CN108040124A - 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 - Google Patents
基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 Download PDFInfo
- Publication number
- CN108040124A CN108040124A CN201711447184.6A CN201711447184A CN108040124A CN 108040124 A CN108040124 A CN 108040124A CN 201711447184 A CN201711447184 A CN 201711447184A CN 108040124 A CN108040124 A CN 108040124A
- Authority
- CN
- China
- Prior art keywords
- dns
- over
- http
- domain name
- http servers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开一种基于DNS‑Over‑HTTP协议的控制移动端应用的方法及装置,其中,方法包括:接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS‑Over‑HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS‑Over‑HTTP服务器;对识别出DNS‑Over‑HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS‑Over‑HTTP服务器的类型;针对判断获知的DNS‑Over‑HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。本发明实施例能够有效控制移动端应用。
Description
技术领域
本发明实施例涉及计算机技术领域,具体涉及一种基于DNS-Over-HTTP协议的控制移动端应用的方法及装置。
背景技术
随着近几年智能移动设备迅速普及和互联网用户的海量增长,出现了各种各样的移动端应用APP,如微信、淘宝APP、京东APP、百度地图APP等,由于移动端APP的方便性和使用性,已经深入到日常生活的方方面面。有得必有失,移动端APP也容易进入办公网络,企业因为担心数据安全和泄漏问题,所以需要对移动端APP进行管理和控制。
目前,移动端APP大多数使用HTTP(超文本传输协议)/HTTPS(安全套接字层超文本传输协议)等通用协议,小部分使用私有协议。现有技术对移动端APP的控制方法,包括:
一、如果移动端APP使用HTTP协议,可参考图1,先通过DNS获得其域名的IP,然后再进行HTTP数据传输;每个域名都要如此操作。若使用HTTP协议,由于是明文,能够解析其内容,可以对服务器IP(网络之间互连的协议)、域名、关键字等进行不同颗粒度的管理和控制。
二、如果移动端APP使用HTTPS协议,可参考图2,先通过DNS获得其域名的IP,然后再进行HTTPS数据传输;每个域名都要如此操作。若使用HTTPS协议,由于是密文,只能解析获得小部分内容,可以对域名或服务器IP进行管理和控制;或者通过中间人攻击技术劫持HTTPS流量,将HTTPS密文数据变成HTTP明文数据,同HTTP协议管理和控制。
三、如果移动端APP使用私有协议,可参考图3,先通过DNS获得其域名的IP,然后再进行私有协议数据传输;每个域名都要如此操作。若使用私有协议,目前主要通过分析数据包特征进行控制,可以进行域名、服务器IP和行为(类似登录,发送信息、接受信息)等进行控制,效率比较低,维护成本高,目前使用的比较少。
但是,上面现有技术的三种管理和控制移动端应用的方法,原理上都会依赖DNS(域名解析服务)技术,DNS通常作为一次网络连接的先导,将人们便于记忆的计算机名称解析成计算机适合处理的网络地址,因此DNS稳定服务是上述网络应用正常运行的前提。DNS查询一般先从本地缓存查找,如果查询不到或已经过期,就从DNS服务器查询,如果客户端没有主动设置DNS服务器,一般是从服务运营商DNS服务器上查找。这就出现了不可控。因为如果使用了服务运营商的本地Local DNS域名服务器,那就可能存在各种域名被缓存、用户跨网访问缓慢等严重问题。
鉴于此,如何有效控制移动端应用成为目前需要解决的技术问题。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种基于DNS-Over-HTTP协议的控制移动端应用的方法及装置。
第一方面,本发明实施例提出一种基于DNS-Over-HTTP协议的控制移动端应用的方法,包括:
接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器;
对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型;
针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
可选地,所述第一信息,至少包括:DNS-Over-HTTP服务器、请求查询的域名和域名对应的IP地址。
可选地,所述第一信息,还包括:平台信息。
可选地,所述DNS-Over-HTTP服务器的类型,包括:公用DNS-Over-HTTP服务器和私有DNS-Over-HTTP服务器;
相应地,所述判断所识别出的DNS-Over-HTTP服务器的类型,包括:
利用所识别出的DNS-Over-HTTP服务器查询多个企业/单位的域名;
若查询到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器;
若查询不到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器。
可选地,所述预设的移动端应用控制策略,包括:
若判断获知所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器,则提取当前DNS-Over-HTTP请求查询的域名;如果预设的是阻塞某个域名,则将提取的域名与预设的阻塞域名进行对比,若匹配成功,则关闭当前的链接进行阻塞;若第一时间无法关闭,则根据HTTP响应中的IP地址,封堵该IP相关的后续链接。
可选地,所述预设的移动端应用控制策略,包括:
若判断获知所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器、且要封堵某个应用,则查看所述私有DNS-Over-HTTP服务器,获得所述私有DNS-Over-HTTP服务查询过的域名列表,若所述域名列表中的域名均符合要封堵的应用的域名的规律,则对所述私有DNS-Over-HTTP服务器进行封堵。
可选地,在针对所述DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行之后,所述方法还包括:
根据判断确定对当前的用户数据是阻塞还是放行的结果,记录相关日志操作。
可选地,在接收移动端发送的域名系统DNS的超文本传输协议HTTP请求之前,所述方法还包括:
接收移动端发送的DNS请求;
向所述移动端返回DNS响应,所述DNS响应携带的信息,包括:DNS-Over-HTTP服务器。
第二方面,本发明实施例还提出一种基于DNS-Over-HTTP协议的控制移动端应用的装置,包括:
识别模块,用于接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器;
解析模块,用于对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型;
判断模块,用于针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
可选地,所述第一信息,至少包括:DNS-Over-HTTP服务器、请求查询的域名和域名对应的IP地址。
可选地,所述第一信息,还包括:平台信息。
可选地,所述DNS-Over-HTTP服务器的类型,包括:公用DNS-Over-HTTP服务器和私有DNS-Over-HTTP服务器;
相应地,所述解析模块,具体用于
对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并利用所识别出的DNS-Over-HTTP服务器查询多个企业/单位的域名;
若查询到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器;
若查询不到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器。
可选地,所述预设的移动端应用控制策略,包括:
若判断获知所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器,则提取当前DNS-Over-HTTP请求查询的域名;如果预设的是阻塞某个域名,则将提取的域名与预设的阻塞域名进行对比,若匹配成功,则关闭当前的链接进行阻塞;若第一时间无法关闭,则根据HTTP响应中的IP地址,封堵该IP相关的后续链接。
可选地,所述预设的移动端应用控制策略,包括:
若判断获知所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器、且要封堵某个应用,则查看所述私有DNS-Over-HTTP服务器,获得所述私有DNS-Over-HTTP服务查询过的域名列表,若所述域名列表中的域名均符合要封堵的应用的域名的规律,则对所述私有DNS-Over-HTTP服务器进行封堵。
可选地,所述装置还包括:
记录模块,用于根据判断确定对当前的用户数据是阻塞还是放行的结果,记录相关日志操作。
可选地,所述装置还包括:
接收模块,用于接收移动端发送的DNS请求;
发送模块,用于向所述移动端返回DNS响应,所述DNS响应携带的信息,包括:DNS-Over-HTTP服务器。
第三方面,本发明实施例还提出一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述方法。
由上述技术方案可知,本发明实施例通过接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器,对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型,针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行,由此,能够有效控制移动端应用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为现有技术对移动端APP的控制方法中使用HTTP协议的信令图;
图2为现有技术对移动端APP的控制方法中使用HTTPS协议的信令图;
图3为现有技术对移动端APP的控制方法中使用私有协议的信令图;
图4为本发明一实施例提供的一种基于DNS-Over-HTTP协议的控制移动端应用的方法的流程示意图;
图5为本发明实施例提供的一种基于DNS-Over-HTTP协议的控制移动端应用的方法的信令图;
图6为本发明一实施例提供的一种基于DNS-Over-HTTP协议的控制移动端应用的装置的结构示意图;
图7为本发明一实施例提供的电子设备的实体结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明一实施例提供的一种基于DNS-Over-HTTP协议的控制移动端应用的方法的流程示意图,如图1所示,本实施例的基于DNS-Over-HTTP协议的控制移动端应用的方法,包括:
S101、接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器。
可以理解的是,由于明确已知DNS-Over-HTTP承载在HTTP协议上,即DNS-Over-HTTP使用HTTP协议,所以通过过滤HTTP协议,根据DNS-Over-HTTP服务器的特征进行前期分析,可以从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器。
例如,HTTP请求的用户数据都使用了DNS-Over-HTTP协议,HTTP Request(请求)都采用GET方法,URL类似/d?dn=domain,这些特征可以作为识别DNS-Over-HTTP服务器的标志。
可以理解的是,本实施例在接收移动端发送的域名系统DNS的超文本传输协议HTTP请求之前,还可以包括图中未示出的:
接收移动端发送的DNS请求;
向所述移动端返回DNS响应,所述DNS响应携带的信息,包括:DNS-Over-HTTP服务器。
S102、对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型。
其中,所述第一信息,至少包括:DNS-Over-HTTP服务器(HTTP Request请求的Host字段)、请求查询的域名(统一资源定位符URL中dn变量后面的值)和域名对应的IP地址(HTTP Response响应的Body字段)等的信息。
进一步地,所述第一信息,还可以包括:平台信息(是否为移动端APP)等,本实施例并不对其进行限制。
可以理解的是,在具体应用中,本步骤还可以将获得的第一信息和判断得到的DNS-Over-HTTP服务器的类型进行保存。
S103、针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
可以理解的是,在所述步骤S103判断确定对当前的用户数据是阻塞还是放行之后,本实施例所述方法还可以包括:
根据判断确定对当前的用户数据是阻塞还是放行的结果,记录相关日志操作。
可以理解的是,现有的移动端APP管理和控制方法都依赖DNS技术,由于DNS-Over-HTTP越来越多的应用,导致其已经失效。由于DNS协议本身安全性不高(使用UDP(用户数据报协议)协议)和Local DNS分布式部署带来的不可控因素。DNS-Over-HTTP就是针对于这些问题进行改进的域名解析方案。它承载在HTTP协议之上,移动终端直接向DNS-Over-HTTP服务器发起通信请求,从而绕过了运营商的Local DNS,并获取到最准确的域名解析结果。DNS-Over-HTTP当前主要应用在移动端域名解析上。由于DNS-Over-HTTP是通过HTTP协议承载,所以需要分析HTTP协议,寻找这些DNS-Over-HTTP服务器的共性,比如HTTP Request中的URL字段,识别出DNS-Over-HTTP服务器;然后解析HTTP Request和HTTP Response中的数据,可以得到DNS-Over-HTTP服务器、请求查询域名和其对应的IP等信息;接着就可以对移动端APP进行管理和控制,根据预设的策略进行匹配和决策,比如不允许访问某个APP或不允许访问某个网站,进而阻塞或放行。
本实施例所述方法的信令图可以参考图5。
可以理解的是,在一些场景中(比如使用中间人攻击),现有技术对移动端APP控制严格依赖DNS解析结果,但采用DNS-Over-HTTP方式时无法获得DNS解析结果,进而导致场景功能失效,通过本实施例所述方法可以有效解决此类问题。
可以理解的是,DNS-Over-HTTP技术目前主要应用于移动端平台,也可以通过数据分析进一步控制平台操作(是否为移动端APP),这就形成一种天然的优势,本实施例能够有效地过滤了非移动端平台的数据,进而实现了更好的控制,这是现有技术的DNS方式无法比拟的。
本实施例的基于DNS-Over-HTTP协议的控制移动端应用的方法,通过接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器,对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型,针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行,由此,能够有效控制移动端应用。
进一步地,在具体应用中,本实施例所述DNS-Over-HTTP服务器的类型,可以包括:公用DNS-Over-HTTP服务器和私有DNS-Over-HTTP服务器;
相应地,上述步骤S102中的“判断所识别出的DNS-Over-HTTP服务器的类型”,可以包括:
利用所识别出的DNS-Over-HTTP服务器查询多个企业/单位的域名;
若查询到所述多个已知企业/单位的域名(最好是不同企业/单位的域名,如www.baidu.com、www.taobao.com、www.qq.com等),则确定所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器;
若查询不到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器。
进一步地,所述预设的移动端应用控制策略,可以包括:
若判断获知所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器,则提取当前DNS-Over-HTTP请求查询的域名;如果预设的是阻塞某个域名,则将提取的域名与预设的阻塞域名进行对比,若匹配成功,则关闭当前的链接进行阻塞;若第一时间无法关闭(已经收到了当前的链接的响应包),则根据HTTP响应中的IP地址,封堵该IP相关的后续链接。
进一步地,所述预设的移动端应用控制策略,还可以包括:
若判断获知所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器、且要封堵某个应用,则查看所述私有DNS-Over-HTTP服务器,获得所述私有DNS-Over-HTTP服务查询过的域名列表,若所述域名列表中的域名均符合要封堵的应用的域名的规律(例如,所述域名列表中的域名都是*.jd.com),则对所述私有DNS-Over-HTTP服务器进行封堵。
这样,就可以达到封堵某个应用的效果。
本实施例中,私有DNS-Over-HTTP服务器是只提供某个APP相关的域名,不解析其他域名;公用DNS-Over-HTTP服务器是提供各个网站域名的解析。因此,在本实施例中,私有DNS-Over-HTTP服务器可以很方便的对移动端APP进行控制,只要封堵该私有DNS-Over-HTTP服务器即可,不需要其他额外控制,比之前的效率要高和使用也方便;公用DNS-Over-HTTP服务器对域名级别的控制比较方便,可以精确匹配或模糊匹配域名进行控制。本实施例所述方法对移动端APP管理和控制应用级别的操作时,由于私有DNS-Over-HTTP服务器本身已经对域名进行限制,可以方便和高效的进行处理,而原先的DNS方式则无法实现。
图6示出了本发明一实施例提供的一种基于DNS-Over-HTTP协议的控制移动端应用的装置的结构示意图,如图6所示,本实施例的基于DNS-Over-HTTP协议的控制移动端应用的装置,包括:识别模块61、解析模块62和判断模块63;其中:
所述识别模块61,用于接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器;
所述解析模块62,用于对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型;
所述判断模块63,用于针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
具体地,所述识别模块61接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器;所述解析模块62对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型;所述判断模块63针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
其中,所述第一信息,至少包括:DNS-Over-HTTP服务器(HTTP Request请求的Host字段)、请求查询的域名(统一资源定位符URL中dn变量后面的值)和域名对应的IP地址(HTTP Response响应的Body字段)等的信息。
进一步地,所述第一信息,还可以包括:平台信息(是否为移动端APP)等,本实施例并不对其进行限制。
可以理解的是,在具体应用中,所述解析模块62还可以将获得的第一信息和判断得到的DNS-Over-HTTP服务器的类型进行保存。
在具体应用中,本实施例所述装置还可以包括图中未示出的:
记录模块,用于根据判断确定对当前的用户数据是阻塞还是放行的结果,记录相关日志操作。
在具体应用中,本实施例所述装置还可以包括图中未示出的:
接收模块,用于接收移动端发送的DNS请求;
发送模块,用于向所述移动端返回DNS响应,所述DNS响应携带的信息,包括:DNS-Over-HTTP服务器。
可以理解的是,现有的移动端APP管理和控制方法都依赖DNS技术,由于DNS-Over-HTTP越来越多的应用,导致其已经失效。由于DNS协议本身安全性不高(使用UDP(用户数据报协议)协议)和Local DNS分布式部署带来的不可控因素。DNS-Over-HTTP就是针对于这些问题进行改进的域名解析方案。它承载在HTTP协议之上,移动终端直接向DNS-Over-HTTP服务器发起通信请求,从而绕过了运营商的Local DNS,并获取到最准确的域名解析结果。DNS-Over-HTTP当前主要应用在移动端域名解析上。由于DNS-Over-HTTP是通过HTTP协议承载,所以需要分析HTTP协议,寻找这些DNS-Over-HTTP服务器的共性,比如HTTP Request中的URL字段,识别出DNS-Over-HTTP服务器;然后解析HTTP Request和HTTP Response中的数据,可以得到DNS-Over-HTTP服务器、请求查询域名和其对应的IP等信息;接着就可以对移动端APP进行管理和控制,根据预设的策略进行匹配和决策,比如不允许访问某个APP或不允许访问某个网站,进而阻塞或放行。
可以理解的是,在一些场景中(比如使用中间人攻击),现有技术对移动端APP控制严格依赖DNS解析结果,但采用DNS-Over-HTTP方式时无法获得DNS解析结果,进而导致场景功能失效,通过本实施例所述装置可以有效解决此类问题。
可以理解的是,DNS-Over-HTTP技术目前主要应用于移动端平台,也可以通过数据分析进一步控制平台操作(是否为移动端APP),这就形成一种天然的优势,本实施例能够有效地过滤了非移动端平台的数据,进而实现了更好的控制,这是现有技术的DNS方式无法比拟的。
本实施例的基于DNS-Over-HTTP协议的控制移动端应用的装置,能够有效控制移动端应用。
进一步地,在具体应用中,,所述DNS-Over-HTTP服务器的类型,包括:公用DNS-Over-HTTP服务器和私有DNS-Over-HTTP服务器;
相应地,所述解析模块62,可具体用于
对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并利用所识别出的DNS-Over-HTTP服务器查询多个企业/单位的域名;
若查询到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器;
若查询不到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器。
在具体应用中,所述预设的移动端应用控制策略,可以包括:
若判断获知所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器,则提取当前DNS-Over-HTTP请求查询的域名;如果预设的是阻塞某个域名,则将提取的域名与预设的阻塞域名进行对比,若匹配成功,则关闭当前的链接进行阻塞;若第一时间无法关闭(已经收到了当前的链接的响应包),则根据HTTP响应中的IP地址,封堵该IP相关的后续链接。
在具体应用中,所述预设的移动端应用控制策略,也可以包括:
若判断获知所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器、且要封堵某个应用,则查看所述私有DNS-Over-HTTP服务器,获得所述私有DNS-Over-HTTP服务查询过的域名列表,若所述域名列表中的域名均符合要封堵的应用的域名的规律,则对所述私有DNS-Over-HTTP服务器进行封堵。
这样,就可以达到封堵某个应用的效果。
本实施例中,私有DNS-Over-HTTP服务器是只提供某个APP相关的域名,不解析其他域名;公用DNS-Over-HTTP服务器是提供各个网站域名的解析。因此,在本实施例中,私有DNS-Over-HTTP服务器可以很方便的对移动端APP进行控制,只要封堵该私有DNS-Over-HTTP服务器即可,不需要其他额外控制,比之前的效率要高和使用也方便;公用DNS-Over-HTTP服务器对域名级别的控制比较方便,可以精确匹配或模糊匹配域名进行控制。本实施例所述方法对移动端APP管理和控制应用级别的操作时,由于私有DNS-Over-HTTP服务器本身已经对域名进行限制,可以方便和高效的进行处理,而原先的DNS方式则无法实现。
本实施例的基于DNS-Over-HTTP协议的控制移动端应用的装置,能够有效控制移动端应用。
本实施例的控制移动端应用的装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7示出了本发明实施例提供的一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器71、存储器72、总线73及存储在存储器72上并可在处理器71上运行的计算机程序;
其中,所述处理器71,存储器72通过所述总线73完成相互间的通信;
所述处理器71执行所述计算机程序时实现上述各方法实施例所提供的方法,例如包括:接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器;对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型;针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例所提供的方法,例如包括:接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器;对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型;针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置/系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (18)
1.一种基于DNS-Over-HTTP协议的控制移动端应用的方法,其特征在于,包括:
接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器;
对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型;
针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
2.根据权利要求1所述的方法,其特征在于,所述第一信息,至少包括:DNS-Over-HTTP服务器、请求查询的域名和域名对应的IP地址。
3.根据权利要求2所述的方法,其特征在于,所述第一信息,还包括:平台信息。
4.根据权利要求1所述的方法,其特征在于,所述DNS-Over-HTTP服务器的类型,包括:公用DNS-Over-HTTP服务器和私有DNS-Over-HTTP服务器;
相应地,所述判断所识别出的DNS-Over-HTTP服务器的类型,包括:
利用所识别出的DNS-Over-HTTP服务器查询多个企业/单位的域名;
若查询到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器;
若查询不到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器。
5.根据权利要求4所述的方法,其特征在于,所述预设的移动端应用控制策略,包括:
若判断获知所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器,则提取当前DNS-Over-HTTP请求查询的域名;如果预设的是阻塞某个域名,则将提取的域名与预设的阻塞域名进行对比,若匹配成功,则关闭当前的链接进行阻塞;若第一时间无法关闭,则根据HTTP响应中的IP地址,封堵该IP相关的后续链接。
6.根据权利要求4所述的方法,其特征在于,所述预设的移动端应用控制策略,包括:
若判断获知所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器、且要封堵某个应用,则查看所述私有DNS-Over-HTTP服务器,获得所述私有DNS-Over-HTTP服务查询过的域名列表,若所述域名列表中的域名均符合要封堵的应用的域名的规律,则对所述私有DNS-Over-HTTP服务器进行封堵。
7.根据权利要求1所述的方法,其特征在于,在针对所述DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行之后,所述方法还包括:
根据判断确定对当前的用户数据是阻塞还是放行的结果,记录相关日志操作。
8.根据权利要求1-7中任一项所述的方法,其特征在于,在接收移动端发送的域名系统DNS的超文本传输协议HTTP请求之前,所述方法还包括:
接收移动端发送的DNS请求;
向所述移动端返回DNS响应,所述DNS响应携带的信息,包括:DNS-Over-HTTP服务器。
9.一种基于DNS-Over-HTTP协议的控制移动端应用的装置,其特征在于,包括:
识别模块,用于接收移动端发送的域名系统DNS的超文本传输协议HTTP请求,根据DNS-Over-HTTP服务器的特征从所述HTTP请求的用户数据中识别出DNS-Over-HTTP服务器;
解析模块,用于对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并判断所识别出的DNS-Over-HTTP服务器的类型;
判断模块,用于针对判断获知的DNS-Over-HTTP服务器的类型,根据预设的移动端应用控制策略,判断确定对当前的用户数据是阻塞还是放行。
10.根据权利要求9所述的装置,其特征在于,所述第一信息,至少包括:DNS-Over-HTTP服务器、请求查询的域名和域名对应的IP地址。
11.根据权利要求10所述的装置,其特征在于,所述第一信息,还包括:平台信息。
12.根据权利要求9所述的装置,其特征在于,所述DNS-Over-HTTP服务器的类型,包括:公用DNS-Over-HTTP服务器和私有DNS-Over-HTTP服务器;
相应地,所述解析模块,具体用于
对识别出DNS-Over-HTTP服务器的用户数据进行解析,获得第一信息并利用所识别出的DNS-Over-HTTP服务器查询多个企业/单位的域名;
若查询到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器;
若查询不到所述多个已知企业/单位的域名,则确定所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器。
13.根据权利要求12所述的装置,其特征在于,所述预设的移动端应用控制策略,包括:
若判断获知所识别出的DNS-Over-HTTP服务器为公用DNS-Over-HTTP服务器,则提取当前DNS-Over-HTTP请求查询的域名;如果预设的是阻塞某个域名,则将提取的域名与预设的阻塞域名进行对比,若匹配成功,则关闭当前的链接进行阻塞;若第一时间无法关闭,则根据HTTP响应中的IP地址,封堵该IP相关的后续链接。
14.根据权利要求12所述的装置,其特征在于,所述预设的移动端应用控制策略,包括:
若判断获知所识别出的DNS-Over-HTTP服务器为私有DNS-Over-HTTP服务器、且要封堵某个应用,则查看所述私有DNS-Over-HTTP服务器,获得所述私有DNS-Over-HTTP服务查询过的域名列表,若所述域名列表中的域名均符合要封堵的应用的域名的规律,则对所述私有DNS-Over-HTTP服务器进行封堵。
15.根据权利要求9所述的装置,其特征在于,所述装置还包括:
记录模块,用于根据判断确定对当前的用户数据是阻塞还是放行的结果,记录相关日志操作。
16.根据权利要求9-15中任一项所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收移动端发送的DNS请求;
发送模块,用于向所述移动端返回DNS响应,所述DNS响应携带的信息,包括:DNS-Over-HTTP服务器。
17.一种电子设备,其特征在于,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现如权利要求1-8中任一项所述的方法。
18.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1-8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711447184.6A CN108040124B (zh) | 2017-12-27 | 2017-12-27 | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711447184.6A CN108040124B (zh) | 2017-12-27 | 2017-12-27 | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108040124A true CN108040124A (zh) | 2018-05-15 |
| CN108040124B CN108040124B (zh) | 2020-11-03 |
Family
ID=62097539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711447184.6A Active CN108040124B (zh) | 2017-12-27 | 2017-12-27 | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108040124B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422495A (zh) * | 2022-01-25 | 2022-04-29 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
| CN114760267A (zh) * | 2022-04-08 | 2022-07-15 | 中国移动通信集团陕西有限公司 | 域名封堵方法、装置、设备、介质及程序产品 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710905A (zh) * | 2009-12-17 | 2010-05-19 | 中国联合网络通信集团有限公司 | 一种基于策略的地址解析控制方法与系统 |
| CN102891807A (zh) * | 2012-07-16 | 2013-01-23 | 北京东方网信科技股份有限公司 | 一种基于主动引导的网络流量缓存方法及系统 |
| CN103546590A (zh) * | 2013-10-18 | 2014-01-29 | 北京奇虎科技有限公司 | 一种dns服务器的选择方法与装置 |
| CN103561121A (zh) * | 2013-10-11 | 2014-02-05 | 北京奇虎科技有限公司 | 一种dns的解析方法、装置和浏览器 |
| CN104168340A (zh) * | 2014-07-24 | 2014-11-26 | 深圳市腾讯计算机系统有限公司 | 域名解析的方法、服务器、终端及系统 |
| KR101518472B1 (ko) * | 2014-06-16 | 2015-05-07 | 주식회사 플랜티넷 | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템 |
| CN107222587A (zh) * | 2017-06-29 | 2017-09-29 | 冯哲 | 一种远程访问私网设备的方法 |
-
2017
- 2017-12-27 CN CN201711447184.6A patent/CN108040124B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710905A (zh) * | 2009-12-17 | 2010-05-19 | 中国联合网络通信集团有限公司 | 一种基于策略的地址解析控制方法与系统 |
| CN102891807A (zh) * | 2012-07-16 | 2013-01-23 | 北京东方网信科技股份有限公司 | 一种基于主动引导的网络流量缓存方法及系统 |
| CN103561121A (zh) * | 2013-10-11 | 2014-02-05 | 北京奇虎科技有限公司 | 一种dns的解析方法、装置和浏览器 |
| CN103546590A (zh) * | 2013-10-18 | 2014-01-29 | 北京奇虎科技有限公司 | 一种dns服务器的选择方法与装置 |
| KR101518472B1 (ko) * | 2014-06-16 | 2015-05-07 | 주식회사 플랜티넷 | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템 |
| CN104168340A (zh) * | 2014-07-24 | 2014-11-26 | 深圳市腾讯计算机系统有限公司 | 域名解析的方法、服务器、终端及系统 |
| CN107222587A (zh) * | 2017-06-29 | 2017-09-29 | 冯哲 | 一种远程访问私网设备的方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422495A (zh) * | 2022-01-25 | 2022-04-29 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
| CN114422495B (zh) * | 2022-01-25 | 2023-10-24 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
| CN114760267A (zh) * | 2022-04-08 | 2022-07-15 | 中国移动通信集团陕西有限公司 | 域名封堵方法、装置、设备、介质及程序产品 |
| CN114760267B (zh) * | 2022-04-08 | 2024-03-19 | 中国移动通信集团陕西有限公司 | 域名封堵方法、装置、设备、介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108040124B (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10791190B2 (en) | Systems and methods for avoiding server push of objects already cached at a client | |
| US9948709B2 (en) | Using resource timing data for server push in multiple web page transactions | |
| US9210235B2 (en) | Client side cache management | |
| EP2924941B1 (en) | Method and device for preventing service illegal access | |
| EP3170091B1 (en) | Method and server of remote information query | |
| EP1931114B1 (en) | Method and apparatus for detecting the IP address of a computer and location information associated therewith | |
| EP3860095A1 (en) | Methods for information drainage, requesting transmission and communication acceleration, and drainage and node server | |
| CN109088909B (zh) | 一种基于商户类型的服务灰度发布方法及设备 | |
| CN102055813A (zh) | 一种网络应用的访问控制方法及其装置 | |
| CN104333567A (zh) | 采用安全即服务的web缓存 | |
| CN102571547A (zh) | 一种http流量的控制方法及装置 | |
| US11416291B1 (en) | Database server management for proxy scraping jobs | |
| CN104301180B (zh) | 一种业务报文处理方法和设备 | |
| CN104010051B (zh) | 一种访问网络的方法及管理服务器 | |
| CN108040124A (zh) | 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置 | |
| EP2640035B1 (en) | Hypertext transfer protocol (http) stream association method and device | |
| Wang et al. | Smart devices information extraction in home wi‐fi networks | |
| KR101087291B1 (ko) | 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템 | |
| EP4227829A1 (en) | Web scraping through use of proxies, and applications thereof | |
| US20230018983A1 (en) | Traffic counting for proxy web scraping | |
| CN108667646A (zh) | 网络访问方法及装置 | |
| KR101490227B1 (ko) | 트래픽 제어 방법 및 장치 | |
| CN104618242A (zh) | 一种报文转发方法和装置 | |
| KR101471515B1 (ko) | 패킷미러링을 이용한 객체 수집 방법 및 시스템 | |
| CN112242981A (zh) | 一种网站过滤的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: Qianxin Technology Group Co.,Ltd. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: Beijing Qi'anxin Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |