单元12，用于加密该域名解析请求数据并发送给预设的网络地址。

实现了本装置的软件，只是起到代理解析的作用，因此本身记载有为自身提供DNS解析服务的服务器的网络地址，当其接收到本机发起的域名解析请求(数据)时，便通过该网络地址向所述服务器进一步发起DNS解析请求，后续当获取服务器的应答后，再应答该域名解析请求数据。

本发明为了进一步加强DNS请求的安全性，尤其是其中的数据的安全性，如前所述，避免承受各种攻击，避免被篡改等，在本加密单元12作用下对域名解析请求数据进行链路级的加密，也就是在链路层对相应的请求包进行加密。需要注意，提出链路级加密同理只是本发明的一个特例，本领域技术人员同理不应受此限制，而可依据加密效果的要求，灵活选用其他公知的加密层级和相适应的加密方法。

本发明优先推荐采用非对称加密算法，也即公钥算法，对本机产生的域名解析请求数据进行加密，并且，也可结合随机码进行。理论上，只要客户端(本机)与DNS服务器之间存在可以互相理解的加密协议，便不影响本发明的实施。但本发明采用非对称加密算法而实现的加密方案，显然能够体现出更高的保密效果，实现更安全的通信。

进一步，为了进一步加强安全性，可以考虑在非对称加密之前，加入随机码，藉由该随机码进一步确保来源合法性。

非对称加密算法与随机码，可以由本领域技术人员灵活结合运用，不仅可以用于本发明的域名解析请求数据的加解密，也可以用于本发明的域名解析结果数据的加解密。以下给出一个对全文进行保护的方法供本领域技术人员参照实施：

1、加密过程概述：

1)抽取全文数据(域名解析请求数据、域名解析结果数据等)的消息摘要；

2)利用消息摘要算法对随机生成的扰动串(随机码)和所述消息摘要进行散列运算，得到数字签名；

3)将非对称加密后的扰动串、数字签名及全文数据组合成加密后的加密数据发放给目标地址(预设的网络地址所指向的DNS服务器、客户端本机等)。

2、解密过程概述：

1)接收含有加密的扰动串、数字签名及全文数据的加密数据，以约定的非对称加密算法的密钥解密所述扰动串；

2)按与发送加密数据方约定的方法抽取所接收的全文数据的消息摘要；

3)利用消息摘要算法对解密后的扰动串和所述消息摘要进行散列运算，得到数字签名；

4)将该数字签名与加密数据中的数字签名进行比较，在比较结果相同时，确认全文数据合法。

通过上述提供的一种适于本发明的结合了非对称加密技术和随机码加密技术的方法，本领域技术人员显然能进一步变化出更多的加密方案，从而在本发明的思维的引领下，轻易地设计出本发明的更多的同理变例。

前述所称的预设的网络地址，一般通过实现了本发明的软件提供的用户界面进行设置，或者，在软件出厂时便已经实现了这种默认设置，甚至，也可通过默认地址从云端中下载实现这种预设。因此，该网络地址的预设，应当理解为更广泛的提供一个与本机存在协议默契的网络中的本地DNS服务器的多种灵活的提供方式任意之一，只是其在本发明所实现的客户端软件中，将表现为一个网络地址，一般是表现为一个IP地址，而该客户端软件，则将其所有加密后的域名解析请求数据通过该网络地址发送给该网络地址所指向的DNS服务器。

通过执行本加密单元12，便已经将本机的域名解析请求数据真正提交给了互联网上的本地DNS服务器，后续将予以详细揭示其由本发明实现的实现方式和工作原理。对于本装置而言，表现在客户端软件的运行过程中，一旦发送出该域名解析请求数据，将等候相应的反馈，也即等候所述网络地址所指向的DNS服务器的应答数据。

接收单元13，用于接收由所述网络地址反馈的经加密的域名解析结果数据。

DNS服务器与客户端的通信是非常迅速的，因此，本发明的客户端软件将迅速地接收到由该网络地址所指向的DNS服务器的域名解析结果数据。需要注意的是，DNS服务器也采用前述所揭示的加密方法对所述域名解析结果数据进行了加密，因此，本接收单元13接收到的是加密后的域名解析结果数据。显然，对于这种加密的域名解析结果数据，需要由本发明的客户端软件进行解密后，才能提供用以正常应答本机发起的DNS解析请求。

解密单元14，用于解密该域名解析结果数据并据以应答本机的所述域名解析请求数据。

对该域名解析结果数据进行解密，实质上是前述加密方法的逆过程，也一并在前述的解密过程中予以揭示。将该域名解析结果数据进行解密后，将得到可以被DNS协议正确识别的反馈数据，依据本发明所实现的客户端软件服务进程便可以将解密后的这种域名解析结果数据作为反馈数据，用于应答发起域名解析请求的进程，也就是应答本机发起的所述域名解析请求数据，例如前述的用于访问网页的浏览器。

为了避免放大攻击(DDOS)，客户端实施解密时，会根据解密信息(例如私钥)尝试解密，如果不能顺利解密所述加密的域名解析结果数据，则直接将之丢弃。该过程速度很快，能够抵御此类攻击。针对ID猜测和预测查询攻击，攻击者虽然构造了满足传输协议参数的数据包，但是却没有用于加密的由本发明的客户端和DNS服务器共享的密码信息，客户端收到伪造的数据包后解密失败直接将其丢弃，因此这类攻击将无法得逞。

在本发明的一种实施例中，对于接收的每个网络数据包，应判断出该网络数据包对应的DNS行为类型，并根据确定的DNS行为类型确定对该网络数据包进行处理的处理主体，进而将该网络数据包转至确定的处理主体进行处理。在本发明实施例中，处理主体可以由两层组成，分别是内核层、应用层。内核层包括网络层、驱动层等，可以实现高速缓存、攻击防护等功能，而应用层可以对网络数据包进行基本解析，包括域名解析后的地址、数据存储地址的获取等。与现有技术中的DNS行为的处理方法相比较，将网络数据包分别划分至内核层和应用层处理，可以将DNS请求根据实际请求处理，若遇到一秒几百万次的DNS请求攻击，也可以由处理能力较强的内核对其进行处理，而遇见时效性要求相对较低的DNS请求，则可以由应用层处理。采用内核和应用层分别处理DNS请求，考虑到内核的巨大的处理能力，能够实现大流量的DNS查询。并且，因DNS请求所导致的修改或启动导致加载时，因内核和应用层是分别处理的，因此可以利用其中之一处理当前DNS请求，另一继续对外提供服务。因此，本发明实施例提高了单机的业务处理能力，大大提高系统的处理能力和安全防护能力的同时，还能实现快速域名动态管理和配置，进而实现很多定制化的复杂功能需求。

当DNS行为类型确定为攻击行为时，那么，可以确定处理主体为内核，而当DNS行为类型为域名解析行为时，可以确定处理主体为应用层。为了提升域名解析服务的响应速度、处理性能及安全防护能力，根据DNS的解析原理，在内核模块中可以实现高速缓存和安全防护，正常情况内核模块能高效、稳定地处理98％的解析请求和绝大部分的攻击防护。而处理逻辑相对复杂，对性能要求并不是那么高的基础解析和管理功能放在应用层实现。

因此，处理主体为内核时，由内核检测所述网络数据包，过滤将网络数据包中携带的DNS攻击行为；以及，将过滤后的网络数据包转发至应用层进行处理。内核检测网络数据包时，可以启动防DDOS攻击策略、IP限速策略、域名限速策略等策略，相应的，可以在内核中为每个策略设置独立的内部模块，用于实现不同策略。

此处需要说明的是，每个网络数据包都具备一个特征码，且每个特征码是独一无二的，因此，可以根据特征码判断网络数据包的DNS请求的属性，识破伪装成正常数据包的DNS攻击操作。现根据如下步骤判断所述网络数据包中是否携带有DNS攻击行为：

步骤A、计算网络数据包的特征码；

步骤B、判断特征码是否是DNS攻击行为的特征码，若是，执行步骤C，若否，执行步骤D；

步骤C、若是，则确定网络数据包中携带有DNS攻击行为；

步骤D、若否，则确定网络数据包中未携带有DNS攻击行为。

其中，数据库中通常存储有已知DNS攻击行为的特征码的集合，当需要校验时，将步骤A中计算出的特征码与数据库的集合进行匹配，若步骤A计算出的特征码存在所述集合中，则是DNS攻击行为，反之则不是。

其中，特征码可以根据IP或域名等域名信息确定，例如，计算指定时间内接收的来自同一IP的网络数据包数得到特征码，和/或计算指定时间内接收的来自同一域名的网络数据包数。若1秒内从同一IP或同一域名接收的网络数据包数远远大于应该接收的包数，就证明该IP地址或域名已被变成攻击源。这也是IP限速策略、域名限速策略的基本原理。被证明变为攻击源的IP地址或域名，之后再接收到来自这一源头的网络数据包，可以直接舍弃或过滤掉，避免被其攻击，提高系统安全性能及处理效率。

内核对攻击行为进行过滤之后，将网络数据包发至应用层进行处理。应用层可以对网络数据包进行解析，获取域名对应的地址信息，从而获取相关数据反馈给客户端。以及，应用层可以对域名信息等数据进行管理，实现数据管理功能。

实施本发明后，在某些应用场景下，例如前述的浏览器，按照前述所揭示的网页访问流程，当其接收到DNS解析数据时，便可进一步据此访问网页，网页被下载到本地后，在浏览器上便会呈现至少一部分显示内容的改变，反映在用户界面上，自然也做出了变化。当然，一些默认场景下，可能是静默进行的。不管如何，本领域技术人员均可通过对数据包的分析来确定本解密单元14是否得以构造。

本发明的客户端软件，适宜通过向系统注册一个服务，以该服务运行时的进程来执行前述各单元，当然，还可以实现一些用户界面，以便提供给用户实施一些诸如预设的网络地址之类的设定。

进一步，可以借助缓存技术使本发明的运行更为高效，从而提供另一进一步完善的实施例。具体而言，在解密单元14中，可以从解密后的域名解析结果数据中提取出域名和相对应的IP地址，作为一条记录将其存储于一个缓存数据表中，如有必要，还可为每条记录赋予一个生命周期，在该生命周期内，该记录有效，超过该生命周期，则可由本装置予以删除或者忽略。而在监听单元11中，当其监听到所述的域名解析请求数据时，在免于执行其他单元的情况下，优先依据请求数据中的域名，检索所述的缓存数据表，找到相应的有效的记录，获得相应的IP地址，然后由客户端软件服务进程自行以这一解析结果应答该请求数据。当然，如果超过所述的生命周期，或者缓存数据表中不存在相应的记录，则可继续本装置的其他单元。

例如，本发明实施例能够根据域名信息为恶意攻击类型的域名信息设置对缓存信息的预设规则为，每隔五分钟对缓存信息进行更新，接收到针对该缓存信息的客户端请求超过三次之后，对缓存信息进行更新。再例如，本发明实施例能够根据域名信息的重要级别和/或对域名信息访问数量的统计对域名信息进行分类。如对域名信息访问数量统计并排序之后，获取访问数量为前100名的域名信息作为同一类别的域名信息，并对该类别的域名信息设置如下更新的预设规则：在生存时间(Time To Live，以下简称TTL)过期的前五秒钟，对该类域名信息对应的缓存信息进行更新。其中，TTL表示记录在数据库上缓存时间。

由于同一个终端设备一般由同一用户使用，其上网行为表现出一定的惯性，贯于访问部分特定网站，因此，通过这一缓存数据表及其相关技术，可以为用户提高更高效更快速的DNS解析服务，并且可以节省一些移动终端设备的流量消耗。

以上详细揭示了本发明的域名解析控制方法及其相应的装置的实现方式，如下，进一步揭示与本发明的前述所实现的客户端构成系统的服务器的具体实现方式。该服务器的实现，主要表现为用于执行本发明所提供一种域名解析响应方法或其相应的装置。该服务器一般作为本地DNS服务器接入互联网，在一网络业务逻辑的一侧为客户端提供DNS解析服务，而在另一侧向网络中的各级DNS服务器通过递归查询的方式获得具有公信力的DNS解析结果，并将这一结果传输给所述的客户端。由于本地DNS服务向各级DNS服务器递归查询获取与请求解析的域名相对应的IP地址的技术是遵守DNS协议的公知技术，不影响本发明的实现，因此，在本发明中将不再涉及，敬请谅解。

请参阅图3，本发明的域名解析响应方法，同理实现适宜实现为软件，配置于一服务器中，使之成为本地DNS服务器，接入公网进行工作。由于服务器与前述的客户端之间有数据通信上的相应性，因此，本领域技术人员应当可以从两者的揭示内容中，获得互补的内容，而不应受以下描述的省略所限制。具体而言，本方法包括如下步骤：

步骤S21、接收加密的域名解析请求数据并将之解密。

前文述及的客户端，在将本机发起的域名解析请求进行加密之后，将通过一个网络地址发送给DNS服务器，即本方法中所实现的本地DNS服务器。因此，本步骤将负责接收该加密的域名解析请求数据，并且，利用如前所揭示的解密过程，对所述域名解析请求数据进行逆向解密，由此便能获取其中的明文，进一步可以获得其中待解析的域名。

步骤S22、向预设的域名服务器查询所述请求数据所包含的域名以获取对应的域名解析结果数据，该数据包含对应于该域名的IP地址。

如前所述，解密之后的域名解析请求数据中，包含有待查询的域名，本步骤将该域名提取出来，向预设的域名服务器，自顶级域名根节点伊始，按域名层次逐级实施递归查询，最终获得与该域名相对应的IP地址，便构成了所述的域名解析结果数据。所述的域名解析结果数据显然不仅包括所述的IP地址，而可以是依照服务器与客户端协议而实现的一种封装格式，也可以是标准的DNS应答格式，具体可由本领域技术人员灵活实现。

步骤S23、加密所述域名解析结果数据，以加密后的域名解析结果数据应答所述加密的域名解析请求数据。

同理，服务器在传送域名解析结果数据之前，利用前述所揭示的与客户端约定的加密过程，对域名解析结果数据实施非对称加密，以便如前所述在客户端处被参照所述的解密过程逆向解密。而由于本服务器与客户端之间是一种协议关系，因此，加密后的域名解析结果数据直接被用于应答所述加密的域名解析请求数据，而发送给所述的客户端。

应当理解，适用于前述客户端的加密、解密方法及其细节，显然也适用于此处所称的服务器中，因此需要强调，此处的省略不应被本领域技术人员理解为未公开。

同理，为了避免对服务器的攻击，本步骤中，当未能成功解密所述域名解析请求数据时，将直接丢弃相应的数据包，不对其作为应答。由此可以减轻服务器的负荷，避免放大攻击，使服务器更为安全。

请参阅图4，同理，利用模块化思维，以下将本发明的域名解析响应方法演化为一种域名解析响应装置，该装置具体包括解密单元21、查询单元22以及加密单元23。

所述的解密单元21，用于接收加密的域名解析请求数据并将之解密。

前文述及的客户端，在将本机发起的域名解析请求进行加密之后，将通过一个网络地址发送给DNS服务器，即构造有本装置的本地DNS服务器。因此，本解密单元21将负责接收该加密的域名解析请求数据，并且，利用如前所揭示的解密过程，对所述域名解析请求数据进行逆向解密，由此便能获取其中的明文，进一步可以获得其中待解析的域名。

所述的查询单元22，用于向预设的域名服务器查询所述请求数据所包含的域名以获取对应的域名解析结果数据，该数据包含对应于该域名的IP地址。

如前所述，解密之后的域名解析请求数据中，包含有待查询的域名，本查询单元22将该域名提取出来，向预设的域名服务器，自顶级域名根节点伊始，按域名层次逐级实施递归查询，最终获得与该域名相对应的IP地址，便构成了所述的域名解析结果数据。所述的域名解析结果数据显然不仅包括所述的IP地址，而可以是依照服务器与客户端协议而实现的一种封装格式，也可以是标准的DNS应答格式，具体可由本领域技术人员灵活实现。

所述的加密单元23，用于加密所述域名解析结果数据，以加密后的域名解析结果数据应答所述加密的域名解析请求数据。

同理，服务器在传送域名解析结果数据之前，利用前述所揭示的与客户端约定的加密过程，对域名解析结果数据实施非对称加密，以便如前所述在客户端处被参照所述的解密过程逆向解密。而由于本服务器与客户端之间是一种协议关系，因此，加密后的域名解析结果数据直接被用于应答所述加密的域名解析请求数据，而发送给所述的客户端。

应当理解，适用于前述客户端的加密、解密方法及其细节，显然也适用于此处所称的服务器中，因此需要强调，此处的省略不应被本领域技术人员理解为未公开。

同理，为了避免对服务器的攻击，本装置的解密单元21中，当未能成功解密所述域名解析请求数据时，将直接丢弃相应的数据包，不对其作为应答。由此可以减轻服务器的负荷，避免放大攻击，使服务器更为安全。

综上所述，通过以上对本发明的域名解析控制方法及其相应的装置，以及对本发明的域名解析响应方法及其相应的装置的多个实施例的详细揭示，可以相应地构造出客户端和服务器，用于实现一个更为安全的DNS解析系统，这一系统的应用，将使DNS解析服务更为安全可靠。依据本发明所实现的客户端和服务器，还可以结合虚拟根节点等提供安全服务，当根节点出现DNS解析故障时，虚拟根节点能够代替根节点实现DNS解析功能。为实现虚拟根节点这一功能，授权信息数据库中必须存储有足够的信息，即，授权信息数据库中存储指定区域内的所有DNS请求及对应的授权信息，这样虚拟根节点才能够有足够的资源对DNS请求进行应答。因此，虚拟根节点的实现是在授权信息数据库的基础上实现的。结合新增的授权信息数据库以及虚拟根节点，能够在根节点解析故障的时候为客户端提供DNS解析功能，能够降低DNS单点故障和提高DNS防御攻击能力，同时还可以对虚拟根节点设置访问权限控制，屏蔽DNS的攻击数据，提高DNS解析的安全性及稳定性。对于危险DNS攻击，从授权信息数据库中查询不到具体的授权信息，则虚拟根节点不会为其提供解析服务等。

应当注意，在此提供的算法和公式不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示例一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解本发明各个方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法和装置解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网站安全检测设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

以上所述仅是本发明的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种域名解析控制方法，其特征在于，包括以下步骤：

监听并接收本机的域名解析请求数据；

加密该域名解析请求数据并发送给预设的网络地址；

接收由所述网络地址反馈的经加密的域名解析结果数据；

解密该域名解析结果数据并据以应答本机的所述域名解析请求数据。

2.根据权利要求1所述的域名解析控制方法，其特征在于：本机用于为其提供DNS解析服务的网络地址被设置为本机地址。

3.根据权利要求1所述的域名解析控制方法，其特征在于，采用非对称加密算法对所述域名解析请求数据进行加密、对域名解析结果数据进行解密。

4.根据权利要求1所述的域名解析控制方法，其特在于，当未能成功解密所述域名解析结果数据时，丢弃相应的数据包。

5.根据权利要求1所述的域名解析控制方法，其特征在于，当监听到产生所述的域名解析请求数据时，优先依据域名从缓存数据表中检索相对应的IP地址，当存在对应的IP地址时，不执行本方法的其他步骤；所述缓存数据表存储有从解密后的域名解析结果数据中提取出的域名和对应的IP地址。

6.一种域名解析控制装置，其特征在于，包括：

监听单元，用于监听并接收本机的域名解析请求数据；

加密单元，用于加密该域名解析请求数据并发送给预设的网络地址；

接收单元，用于接收由所述网络地址反馈的经加密的域名解析结果数据；

解密单元，用于解密该域名解析结果数据并据以应答本机的所述域名解析请求数据。

7.一种域名解析响应方法，其特征在于，包括如下步骤：

接收加密的域名解析请求数据并将之解密；

向预设的域名服务器查询所述请求数据所包含的域名以获取对应的域名解析结果数据，该数据包含对应于该域名的IP地址；

加密所述域名解析结果数据，以加密后的域名解析结果数据应答所述加密的域名解析请求数据。

8.根据权利要求7所述的域名解析响应方法，其特征在于，采用非对称加密算法对所述域名解析请求数据进行解密、对域名解析结果数据进行加密。

9.根据权利要求7所述的域名解析响应方法，其特在于，当未能成功解密所述域名解析请求数据时，丢弃相应的数据包。

10.一种域名解析响应装置，其特征在于，包括：

解密单元，用于接收加密的域名解析请求数据并将之解密；

查询单元，用于向预设的域名服务器查询所述请求数据所包含的域名以获取对应的域名解析结果数据，该数据包含对应于该域名的IP地址；

加密单元，用于加密所述域名解析结果数据，以加密后的域名解析结果数据应答所述加密的域名解析请求数据。