CN110381174B - 一种基于无状态扫描的高速域名解析方法 - Google Patents
一种基于无状态扫描的高速域名解析方法 Download PDFInfo
- Publication number
- CN110381174B CN110381174B CN201910606833.5A CN201910606833A CN110381174B CN 110381174 B CN110381174 B CN 110381174B CN 201910606833 A CN201910606833 A CN 201910606833A CN 110381174 B CN110381174 B CN 110381174B
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- message
- reply message
- udp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1019—Random or heuristic server selection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Abstract
本发明涉及一种基于无状态扫描的高速域名解析方法,加密DNS查询报文的UDP协议头,定期发送DNS查询报文,对收回的回复报文进行解析、校验,记录UDP协议头部符合加密特征的DNS回复报文以及对应IP,校验IP并依结果生成可靠DNS服务IP池,当存在域名解析请求时,从中选取IP作为解析服务器对请求对应的域名进行解析,持续接收UDP报文,校验UDP协议头和DNS协议头,通过则记录当前UDP报文信息。本发明在不同解析服务器间负载均衡,提高域名解析效率,单台设备即可实现对全球域名信息变化的实时感知,极大提高PDNS收集系统的准确性和实时性,为威胁情报关联分析及全球DNS恶意污染问题分析提供数据基础。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种基于无状态扫描的高速域名解析方法。
背景技术
随着网络的发展,在过去几年中针对DNS基础设施的攻击威胁频发,例如针对验证域名服务器的DDoS攻击、利用域名服务器作为DDoS攻击的放大机制、顶替注册账户以修改授权信息、缓存投毒攻击以及由恶意软件实现的域名服务器滥用等;当需要进行网络事件响应调查时就会发现,被动DNS是非常有用的,可以通过查询被动DNS数据库来查找与某一网站相关联的DNS查询记录,或者自某一时间开始该网站曾经使用过哪些域名服务器,又或者另有哪些其它域名在使用同一套域名服务器;更进一步,也可以选择某个已知的恶意IP地址,并查询各被动DNS数据库最近映射至该IP地址的全部相关域名信息。
基于此,如何建立一套可靠、高实时性的被动DNS收集系统成为多个研究团队努力的方向。
现有技术中,基于上述问题的解决方案一般有两种,一是通过有状态UDP方式向指定域名解析服务器发送域名解析请求以完成域名的解析,二则是通过有状态UDP方式向多个域名解析服务器发送域名解析请求以完成域名的解析。针对第一种解决方案,域名解析时,如果向某个指定的域名解析服务发送大量域名解析请求报文,域名服务器会对请求端进行限流限速,导致大量域名解析失败,解析效率极为低下,失去了对域名信息变化实时感知的意义;而针对第二种解决方案,虽然该方案使用多个域名解析服务器进行域名解析,在一定程度上提高的解析速度,但是有状态UDP解析受限于TCP/IP协议栈出站端口的上限值65535的限制,单IP并发查询量无法突破,导致解析效率依然无法达到对域名信息变化实时感知的需求。
发明内容
本发明解决了现有技术中,解析效率低下,失去对域名信息变化实时感知的意义,而传统域名解析仅在几个域名解析服务之间进行且查询基于UDP有状态方式,受限于协议栈的出站端口限制,每秒并发DNS查询上限无法超过65535条的问题,提供了一种优化的基于无状态扫描的高速域名解析方法。
本发明所采用的技术方案是,一种基于无状态扫描的高速域名解析方法,所述方法包括以下步骤:
步骤1:读取本机配置参数,初始化;
步骤2:对DNS查询报文的UDP协议头部进行加密,定期向全球IPv4地址空间发送DNS查询报文,获取DNS回复报文;
步骤3:对收回的DNS回复报文进行解析、校验,记录UDP协议头部符合加密特征的DNS回复报文以及对应的IP;
步骤4:根据配置的规则对所述DNS回复报文进行校验,依据校验结果生成可靠DNS服务IP池;
步骤5:若存在域名解析请求,则进行下一步,否则,返回步骤2;
步骤6:若未达到最大重传次数,则每个域名从可靠DNS服务IP池中选取任一IP作为域名服务器进行域名解析,直至解析成功,进行下一步;若达到最大重传次数,则停止解析;
步骤7:持续接收UDP报文,校验UDP协议头和DNS协议头,若通过校验,则记录当前UDP报文信息,否则,扔掉报文。
优选地,所述步骤2包括以下步骤:
步骤2.1:在IPv4地址空间中筛选域名解析服务IP;
步骤2.2:通过UDP无状态扫描的方式将DNS查询请求报文加密后,发送至IPv4地址空间中的所有IP;
步骤2.3:获取DNS回复报文。
优选地,所述步骤2.2中,DNS查询请求报文由32位目的IP地址和16位目的端口通过预设的哈希加密函数生成16位哈希值作为报文的源端口。
优选地,所述步骤3包括以下步骤:
步骤3.1:对收回的DNS回复报文进行解析;
步骤3.2:由回复报文的32位源IP地址和16位源端口,通过预设的哈希加密函数,生成16位哈希值;
步骤3.3:若16位哈希值为16位目的端口地址,回复报文是DNS版本信息报文,当前回复报文的源IP为DNS服务IP;
步骤3.4:记录符合DNS查询特征的报文对应的IP。
优选地,所述步骤4包括以下步骤:
步骤4.1:加载配置的域名请求和预期结果所组成的校验规则;
步骤4.2:根据校验规则对记录的IP进行无状态扫描;所述无状态扫描的请求报文的UDP协议头的源端口和DNS的标识字段中分别填充时间戳和用户所配置的规则ID;
步骤4.3:从回复报文的UDP协议头的目的端口和DNS标识字段中提取时间戳和用户所配置的规则ID;
步骤4.4:若解析超时或通过规则ID所对应的预期结果与回复报文中的解析结果不相符,则略过当前回复报文的源IP,并进行下一步,否则,进行步骤4.7;
步骤4.5:查看当前回复报文的源IP是否存在于可靠DNS服务IP池,若是,则删除可靠DNS服务IP池中对应的数据,否则,进行下一步;
步骤4.6:是否还存在新的回复报文,若是,返回步骤4.3进行下一个回复报文的校验,否则,将回复报文的源IP存入可靠DNS服务IP池;
步骤4.7:输出可靠DNS服务IP池。
优选地,所述步骤5中,域名解析请求的报文包括UDP协议头的源端口和DNS的标识字段,所述UDP协议头的源端口和DNS的标识字段共同组成域名ID。
优选地,所述步骤6包括以下步骤:
步骤6.1:将加载全球域名时的顺序做为每个域名的域名ID,设置当前重传次数为0;预设最大重传次数;
步骤6.2:判断当前重传次数是否达到最大重传次数,若是,则停止解析,若不是,则进行下一步;
步骤6.3:按顺序遍历全球域名,判断域名ID是否在解析成功ID表中,若在,则跳过该域名,若不在,则从可靠DNS服务IP池中选取任一IP作为域名服务器进行域名解析,进行下一步;
步骤6.4:若解析成功,则进行步骤7,否则,当前重传次数加1,返回步骤6.2。
优选地,所述步骤7包括以下步骤:
步骤7.1:持续接收UDP回复报文;
步骤7.2:从回复报文的UDP协议头的目的端口和DNS标识字段中提取出域名ID;
步骤7.3:若回复报文中包含解析结果,判断为解析成功并记录解析结果,将域名ID记录至解析成功ID表中,进行下一步,否则,扔掉报文,返回步骤7.1;
步骤7.4:记录当前UDP报文信息。
优选地,所述步骤7.3中,回复报文的DNS协议头的Answer RRs字段大于0,则表示包含解析结果,判断为解析成功。
本发明提供了一种优化的基于无状态扫描的高速域名解析方法,通过对DNS查询报文的UDP协议头部进行加密,定期向全球IPv4地址空间发送DNS查询报文,对收回的DNS回复报文进行解析、校验,记录UDP协议头部符合加密特征的DNS回复报文以及对应的IP,根据配置的规则对IP进行校验,依据校验结果生成可靠DNS服务IP池,当存在域名解析请求时,从可靠DNS服务IP池中选取任一IP作为解析服务器对请求对应的域名进行解析,持续接收UDP报文,校验UDP协议头和DNS协议头,若通过校验,则记录当前UDP报文信息,否则,继续接收下一个解析成功的域名的UDP报文。
本发明将解析状态以及报文校验码保存到UDP协议头的源端口字段和DNS协议头的标示字段,根据回复报文这两个字段不改变的特性,完成对回复报文的校验,从而实现域名的无状态解析,极大提高对全球域名信息的实时监控能力;通过全网无状态扫描技术发现并校验全球域名解析服务IP,从而得到全网可靠的域名服务IP形成域名服务IP池,每次域名解析请求都会从域名服务IP池中随机选取一个IP作为解析服务器,达到在不同解析服务器之间负载均衡的效果,从而提高域名解析效率。
本发明在全球范围内,以域名解析服务过滤出可靠的解析服务IP,形成可靠域名解析服务IP池,不会因为域名解析服务器的限流或者限速导致解析速度受到影响;采用UDP无状态扫描方式对全球域名进行解析,通过构造DNS请求报文直接操作网卡收发包,绕过内核协议栈,不会因为TCP/IP协议栈出站端口的上限限制而影响查询并发量,可在几小时内完成几十亿乃至上百亿的域名信息收集工作;本发明为建立一个自有的被动DNS收集系统解决了性能瓶颈,仅使用单台设备即实现对全球域名信息变化的实时感知,为建立PDNS收集系统提供技术支撑,极大提高PDNS收集系统的准确性和实时性,为威胁情报关联分析以及全球DNS恶意污染问题分析提供数据基础。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于无状态扫描的高速域名解析方法,方法通过发现模块、校验模块、解析模块与全球IPv4地址空间、可靠DNS服务IP池和目的DNS解析服务IP对接完成任务。
本发明中,发现模块用于向全网发送域名服务版本查询报文,获取全网域名解析服务器IP;校验模块用于根据用户所配置的校验规则构造域名解析报文并发送到域名解析服务IP,进行可用性校验从而获取可靠的域名解析服务IP;解析模块用于将已有的全球域名构造为域名解析请求报文,请求报文通过负载均衡的方式发送到可靠的域名解析服务IP并校验所接收到的域名解析信息。
本发明中,所有模块的发包都通过直接操作网卡进行,DNS请求报文由模块自身完成构造,域名解析状态以及报文校验码等信息被保存到UDP协议头的源端口字段和DNS协议头的标识字段,实现域名的无状态解析,在短时间内即可完成全球域名的解析,建立PDNS收集系统,为威胁情报关联分析以及全球DNS恶意污染问题分析提供数据基础。
所述方法包括以下步骤。
步骤1:读取本机配置参数,初始化。
步骤2:对DNS查询报文的UDP协议头部进行加密,定期向全球IPv4地址空间发送DNS查询报文,获取DNS回复报文。
所述步骤2包括以下步骤:
步骤2.1:在IPv4地址空间中筛选域名解析服务IP;
步骤2.2:通过UDP无状态扫描的方式将DNS查询请求报文加密后,发送至IPv4地址空间中的所有IP;
所述步骤2.2中,DNS查询请求报文由32位目的IP地址和16位目的端口通过预设的哈希加密函数生成16位哈希值作为报文的源端口。
步骤2.3:获取DNS回复报文。步骤3:对收回的UDP报文进行解析、校验,记录符合DNS查询特征的报文对应的IP。
本发明中,向全球IPv4地址空间发送DNS查询报文的时间间隔可以依据本领域技术人员的需求自行设置。
本发明中,步骤2.2中,报文包括但不限于DNS版本查询请求报文,一般来说,可以以版本查询来判断DNS服务是否在线的一种方式,更为通用。
步骤3:对收回的DNS回复报文进行解析、校验,记录UDP协议头部符合加密特征的DNS回复报文以及对应的IP。
所述步骤3包括以下步骤:
步骤3.1:对收回的DNS回复报文进行解析;
步骤3.2:由回复报文的32位源IP地址和16位源端口,通过预设的哈希加密函数,生成16位哈希值;
步骤3.3:若16位哈希值为16位目的端口地址,回复报文是DNS版本信息报文,当前回复报文的源IP为DNS服务IP;
步骤3.4:记录符合DNS查询特征的报文对应的IP。
本发明中,步骤3对UDP协议头进行校验,记录UDP协议头部符合加密特征的DNS回复报文以及对应的IP。
步骤4:根据配置的规则对所述DNS回复报文进行校验,依据校验结果生成可靠DNS服务IP池。
所述步骤4包括以下步骤:
步骤4.1:加载配置的域名请求和预期结果所组成的校验规则;
步骤4.2:根据校验规则对记录的IP进行无状态扫描;所述无状态扫描的请求报文的UDP协议头的源端口和DNS的标识字段中分别填充时间戳和用户所配置的规则ID;
步骤4.3:从回复报文的UDP协议头的目的端口和DNS标识字段中提取时间戳和用户所配置的规则ID;
步骤4.4:若解析超时或通过规则ID所对应的预期结果与回复报文中的解析结果不相符,则略过当前回复报文的源IP,并进行下一步,否则,进行步骤4.7;
步骤4.5:查看当前回复报文的源IP是否存在于可靠DNS服务IP池,若是,则删除可靠DNS服务IP池中对应的数据,否则,进行下一步;
步骤4.6:是否还存在新的回复报文,若是,返回步骤4.3进行下一个回复报文的校验,否则,将回复报文的源IP存入可靠DNS服务IP池;
步骤4.7:输出可靠DNS服务IP池。
本发明中,当扫描端构造UDP发送报文时,在UDP协议头的源端口和DNS的标识字段中分别填充时间戳信息和用户所配置的规则ID;当接收到回复报文时,从回复报文的UDP协议头的目的端口和DNS标识字段中提取时间戳和用户所配置的规则ID,通过与当前时间戳对比判断解析是否超时,通过规则ID所对应的预期结果与回复报文中的解析结果对比来判断该回复报文是否符合用户规则;若符合且未超时则将该回复报文的源IP存入域名解析IP池,如不符合或超时,则不将该回复报文的源IP纳入到域名解析IP池中,同时已在IP池中的需要删除。
本发明中,校验规则还包括解析允许最大时间作为限制。
步骤5:若存在域名解析请求,则进行下一步,否则,返回步骤2。
所述步骤5中,域名解析请求的报文包括UDP协议头的源端口和DNS的标识字段,所述UDP协议头的源端口和DNS的标识字段共同组成域名ID。
本发明中,由于域名数量可能为数十亿,所以域名ID需要设置为32位的数,源端口和DNS标识字段都是16位数,所以需要源端口和DNS标识字段共同组成域名ID。
本发明中,若解析的是输入域名文件,那么此域名ID即为域名所在文件的行号,接收模块将收到的有效回复报文中提取出的域名ID记录下来,再次遍历文件时只对未记录域名ID的域名进行解析,即达到了重传的效果。
本发明中,举例来说,用户配置的规则为“1 www.baidu.com 1.1.1.1”,则表示该规则ID为1,解析请求为www.baidu.com,预期解析结果为1.1.1.1,从回复报文中提取出规则ID后即可得到预设预期结果,进行比对即可达到校验的效果。
本发明中,规则ID只会在校验模块中使用,有助于过滤出有效DNS服务器,而域名ID只会在解析模块中使用,用于快速解析域名。
步骤6:若未达到最大重传次数,则每个域名从可靠DNS服务IP池中选取任一IP作为域名服务器进行域名解析,直至解析成功,进行下一步;若达到最大重传次数,则停止解析。
所述步骤6包括以下步骤:
步骤6.1:将加载全球域名时的顺序做为每个域名的域名ID,设置当前重传次数为0;预设最大重传次数;
步骤6.2:判断当前重传次数是否达到最大重传次数,若是,则停止解析,若不是,则进行下一步;
步骤6.3:按顺序遍历全球域名,判断域名ID是否在解析成功ID表中,若在,则跳过该域名,若不在,则从可靠DNS服务IP池中选取任一IP作为域名服务器进行域名解析,进行下一步;
步骤6.4:若解析成功,则进行步骤7,否则,当前重传次数加1,返回步骤6.2。
步骤7:持续接收UDP报文,校验UDP协议头和DNS协议头,若通过校验,则记录当前UDP报文信息,否则,扔掉报文。
所述步骤7包括以下步骤:
步骤7.1:持续接收UDP回复报文;
步骤7.2:从回复报文的UDP协议头的目的端口和DNS标识字段中提取出域名ID;
步骤7.3:若回复报文中包含解析结果,判断为解析成功并记录解析结果,将域名ID记录至解析成功ID表中,进行下一步,否则,扔掉报文,返回步骤7.1;
所述步骤7.3中,回复报文的DNS协议头的Answer RRs字段大于0,则表示包含解析结果,判断为解析成功。
步骤7.4:记录当前UDP报文信息。
本发明中,从可靠DNS服务IP池中随机选取一个IP地址为目的IP地址进行域名解析,当接收到回复报文时,从回复报文的UDP协议头的目的端口和DNS标识字段中提取出域名ID,根据报文内容判断该域名ID是否解析成功;若解析成功,则将该域名ID对应标记位置位,表示已解析成功,任一轮解析请求完成后,扫描端根据解析成功ID表以及用户配置的最大重试次数判断是否需要再次发送解析请求报文,直到解析次数达到最大重试次数或解析成功。
本发明中,解析成功ID表用于步骤6进行重传时使用,可以有助于跳过已解析成功的域名ID,加快处理速度。
本发明通过对DNS查询报文的UDP协议头部进行加密,定期向全球IPv4地址空间发送DNS查询报文,对收回的DNS回复报文进行解析、校验,记录UDP协议头部符合加密特征的DNS回复报文以及对应的IP,根据配置的规则对IP进行校验,依据校验结果生成可靠DNS服务IP池,当存在域名解析请求时,从可靠DNS服务IP池中选取任一IP作为解析服务器对请求对应的域名进行解析,持续接收UDP报文,校验UDP协议头和DNS协议头,若通过校验,则记录当前UDP报文信息,否则,继续接收下一个解析成功的域名的UDP报文。
本发明在全球范围内,以域名解析服务过滤出可靠的解析服务IP,形成可靠域名解析服务IP池,不会因为域名解析服务器的限流或者限速导致解析速度受到影响;采用UDP无状态扫描方式对全球域名进行解析,通过构造DNS请求报文直接操作网卡收发包,绕过内核协议栈,不会因为TCP/IP协议栈出站端口的上限限制而影响查询并发量,可在几小时内完成几十亿乃至上百亿的域名信息收集工作;本发明为建立一个自有的被动DNS收集系统解决了性能瓶颈,仅使用单台设备即实现对全球域名信息变化的实时感知,为建立PDNS收集系统提供技术支撑,极大提高PDNS收集系统的准确性和实时性,为威胁情报关联分析以及全球DNS恶意污染问题分析提供数据基础。
Claims (9)
1.一种基于无状态扫描的高速域名解析方法,其特征在于:所述方法包括以下步骤:
步骤1:读取本机配置参数,初始化;
步骤2:对DNS查询报文的UDP协议头部进行加密,定期向全球IPv4地址空间发送DNS查询报文,获取DNS回复报文;
步骤3:对收回的DNS回复报文进行解析、校验,记录UDP协议头部符合加密特征的DNS回复报文以及对应的IP;
步骤4:根据配置的规则对所述DNS回复报文进行校验,依据校验结果生成可靠DNS服务IP池;
步骤5:若存在域名解析请求,则进行下一步,否则,返回步骤2;
步骤6:若未达到最大重传次数,则每个域名从可靠DNS服务IP池中选取任一IP作为域名服务器进行域名解析,直至解析成功,进行下一步;若达到最大重传次数,则停止解析;
步骤7:持续接收UDP报文,校验UDP协议头和DNS协议头,若通过校验,则记录当前UDP报文信息,否则,扔掉报文。
2.根据权利要求1所述的一种基于无状态扫描的高速域名解析方法,其特征在于:所述步骤2包括以下步骤:
步骤2.1:在IPv4地址空间中筛选域名解析服务IP;
步骤2.2:通过UDP无状态扫描的方式将DNS查询请求报文加密后,发送至IPv4地址空间中的所有IP;
步骤2.3:获取DNS回复报文。
3.根据权利要求2所述的一种基于无状态扫描的高速域名解析方法,其特征在于:所述步骤2.2中,DNS查询请求报文由32位目的IP地址和16位目的端口通过预设的哈希加密函数生成16位哈希值作为报文的源端口。
4.根据权利要求1所述的一种基于无状态扫描的高速域名解析方法,其特征在于:所述步骤3包括以下步骤:
步骤3.1:对收回的DNS回复报文进行解析;
步骤3.2:由回复报文的32位源IP地址和16位源端口,通过预设的哈希加密函数,生成16位哈希值;
步骤3.3:若16位哈希值为16位目的端口地址,回复报文是DNS版本信息报文,当前回复报文的源IP为DNS服务IP;
步骤3.4:记录符合DNS查询特征的报文对应的IP。
5.根据权利要求1所述的一种基于无状态扫描的高速域名解析方法,其特征在于:所述步骤4包括以下步骤:
步骤4.1:加载配置的域名请求和预期结果所组成的校验规则;
步骤4.2:根据校验规则对记录的IP进行无状态扫描;所述无状态扫描的请求报文的UDP协议头的源端口和DNS的标识字段中分别填充时间戳和用户所配置的规则ID;
步骤4.3:从回复报文的UDP协议头的目的端口和DNS标识字段中提取时间戳和用户所配置的规则ID;
步骤4.4:若解析超时或通过规则ID所对应的预期结果与回复报文中的解析结果不相符,则略过当前回复报文的源IP,并进行下一步,否则,进行步骤4.7;
步骤4.5:查看当前回复报文的源IP是否存在于可靠DNS服务IP池,若是,则删除可靠DNS服务IP池中对应的数据,否则,进行下一步;
步骤4.6:是否还存在新的回复报文,若是,返回步骤4.3进行下一个回复报文的校验,否则,将回复报文的源IP存入可靠DNS服务IP池;
步骤4.7:输出可靠DNS服务IP池。
6.根据权利要求1所述的一种基于无状态扫描的高速域名解析方法,其特征在于:所述步骤5中,域名解析请求的报文包括UDP协议头的源端口和DNS的标识字段,所述UDP协议头的源端口和DNS的标识字段共同组成域名ID。
7.根据权利要求6所述的一种基于无状态扫描的高速域名解析方法,其特征在于:所述步骤6包括以下步骤:
步骤6.1:将加载全球域名时的顺序做为每个域名的域名ID,设置当前重传次数为0;预设最大重传次数;
步骤6.2:判断当前重传次数是否达到最大重传次数,若是,则停止解析,若不是,则进行下一步;
步骤6.3:按顺序遍历全球域名,判断域名ID是否在解析成功ID表中,若在,则跳过该域名,若不在,则从可靠DNS服务IP池中选取任一IP作为域名服务器进行域名解析,进行下一步;
步骤6.4:若解析成功,则进行步骤7,否则,当前重传次数加1,返回步骤6.2。
8.根据权利要求7所述的一种基于无状态扫描的高速域名解析方法,其特征在于:所述步骤7包括以下步骤:
步骤7.1:持续接收UDP回复报文;
步骤7.2:从回复报文的UDP协议头的目的端口和DNS标识字段中提取出域名ID;
步骤7.3:若回复报文中包含解析结果,判断为解析成功并记录解析结果,将域名ID记录至解析成功ID表中,进行下一步,否则,扔掉报文,返回步骤7.1;
步骤7.4:记录当前UDP报文信息。
9.根据权利要求8所述的一种基于无状态扫描的高速域名解析方法,其特征在于:所述步骤7.3中,回复报文的DNS协议头的Answer RRs字段大于0,则表示包含解析结果,判断为解析成功。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910606833.5A CN110381174B (zh) | 2019-07-06 | 2019-07-06 | 一种基于无状态扫描的高速域名解析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910606833.5A CN110381174B (zh) | 2019-07-06 | 2019-07-06 | 一种基于无状态扫描的高速域名解析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110381174A CN110381174A (zh) | 2019-10-25 |
CN110381174B true CN110381174B (zh) | 2021-12-07 |
Family
ID=68252332
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910606833.5A Active CN110381174B (zh) | 2019-07-06 | 2019-07-06 | 一种基于无状态扫描的高速域名解析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110381174B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112804366B (zh) * | 2019-11-13 | 2023-05-12 | 北京百度网讯科技有限公司 | 用于解析域名的方法和装置 |
CN115801731B (zh) * | 2023-02-08 | 2023-06-23 | 天翼云科技有限公司 | 网络报文的处理方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103002069A (zh) * | 2012-12-25 | 2013-03-27 | 北京小米科技有限责任公司 | 一种域名解析方法、装置及系统 |
CN104065761A (zh) * | 2011-09-29 | 2014-09-24 | 北京奇虎科技有限公司 | 应用服务器选取方法和网络连接方法 |
CN105229996A (zh) * | 2013-05-15 | 2016-01-06 | 思杰系统有限公司 | 用于减少对动态生成的下一安全记录的拒绝服务攻击的系统和方法 |
CN106792263A (zh) * | 2016-12-09 | 2017-05-31 | 东方网力科技股份有限公司 | 一种视频数据传输方法、装置及系统 |
CN108183975A (zh) * | 2012-09-05 | 2018-06-19 | 阿里巴巴集团控股有限公司 | 一种域名解析的方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8856259B2 (en) * | 2011-05-20 | 2014-10-07 | International Business Machines Corporation | Multi-domain co-browsing utilizing localized state management |
-
2019
- 2019-07-06 CN CN201910606833.5A patent/CN110381174B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104065761A (zh) * | 2011-09-29 | 2014-09-24 | 北京奇虎科技有限公司 | 应用服务器选取方法和网络连接方法 |
CN108183975A (zh) * | 2012-09-05 | 2018-06-19 | 阿里巴巴集团控股有限公司 | 一种域名解析的方法和系统 |
CN103002069A (zh) * | 2012-12-25 | 2013-03-27 | 北京小米科技有限责任公司 | 一种域名解析方法、装置及系统 |
CN105229996A (zh) * | 2013-05-15 | 2016-01-06 | 思杰系统有限公司 | 用于减少对动态生成的下一安全记录的拒绝服务攻击的系统和方法 |
CN106792263A (zh) * | 2016-12-09 | 2017-05-31 | 东方网力科技股份有限公司 | 一种视频数据传输方法、装置及系统 |
Non-Patent Citations (1)
Title |
---|
基于地址池的DDos防护模型;张欣;《计算机与数字工程》;20160831;1528-1531 * |
Also Published As
Publication number | Publication date |
---|---|
CN110381174A (zh) | 2019-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11354364B2 (en) | Client application fingerprinting based on analysis of client requests | |
CN110650128B (zh) | 一种检测以太坊数字货币盗取攻击的系统及方法 | |
US9026676B1 (en) | Systems and methods for prepending nonce labels to DNS queries to enhance security | |
US20110153811A1 (en) | System and method for modeling activity patterns of network traffic to detect botnets | |
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
US20060112422A1 (en) | Data transfer using hyper-text transfer protocol (HTTP) query strings | |
KR20120061777A (ko) | 데이터 로깅 및 분석을 위한 방법 및 시스템 | |
US8064468B2 (en) | Method for providing function of registering in session initiation protocol and SIP load balancer of enabling the method | |
CN110381174B (zh) | 一种基于无状态扫描的高速域名解析方法 | |
CN102394885A (zh) | 基于数据流的信息分类防护自动化核查方法 | |
CN101287010A (zh) | 识别和验证消息协议类型的方法和装置 | |
CN108737339B (zh) | 一种活动签到方法、用户终端、服务器及系统 | |
US20100290353A1 (en) | Apparatus and method for classifying network packet data | |
CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
CN112311722B (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
Sosnowski et al. | Active tls stack fingerprinting: Characterizing tls server deployments at scale | |
Park et al. | A large-scale behavioral analysis of the open DNS resolvers on the internet | |
US8296425B2 (en) | Method and system for lawful interception of internet service | |
Zirngibl et al. | QUIC Hunter: Finding QUIC Deployments and Identifying Server Libraries Across the Internet | |
CN115190107B (zh) | 基于泛域名多子系统管理方法、管理终端及可读存储介质 | |
CN113766046B (zh) | 迭代流量跟踪方法、dns服务器及计算机可读存储介质 | |
KR101084681B1 (ko) | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 | |
Castiglione et al. | Device tracking in private networks via napt log analysis | |
CN110995887B (zh) | 一种id关联方法和装置 | |
CN106657139A (zh) | 一种登录密码的处理方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |