CN105338123B - 用于在网络中解析域名的方法、装置和系统 - Google Patents
用于在网络中解析域名的方法、装置和系统 Download PDFInfo
- Publication number
- CN105338123B CN105338123B CN201410232080.3A CN201410232080A CN105338123B CN 105338123 B CN105338123 B CN 105338123B CN 201410232080 A CN201410232080 A CN 201410232080A CN 105338123 B CN105338123 B CN 105338123B
- Authority
- CN
- China
- Prior art keywords
- dns
- network
- domain name
- network address
- interchanger
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Abstract
本公开内容涉及用于在网络中解析域名的方法、装置和系统。本发明的一个实施例提供一种在网络中解析域名的方法。所述方法包括:在与所述网络中的交换机相关联的控制器处,从所述交换机接收由客户端发起的针对所述域名的域名系统DNS请求,所述控制器控制所述交换机在所述网络中的操作;以及基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理,以获得与所述域名相对应的网络地址,其中所述DNS请求响应于在所述交换机处的第一存储中未命中与所述域名相关的DNS记录、而由所述交换机转发至所述控制器。本发明的其他实施例提供相应的装置和系统。
Description
技术领域
本发明的实施例总体上涉及网络技术领域,更具体地,涉及用于在网络中解析域名的方法、装置和系统。
背景技术
域名系统(Domain Name System,DNS)被用于将网络的域名映射至对应的网络地址,例如网际协议(Internet Protocol,IP)地址。DNS系统可被视作一种层级式的分布式系统,它允许使用户方便地通过指定网络域名来访问网络资源,而无需记住例如以数字串形式存在的实际网络地址。将域名映射为网络地址的过程称为域名解析。在传统的域名解析过程中,可能存在较大的响应延迟和安全风险。
传统上,客户端发出的用于域名解析的DNS请求被发送到网络中的交换机(switch),交换机转而将DNS请求转发给网络中的本地DNS服务器。如果本地DNS服务器中存储有与所请求域名有关的DNS记录映射条目,则本地DNS服务器将网络地址通过交换机返回给客户端。反之,如果在本地DNS服务器中未命中与有关的DNS记录,则本地DNS服务器向更高层级的一个或多个DNS服务器转发DNS请求。由高层级DNS服务器确定的对应网络地址逐级返回,最终经由交换机被提供给客户端。
在上述传统域名解析过程中,各级DNS服务器中均可能发生缓存污染(poisoning)。也即,DNS服务器中的DNS记录被恶意方篡改,从而记录了错误的域名与网络地址的映射关系。因而,客户端获得的并非与所请求域名相对应的实际网络地址。此外,由于TCP/IP组中的很多协议并不提供用于对消息的来源和/或目的地进行认证的机制,因此恶意方可能伪装成DNS服务器,向客户端返回错误的网络地址和/或其他信息(例如,垃圾信息、病毒、木马,等等)。这称为“钓鱼攻击”(spoofing attack)。传统域名解析所面临的另一类潜在风险来自压力攻击。即,恶意方假借客户端的名义发出大量DNS请求,使得真正的客户端接收到大量的响应消息。这可能严重降低客户端的系统性能。除了上述安全风险之外,多级高速缓存还可能导致较大的对DNS请求的响应延迟。
已经提出了通过对DNS通信信道进行加密来改进安全性的方案。但是此类方案的算法复杂性和维护成本较高高,并且执行效率较低,因此限制了其应用范围。另一类已有方案是通过防火墙、反病毒软件之类的工具来提高DNS服务器本身的安全级别。但是此类方案无法避免钓鱼攻击之类的发生在网络链路上的攻击。此外,为了提高DNS域名解析过程的性能,提出了各个DNS服务器之间的节点均衡的方案。然而此类方案无法有效地提高域名解析的安全性。
综上所述,本领域中一种更加安全和高效的域名解析方案。
发明内容
一般地,本发明的实施例提出一种用于在网络中解析域名的技术方案。
在一个方面,本发明的实施例提供一种在网络中解析域名的方法。所述方法包括:在与所述网络中的交换机相关联的控制器处,从所述交换机接收由客户端发起的针对所述域名的域名系统DNS请求,所述控制器控制所述交换机在所述网络中的操作;以及基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理,以获得与所述域名相对应的网络地址,其中所述DNS请求响应于在所述交换机处的第一存储中未命中与所述域名相关的DNS记录、而由所述交换机转发至所述控制器。
在另一方面,本发明的实施例提供一种在网络中解析域名的装置。所述装置包括:DNS请求接收单元,被配置为在与所述网络中的交换机相关联的控制器处,从所述交换机接收由客户端发起的针对所述域名的域名系统DNS请求,所述控制器控制所述交换机在所述网络中的操作;以及DNS请求处理单元,被配置为基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理,以获得与所述域名相对应的网络地址,其中所述DNS请求响应于在所述交换机处的第一存储中未命中与所述域名相关的DNS记录、而由所述交换机转发至所述控制器。
在又一方面,本发明的实施例提供一种在网络中解析域名的系统。所述系统包括:交换机,被配置为接收来自客户端的域名系统DNS请求;与所述交换机相关联的控制器,被配置为控制所述交换机在所述网络中的操作,并且包括如上文概述的装置;以及至少一个DNS服务器,用于在接收到所述DNS请求的情况下确定与所述域名对应的网络地址。
通过下文描述将会理解,根据本发明的实施例,可以利用与网络交换机相关联的控制器来实现对域名解析的控制,而不是如同传统方案中那样单纯地依赖于DNS服务器。基于控制器处的预定义安全性约束,能够对例如DNS服务器的身份和/或返回的网络地址进行验证。借助于控制器对交换机的控制能力,交换机将遵循控制器处的安全性约束来转发或者丢弃DNS服务器返回的域名解析结果,从而在最大程度上降低客户端遭受攻击的风险。而且,在某些实施例中,通过在交换机和/或控制器处使用DNS缓存机制,能够进一步提高安全性,并且降低DNS请求的响应延迟。本发明的其他特征和优点将通过下文描述而变得容易理解。
附图说明
通过结合附图对本发明示例性实施方式进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显其中:
图1示出了适于用来实现本发明实施例的示例性计算机系统/服务器的示意性框图;
图2示出了本发明的实施例可实现于其中的网络环境的示意性框图;
图3示出了根据本发明实施例的用于在网络中解析域名的方法的示意性流程图;
图4示出了根据本发明实施例的用于在网络中解析域名的方法的示意性流程图;以及
图5示出了根据本发明实施例的用于在网络中解析域名的装置的示意性框图。
在附图中,相同或相似的标号被用来表示相同或相似的元素。
具体实施方式
下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开的优选实施方式,然而应该理解,可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
图1示出了适于用来实现本发明实施方式的示例性计算机系统/服务器12的方框图。图1显示的计算机系统/服务器12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图1所示,计算机系统/服务器12以通用计算设备的形式表现。计算机系统/服务器12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机系统/服务器12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图1未显示,通常称为“硬盘驱动器”)。尽管图1中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机系统/服务器12交互的设备通信,和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机系统/服务器12的其它模块通信。应当明白,尽管图中未示出,可以结合计算机系统/服务器12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
下面将详细描述本发明的实施例。根据本发明的示例实施例,域名解析不再单纯地依赖于各级DNS服务器完成。相反,域名解析过程由与网络交换机相关联的控制器来实现对域名解析的控制。基于控制器处的预定义安全性约束,能够对例如DNS服务器的身份和/或返回的网络地址进行验证。借助于控制器对交换机的网络行为的控制能力,确保了交换机将遵循控制器处的安全性约束来转发或者丢弃DNS服务器返回的结果。这将在最大程度上降低客户端遭受攻击的风险。而且,在某些实施例中,通过在交换机和/或控制器处使用DNS缓存机制,能够进一步提高安全性,并且降低DNS请求的响应延迟。
参考图2,其示出了本发明的实施例可实现于其中的网络200的示意性框图。在此描述的网络200可以是需要进行网络域名解析的任何网络。作为示例,网络200可以是任何有线或者无线的计算机网络,例如因特网。
如图所示,根据本发明的实施例,客户端201可以与交换机202可通信地耦合。客户端201与交换机202之间可以进行双向网络通信。尽管图2中仅示出了一个交换机202,但这仅仅是出于说明目的,无意以限制本发明的范围。客户端201可以与不止一个交换机202耦合。
交换机202可通信地耦合至与之关联的控制器203。交换机202与控制器203之间可以进行双向网络通信。根据本发明的实施例,控制器203用于控制相关联的交换机202在网络200中的各种操作或动作。如已知的,传统的交换机202在执行数据操作的同时,还要执行包括路由、拓扑管理、地址解析协议(ARP)等在内的各种控制功能。与此不同,在根据本发明实施例的网络200中,交换机202可以仅执行数据平面的功能,例如数据包的接收和发送。控制器203则可以执行用于交换机202的控制平面功能,例如管理路由、拓扑、ARP等。
作为示例,在一个实施例中,控制器203可以执行一套称为“软件定义网络”(Software Defined Networking,SDN)控制器的应用。如已知的,SDN控制器能够实现对交换机202的控制。特别地,控制器203还将控制客户端201的网络域名解析,这方面的实施例将在下文详述。而且,尽管图2中将交换机202与控制器203示出彼此分离的设备,但是本发明的范围并不限制于此。在某些实施例中,交换机202和控制器203可以位于相同的物理机器中。
继续参考图2,在网络200中,交换机202可以直接或间接地耦合至一个或多个DNS服务器2041…204n(统称为“DNS服务器204”)。在此使用的术语“DNS服务器”是指能够将网络域名映射至网络地址(例如,IP地址)的任何专用或者通用的设备。例如,DNS服务器可以是因特网中的各类DNS服务器或其任何演进和/或变形。多个DNS服务器204可以按照层级式结构连接。在图2所示的示例中,DNS服务器2041和2042是交换机2021的本地DNS服务器,具有较低的层次级别;DNS服务器2043和204n是根DNS服务器,具有较高的层次级别。
应当理解,图中2中所示的各个级别的DNS服务器的数目仅仅是示意性的,无意以任何方式限制本发明的实施例。而且,尽管在未在图中示出,在某些实施例中,控制器203与一个或多个DNS服务器204同样可以可通信地彼此耦合。
客户端201可以生成针对给定域名的DNS请求。域名例如由用户通过客户端201上的应用(例如,Web浏览器)输入。备选地或附加地,域名也可能由客户端201上的应用自动生成。客户端20将生成的DNS请求发送给交换机202。此时,交换机202并非如传统方案中那样直接将该DNS请求转发给DNS服务器204。相反,根据本发明的实施例,交换机202将该DNS请求转发给与之关联的控制器203。
在某些实施例中,交换机202处可以具有用于DNS功能的存储(为讨论方便,称为“第一存储”)205。第一存储205例如可以由交换机202处的高速缓存、缓冲器或者其他任何类型的存储设备充当。在第一存储205中,存储有与先前DNS请求有关的一个或多个DNS记录。在此使用的术语“DNS记录”是指将网络域名与对应的网络地址(例如,IP地址)相关联的映射条目。换言之,第一存储205可被视为交换机202处的DNS缓存,其中的每个DNS记录保存有先前特定时段内由客户端201请求过的域名以及与之对应的网络地址。第一存储205可以利用任何目前已知或者将来开发的高速缓存管理机制来维护,包括但不限于最近最少使用(LRU)、最近最常使用(MRU),等等。
如果交换机202在第一存储205中查找到与接收到的DNS请求中指示的域名有关的DNS记录(高速缓存命中),则交换机202可以直接将对应的网络地址返回给客户端201。此时,交换机202无需与网络200中的其他设备发生通信,因而可以显著降低DNS请求的响应时间。而且,由于不存在额外的网络通信,可以降低在网络通信中遭受DNS攻击的风险。另一方面,如果在第一存储205中没有查找到与接收到的DNS请求中指示的域名有关的DNS记录(高速缓存未命中),则交换机202可将DNS请求转发给相关联的控制器203。
应当理解,交换机202处的第一存储205并非是必须的。在备选实施例中,交换机202可以不具有第一存储205,并且将接收到的DNS请求直接转发给关联的控制器203。
响应于从交换机202接收到DNS请求,控制器203将控制对DNS请求的后续处理。具体而言,根据本发明的实施例,控制器203基于一组安全性约束来控制对DNS请求的处理,以获取与所请求的域名对应的网络地址。在此使用的术语“安全性约束”是指用于对域名解析过程所涉及的步骤、数据和/或结果(包括中间结果)进行验证和/或处理以提高安全性的规则。下面将详细讨论安全性约束的若干示例。
在某些实施例中,控制器203处可以具有用于DNS的存储(为讨论方便,称为“第二存储”)206。与上文描述的第一存储205类似,第二存储206也可以被用作DNS记录的缓存。例如,第二存储206可以由控制器203处的高速缓存、缓冲器或者其他任何类型的存储设备充当。在这样的实施例中,安全性约束可以规定:第二存储206中所存储的所有DNS记录应当是被验证为合法的DNS记录。为讨论方便,此类安全性约束称为“第一安全性约束”。
根据第一安全性约束,可以通过任何适当的方式来验证DNS记录是否合法。例如,在一个实施例中,第一安全性约束可以与网络地址的“黑名单”结合工作。网络地址的“黑名单”是先前确定的恶意网络地址的列表,其可由控制器203维护或者访问。根据第一安全性约束,如果控制器203确定一个网络地址被包含在此类黑名单中,则禁止将与该网络地址相关联的DNS记录存储到第二存储206中。
备选地或附加地,在某些其他实施例中,第一安全约束也可以与网络地址的“白名单”结合使用。网络地址的“白名单”是先前确定的合法网络地址的列表,其可由控制器203维护或者访问。根据第一安全性约束,当且仅当一个网络地址被包含在白名单中时,与该网络地址相关联的DNS记录才会被存储到第二存储206中。
备选地或附加地,第一安全性约束也可以基于关键词来对控制DNS请求的处理。例如,关键词可以是指示潜在攻击风险的一个或多个预定义词。如果一个网络地址中包含一个或多个这样的关键词,则禁止将与该网络地址相关联的DNS记录存储到第二存储206中。
应当理解,上文描述的仅仅是第一安全性约束的若干示例,无意限制本发明的范围。通过使用第一安全性约束,第二存储206中所缓存的DNS记录都是经过验证的合法DNS记录。如果控制器203在第二存储206中命中了与所请求域名有关的DNS记录,则可以将相应的网络地址通过交换机202提供给客户端201,从而安全、快速地完成DNS解析。
实际上,根据本发明的实施例,第一安全性约束不仅可以施加于控制器203处的第二存储206,而且也适用于交换机202处的第一存储205(如果存在的话)。以此方式,可以确保第一存储205中所缓存的DNS记录也都是合法的DNS记录。
此外,在具有第二存储206的这些实施例中,另一类安全性约束可以规定控制器203可以主动地更新第二存储206中的缓存内容。为讨论方便,此类安全性约束称为第二安全性约束。传统上,各级DNS服务器204中的DNS缓存单纯地随时间而更新。即便DNS缓存中的某些甚至全部DNS记录已被污染,如果更新时间尚未达到,也无法清除被污染的缓存内容。与此不同,根据本发明的实施例,控制器203可以根据第二安全性约束的要求,确定一个或多个预定义的主动更新条件是否得到满足。如果是,则可以主动地、适应性地更新第二存储206中所缓存的DNS记录。
作为示例,在一个实施例中,控制器203可以确定第二存储206中的一个或多个DNS记录是否被污染。污染的确定可以通过任何适当的技术手段来实现。例如,在某些实施例中,当网络200中的某个DNS服务器204被攻击或者被污染时,该DNS服务器204的标识将被提供给控制器203。相应地,控制器203可以将与该DNS服务器204所提供的DNS记录确定为受到污染的DNS记录。
备选地,在下文将要描述的某些实施例中,控制器203可以对DNS服务器204返回的网络地址进行验证。如果由一个DNS服务器204返回的网络地址被确定为非法,则可以认为该DNS服务器204是不受信(untrusted)DNS服务器。相应地,由该不受信DNS服务器所提供的所有DNS记录可以被确定为受到污染的DNS记录。
一旦确定第二存储206中的一个或多个DNS记录已被污染,则可以从第二存储206中清除这些DNS记录。在某些实施例中,响应于确定DNS记录被污染,可以立即清除这些受到污染的DNS记录。这样,不同于传统的被动更新,控制器203可以对第二存储206中缓存的DNS记录进行主动地更新和管理,从而更为有效地提高域名解析的安全性,降低向客户端201返回非法网络地址的风险。
控制器203对第二存储206的主动更新,有助于更加快速地完成正确的域名解析。例如,在传统的域名解析方案中,DNS条目被污染之后可能需要数十分钟甚至半天的时间才能被清除。在此期间,客户端201接收到的可能是错误的网络地址。然而,根据本发明的实施例,对受污染DNS记录的清除可以实时地完成。
而且,通过在控制器203处布置和使用第二存储206,还能够进一步提高域名解析过程的效率。具体而言,由于交换机202与控制器203之间的网络通信路径较短,无需多次中继或转发,因此能够在足够短的时间内(例如,小于50ms)完成数据传送。
应当理解,类似于交换机202处的第一存储205,控制器203处的第二存储206同样是可选的。在某些备选实施例中,控制器203可以不提供DNS缓存功能。在这样的实施例中,当接收到由交换机202转发的DNS请求之后,控制器203可以直接利用DNS服务器204来执行域名解析。
在第二存储206未命中相关DNS记录或者不具有第二存储206的情况下,控制器203将根据安全性约束,利用一个或多个DNS服务器204来处理DNS请求。具体而言,在某些实施例中,安全性约束可以规定:DNS请求只能被转发给已经通过验证的受信(trusted)DNS服务器。为讨论方便,此类安全性约束被称为第三安全性约束。
根据本发明的实施例,受信DNS服务器是事先基于任何标准而自动确定的。例如,可以维护网络200中所有合法登记的DNS服务器的列表。受信DNS服务器的列表可以在控制器203本地维护,或者备选地被维护在网络200中可由控制器203访问的任何位置。控制器203可以通过访问该列表来确定受信DNS服务器。备选地,在某些实施例中,受信DNS也可以由用户以手工方式输入到控制器203中。
特别地,可以理解,从控制器203接收到DNS请求的受信DNS服务器204可能需要借助于其他更高级别的DNS服务器来完成域名解析。为此,在某些实施例中,控制器203可以随同DNS请求一起,将受信DNS服务器的列表也发送给第一级受信DNS服务器204。以此方式,可以确保当DNS请求在不同级别的DNS服务器204之间转发时,始终只会被发送给受信DNS服务器。应当理解,随同DNS请求发送受信DNS服务器的列表并不是必须的。相反,这仅仅是在某些情况下的可选实现。当DNS服务器例如出于负载考虑而仅转发DNS请求时,本发明的实施例同样适用,因为至少可以确保从控制器203直接接收DNS请求的那个DNS服务器是受信的。
使用第三安全性约束能够有效地解决“钓鱼”攻击的问题。这是因为,恶意方用来假冒DNS服务器的机器无法通过网络200的认证,因而不会被标识为受信DNS服务器。因而,DNS请求始终不会被转发给这样的假冒DNS服务器。由此,有效地避免了恶意方通过钓鱼对域名解析过程的攻击。
备选地或附加地,在某些实施例中,控制器203可以对外部DNS服务器204返回的DNS处理结果(即,与所请求域名对应的网络地址)进行验证,以确认其合法性。为讨论方便,此类安全性约束被称为“第四安全性约束”。应当理解,根据本发明的实施例,当控制器203不具备第二存储206或者在第二存储206中未查找到与所请求的域名对应的DNS记录时,需要借助于外部DNS服务器来执行域名解析。此时,DNS处理结果将由DNS服务器204返回给交换机202。由于控制器203能够控制交换机202的行为,因此可以实现对所返回网络地址的验证。备选地,在某些实施例中,DNS服务器204也可以得到的网络地址直接返回给控制器203以供验证。
根据第四安全性约束,对返回的网络地址的验证可以基于任何适当的技术来完成。例如,验证网络地址的合法性的技术可以包括但不限于:黑名单、白名单、关键词,等等。备选地或附加地,在某些实施例中,可以要求DNS服务器204对返回的网络地址进行数字签名。相应地,在控制器203处,可以通过验证数字签名来确认网络地址的合法性。备选地或附加地,对网络地址的验证可以以DNS服务器204为单位来执行。具体地,如果先前由某个DNS服务器204返回的网络地址通过了合法性验证,则可以认为该DNS服务器204返回的后续网络地址(至少在一段时间内)同样是合法的。应当理解,上述示例仅仅是出于说明目的,无意限制本发明的范围。任何目前已知或者将来的开发的网络地址验证技术均可与本发明的实施例结合使用。
此外,第四安全性约束可以使用不同的策略来验证返回的网络地址。例如,在某些实施例中,可以以数据流为单位执行验证。也即,如果一个数据流的第一个数据包通过了合法性验证,则控制器203可以判定该数据流中的所有数据包都是合法的,从而无需验证后续数据包。当然,也可以对数据流中的每个数据包都执行验证。
根据第四安全性约束,如果由外部DNS服务器204返回的网络地址被验证为合法的网络地址,则控制器203可以命令交换机202将该网络地址被提供给客户端201。特别地,在控制器203具有上文描述的第二存储206的那些实施例中,控制器203还可以生成将所请求的网络域名与所返回的网络地址相关联的DNS条目。该DNS条目将被保存到第二存储206中,从而创建更新缓存。备选地或附加地,如果交换机202处具有第一存储205,同样可以更新第一存储205以创建新的缓存条目。
另一方面,如果由DNS服务器204返回的网络地址没有通过合法性验证,则第四安全性约束可以规定:由控制器203命令交换机202丢弃该网络地址。以此方式,借助于控制器203对所返回网络地址的验证以及对交换机202的控制,非法的网络地址将在交换机202处被拦截和过滤掉。由此,可以有效地避免传统域名解析过程中的压力攻击。
而且,在某些实施例中,如果由DNS服务器204返回的网络地址没有通过合法性验证,则第四安全性约束可以规定:控制器203可以将提供非法网络地址的该DNS服务器204标识为不受信DNS服务器。在某些实施例中,可以直接将该DNS服务器标识为不受信的。备选地,在其他实施例中,可以累积该DNS服务器204返回的非法网络地址的数目。响应于该数目超过了一个预定阈值,控制器203将该DNS服务器204标识为不受信DNS服务器。这有助于识别和避免非法DNS服务器的潜在攻击。
根据本发明的实施例,响应于确定返回的网络地址非法,控制器203可以通过任何适当的方式来继续对DNS请求的处理。例如,在某些实施例中,控制器203可以选择另一受信DNS服务器204,并且命令交换机202向选择的DNS服务器204转发DNS请求。备选地,控制器203也可以使DNS请求被直接转发给较高级甚至根DNS服务器。其他任何的后续处理动作都是可能的,本发明的范围在此方面不受限制。
图3示出了上文描述的在控制器203处执行的用于在网络中解析域名的方法300的流程图。如图所示,在步骤S301,在与交换机202相关联的控制器203处,从交换机202接收由客户端201发起的针对一个网络域名的DNS请求,所述控制器控制所述交换机在所述网络中的操作。
接下来,在步骤S302,基于控制器203处预定义的一个或多个安全性约束来控制对所述DNS请求的处理,以获得与所述域名相对应的网络地址。作为示例,安全性约束可以包括上文参考图2描述的第一、第二、第三和第四安全性约束中的一个或多个。换言之,这些安全性约束可以单独使用,也可以以任何适当的方式结合使用。特别地,图4示出了一个同时使用上述四类安全性约束的示例。
具体而言,图4示出了根据本发明一个实施例的用于控制域名解析的方法400的流程图。在方法400中,在步骤S401处,由交换机202从客户端201接收DNS请求。作为响应,在步骤S402处在交换机202的第一存储205中查找有关的DNS记录。如果查找到有关记录(分支“是”),则在步骤S403处将DNS记录中所指示的与所请求域名相对应的网络地址返回给客户端201。否则,如果在步骤S402处未在第一存储205中命中有关的DNS记录(分支“否”),则交换机202在步骤S404将请求转发给与之关联的控制器203。
控制器203在步骤S405接收由交换机202转发的DNS请求,并且在步骤S406处在第二存储206中查找与该DNS请求有关的DNS记录。特别地,第二存储206中存储的可以是经过验证的合法DNS记录(第一安全性约束)。而且,尽管未在图4中示出,控制器203可以持续地或者定期地检测一个或多个预定义的主动更新条件是否得到满足,并且相应地主动更新第二存储206(第二安全性约束)。
如果在第二存储206中命中相关的DNS记录(分支“是”),方法进行到步骤S407,在此根据在第二存储206中命中的DNS记录,将与所请求域名对应的网络地址发送给交换机202,并且命令交换机202将该网络地址发送给客户端201。作为响应,交换机202在步骤S408更新第一存储205。具体而言,交换机202在第一存储205中创建将所请求的网络域名与返回的网络地址相关联的DNS记录。继而,在步骤S403,交换机202将网络地址返回给客户端201。
反之,如果在步骤S406处未在第二存储206命中有关的DNS记录(分支“否”),方法400进行到步骤S409,在此将DNS请求转发给受信DNS服务器204(第三安全性约束)。而后,在步骤S410,控制器203对返回的网络地址的合法性执行验证(第四安全性约束)。如上所述,DNS服务器204可以将网络地址返回给交换机202和/或给控制器203。可以看到,在方法400所示的实施例中,尽管DNS请求仅被转发给受信DNS服务器204,但是控制器203仍然对返回的结果网络地址加以验证。这有助于进一步提高域名解析过程的安全性。
如果在步骤S410处确定网络地址是合法的(分支“是”),方法400进行到步骤S411,在此在第二存储206中创建新的DNS条目以更新缓存。方法继而进行到步骤S407,在此命令交换机202将网络地址返回给客户端201。特别地,如果DNS服务器204将网络地址返回给交换机202,则在步骤S407只需命令交换机将该返回的网络地址发送给客户端201即可。备选地,如果DNS服务器204将网络地址返回给控制器203,则在步骤S407还需要将该网络地址首先转发给交换机202。
另一方面,如果在步骤S410处确定网络地址是非法的(分支“否”),则控制器203在步骤S412以进行错误处理。错误处理例如可以包括丢弃返回的非法网络地址,和/或将提供该网络地址的DNS标识为非受信DNS,等等。
可以理解,在方法400中,步骤S401-S404以及S408由交换机202执行,而其他步骤由控制器203执行。通过实现方法400,能够有效地应对域名解析过程中的各种潜在攻击,并且能够极大地提高执行效率。
图5示出了根据本发明一个实施例的一种在网络中解析域名的装置500的框图。如图所示,装置500包括:DNS请求接收单元501,被配置为在与所述网络中的交换机相关联的控制器处,从所述交换机接收由客户端发起的针对所述域名的域名系统DNS请求,所述控制器控制所述交换机在所述网络中的操作;以及DNS请求处理单元502,被配置为基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理,以获得与所述域名相对应的网络地址。
特别地,根据本发明的实施例,所述DNS请求响应于在所述交换机处的第一存储中未命中与所述域名相关的DNS记录、而由所述交换机转发至所述控制器。
在某些实施例中,所述DNS请求处理单元502可以包括:DNS缓存查找单元,被配置为在所述控制器处的第二存储中,查找与所述域名相关的DNS记录,所述安全性约束规定所述第二存储用于缓存合法DNS记录。在某些实施例中,所述DNS请求处理单元502还可以包括:DNS缓存管理单元,被配置为确定所述第二存储中的所述合法DNS记录中的至少一个DNS记录是否被污染;以及DNS缓存更新单元,被配置为响应于确定所述至少一个DNS记录被污染,从所述第二存储中删除被污染的所述至少一个DNS记录。
备选地或附加地,在某些实施例中,所述DNS请求处理单元502可以包括:DNS请求转发控制单元,被配置为响应于在所述第二存储中未查找到与所述域名相关的所述DNS记录,使所述DNS请求被转发至所述网络中的受信DNS服务器,以便确定与所述域名对应的所述网络地址。
备选地或附加地,在某些实施例中,与所请求的域名相对应的网络地址由网络中的DNS服务器返回。相应地,所述DNS请求处理单元502可以包括:网络地址验证单元,被配置为验证由所述DNS服务器返回的所述网络地址的合法性;以及网络地址处理单元,被配置为基于对所述合法性的所述验证来处理返回的所述网络地址。在某些实施例中,所述网络地址处理单元可以包括:合法地址处理单元,配置为响应于返回的所述网络地址被验证为合法,使返回的所述网络地址经由所述交换机被发送给所述客户端,以及将所述DNS服务器标识为受信DNS服务器。备选地或附加地,在某些实施例中,所述网络地址处理单元可以包括:非法地址处理单元,被配置为响应于返回的所述网络地址被验证为非法,使返回的所述网络地址被丢弃,以及将所述DNS服务器标识为不受信DNS服务器。
在某些实施例中,其中所述控制器通过软件定义网络(SDN)控制器来控制所述交换机的所述操作。
应当注意,为清晰起见,图5中没有示出装置500所包括的可选单元或者子单元。上文所描述的所有特征和操作分别适用于装置500,故在此不再赘述。而且,装置500中的单元或子单元的划分不是限制性的而是示例性的,旨在从逻辑上描述其主要功能或操作。一个单元的功能可以由多个单元来实现;反之,多个单元亦可由一个单元来实现。本发明的范围在此方面不受限制。
而且,装置500所包含的单元可以利用各种方式来实现,包括软件、硬件、固件或其任意组合。例如,在某些实施方式中,装置500可以利用软件和/或固件来实现。备选地或附加地,装置500可以部分地或者完全地基于硬件来实现。例如,装置500中的一个或多个单元可以实现为集成电路(IC)芯片、专用集成电路(ASIC)、片上系统(SOC)、现场可编程门阵列(FPGA),等等。本发明的范围在此方面不受限制。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是—但不限于—电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Java、Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。
这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
计算机可读程序指令也可加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (11)
1.一种在网络中解析域名的方法,所述方法包括:
在与所述网络中的交换机相关联的控制器处,从所述交换机接收由客户端发起的针对所述域名的域名系统DNS请求,所述控制器控制所述交换机在所述网络中的操作;以及
基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理,以获得与所述域名相对应的网络地址,
其中所述DNS请求响应于在所述交换机处的第一存储中未命中与所述域名相关的DNS记录、而由所述交换机转发至所述控制器,
其中基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理包括:
在所述控制器处的第二存储中,查找与所述域名相关的DNS记录,所述安全性约束规定所述第二存储用于缓存合法DNS记录,
确定所述第二存储中的所述合法DNS记录中的至少一个DNS记录是否被污染;以及
响应于确定所述至少一个DNS记录被污染,从所述第二存储中删除被污染的所述至少一个DNS记录。
2.根据权利要求1所述的方法,其中基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理包括:
响应于在所述第二存储中未查找到与所述域名相关的所述DNS记录,使所述DNS请求被转发至所述网络中的受信DNS服务器,以便确定与所述域名对应的所述网络地址。
3.根据权利要求1或2所述的方法,其中与所述域名相对应的所述网络地址由所述网络中的DNS服务器返回,并且其中基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理包括:
验证由所述DNS服务器返回的所述网络地址的合法性;以及
基于对所述合法性的所述验证来处理返回的所述网络地址。
4.根据权利要求3所述的方法,其中基于对所述合法性的所述验证来处理返回的所述网络地址包括:
响应于返回的所述网络地址被验证为合法,
使返回的所述网络地址经由所述交换机被发送给所述客户端,以及
将所述DNS服务器标识为受信DNS服务器。
5.根据权利要求4所述的方法,其中基于对所述合法性的所述验证来处理返回的所述网络地址包括:
响应于返回的所述网络地址被验证为非法,
使返回的所述网络地址被丢弃,以及
将所述DNS服务器标识为不受信DNS服务器。
6.一种在网络中解析域名的装置,所述装置包括:
DNS请求接收单元,被配置为在与所述网络中的交换机相关联的控制器处,从所述交换机接收由客户端发起的针对所述域名的域名系统DNS请求,所述控制器控制所述交换机在所述网络中的操作;以及
DNS请求处理单元,被配置为基于所述控制器处的预定义安全性约束来控制对所述DNS请求的处理,以获得与所述域名相对应的网络地址,
其中所述DNS请求响应于在所述交换机处的第一存储中未命中与所述域名相关的DNS记录、而由所述交换机转发至所述控制器,
其中所述DNS请求处理单元包括:
DNS缓存查找单元,被配置为在所述控制器处的第二存储中,查找与所述域名相关的DNS记录,所述安全性约束规定所述第二存储用于缓存合法DNS记录,
DNS缓存管理单元,被配置为确定所述第二存储中的所述合法DNS记录中的至少一个DNS记录是否被污染;以及
DNS缓存更新单元,被配置为响应于确定所述至少一个DNS记录被污染,从所述第二存储中删除被污染的所述至少一个DNS记录。
7.根据权利要求6所述的装置,其中所述DNS请求处理单元包括:
DNS请求转发控制单元,被配置为响应于在所述第二存储中未查找到与所述域名相关的所述DNS记录,使所述DNS请求被转发至所述网络中的受信DNS服务器,以便确定与所述域名对应的所述网络地址。
8.根据权利要求6或7所述的装置,其中与所述域名相对应的所述网络地址由所述网络中的DNS服务器返回,并且其中所述DNS请求处理单元包括:
网络地址验证单元,被配置为验证由所述DNS服务器返回的所述网络地址的合法性;以及
网络地址处理单元,被配置为基于对所述合法性的所述验证来处理返回的所述网络地址。
9.根据权利要求8所述的装置,其中所述网络地址处理单元包括:
合法地址处理单元,配置为响应于返回的所述网络地址被验证为合法,
使返回的所述网络地址经由所述交换机被发送给所述客户端,以及
将所述DNS服务器标识为受信DNS服务器。
10.根据权利要求9所述的装置,其中所述网络地址处理单元包括:
非法地址处理单元,被配置为响应于返回的所述网络地址被验证为非法,
使返回的所述网络地址被丢弃,以及
将所述DNS服务器标识为不受信DNS服务器。
11.一种在网络中解析域名的系统,包括:
交换机,被配置为接收来自客户端的域名系统DNS请求;
与所述交换机相关联的控制器,被配置为控制所述交换机在所述网络中的操作,并且包括根据权利要求6到10任一项所述的装置;以及
至少一个DNS服务器,用于在接收到所述DNS请求的情况下确定与所述域名对应的网络地址。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410232080.3A CN105338123B (zh) | 2014-05-28 | 2014-05-28 | 用于在网络中解析域名的方法、装置和系统 |
US14/722,276 US20150358276A1 (en) | 2014-05-28 | 2015-05-27 | Method, apparatus and system for resolving domain names in network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410232080.3A CN105338123B (zh) | 2014-05-28 | 2014-05-28 | 用于在网络中解析域名的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105338123A CN105338123A (zh) | 2016-02-17 |
CN105338123B true CN105338123B (zh) | 2018-10-02 |
Family
ID=54770471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410232080.3A Expired - Fee Related CN105338123B (zh) | 2014-05-28 | 2014-05-28 | 用于在网络中解析域名的方法、装置和系统 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20150358276A1 (zh) |
CN (1) | CN105338123B (zh) |
Families Citing this family (70)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8028090B2 (en) | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
US8601090B1 (en) | 2008-03-31 | 2013-12-03 | Amazon Technologies, Inc. | Network resource identification |
US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
US8447831B1 (en) | 2008-03-31 | 2013-05-21 | Amazon Technologies, Inc. | Incentive driven content delivery |
US8321568B2 (en) | 2008-03-31 | 2012-11-27 | Amazon Technologies, Inc. | Content management |
US9407681B1 (en) | 2010-09-28 | 2016-08-02 | Amazon Technologies, Inc. | Latency measurement in resource requests |
US8688837B1 (en) | 2009-03-27 | 2014-04-01 | Amazon Technologies, Inc. | Dynamically translating resource identifiers for request routing using popularity information |
US8412823B1 (en) | 2009-03-27 | 2013-04-02 | Amazon Technologies, Inc. | Managing tracking information entries in resource cache components |
US8782236B1 (en) | 2009-06-16 | 2014-07-15 | Amazon Technologies, Inc. | Managing resources using resource expiration data |
US8397073B1 (en) | 2009-09-04 | 2013-03-12 | Amazon Technologies, Inc. | Managing secure content in a content delivery network |
US8433771B1 (en) | 2009-10-02 | 2013-04-30 | Amazon Technologies, Inc. | Distribution network with forward resource propagation |
US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
US8468247B1 (en) | 2010-09-28 | 2013-06-18 | Amazon Technologies, Inc. | Point of presence management in request routing |
US10958501B1 (en) | 2010-09-28 | 2021-03-23 | Amazon Technologies, Inc. | Request routing information based on client IP groupings |
US8452874B2 (en) | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
US10623408B1 (en) | 2012-04-02 | 2020-04-14 | Amazon Technologies, Inc. | Context sensitive object management |
US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
US9323577B2 (en) | 2012-09-20 | 2016-04-26 | Amazon Technologies, Inc. | Automated profiling of resource usage |
US10205698B1 (en) | 2012-12-19 | 2019-02-12 | Amazon Technologies, Inc. | Source-dependent address resolution |
US9294391B1 (en) | 2013-06-04 | 2016-03-22 | Amazon Technologies, Inc. | Managing network computing components utilizing request routing |
US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US20160255012A1 (en) * | 2015-02-26 | 2016-09-01 | Check Point Software Technologies Ltd. | Method for mitigation of unauthorized data transfer over domain name service (dns) |
US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
US9819567B1 (en) | 2015-03-30 | 2017-11-14 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
WO2017008543A1 (zh) * | 2015-07-15 | 2017-01-19 | 广州市动景计算机科技有限公司 | 网络攻击判断方法、安全的网络数据传输方法及相应装置 |
US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
US10348639B2 (en) | 2015-12-18 | 2019-07-09 | Amazon Technologies, Inc. | Use of virtual endpoints to improve data transmission rates |
CN105681193A (zh) * | 2016-03-02 | 2016-06-15 | 付宏伟 | 一个软件定义网络控制器系统 |
US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
CN105897782B (zh) * | 2016-06-30 | 2019-05-10 | 北京奇艺世纪科技有限公司 | 一种针对接口的调用请求的处理方法及装置 |
US9992086B1 (en) | 2016-08-23 | 2018-06-05 | Amazon Technologies, Inc. | External health checking of virtual private cloud network environments |
US10033691B1 (en) | 2016-08-24 | 2018-07-24 | Amazon Technologies, Inc. | Adaptive resolution of domain name requests in virtual private cloud network environments |
EP3449406B1 (en) | 2016-09-23 | 2022-08-17 | Hewlett-Packard Development Company, L.P. | Ip address access based on security level and access history |
US10505961B2 (en) | 2016-10-05 | 2019-12-10 | Amazon Technologies, Inc. | Digitally signed network address |
CN107976416B (zh) * | 2016-10-21 | 2020-07-28 | 中国石油化工股份有限公司 | 一种由红外光谱预测原油性质的方法 |
CN106713020A (zh) * | 2016-12-09 | 2017-05-24 | 互联网域名系统北京市工程研究中心有限公司 | 一种实现dns服务器集群配置更新同步的方法 |
US10372499B1 (en) | 2016-12-27 | 2019-08-06 | Amazon Technologies, Inc. | Efficient region selection system for executing request-driven code |
US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
US10938884B1 (en) | 2017-01-30 | 2021-03-02 | Amazon Technologies, Inc. | Origin server cloaking using virtual private cloud network environments |
US10503613B1 (en) | 2017-04-21 | 2019-12-10 | Amazon Technologies, Inc. | Efficient serving of resources during server unavailability |
CN106953945A (zh) * | 2017-05-26 | 2017-07-14 | 北京奇虎科技有限公司 | 基于sdn实现的域名智能解析方法及装置、服务器 |
US11075987B1 (en) | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
US10447648B2 (en) | 2017-06-19 | 2019-10-15 | Amazon Technologies, Inc. | Assignment of a POP to a DNS resolver based on volume of communications over a link between client devices and the POP |
US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
CN109729181B (zh) * | 2017-10-27 | 2020-07-24 | 华为技术有限公司 | 一种域名访问方法及设备 |
US10592578B1 (en) | 2018-03-07 | 2020-03-17 | Amazon Technologies, Inc. | Predictive content push-enabled content delivery network |
US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
US11025747B1 (en) | 2018-12-12 | 2021-06-01 | Amazon Technologies, Inc. | Content request pattern-based routing system |
US11201853B2 (en) * | 2019-01-10 | 2021-12-14 | Vmware, Inc. | DNS cache protection |
CN111865876B (zh) * | 2019-04-29 | 2021-10-15 | 华为技术有限公司 | 网络的访问控制方法和设备 |
CN110380969B (zh) * | 2019-07-12 | 2021-10-01 | 中国电信集团工会上海市委员会 | 一种基于域名的流量调度方法及系统 |
US10855644B1 (en) | 2019-09-09 | 2020-12-01 | Vmware, Inc. | Address resolution protocol entry verification |
US10812442B1 (en) * | 2019-09-23 | 2020-10-20 | Citrix Systems, Inc. | Intelligent redirector based on resolver transparency |
CN111182059B (zh) * | 2019-12-30 | 2022-10-28 | 互联网域名系统北京市工程研究中心有限公司 | 一种域名缓存更新的查询解析方法 |
US11575646B2 (en) * | 2020-03-12 | 2023-02-07 | Vmware, Inc. | Domain name service (DNS) server cache table validation |
CN113301074A (zh) * | 2020-04-26 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 数据请求负载调度方法、装置、电子设备及可读存储介质 |
CN112104765A (zh) * | 2020-11-20 | 2020-12-18 | 武汉绿色网络信息服务有限责任公司 | 非法网站的检测方法及装置 |
US11943196B2 (en) * | 2020-12-01 | 2024-03-26 | HYAS Infosec Inc. | Detection of domain hijacking during DNS lookup |
US20220245351A1 (en) * | 2021-01-29 | 2022-08-04 | Proofpoint, Inc. | Detecting Random and/or Algorithmically-Generated Character Sequences in Domain Names |
CN113992626A (zh) * | 2021-10-22 | 2022-01-28 | 浪潮思科网络科技有限公司 | 一种实现dns的方法、设备、存储介质 |
CN114710468A (zh) * | 2022-03-31 | 2022-07-05 | 绿盟科技集团股份有限公司 | 一种域名生成和识别方法、装置、设备及介质 |
CN116094780A (zh) * | 2022-12-29 | 2023-05-09 | 天翼云科技有限公司 | 一种dns响应ip黑名单过滤方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102714663A (zh) * | 2010-01-19 | 2012-10-03 | 阿尔卡特朗讯公司 | 用于预防dns缓存投毒的方法和系统 |
US8370933B1 (en) * | 2009-11-24 | 2013-02-05 | Symantec Corporation | Systems and methods for detecting the insertion of poisoned DNS server addresses into DHCP servers |
CN103428200A (zh) * | 2012-05-24 | 2013-12-04 | 国际商业机器公司 | 经被动监视检测流氓域名服务提供者的存在的方法和系统 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8001271B1 (en) * | 2002-10-21 | 2011-08-16 | Arbor Networks, Inc. | Method and apparatus for locating naming discrepancies |
US7471684B2 (en) * | 2004-10-21 | 2008-12-30 | International Machines Corporation | Preventing asynchronous ARP cache poisoning of multiple hosts |
JP4950606B2 (ja) * | 2005-09-30 | 2012-06-13 | トレンドマイクロ株式会社 | 通信システム、セキュリティ管理装置およびアクセス制御方法 |
US7890612B2 (en) * | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
US8443434B1 (en) * | 2009-10-06 | 2013-05-14 | Palo Alto Networks, Inc. | High availability security device |
US8910280B2 (en) * | 2012-04-30 | 2014-12-09 | At&T Intellectual Property I, L.P. | Detecting and blocking domain name system cache poisoning attacks |
WO2015094294A1 (en) * | 2013-12-19 | 2015-06-25 | Hewlett-Packard Development Company, L.P. | Network security system to intercept inline domain name system requests |
US9282115B1 (en) * | 2014-01-03 | 2016-03-08 | Juniper Networks, Inc. | Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols |
US9363282B1 (en) * | 2014-01-28 | 2016-06-07 | Infoblox Inc. | Platforms for implementing an analytics framework for DNS security |
WO2015167523A1 (en) * | 2014-04-30 | 2015-11-05 | Hewlett-Packard Development Company, L. P. | Packet logging |
-
2014
- 2014-05-28 CN CN201410232080.3A patent/CN105338123B/zh not_active Expired - Fee Related
-
2015
- 2015-05-27 US US14/722,276 patent/US20150358276A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8370933B1 (en) * | 2009-11-24 | 2013-02-05 | Symantec Corporation | Systems and methods for detecting the insertion of poisoned DNS server addresses into DHCP servers |
CN102714663A (zh) * | 2010-01-19 | 2012-10-03 | 阿尔卡特朗讯公司 | 用于预防dns缓存投毒的方法和系统 |
CN103428200A (zh) * | 2012-05-24 | 2013-12-04 | 国际商业机器公司 | 经被动监视检测流氓域名服务提供者的存在的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
US20150358276A1 (en) | 2015-12-10 |
CN105338123A (zh) | 2016-02-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105338123B (zh) | 用于在网络中解析域名的方法、装置和系统 | |
CN108173850A (zh) | 一种基于区块链智能合约的身份认证系统和身份认证方法 | |
US8261317B2 (en) | Moving security for virtual machines | |
CN108810006A (zh) | 资源访问方法、装置、设备及存储介质 | |
CN104954271B (zh) | Sdn网络中的数据包处理方法和装置 | |
CN109076057A (zh) | 用于通过防火墙保护网络装置的系统和方法 | |
CN104811392B (zh) | 用于处理网络中的资源访问请求的方法和系统 | |
CN103905466B (zh) | 一种存储系统数据访问控制系统及其方法 | |
US11743296B2 (en) | Secure network device management in a telecommunications network | |
US20170078329A1 (en) | Automatically validating enterprise firewall rules and provisioning firewall rules in computer systems | |
CN107480509A (zh) | 运维安全审计系统登录容器方法、系统、设备及存储介质 | |
CN105338016B (zh) | 数据高速缓存方法和装置以及资源请求响应方法和装置 | |
KR102324361B1 (ko) | 집단 지능 기반 악의적 기기 탐지 장치 및 방법 | |
CN102420771B (zh) | 高速网络环境中提高tcp并发连接速度的方法 | |
CN104769912A (zh) | 用于数据流处理的方法和装置 | |
US10491513B2 (en) | Verifying packet tags in software defined networks | |
CN105490995A (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
CN105978859B (zh) | 一种报文处理的方法和装置 | |
EP3211851A1 (en) | Method for accessing switch external memory from control plane and data plane | |
CN114731329A (zh) | 针对域间流量的基于组的策略 | |
US9678772B2 (en) | System, method, and computer-readable medium | |
US20200007447A1 (en) | Storing data in association with a key within a hash table and retrieving the data from the hash table using the key | |
CN106685901A (zh) | 用于处理跨域数据的方法、第一服务器及第二服务器 | |
US9560173B2 (en) | Techniques for improving SYN cache performance | |
JP5455870B2 (ja) | ネットワーク接続装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181002 |