CN107846480A - Nxdomain应答包处理方法和装置 - Google Patents

Abstract

本发明提供了一种NXDOMAIN应答包处理方法和装置。其中，该方法包括：截获DNS服务器针对解析请求生成的DNS应答包；判断DNS应答包的应答状态是否为NXDOMAIN状态；在判断到DNS应答包的应答状态为NXDOMAIN状态的情况下，判断解析请求所请求的域名是否属于白名单域名；在判断到解析请求所请求的域名属于白名单域名的情况下，丢弃DNS应答包。通过本发明，解决了NXDOMAIN故障处理效率低的问题，提高了NXDOMAIN故障的处理效率。

Description

NXDOMAIN应答包处理方法和装置

技术领域

本发明涉及通信领域，具体而言，涉及一种NXDOMAIN应答包处理方法和装置。

背景技术

域名系统(Domain Name System，简称为DNS)解析是网络访问过程中最重要的环节之一，主要功能为将域名转换为网络可识别的因特网协议(Internet Protocol，简称为IP)地址。

DNS应答状态主要有NOERROR、SERVFAIL、NXDOMAIN、REFUSED，其中，NXDOMAIN的应答结果对整体业务危害性最大，需要重点管控。

NXDOMAIN(域名不存在，Non-Existent domain)表示域名服务器声明查询域名确实是自己所解析，但是自己的记录里没有这个域名。这是权威域名服务器一种否定应答结论。对于运营商DNS(具备缓存和递归功能的DNS)是一种有效信息。运营商DNS会缓存这个结果，一旦正常服务的域名由于各种问题产生NXDOMAIN应答，在缓存过期的时间里，响应域名的访问将完全不可用，影响服务稳定性。此类问题是DNS服务中最严重的故障。

目前处理单台、多台和所有权威DNS服务器NXDOMAIN故障，一般采取手动封禁服务端口或者持续提供异常服务，直接解决故障问题再恢复故障现象的方式，处理效率低、处理过程对整体业务服务有影响。

例如，相关技术中采用两种NXDOMAIN故障处理方式：

1、通过iptables防火墙封禁DNS服务端口，停止DNS服务器解析服务，解决 NXDOMAIN问题后再重新打开防火墙限制，提供服务：

a)服务出现故障，人工确认DNS服务器NXDOMAIN故障；

b)工作登录DNS服务器，配置iptables封禁TCP53和UDP53端口，停止DNS服务；

2、重新加载配置文件，直接解决NXDOMAIN问题：

a)服务出现故障，人工确认DNS服务器NXDOMAIN故障；

b)使用正常时间点的配置文件并执行dns重载，解决问题。

研究过程中发现，相关技术存在下列缺陷：

1、相关技术采用iptables防火墙封禁端口的方案，在端口封禁操作前，异常的 NXDOMAIN应答报文仍可以发送，运营商DNS会缓存结果并对服务会产生影响。且需要人工判 定操作，效率差；

2、iptables防火墙封禁端口的方案直接封禁服务端口，除故障域名外，其他同DNS 服务器解析域名也将无法服务，当发生全网所有DNS服务器NXDOMAIN时，由于不能封禁所有 域名的解析服务，这类情况不具备操作性；

3、重新加载正常的配置文件的方案，操作生效前会有间隔期故障域名的NXDOMAIN应答包正常发送，影响网络访问。

发明内容

本发明提供了一种NXDOMAIN应答包处理方法和装置，以至少解决相关技术中NXDOMAIN故障处理效率低的问题。

根据本发明的一个方面，提供了一种NXDOMAIN应答包处理方法，包括：

截获DNS服务器针对解析请求生成的DNS应答包；

判断所述DNS应答包的应答状态是否为NXDOMAIN状态；

在判断到所述DNS应答包的应答状态为NXDOMAIN状态的情况下，判断所述解析请求所请求的域名是否属于白名单域名；

在判断到所述解析请求所请求的域名属于所述白名单域名的情况下，丢弃所述DNS应答包。

可选地，判断所述DNS应答包的应答状态是否为NXDOMAIN状态包括：

截取所述DNS应答包中预定偏移量的二进制字符串，其中，所述预定偏移量为指示所述DNS应答包的应答状态的偏移量；

比较所述二进制字符串与NXDOMAIN状态的二进制字符串是否一致；

在判断到所述二进制字符串与NXDOMAIN状态的二进制字符串一致的情况下，确定所述DNS应答包的应答状态为NXDOMAIN状态；否则，确定所述DNS应答包的应答状态不为NXDOMAIN状态。

可选地，在判断所述解析请求所请求的域名是否属于所述白名单域名之前，所述方法还包括：

接收配置管理系统发送的所述白名单域名；

将所述白名单域名更新到本地存储器中进行存储。

可选地，接收配置管理系统发送的所述白名单域名包括以下至少之一：

定期或者不定期地接收所述配置管理系统推送的所述白名单域名；

定期或者不定期地向所述配置管理系统请求所述白名单域名。

可选地，在判断到所述解析请求所请求的域名属于所述白名单域名的情况下，所述方法还包括：

输出报错日志。

可选地，在判断到所述DNS应答包的应答状态不为NXDOMAIN状态的情况下，所述方法还包括：

发送所述DNS应答包至所述解析请求的发送方。

可选地，在判断到所述解析请求所请求的域名不属于所述白名单域名的情况下，所述方法还包括：

发送所述DNS应答包至所述解析请求的发送方。

根据本发明的另一个方面，还提供了一种NXDOMAIN应答包处理装置，包括：

截获模块，用于截获DNS服务器针对解析请求生成的DNS应答包；

第一判断模块，用于判断所述DNS应答包的应答状态是否为NXDOMAIN状态；

第二判断模块，用于在判断到所述DNS应答包的应答状态为NXDOMAIN状态的情况下，判断所述解析请求所请求的域名是否属于白名单域名；

丢弃模块，用于在判断到所述解析请求所请求的域名属于所述白名单域名的情况下，丢弃所述DNS应答包。

可选地，所述装置还包括：

第一发送模块，用于在所述第一判断模块判断到所述DNS应答包的应答状态不为NXDOMAIN状态的情况下，发送所述DNS应答包至所述解析请求的发送方。

可选地，所述装置还包括：

第二发送模块，用于在所述第二判断模块判断到所述解析请求所请求的域名不属于所述白名单域名的情况下，发送所述DNS应答包至所述解析请求的发送方。

通过本发明，采用截获DNS服务器针对解析请求生成的DNS应答包；判断DNS应答包的应答状态是否为NXDOMAIN状态；在判断到DNS应答包的应答状态为NXDOMAIN状态的情况下，判断解析请求所请求的域名是否属于白名单域名；在判断到解析请求所请求的域名属于白名单域名的情况下，丢弃DNS应答包的方式，解决了NXDOMAIN故障处理效率低的问题，提高了NXDOMAIN故障的处理效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的NXDOMAIN应答包处理方法的流程图；

图2是根据本发明实施例的NXDOMAIN应答包处理装置的结构框图；

图3是根据本优选实施例的DNS应答包处理方法的流程图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

在本实施例中提供了一种NXDOMAIN应答包处理方法，图1是根据本发明实施例的NXDOMAIN应答包处理方法的流程图，如图1所示，该流程包括如下步骤：

步骤S101，截获DNS服务器针对解析请求生成的DNS应答包；

步骤S102，判断DNS应答包的应答状态是否为NXDOMAIN状态；

步骤S103，在判断到DNS应答包的应答状态为NXDOMAIN状态的情况下，判断解析请求所请求的域名是否属于白名单域名；

步骤S104，在判断到解析请求所请求的域名属于白名单域名的情况下，丢弃DNS应答包。

通过上述步骤，在截获到异常的DNS应答包，例如所请求的域名在白名单域名中，但应答状态为NXDOMAIN状态的DNS应答包时，直接丢弃该DNS应答包。该方式相对于人工识别处理NXDOMAIN故障而言，由系统直接进行判断并程式化处理，从而实现了对异常DNS应答包的快速处理，解决了NXDOMAIN故障处理效率低的问题，提高了NXDOMAIN故障的处理效率。

在实施过程中，判断DNS应答包的应答状态的方式可以通过对预定偏移量的二进制字符串来识别。例如，截取DNS应答包中预定偏移量的二进制字符串，其中，预定偏移量为指示DNS应答包的应答状态的偏移量；比较二进制字符串与NXDOMAIN状态的二进制字符串是否一致；在判断到二进制字符串与NXDOMAIN状态的二进制字符串一致的情况下，确定DNS应答包的应答状态为NXDOMAIN状态；否则，确定DNS应答包的应答状态不为NXDOMAIN状态。通过上述方式，提出了一种判断DNS应答包的应答状态的实现方式。

本实施例中的白名单域名可以由人工配置，也可以从配置管理系统获取。例如，在判断解析请求所请求的域名是否属于白名单域名之前，接收配置管理系统发送的白名单域名；将白名单域名更新到本地存储器中进行存储。存储白名单域名后，在需要判断解析请求所请求的域名是否属于白名单域名时，可以直接调用本地存储器中存储的白名单域名。

在配置管理系统中存储的白名单域名是最新的白名单域名。在通过配置管理系统获取白名单域名时，可以采取多种获取策略。例如：定期或者不定期地接收配置管理系统推送的白名单域名；定期或者不定期地向配置管理系统请求白名单域名。即采取配置管理系统主动推送白名单域名，或由配置管理系统在接收到请求后被动发送白名单域名的两种方式。也可以将两种方式相结合，由系统根据应用场景或者根据用户的配置或操作选择其中一种获取白名单域名的方式。

其中，定期获取方式可以设置一个合适的获取周期，例如1分钟、30分钟、1小时、2小时、1天、7天等。而不定期获取方式则可以在截获到一定数量的NXDOMAIN应答包或者DNS应答包，或者在配置管理系统中的白名单域名有更新的情况下，进行白名单域名的主动或者被动获取。

可选地，在判断到解析请求所请求的域名属于白名单域名的情况下，还可以输出报错日志。

可选地，在判断到DNS应答包的应答状态不为NXDOMAIN状态的情况下，发送DNS应答包至解析请求的发送方。

可选地，在判断到解析请求所请求的域名不属于白名单域名的情况下，发送DNS应答包至解析请求的发送方。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例的方法。

在本实施例中还提供了一种NXDOMAIN应答包处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本发明实施例的NXDOMAIN应答包处理装置的结构框图，如图2所示，该装置包括：截获模块21、第一判断模块22、第二判断模块23和丢弃模块24，其中，

截获模块21，用于截获DNS服务器针对解析请求生成的DNS应答包；第一判断模块22，耦合至截获模块21，用于判断DNS应答包的应答状态是否为NXDOMAIN状态；第二判断模块23，耦合至第一判断模块22，用于在判断到DNS应答包的应答状态为NXDOMAIN状态的情况下，判断解析请求所请求的域名是否属于白名单域名；丢弃模块24，耦合至第二判断模块23，用于在判断到解析请求所请求的域名属于白名单域名的情况下，丢弃DNS应答包。

通过上述结构，解决了NXDOMAIN故障处理效率低的问题，提高了NXDOMAIN故障的处理效率。

可选地，第一判断模块22可以包括：截取单元，用于截取DNS应答包中预定偏移量的二进制字符串，其中，预定偏移量为指示DNS应答包的应答状态的偏移量；比较单元，耦合至截取单元，用于比较二进制字符串与NXDOMAIN状态的二进制字符串是否一致；判断单元，耦合至比较单元，用于在判断到二进制字符串与NXDOMAIN状态的二进制字符串一致的情况下，确定DNS应答包的应答状态为NXDOMAIN状态；否则，确定DNS应答包的应答状态不为NXDOMAIN状态。

可选地，装置还可以包括：接收模块，用于接收配置管理系统发送的白名单域名；存储模块，耦合至接收模块和第二判断模块23，用于将白名单域名更新到本地存储器中进行存储。

可选地，接收模块用于以下至少之一：定期或者不定期地接收配置管理系统推送的白名单域名；定期或者不定期地向配置管理系统请求白名单域名。

可选地，装置还可以包括：输出模块，耦合至第二判断模块23，用于在判断到解析请求所请求的域名属于白名单域名的情况下，输出报错日志。

可选地，装置还可以包括：第一发送模块，用于在第一判断模块22判断到DNS应答包的应答状态不为NXDOMAIN状态的情况下，发送DNS应答包至解析请求的发送方。

可选地，装置还可以包括：第二发送模块，用于在第二判断模块23判断到解析请求所请求的域名不属于白名单域名的情况下，发送DNS应答包至解析请求的发送方。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述模块分别位于多个处理器中。

本发明的实施例还提供了一种软件，该软件用于执行上述实施例及优选实施方式中描述的技术方案。

本发明的实施例还提供了一种存储介质。在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

步骤S101，截获DNS服务器针对解析请求生成的DNS应答包；

步骤S102，判断DNS应答包的应答状态是否为NXDOMAIN状态；

步骤S103，在判断到DNS应答包的应答状态为NXDOMAIN状态的情况下，判断解析请求所请求的域名是否属于白名单域名；

步骤S104，在判断到解析请求所请求的域名属于白名单域名的情况下，丢弃DNS应答包。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

为了使本发明实施例的描述更加清楚，下面结合优选实施例进行描述和说明。

在本优选实施例中，将“DNS应答包处理模块”嵌入到DNS软件，在应答包发出前分析DNS应答包的状态类型，发现异常NXDOMAIN后，直接丢弃应答包并输出日志。其中，DNS应答包处理模块相当于上述的NXDOMAIN应答包处理装置，并用于执行NXDOMAIN应答包处理方法中的相关流程步骤。

在本优选实施例中，DNS应答包处理模块确认异常NXDOMAIN的方法采用的是：截取“应答包状态所在数据包偏移量的二进制字符串”与“NXDOMAIN的二进制字符串“做对比，字符串一致且请求域名存在于域名白名单的应答包，视为异常NXDOMAIN应答包。

本优选实施例通过对DNS应答包中应答状态的分析并结合域名白名单，实现对DNS服务域名NXDOMAIN应答包的管控，实现服务域名NXDOMAIN应答包的监控、分析、处理、告警操作。

图3是根据本优选实施例的DNS应答包处理方法的流程图，如图3所示，本优选实施例提供的DNS应答包处理方法的流程包括如下步骤：

步骤S301，运营商DNS发送域名解析请求给DNS服务器，请求指定域名的解析结果；

步骤S302，DNS软件提供解析功能，实现请求域名的解析功能并生成应答包发送给DNS应答包处理模块；

步骤S303，DNS应答包处理模块每隔一个时间周期，从配置管理系统同步域名白名单，域名白名单格式为每行一个服务域名；

步骤S304，DNS应答包处理模块接收应答包，截取应答包状态的数据包偏移量的二进制字符串，并与NXDOMAIN状态的二进制字符串作对比：

步骤S304-1，如果截取字符串一致，则说明应答状态为NXDOMAIN，对比域名白名单，如果请求域名为白名单域名，则模块丢弃应答包并输出报错日志到日志模块，格式为“时间请求来源IP DNS服务器IP域名NXDOMAIN”，解析处理过程结束；如果不在域名白名单里，则正常发出应答包；

步骤S304-2，如果截取字符串不一致，则说明应答状态不为NXDOMAIN，模块正常发出应答包；

步骤S305，日志模块接收到DNS应答包处理模块发送的日志，打印到磁盘指定位置；

步骤S306，iptables(一种Linux内核集成的IP信息包过滤系统)防火墙透传DNS应 答包返回给运营商DNS，解析结束。

综上所述，通过本发明的上述实施例和优选实施例提供的应答包处理方案，可以达到下列有益效果：

1、方案作用过程无间隔期，故障发生后NXDOMAIN应答包完全不能发送出去，避免NXDOMAIN应答包被运营商DNS缓存，加剧故障影响；

2、方案针对每个应答包进行常规分析判定，无需人工接入，整个过程程序自动完成，处理效率提高了1万倍以上；

3、方案的处理粒度为单个应答包，异常域名的应答包处理时，同服务器的其他服务域名解析服务不受任何影响，可适用于全网DNS服务故障。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种NXDOMAIN应答包处理方法，其特征在于包括：

截获DNS服务器针对解析请求生成的DNS应答包；

判断所述DNS应答包的应答状态是否为NXDOMAIN状态；

在判断到所述DNS应答包的应答状态为NXDOMAIN状态的情况下，判断所述解析请求所请求的域名是否属于白名单域名；

在判断到所述解析请求所请求的域名属于所述白名单域名的情况下，丢弃所述DNS应答包。

2.根据权利要求1所述的方法，其特征在于，判断所述DNS应答包的应答状态是否为NXDOMAIN状态包括：

截取所述DNS应答包中预定偏移量的二进制字符串，其中，所述预定偏移量为指示所述DNS应答包的应答状态的偏移量；

比较所述二进制字符串与NXDOMAIN状态的二进制字符串是否一致；

在判断到所述二进制字符串与NXDOMAIN状态的二进制字符串一致的情况下，确定所述DNS应答包的应答状态为NXDOMAIN状态；否则，确定所述DNS应答包的应答状态不为NXDOMAIN状态。

3.根据权利要求1所述的方法，其特征在于，在判断所述解析请求所请求的域名是否属于所述白名单域名之前，所述方法还包括：

接收配置管理系统发送的所述白名单域名；

将所述白名单域名更新到本地存储器中进行存储。

4.根据权利要求3所述的方法，其特征在于，接收配置管理系统发送的所述白名单域名包括以下至少之一：

定期或者不定期地接收所述配置管理系统推送的所述白名单域名；

定期或者不定期地向所述配置管理系统请求所述白名单域名。

5.根据权利要求1所述的方法，其特征在于，在判断到所述解析请求所请求的域名属于所述白名单域名的情况下，所述方法还包括：

输出报错日志。

6.根据权利要求1至5中任一项所述的方法，其特征在于，在判断到所述DNS应答包的应答状态不为NXDOMAIN状态的情况下，所述方法还包括：

发送所述DNS应答包至所述解析请求的发送方。

7.根据权利要求1至5中任一项所述的方法，其特征在于，在判断到所述解析请求所请求的域名不属于所述白名单域名的情况下，所述方法还包括：

发送所述DNS应答包至所述解析请求的发送方。

8.一种NXDOMAIN应答包处理装置，其特征在于包括：

截获模块，用于截获DNS服务器针对解析请求生成的DNS应答包；

第一判断模块，用于判断所述DNS应答包的应答状态是否为NXDOMAIN状态；

第二判断模块，用于在判断到所述DNS应答包的应答状态为NXDOMAIN状态的情况下，判断所述解析请求所请求的域名是否属于白名单域名；

丢弃模块，用于在判断到所述解析请求所请求的域名属于所述白名单域名的情况下，丢弃所述DNS应答包。

9.根据权利要求8所述的装置，其特征在于，所述装置还包括：

第一发送模块，用于在所述第一判断模块判断到所述DNS应答包的应答状态不为NXDOMAIN状态的情况下，发送所述DNS应答包至所述解析请求的发送方。

10.根据权利要求8所述的装置，其特征在于，所述装置还包括：

第二发送模块，用于在所述第二判断模块判断到所述解析请求所请求的域名不属于所述白名单域名的情况下，发送所述DNS应答包至所述解析请求的发送方。