CN111107171A - Dns服务器的安全防御方法及装置、通信设备及介质 - Google Patents
Dns服务器的安全防御方法及装置、通信设备及介质 Download PDFInfo
- Publication number
- CN111107171A CN111107171A CN201811257892.8A CN201811257892A CN111107171A CN 111107171 A CN111107171 A CN 111107171A CN 201811257892 A CN201811257892 A CN 201811257892A CN 111107171 A CN111107171 A CN 111107171A
- Authority
- CN
- China
- Prior art keywords
- address
- mdns
- domain name
- client
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例公开了一种DNS服务器的安全防御方法及装置、通信设备及存储介质。所述方法包括:根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配mDNS IP地址;接收所述客户端发起的第一域名服务请求,其中,所述第一域名服务请求的目的地址为所述mDNS IP地址;基于所述第一域名服务请求,向所述mDNS IP地址替换为对应的DNS服务器发送第二域名服务请求;将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应。
Description
技术领域
本公开涉及网络技术领域,尤其涉及一种域名系统DNS(Domain Name System,DNS)服务器的安全防御方法及装置、通信设备及存储介质。
背景技术
DNS服务器,是一种提供域名服务的服务器。请求端提供携带有域名的解析请求,DNS服务器接收到给解析请求之后,向请求端返回该域名对应的业务服务器的网络协议(Internet Protocol,IP地址)地址,访问端以接收到的IP地址访问业务服务器,从而获得业务服务器所提供的服务。一方面,由于IP地址对于普通用户而言是相对枯燥和专业的字符串,另一方面一个用户需要访问的业务服务器众多,故记住各个业务服务器的IP地址几乎是不可能的,故域名解析服务的提供是非常重要的。在现有技术中发现,提供域名解析服务的DNS服务器非常容易受到黑客的攻击,从而导致DNS服务器的安全性问题,并进一步由于DNS服务器的信息泄露会连带业务服务器的安全性问题。
发明内容
有鉴于此,本公开实施例期望提供一种DNS服务器的安全防御方法及装置、通信设备及存储介质。
本公开的技术方案是这样实现的:
第一方面,本公开实施例提供一种DNS服务器的安全防御方法,包括:
根据客户端的移动域名系统(moving Domain Name System,mDNS)网络协议(Internet Protocol,IP)地址请求,为所述客户端动态分配mDNS IP地址;
接收所述客户端发起的第一域名服务请求,其中,所述第一域名服务请求的目的地址为所述mDNS IP地址;
基于所述第一域名服务请求,向所述mDNS IP地址替换为对应的DNS服务器发送第二域名服务请求;
将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应。
第二方面,本公开实施例提供一种DNS服务器的安全防御方法,包括:
接收客户端的配置请求;
基于所述配置请求,为所述客户端分配主机网络协议IP地址;
基于所述主机IP地址向域名网关发送的移动域名系统mDNS IP地址请求;
接收所述域名网关基于mDNS IP地址请求返回的mDNS IP地址;
向所述客户端发送携带有所述主机IP地址及所述mDNS IP地址的配置响应。
第三方面,本公开实施提供了一种DNS服务器的安全防御装置,包括:
第一分配模块,用于根据客户端的mDNS网络协议IP地址请求,为所述客户端动态分配第一mDNS IP地址;
第一接收模块,用于接收所述客户端发起的第一域名服务请求,其中,所述第一域名服务请求的目的地址为所述mDNS IP地址;
第一发送模块,用于基于所述第一域名服务请求,向所述mDNS IP地址替换为对应的DNS服务器发送第二域名服务请求;
提供模块,用于将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应。
第四方面,本公开实施例提供一种DNS服务器的安全防御装置,包括:
第四接收模块,用于接收客户端的配置请求;
第三分配模块,用于基于所述配置请求,为所述客户端分配主机IP地址;
第二发送模块,用于基于所述主机IP地址向域名网关发送的移动域名系统mDNSIP地址请求;
第五接收模块,用于接收所述域名网关基于mDNS IP地址请求返回的mDNS IP地址;
第三发送模块,用于向所述客户端发送携带有所述主机IP地址及所述mDNS IP地址的配置响应。
第五方面,本公开实施例提供一种通信设备,包括:
收发器,
存储器,
处理器,分别与所述收发器及所述存储器连接,用于通过执行存储在所述存储器上的计算机可执行指令控制所述收发器的信息收发,并实现第一方面和/或第二方面提供的DNS服务器的安全防御方法。
第六方面,本公开实施例提供一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被执行后,能够实现第一方面和/或第二方面提供的DNS服务器的安全防御方法。
本公开实施例提供的DNS服务器的安全防御方法及装置、通信设备及存储介质,域名网关在配置客户端使用的DNS服务器时,隐藏了DNS服务器的真实IP地址,而是向客户端分配的是DNS服务器不能直接定位DNS服务器的mDNS IP地址;一方面客户端可以通过mDNSIP地址发送域名服务请求,域名网关基于第一域名服务请求向对应的DNS服务器发送第二域名服务请求。如此,保证了客户端正常的DNS服务获取的同时,隐藏了DNS服务器的真实IP地址,确保了DNS服务器的安全性;且通过基于绑定关系的验证可以确保域名服务请求的安全性,从而达到了DNS服务的安全防御请求。
附图说明
图1为本公开实施例提供的一种网络系统的架构示意图;
图2为本公开实施例提供的第一种DNS服务器的安全防御方法的流程示意图;
图3为本公开实施例提供的第二种DNS服务器的安全防御方法的流程示意图;
图4为本公开实施例提供的第三种DNS服务器的安全防御方法的流程示意图;
图5为本公开实施例提供的第一种DNS服务器的安全防御装置的结构示意图;
图6为本公开实施例提供的第二种DNS服务器的安全防御装置的结构示意图;
图7为本公开实施例提供的第四种DNS服务器的安全防御方法的流程示意图;
图8为本公开实施例提供的第五种DNS服务器的安全防御方法的流程示意图;
图9为本公开实施例提供的第六种DNS服务器的安全防御方法的流程示意图;
图10为本公开实施例提供的第七种DNS服务器的安全防御方法的流程示意图;
图11为本公开实施例提供的第八种DNS服务器的安全防御方法的流程示意图;
图12为本公开实施例提供的第九种DNS服务器的安全防御方法的流程示意图。
具体实施方式
以下结合说明书附图及具体实施例对本公开的技术方案做进一步的详细阐述。
如图1所示,本实施例提供一种网络系统,用于DNS服务器的防御方法,包括:
增加了域名网关(Domain Name Gateway,DNG),位于在接入网关到DNS服务器的路由路径上,且在一个网络中,可以部署1个或多个域名网关,每个域名网关都配置有mDNS IP地址池,这些mDNS IP地址池相互不重叠。同时增强接入配置功能,能够从域名网关获取mDNS IP地址作为DNS服务器IP地址配置给客户端,并维护该信息。其他网络功能,包括客户端、接入网关、DNS服务器、业务服务器都不受影响,因此本公开具有与现有技术兼容性好,易部署的特点。
客户端:建立与接入网关的连接,接收接入配置功能分配的主机IP地址,mDNS IP地址等参数,其中mDNS IP地址作为DNS服务器的虚拟IP地址;通过接入网关接入互联网,发起域名业务请求,访问具体业务应用。
接入网关:在客户端接入过程中,从接入配置功能获取客户端配置参数提供给客户端,并实现客户端接入互联网功能,使客户端能够通过域名网关访问访问DNS服务器、业务服务器。
接入配置功能:根据客户端的接入信息,为客户端分配主机IP地址,选择域名网关,向域名网关请求mDNS IP地址,将分配的主机IP地址、获取的mDNS IP地址配置给客户端,同时维护主机配置的有效性。
域名网关:维护mDNS IP地址池,根据主机配置功能的请求,为客户端从mDNS IP地址池中选择mDNS IP地址,在一些实施例中还会建立客户端IP地址与mDNS IP地址之间的绑定关系,维护mDNS IP地址以及绑定关系的有效性;在客户端发起域名请求时,检查请求的合法性,如果是正常请求,则向DNS服务器发送业务请求,并将结果返回客户端,否则拒绝所述域名业务请求,或者使用DNS受限功能,或者将所述域名请求引导到蜜罐系统。
DNS服务器:根据请求服务域名解析为对应的IP地址,并返回。
业务服务器:向客户端提供业务,其IP地址和域名之间对应关系保存在DNS服务器。
如图2所示,本实施例提供一种DNS服务器的安全防御方法,包括:
步骤S110:根据客户端的mDNS IP地址请求,为所述客户端动态分配mDNS IP地址;该分配的mDNS IP地址可为第一mDNS IP地址;例如,所述步骤S110可包括:根据入配置功能发起的客户端的mDNS IP地址请求,为所述客户端动态分配mDNS IP地址;该分配的mDNS IP地址可为第一mDNS IP地址。
步骤S120:接收所述客户端发起的第一域名服务请求,其中,所述第一域名服务请求的目的地址为所述mDNS IP地址;
步骤S130:基于所述第一域名服务请求,向所述mDNS IP地址替换为对应的DNS服务器发送第二域名服务请求;
步骤S140:将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应。
本实施例提供的DNS服务器的安全防御方法可以应用于域名网关中,该域名网关可为对应于物理网关,例如,该物理网关可为:客户端接入到网络的接入网关,典型的接入网关可包括:分组数据网关(Packet data network gataway,PGW)等。当然在一些实施例中,所述域名网关也可以是专门建立的,用于维护DNS服务器的安全性的网关,该网关可以直接或间接与接入网关连接,如此,客户端(安装和/或运行在终端中的应用程序、软件开发工具、组件或插件等)就可以通过接入网关访问到所述域名网关了。例如,客户端在接入到网络的过程中,例如,在与接入网关建立连接的过程中,可以通过接入网关请求分配DNS服务器的IP地址,此时,接入网关可以通过域名网关之间的信息交互为该客户端分配mDNS IP地址。在本实施例中,所述mDNS IP地址可为DNS服务器的虚拟IP地址,与DNS服务器的真实IP地址(在本公开实施例中又称为DNS IP地址)不同。如此,DNS服务器的真实IP地址不会公开在整个网络中,也不会公开给客户端;从而增强了所述DNS服务器的真实IP地址的安全性,减少了黑客利用公开在公共网络中的DNS服务器的IP地址对齐发起攻击,从而减少了DNS服务器的自身安全性问题,同时减少了因为DNS服务器中存储的业务服务器的IP地址等信息导致的业务服务器的安全性问题,从而提升了DNS服务器和业务服务器的安全性。
在一些实施例中所述mDNS IP地址可为:目前该网络IP地址范围内的部分IP地址,这一部分m DNS IP地址作为目的地址时,携带该目的地址的数据包(例如,所述第一域名服务请求)可以确保路由到分配该mDNS IP地址的域名网关。在本公开实施例中给客户端分配所述mDNS IP地址是动态分配的,并不是预先分配的,如此,相对于静态分配,可以避免由于静态分配导致的mDNS IP地址长期的一致性,导致非法客户端窃取合法客户端的mDNS IP地址假冒合法客户端访问对应的DNS服务器导致的安全性问题。在一些实施例中,所述动态分配可包括:在所有的mDNS IP地址中随机选择并分配给客户端;在部分mDNS IP地址中随机选择并分配给客户端。此处,仅是对动态分配的一种限定,具体实现时所述动态分配不仅可以包括随机选择分配,还可包括按照一定的分配规则选择分配。此处的动态分配强调的是每次分配都是动态的,并非事先确定的,如此,由于动态分配则每次分配的mDNS IP地址可能不同。
在本实施例中为客户端分配的mDNS IP地址会返回给客户端,例如,作为配置参数之一和所述第一主机IP地址返回给所述客户端,后续,若所述客户端需要域名服务时,会构建源地址为所述第一主机IP地址,并且目的地址为所述mDNS IP地址的域名服务请求,该域名服务请求在本公开实施例中称之为第一域名服务请求。由于第一域名服务请求中实质上并不能路由到客户端想访问的DNS服务器的请求,故该第一域名服务请求转发到域名网关,域名网关接收到第一域名服务请求之后,例如,可根据预先建立的绑定关系或者动态为客户端分配的DNS服务器来构造第二域名服务请求,该第二域名服务请求的目的地址是被替换的,例如,将mDNS IP地址替换为DNS服务器的真实IP地址,在向外转发所述第二域名服务请求,如此,第二域名服务请求才能被正确路由到DNS服务器。
在一些实施例中,所述步骤S110可包括:根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配第一mDNS IP地址;
如图3所示,所述方法还包括:
步骤S111:建立所述客户端的第一主机IP地址与所述第一mDNS IP地址的绑定关系;
步骤S121:根据所述第一域名服务请求中携带的所述客户端对应的DNS服务器的第二mDNS IP地址及第二主机IP地址,查询所述绑定关系,
所述步骤S130可包括步骤S131;所述步骤S131可包括:若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,向所述第二mDNS IP地址对应的DNS服务器发送第二域名服务请求。
当然在生成所述第二域名服务请求之前,需要验证所述第一域名服务请求中携带的第二主机IP地址及所述第二mDNS IP地址地是否已经在域名网关中建立的绑定关系,若已建立了绑定关系,说明该客户端的第一域名服务请求时合法的,当前的第一域名服务请求是安全的,才构建所述第二域名服务请求,否则可以直接决绝所述第一域名服务请求发起的域名服务,从而再次提升了DNS服务器和DNS服务提供的安全性。
当所述所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,DNS服务器向对应的DNS发送第二域名服务请求,该第二域名服务请求与所述第一域名服务请求中携带同样的待解析的域名;如此,对应的DNS服务器接收到第二域名服务请求之后,本地查询或远程查询出待解析的域名对应的业务服务器的IP地址,该域名可为业务服务器的域名,从而获得域名解析结果。将该业务服务器的IP地址携带在所述域名服务响应中返回给客户端或者客户端的接入网关,方便客户端根据获得的业务服务器的IP地址访问业务服务器,从而从业务服务器获得业务服务。此处的业务服务器可包括:社交服务器、网络购物服务器、论坛服务器、网页服务器、视频服务器、音频服务器、广告服务器、内容服务器、股票基金等交易提供服务器、教育系统服务器、医疗系统服务器等各种提供特定应用服务的服务器。当然以上仅是举例,具体实现时此处的业务服务器不局限于上述任意一个。
如此,一方面确保了客户端获得域名服务,另一方面避免了DNS服务器的真实IP地址的暴露在网络中导致的安全性问题。
在一些实施例中,为了进一步提升安全性,所述DNS服务器还会从所述客户端的接入网关接收所述客户端的加密信息,该加密信息可包括:密钥和加密算法等,使得接入网关和域名网关之间采用所述加密信息对第一主机IP地址及第一mDNS IP地址进行加密传输。
在一些实施例中,所述步骤S131可包括:将所述第一域名服务请求中的所述第二mDNS IP地址替换为所述DNS服务器的DNS IP地址,形成所述第二域名服务请求;向所述DNS服务器发送所述第二域名服务请求。
此处的DNS IP地址,可为所述DNS服务器的真实有效IP地址,在所述域名网关中有存储。
在一些实施例中,若域名网关位于所述客户端和所述DNS服务器的路由路径上,所述第二域名服务请求和所述第一域名服务请求的源地址均为所述客户端的主机IP地址。
若域名网关位于客户端与DNS服务器的路由路径上,如此,客户端发送给DNS服务器的信息及DNS服务器发送给客户端的信息都会经过所述DNS服务器,如此,所述DNS服务器可以拦截到第一域名服务请求并拦截到DNS服务器基于第二域名服务请求转发的域名服务响应,并可以基于客户端发送的第一DNS服务器请求转发给对应的客户端。例如,所述方法还包括:根据所述第一域名服务请求和所述第二域名服务请求,形成请求记录;该请求记录中至少包含有:待解析的域名及客户端的主机IP地址;所述请求记录还可包括:待解析的域名、客户端的主机IP地址及第二域名服务请求发送到的DNS服务器的DNS IP地址,如此,至少基于待解析的域名确定出当前第一域名响应要转发的客户端,或者,基于待解析的域名、客户端的主机IP地址及DNS服务器的DNS IP地址确定出客户端所对应的主机IP地址,从而转发给对应的客户端。
在一些实施例中,所述步骤S131可包括:
将所述第一域名服务请求中的所述第一主机IP地址替换为域名网关的网关IP地址,形成同时包括所述网关IP地址及所述DNS IP地址的所述第二域名服务请求。
域名网关未必设置在客户端与DNS服务器的消息路由的路由路径上,为了确保第一域名服务请求及第一域名服务响应均经过所述域名网关,第一域名服务请求中的目的地址被替换为DNS服务器的DNS IP地址,而第一域名服务请求中的源地址被替换为域名网关的网关IP地址,如此,第一域名服务响应的目的地址将会是域名网关的网关IP地址,接收到该第一域名服务之后,所述域名网关会将第一域名服务响应中携带的业务服务器的IP地址转发给对应的客户端,例如,基于所述请求记录向客户端转发。
在一些实施例中,所述步骤SS140可包括:
将所述第一域名服务响应中的所述DNS服务器的DNS IP地址替换为分配给所述客户端的所述第一mDNS IP地址。
在一些实施中,所述第一域名服务响应的源地址可为所述DNS服务器的DNS IP地址,为了避免暴露,所述域名网关会删除该DNS IP地址,例如,将DNS IP地址替换为所述客户端分配的第一mDNS IP地址,在另一些实施例中,也可以仅删除该DNS IP地址,并不进行替换。当然在进行DNS IP地址的替换过程中,也可以直接替换为域名网关的网关IP地址或者其他没有特定含义的虚拟IP地址等。若将该DNS IP地址替换为第一mDNS IP地址,可方便所述客户端根据源地址确接收到的数据包可域名服务请求对应的域名服务响应。如此,第二域名服务响应的源地址与所述第一域名服务响应的源地址不同。
在另一些实施例中,若所述第一域名服务响应中未携带源地址,则所述第二域名服务响应可与所述第一域名服务响应,如此,所述DNS服务器可以直接将所述第一域名服务响应作为所述第二域名服务响应发送给客户端。总之,在本实施例中所述DNS服务器接收到所述第一域名服务响应之后,可能通过DNS IP地址替换、DNS IP地址删除及源地址检测有无等操作,将第一域名服务响应中提供的域名解析的结果作为所述第二域名服务响应发送给所述客户端。所述域名解析结果可包括:请求解析的域名对应的IP地址。
在另一些实施例中,一方面为了提升域名解析速率,另一方面为了减少DNS服务器的符合,所述方法还包括:构建携带有预设指示信息的第二域名服务请求,所述预设指示信息指示域名服务响应隐藏DNS IP地址,如此,第一域名服务响应中可能没有携带有源地址(例如,域名服务响应的数据包中的源地址为空)、携带有错误的源地址等信息,如此,DNS服务器无需进行源地址的替换,可直接将所述第一域名服务请求视为第二域名服务请求进行转发,或者,将第一域名服务请求的目的地址替换为客户端的主机IP地址之后转发即可。
在一些实施例中,所述步骤S110可包括:
根据所述客户端的mDNS IP地址请求,从mDNS IP地址池中动态选择所述mDNS IP地址,例如动态选择的mDNS IP地址作为所述第一mDNS IP地址。
在本实施例中,所述域名网关中设置有mDNS IP地址池,在mDNS IP地址池中存储有多个mDNS IP地址,可以分配给不同的客户端或者分配给不同时段的客户端。
在本实施例中,动态选择的mDNS IP地址是来自该域名网关的mDNS IP地址池。不同的域名网关的mDNS IP地址池包含的mDNS IP地址池,如此,接入网关接收到携带有mDNSIP地址的第一域名服务请求,可以根据该mDNS IP地址简便的确定出需要接收该第一域名服务请求的域名网关。
例如,所述mDNS IP地址可包括:一个mDNS IP地址段,这些地址段内的mDNS IP地址连续,在接入网关中可以通过该mDNS IP地址段的起始地址和终止地址标识该mDNS IP地址段,如此,接入网关一但接受到第一域名服务请求之后,就可以根据该请求所携带的mDNSIP地址所归属的mDNS IP地址段确定出需要接收该第一域名服务请求的域名网关。
在一些实施例中,所述步骤S110可包括以下之一:
根据所述客户端的mDNS IP地址请求,从mDNS IP地址池中随机选择分配给客户端的所述mDNS IP地址;由于不同的客户端可能对应的主机IP地址不同,故mDNS IP地址池中的mDNS IP地址可以分配给不同的客户端,也可以建立唯一的绑定关系;故在本实施例中域名网关可以从该mDNS IP地址池中随机选择;
根据所述客户端的mDNS IP地址请求,从mDNS IP地址池中随机选择出当前闲置的mDNS IP地址;在一些实施中,所述域名网关还会记录mDNS IP地址的使用状态,优先选择未使用的(即闲置的)的mDNS IP地址分配给客户端;
根据所述客户端的mDNS IP地址请求,若mDNS IP地址池不存在闲置的mDNS IP地址时,从已使用的mDNS IP地址池随机选择分配给客户端所述mDNS IP地址。若优先选择闲置的mDNS IP地址时,则可以从已使用的mDNS IP地址中选择出所述第一mDNS IP地址。
在另一些实施中,若mDNS IP地址池中已经不存在闲置的mDNS IP地址时,即所述mDNS IP地址池中的每一个mDNS IP地址都被占用了,则优选选择出建立的绑定关系少的mDNS IP地址分配给客户端。例如,mDNS IP地址A已参与第一数量的绑定关系的建立,mDNSIP地址B已参与第二数量的绑定关系的建立;若第一数量小于第二数量,则优先选择所述mDNS IP地址A参与当前的客户端所对应的主机IP地址的绑定关系的建立。如此,在进行域名服务的提供时,避免客户端大量的集中并行访问同一个绑定关系导致的访问延时大的问题。
例如,在一些实施例中,DNS服务器在进行所述合法性验证时,可以先以所述第一域名服务请求中携带的第二mDNS IP地址为检索依据查询所述绑定关系,然后查询到一个有与所述第二mDNS IP地址的一个第一mDNS IP地址时,再从该第一mDNS IP地址对应的一个或多个绑定关系中提取出与其对应的第一主机IP地址,与第二主机IP地址进行匹配,一方面可以减少不必要的匹配,另一方面可以加速验证效率。
在一些实施例中,所述步骤S110可包括:根据所述客户端的所述mDNS IP地址请求,从mDNS IP地址池中选择多个分配给所述客户端的所述mDNS IP地址。
在本实施例中若攻击者将其中某一个mDNS IP地址作为DNS服务器的DNS IP地址进行攻击时,域名服务器的防火墙的攻击之后,可能会屏蔽某一个mDNS IP地址,为了分配多个mDNS IP地址,如此客户端还可以通过未屏蔽使用的mDNS IP地址获取域名服务。
在一些实施例中,根据所述mDNS IP地址请求中携带的地址数量N,从mDNS IP地址池中选择N个分配给所述客户端的所述mDNS IP地址。
在一些实施例中,例如,接入配置功能可以明确指示分配多少个mDNS IP地址。
在一些实例中,所述方法还包括:
为所述客户端分配对应的域名服务系统DNS服务器;此处,可以根据所述客户端所在的位置信息为所述客户端分配所述DNS服务器,例如,基于地理就近原则选择离所述客户端所在地理位置更近或网络位置更近的DNS服务器;在另一些实施例中,还可以根据DNS服务器的当前服务、对应的客户端数、客户端在线和离线等状态信息,为客户端分配DNS服务器。
所述步骤S120可包括:
建立所述第一主机IP地址、所述第一mDNS IP地址及所述DNS服务器的DNS IP地址建立绑定关系。
在本实施例中,所述绑定关系不仅包括:第一主机IP地址、第一mDNS IP地址,还包括为客户端分配的DNS服务器的DNS IP地址,如此,若接收到第一域名服务请求之后,将基于绑定关系中记录的DNS IP地址构建所述第二域名服务请求。
即,所述若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,向所述第二mDNS IP地址对应的DNS服务器发送第二域名服务请求,包括:若所述第二mDNSIP地址与所述第二主机IP地址包含在所述绑定关系中且所述第二主机IP地址及所述第二mDNS IP地址有绑定DNS IP地址,向绑定的所述DNS IP地址发送所述第二域名服务请求。
在另一些实施例中,所述若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,向所述第二mDNS IP地址对应的DNS服务器发送第二域名服务请求,包括:若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中且所述第二主机IP地址及所述第二mDNS IP地址未绑定有DNS IP地址,向默认DNS服务器发送所述第二域名服务请求。
不同地理位置和/或不同网络位置的DNS服务器可能连接的DNS服务器不同,所述DNS服务器可以将与自己在地理上或网络上连接更近的DNS服务器设置为默认DNS服务器,或者,根据DNS服务器的负载状况等信息设置默认DNS服务器,或者,选择域名解析能力较强的DNS服务器设置为默认DNS服务器,以确保域名服务解析的速率及成功率。体现所述域名解析能力较强的参数可包括以下至少之一:
DNS服务器存储的域名数量;
DNS服务器的历史解析成功率;
DNS服务器的运行稳定性参数。
所述域名数量越大,则域名解析能力越强;若所述历史解析成功率越高则所述域名解析能力越强;若所述DNS服务器的运行稳定性参数越高,则域名解析能力越强。在一些实施例中可以综合位置信息、域名解析能力强弱等选择出默认DNS服务器。
在一些实施例中,所述方法还包括以下至少之一:
若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,向所述客户端提供受限DNS服务;例如,仅向客户端提供一些安全性能要求较底的DNS服务,例如,第一域名服务请求将仅转发给安全性能较低的DNS服务器;
若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,将所述域名服务请求引导到预定系统,其中,所述预定系统,用于对域名服务请求的攻击进行解析;在预定系统可为攻击定位系统,例如,利用反向追踪技术定位可能是攻击的第一域名服务请求的来源客户端或改造域名服务请求形成第一域名服务请求的篡改端等;所述预定系统可为:蜜罐系统;所述蜜罐系统可为利用蜜罐技术提升防护能力的系统。蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力;
若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,拒绝向所述客户端提供DNS服务。在一些实施例中,若不在绑定关系中可以直接拒绝DNS服务,则域名网关将拒绝转发所述第一域名服务请求中的待解析的域名。
在一些实施例中,所述mDNS IP地址请求中还携带有地址租期信息;
所述方法还包括:根据所述地址租期信息,设置绑定关系中所述第一mDNS IP地址的有效期。
在本实施例中所述地址租期信息指示的主机IP地址的租期长短,在本实施例中所述DNS服务器将根据所述地址租期信息指示的租期,设置分配给客户端的第一mDNS IP地址的有效期。在一些实施例中,所述有效期可以等于所述租期,在另一些实施例中,所述有效期可略长于所述有效期。所述租期和所述有效期的起始期限相同,对于用户或客户端而言,可能会在租期超期时才想起需要mDNS IP地址的续期,或者在主机IP地址续期有一定时间延迟,若在有效期之后提取对应的mDNS IP地址的续期,故若有效期和租期相等,则一但租期超期则有效期也超期,即便续订也需要重新为客户端分配新的mDNS IP地址。故在本实施中,在一些实施例中,所述有效期略长于所述租期,具体的有效期长于所述租期的时间长度可以根据主机IP地址续期的延迟时长来确定,也可以随机设定一个固定时长,例如,半天等。
在一些实施例中,所述方法还包括:接收续租请求;
根据所述续租请求,延长所述第一mDNS IP地址的有效期。
在一些实施例中,续租请求可为继续租用对应的第一mDNS IP地址的请求,该续租请求中可以携带有续租期限,故可以根据该续租期限延长所述有效期。
在另一些实施例中,续租请求中可能仅携带了续租指示并未携带指示延长时长等相关的续租期限,则域名网关可以请求指示续租期限,也可以延长一个默认期限,重新确定的有效期。该默认期限可以为接入网关与域名网关实现协商的关于续租的固定时长。在另一些实施例中,所述延长一个默认期限,将更新后的有效期转发给客户端或客户端的接入网关,方便客户端或客户端对应的接入网关,在更新后的有效期超期之前再次请求续期或者指示释放绑定关系等。
在一些实施例中,所述方法还包括:
若所述有效期超期,删除所述绑定关系。
在另一些实施例中,所述方法还包括:
向所述客户端或所述客户端的接入网关发送删除提示。
若有效期超期,若继续维持该绑定关系,一方面会导致绑定关系的mDNS IP地址的利用率低,另一方面若对应的主机IP地址分配给其他客户端,则可能导致的后续绑定关系查询验证的错误,故将及时释放所述绑定关系。在完成所述绑定关系的删除之后,所述方法还包括发送删除提示,该删除提示可发送给客户端或客户端的接入网关,从而触发所述客户端或客户端的接入网关更新客户端的配置参数。
在一些实施例中,所述方法还包括:接收释放请求;根据所述释放请求,删除所述第一主机IP地址与所述第一mDNS IP地址的绑定关系,并释放所述第一mDNS IP地址。
该释放请求可为主动请求删除所述绑定关系,以释放所述绑定关系中的第一mDNSIP地址。
例如,所述客户端离线了,表示客户端可能不会需要通过该域名网关请求域名服务的需求,可以释放所述绑定关系,从而提升mDNS IP地址的有效使用率。
再例如,所述客户端从一个网络区域迁移到了另一个网络区域,可能需要访问不同网络位置的DNS服务器或DNS服务器,则此时同样可以请求释放在原网络区域的绑定关系。
在本实施例中所述网络区域与无线网络或互联网的网络节点的位置和/或属相相关,例如,城域网覆盖的是一个城市的局域网,虽有在有些的地理区域临近或属于同一个大区域,但是接入网络位置却归属到不同的网络区域。再例如,不同运营商的网络连接到网络的客户端,可能归属的是不同的网络区域,例如,通过移动网络连接到网络和通过联通网络连接到网络,则优先分配给相同运营商的域名网关和DNS服务器为该客户端提供相关服务,如此,两个客户端位于相同的地理位置也会归属到不同的网络区域。
在一些实施例中,所述方法还包括:接收更新请求;
根据所述更新请求,删除第一绑定关系并建立第二绑定关系;其中,所述第一绑定关系为:更新前所述客户端对应的旧的第一主机IP地址与所述第一mDNS IP地址的绑定关系;所述第二绑定关系为:更新后所述客户端对应的新的第一主机IP地址与所述第一mDNSIP地址的绑定关系;其中,所述第二绑定关系相对于所述第一绑定关系,至少所述第一主机IP地址不同。
在一些实例中域名网关还会接收到更新请求,该更新请求为更新绑定关系,由于客户端绑定的主机IP地址换了,则可能需要同步更新所述绑定关系,故在一些实施例中若接收到更新请求,则需要删除旧的第一绑定关系并建立所述第二绑定关系。在所述更新请求中可以携带有需要删除第一绑定关系,同时还携带有新的主机IP地址。在另一些实施例中,所述更新请求中可能仅携带需要删除的第一绑定关系中的旧的主机IP地址,及更新后的新主机IP地址;总之,所述域名网关可以根据所述更新请求更新所述第一绑定关系,并建立新的与该客户端对应的第二绑定关系。
如图4所示,本实施例提供一种DNS服务器的安全防御方法,包括:
步骤S210:接收客户端的配置请求;
步骤S220:基于所述配置请求,为所述客户端分配主机IP地址;
步骤S230:基于所述主机IP地址向域名网关发送的mDNS IP地址请求;
步骤S240:接收所述域名网关基于mDNS IP地址请求返回的mDNS IP地址;
步骤S250:向所述客户端发送携带有所述主机IP地址及所述mDNS IP地址的配置响应。
本实施例提供的方法可应用于接入网关中,该接入网关可为用户设备(UserEquipment,UE)、物联网终端、车载设备或者智能电器等接入网络的接入设备,典型的接入设备可包括:基站、无线接入热点(hotspot)等设备。
在本实施中,接收到客户端的配置请求,例如,该配置请求可为:基于动态主机配置协议(Dynamic Host Configuration,DHCP)的配置请求,该接入网关可为将配置请求发送给DHCP服务器,由DHCP服务器进行所述主机IP地址的配置,从而接入网关可以实现对客户端的主机IP地址的动态分配。在另一些实施中所述客户端的接入配置服务功能可以直接设置在所述接入网关中,如此,接入网关自行为所述客户端分配主机IP地址。总之,在本实施例中为所述客户端动态分配主机IP地址至少包括两种方式,一种通过与配置服务器的信息交互实现为所述客户端动态分配主机IP地址,另一种接入网关自行动态分配所述主机IP地址。在具体的实现过程中,所述配置请求可为对主机进行各种配置参数的配置,该配置参数包括:所述主机IP地址,主机IP地址的租期,DNS服务器的DNS IP地址。
在一些实施例中,所述方法还包括:
设置所述主机IP地址的租期;
向所述域名网关发送指示所述租期的租期信息,其中,所述租期信息,用于所述域名网关设置分配给所述客户端的所述mDNS IP地址的有效期。
在本实施例中所述接入网关或独立于接入网关的接入配置功能实体会为客户端设置主机IP地址的租期,具体的设置方式可包括以下至少之一:
根据所述客户端的租期指示,设置所述主机IP地址的租期;
根据所述客户端请求接入的连接建立类型,设置所述主机IP地址的租期,例如,当前客户端接入是建立临时会话和临时会话以外的常规会话,确定出IP地址的租期,相对的临时会话对应的第一租期可略短于所述常规会话的第二租期;
根据所述客户端所使用用户标识的签约数据,设置所述主机的IP地址的租期等;
接入网关或独立于接入网关的接入配置功能实体,根据设置租期相关的本地策略或从策略控制功能(Policy Control Function,PCF)接收的策略,设置所述主机IP地址的租期。
在一些实施例中,为了方便主机IP地址的使用期限和mDNS IP地址的使用期限的等同管理或类似管理,会使得主机IP地址的租期和mDNS IP地址的有效期相同或近似等同,但是在另一些分别不同IP地址分别管理的管理体系中,所述主机IP地址的租期和所述mDNSIP地址的有效期可以不等同也不近似等同,总之两者之前的期限各自没有关联,不排除特殊情况下的等同。
在本实施例中为了实现主机IP地址的租期和mDNS IP地址的有效期的统一和协同管理,会向域名网关发送所述租期信息,该租期信息指示了主机IP地址的租期,如此,方便域名网关对应设置动态分配给客户端的mDNS IP地址的有效期。在一些实施例中,所述域名网关根据所述租期信息,会设置的mDNS IP地址的有效期略长于所述主机IP地址的租期。
在一些实施例中,所述方法还包括:
接收到所述客户端的续租请求;
根据所述续租请求延长所述主机IP地址的租期;
向所述域名网关发送续租请求,其中,所述续租请求,用于所述域名网关延长为所述客户端分配的mDNS IP地址的有效期。
例如,例如客户端会自动在主机IP地址的租期到期之前或者基于用户指示,请求主机IP地址的续租,如此,嵌入在接入网关内的接入配置功能实体或者独立于所述接入网关内的接入配置功能实体会接收到客户端的续租请求,然后根据需求请求延长主机IP地址的租期。
在一些实施例中,所述方法还包括:在满足预设条件时,向所述域名网关发送释放请求,其中,所述释放请求,用于删除所述客户端的主机IP地址和分配给所述客户端的mDNSIP地址之间的绑定关系。
在本实施例中,接入配置功能实体(可简称为接入配置功能)会在满足预设条件时,向域名网关发送释放请求,该释放请求的发送,会触发域名网关解除对应的绑定关系,如此就相当于释放了域名网关中分配给客户端的mDNS IP地址。
在一些实施例中,所述满足预设条件包括以下之一:
接收到所述客户端主动离线发送的去附着请求;客户端主动离线会发送去附着请求,例如,UE关机在关机前会自动发送去附着请求,则此时UE可能利用原来区域,如果在UE离线的过程中分配给UE的主机IP地址和/或mDNS IP地址都依旧保持分配给UE,如此,就会导致IP地址的使用效率低的问题,故在本实施例中,若网络侧的基站、网关等各种网元检测到客户端主动离线发送的去附着请求,可认为满足所述预设条件的一种;
检测到所述客户端的位置更新的有效期超期;UE等客户端可能具有移动性,UE在移动过程中涉及了小区切换、跟踪区更新等各种位置更新操作,若位置长期不更新,可能UE当前长期处于不工作状态,故此时可以认为位置更新的有效期超期,可认为可以释放对应的绑定关系,从而释放主机IP地址和/或mDNS IP地址了;
检测到所述客户端的主机IP地址的租期超期;检测客户端的主机IP地址的租期超期,说明主机IP地址的租期到期了,若需要续租可能客户端需要缴纳费用或重新申请,为了避免IP地址被非法使用等,可以认为满足上述预设条件。
检测到所述客户端已离线。例如,在一些实施例中,基站等无线接入网(RadioAccess Network,RAN)检测到客户端已经离线了,则认为当前继续保持该客户端与主机IP地址和/或mDNS IP地址就没有必要了,否则会导致IP地址和/或mDNS IP地址的资源浪费。
在一些实施例中,所述方法还包括:
接收所述客户端的续租请求;
根据所述续租请求为所述客户端分配新的主机IP地址,并根据所述续租请求设置所述新的主机IP地址的租期;
向所述域名网关发送所述更新请求,其中,所述更新请求,用于所述域名网关删除所述客户端旧的第一绑定关系并基于所述新的主机IP地址建立第二绑定关系。
在本实施例中,所述接入网关还会接收到客户端的续租请求,该续租请求可以是由客户端发送的,也可以是客户端的管理设备发送的,总之,可以接收到为该客户端请求续租主机IP地址和/或mDNS IP地址的请求。
根据该续租请求为客户端分配新的主机IP地址,并设置该新分配的主机IP地址的租期,与此同时,向域名网关发送的更新请求,触发域名网关删除原来旧的绑定关系,并基于新的主机IP地址建立新的绑定关系,此时,接入网关、域名网关及客户端需要同步根据存储新的绑定关系。
在一些实施例中,所述方法还包括:
根据所述配置请求,为所述客户端部署一台或多台域名网关;
记录所述域名网关的信息。
在本实施例中,所述接入网关会基于配置请求为客户端部署一台或多台域名网关,并记录这些域名网关的信息,例如,记录这些域名网关的标识、IP地址或者位置信息等各种信息,在一些实施例中需要与客户端的标识对应记录,例如,客户端的各种设备参数和/或客户端参数、位置参数中的一个或多个选择合适的域名网关,例如,选择地理距离或网络距离上离得比较近的域名网关作为该客户端的获取域名服务的域名网关。
在一些实施例中,所述根据所述配置请求,为所述客户端部署一台或多台域名网关,包括:
根据所述客户端的用户标识、设备标识、位置信息及选择策略的至少其中之一,为所述客户端部署一台或多个域名网关。
例如,根据用户标识(国际移动用户标识码,IMSI)选择可以提供与该用户标识想相适配服务质量的域名网关。
所述设备标识可包括:国际移动电话设备识别码(International Mobile EquIP地址ment Identity,IMEI),可以根据该设备的设备标识获知该设备的设备能力参数等,从而选择与其设备标识(例如,设备能力)匹配的域名网关。
在比如基于客户端的位置信息,就近选择域名网关为其服务。
该选择策略可为存储在接入网关中的本地策略,也可是存储在PCF或者签约数据库中的远程策略,总之可以用于所述接入配置功能所述域名网关。
通过为客户端选择域名网关,可以确保域名服务提供的服务质量。
另一个方面,优选的为客户端提供两个或两个以上的域名网关,至少提供一个主用网关,与主用网关对应的备用网关。
在一些实施例中,所述方法还包括:
根据为所述客户端部署的域名网关的个数,确定向所述域名网关请求的为所述客户端动态分配的所述mDNS IP地址的数目。
在本实施例中,可以根据域名网关的个数确定单个域名网关为对应客户端配置的mDNS IP地址的数目。例如,域名网关仅为1个时,域名网关可以为客户端配置至少2个mDNSIP地址,若域名网关为多个时,单个域名网关可以为客户端配置1个mDNS IP地址。
如图5所示,本实施例提供一种DNS服务器的安全防御装置,包括:
第一分配模块110,用于根据接入配置功能发起的客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配第一mDNS IP地址;
第一接收模块120,用于接收所述客户端发起的第一域名服务请求,其中,所述第一域名服务请求的目的地址为所述mDNS IP地址;
第一发送模块130,用于基于所述第一域名服务请求,向所述mDNS IP地址替换为对应的DNS服务器发送第二域名服务请求;
提供模块140,用于将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应。
本实施例提供的第一分配模块110、建立模块、接收模块、查询模块、第一发送模块130及提供模块140可均为程序模块,被处理器执行后能够实现前述各个模块的功能。
该装置可以应用于域名网关中。
在一些实施例中,所述DNS服务器的安全防御装置,具体可包括:
第一分配模块110,用于根据接入配置功能发起的客户端移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配第一mDNS IP地址;
建立模块,用于建立所述客户端的第一主机IP地址与所述第一mDNS IP地址的绑定关系;
接收模块,用于接收所述客户端发起的第一域名服务请求;其中
查询模块,用于根据所述第一域名服务请求中携带的所述客户端对应的DNS服务器的第二mDNS IP地址及第二主机IP地址,查询所述绑定关系,
第一发送模块130,用于若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,向所述第二mDNS IP地址对应的DNS服务器发送第二域名服务请求;
提供模块140,用于将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应。
在一些实施例中,所述第一发送模块130,用于将所述第一域名服务请求中的所述第二mDNS IP地址替换为所述DNS服务器的DNS IP地址,形成所述第二域名服务请求;向所述DNS服务器发送所述第二域名服务请求。
在一些实施例中,若域名网关位于所述客户端和所述DNS服务器的路由路径上,所述第二域名服务请求和所述第一域名服务请求的源地址均为所述客户端的主机IP地址。
在一些实施例中,所述第一发送模块130,具体用于将所述第一域名服务请求中的所述第一主机IP地址替换为域名网关的网关IP地址,形成同时包括所述网关IP地址及所述DNS IP地址的所述第二域名服务请求。
在一些实施例中,所述提供模块140,具体用于将所述第一域名服务响应中的所述DNS服务器的DNS IP地址替换为分配给所述客户端的所述第一mDNS IP地址。
在一些实施例中,所述第一分配模块110,具体用于根据所述接入配置功能发起的客户端mDNS IP地址请求,从mDNS IP地址池中动态选择所述第一mDNS IP地址。
在一些实施例中,所述第一分配模块110,具体用于执行以下之一:
根据所述客户端的mDNS IP地址请求,从mDNS IP地址池中随机选择所述mDNS IP地址;
根据所述客户端的mDNS IP地址请求,从mDNS IP地址池中随机选择出当前闲置的所述mDNS IP地址;
根据所述客户端的mDNS IP地址请求,若mDNS IP地址池不存在闲置的mDNS IP地址时,从已使用的mDNS IP地址池随机选择mDNS IP地址。
在一些实施例中,所述第一分配模块110,具体用于根据所述客户端的所述mDNSIP地址请求,从mDNS IP地址池中选择多个所述mDNS IP地址。
在一些实施例中,所述第一分配模块110,具体用于根据所述mDNS IP地址请求中携带的地址数量N,从mDNS IP地址池中选择N个所述mDNS IP地址。
在一些实施例中,所述装置还包括:
第二分配模块,用于为所述客户端分配对应的域名服务系统DNS服务器;
所述建立模块,具体用于建立所述第一主机IP地址、所述第一mDNS IP地址及所述DNS服务器的DNS IP地址建立绑定关系。
在一些实施例中,所述第一发送模块130,具体用于若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中且所述第二主机IP地址及所述第二mDNS IP地址有绑定DNS IP地址,向绑定的所述DNS IP地址发送所述第二域名服务请求。
在一些实施例中,所述第一发送模块130,具体用于若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中且所述第二主机IP地址及所述第二mDNS IP地址未绑定有DNS IP地址,向默认DNS服务器发送所述第二域名服务请求。
在一些实施例中,所述装置还包括以下至少之一:
DNS服务受限提供模块140,用于若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,向所述客户端提供受限DNS服务;
引导模块,用于若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,将所述域名服务请求引导到预定系统,其中,所述预定系统,用于对域名服务请求的攻击进行解析;
拒绝模块,用于若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,拒绝向所述客户端提供DNS服务。
在一些实施例中,所述mDNS IP地址请求中还携带有地址租期信息;
所述装置还包括:
设置模块,用于根据所述地址租期信息,设置绑定关系中所述第一mDNS IP地址的有效期。
在一些实施例中,所述装置还包括:
第一接收模块120,用于接收续租请求;
第一延长模块,用于根据所述续租请求,延长所述第一mDNS IP地址的有效期。
在一些实施例中,所述装置还包括:
第一删除模块,用于若所述有效期超期,删除所述绑定关系。
在一些实施例中,所述装置还包括:
第二接收模块,用于接收释放请求;
第二删除模块,用于根据所述释放请求,删除所述第一主机IP地址与所述第一mDNS IP地址的绑定关系,并释放所述第一mDNS IP地址。
在一些实施例中,所述装置还包括:
第三接收模块,用于接收更新请求;
第三删除模块,用于根据所述更新请求,删除第一绑定关系并建立第二绑定关系;其中,所述第一绑定关系为:更新前所述客户端对应的旧的第一主机IP地址与所述第一mDNS IP地址的绑定关系;所述第二绑定关系为:更新后所述客户端对应的新的第一主机IP地址与所述第一mDNS IP地址的绑定关系;其中,所述第二绑定关系相对于所述第一绑定关系,至少所述第一主机IP地址不同。
如图6所示,本实施例提供一种DNS服务器的安全防御装置,包括:
第四接收模块210,用于接收客户端的配置请求;
第三分配模块220,用于基于所述配置请求,为所述客户端分配主机网络协议IP地址;
第二发送模块230,用于基于所述主机IP地址向域名网关发送的移动域名系统mDNS IP地址请求;
第五接收模块240,用于接收所述域名网关基于mDNS IP地址请求返回的mDNS IP地址;
第三发送模块250,用于向所述客户端发送携带有所述主机IP地址及所述mDNS IP地址的配置响应。
该第四接收模块210、第二发送模块230、第五接收模块240及第三发送模块250均可为程序模块,被处理器执行后能够实现前述一个或多个应用于接入服务功能中的功能。
在一些实施例中,所述装置还包括:
第二设置模块,用于设置所述主机IP地址的租期;
第六发送模块,用于向所述域名网关发送指示所述租期的租期信息,其中,所述租期信息,用于所述域名网关设置分配给所述客户端的所述m DNS IP地址的有效期。
在一些实施例中,所述装置还包括:
第六接收模块,用于接收到所述客户端的续租请求;
第二延迟模块,用于根据所述续租请求延长所述主机IP地址的租期;
第七发送模块,用于向所述域名网关发送续租请求,其中,所述续租请求,用于所述域名网关延长为所述客户端分配的mDNS IP地址的有效期。
在一些实施例中,所述装置还包括:
第八发送模块,用于在满足预设条件时,向所述域名网关发送释放请求,其中所述释放请求,用于解除所述客户端的主机IP地址和分配给所述客户端的mDNS IP地址之间的绑定关系。
在一些实施例中,所述满足预设条件包括以下之一:
接收到所述客户端主动离线发送的去附着请求;
检测到所述客户端的位置更新的有效期超期;
检测到所述客户端的主机IP地址的租期超期;
检测到所述客户端已离线。
在一些实施例中,所述装置还包括:
第七接收模块,用于接收所述客户端的续租请求;
所述第三分配模块220,用于根据所述续租请求为所述客户端分配新的主机IP地址;并根据所述续租请求设置所述新的主机IP地址的租期;
第九发送模块,用于向所述域名网关发送更新请求,其中,所述更新请求,用于所述域名网关删除所述客户端旧的第一绑定关系并基于所述新的主机建立新的主机IP地址建立第二绑定关系。
在一些实施例中,所述装置还包括:
部署模块,用于根据所述配置请求,为所述客户端部署一台或多台域名网关;
记录模块,用于记录所述域名网关的信息。
在一些实施例中,所述部署模块,具体用于根据所述客户端的用户标识、设备标识、位置信息及选择策略的至少其中之一,为所述客户端部署一台或多个域名网关。
在一些实施例中,所述部署模块,具体用于根据为所述客户端部署的域名网关的个数,确定向所述域名网关请求的为所述客户端动态分配的所述mDNS IP地址的数目。
以下结合上述任意实施例提供几个具体示例:
示例1:
图7是根据本示例的mDNS IP地址分配过程流程图,以外置接入配置功能为例,典型的外置接入配置功能为动态主机配置协议(Dynamic Host Configuration,简称DHCP)服务器,如图7所示,该流程包括如下步骤:
步骤301:客户端接入到接入网关,通过接入网关向DHCP服务器发送DHCP请求,请求网络分配主机IP地址、DNS IP地址等参数;
步骤302:DHCP服务器为客户端分配主机IP地址,设置IP地址租期,同时选择域名网关,并记录为该客户端服务的域名网关信息;
在1个网络中可以部署1台或多台域名网关,DHCP服务器根据客户端的用户标识、设备标识、位置信息,以及本地策略选择1个或多个域名网关(一般是2个),选择多个域名网关的目的是增强服务的可靠性,将其中一个域名网关作为主入口,另外的作为备用入口。
可以进一步在请求中指示希望请求的mDNS IP地址数量,如果选择1个域名网关,可以要求域名网关分配多个mDNS IP地址(可为2个),如果选择多个域名网关,建议向每个域名网关要求1个mDNS IP地址。
步骤303,DHCP服务器向所选择的域名网关发送mDNS IP地址请求,其中,携带主机IP地址,主机IP地址的租用期,并可进一步携带用户标识等信息;
如果选择多个域名网关,则需要重复步骤303,向其他域名网关也发送mDNS IP地址请求。
步骤304,域名网关从本地mDNS IP地址池中选择mDNS IP地址,并建立(主机IP地址、mDNS IP地址)之间的绑定关系,并根据IP地址的租用期设置该绑定关系的有效期,通常该有效期略大于IP地址的租用期。
域名网关可以根据请求中指示的mDNS IP地址数量分配mDNS IP地址,默认分配1个。
mDNS IP地址从mDNS IP地址池内随机选取,或者优先随机选取没有被占用的mDNSIP地址,在所有mDNS IP地址都已被占用后,再从已占用的mDNS中随机选取。
在上述分配过程中,允许出现1个mDNS IP地址同时分配多个客户端,但由于对应不同的(主机IP地址、mDNS IP地址)绑定关系,不会影响业务,同时能够提高mDNS IP地址的利用率,即mDNS IP地址可以被重用,在IP地址数量受限的场景下可以减少mDNS IP地址数量。
在上述过程中,可以进一步选择为该客户端选择服务的DNS服务器,在绑定关系中增加DNS服务器IP地址信息,如果不选择DNS服务器,则使用默认DNS服务器。
步骤305,域名网关将选择的mDNS IP地址返回给DHCP服务器;
步骤306,DHCP服务器通过接入网关向客户端发送DHCP响应,其中携带主机IP地址、主机IP地址租用期、mDNS IP地址等参数,其中mDNS IP地址作为DNS IP地址字段参数发送给客户端;
如果步骤303选择了多个域名网关,则DHCP服务器需要等所有域名网关都返回mDNS IP地址后,将来自不同域名网关的mDNS IP地址汇总后,作为主备DNS IP地址发送给客户端,如果有域名网关没有返回或返回分配失败,则选择其他域名网关继续请求,或只将返回成功的mDNS IP地址发送给客户端。
客户端收到所述参数后,将mDNS IP地址对应的域名网关当作DNS服务器,后续将向域名网关请求域名服务。
由于mDNS IP地址是域名网关从mDNS IP地址池中动态选取的,因此每个客户端得到的DNS服务器IP地址不尽相同,同一个客户端在不同时间得到的DNS服务器IP地址也不相同。
步骤307,当客户端需要访问具体业务时,根据mDNS IP地址向域名网关发送域名服务请求(对应于所述第一域名服务请求),其中,携带所述业务对应的域名,在所述请求消息的IP地址头域部分,源IP地址为主机IP地址,目的IP地址为mDNS IP地址;如用户要访问example.com业务时,向域名网关发送域名服务请求(对应于第一域名服务请求),以获取example.com网站对应的IP地址。
步骤308,域名网关收到域名服务请求后,根据所述请求消息中携带的主机IP地址、mDNS IP地址查询本地保存主机IP地址和mDNS IP地址绑定关系,如果命中,则认为该请求合法,则向DNS服务器发送域名服务请求,否则认为是非法请求,拒绝域名服务请求,或者使用受限DNS功能,比如只允许解析安全级别比较低的业务服务对应的域名,或将域名服务请求引导到蜜罐系统,进一步诱导客户端进行访问,定位可能的威胁;
在向DNS服务器发送请求消息的IP地址头域部分,目的IP地址为DNS服务器IP地址,即将步骤307中的目的IP地址由mDNS IP地址替换为DNS服务器IP地址,即DNS IP地址,关于源IP地址有两种处理方式:
方式一:源IP地址保持不变,仍为客户端的主机IP地址,此时域名网关充当DNS代理功能。这种方式要求域名网关必须位于消息的路径上,且由客户端发出的服务请求和DNS服务器服务响应经过同一域名网关。
方式二:源IP地址使用域名网关的接口IP地址,此时域名网关充当DNS缓存功能,使用自己的IP地址向DNS服务器发送域名服务请求,当收到DNS服务结果后,使用mDNS IP地址作为源IP地址将响应消息发送给客户端,并可进一步缓存解析结果,在后续其他客户端访问同一业务服务器时,将缓存的解决发送给客户端,以提高解析效率。
DNS服务器采用域名网关配置的默认DNS服务器IP地址,或者根据(主机IP地址、mDNS IP地址)绑定关系中保存的DNS服务器IP地址。
通过上述过程,保证mDNS IP地址只能被指定客户端访问,非指定客户端不能访问。
步骤309,DNS服务器执行域名服务过程,向域名网关返回DNS服务响应,其中携带域名解析结果,即业务服务器的IP地址;
步骤310,域名网关向客户端返回服务响应,其中携带业务服务器的IP地址。
客户端获取到业务服务器对应的IP地址,将使用该IP地址访问业务服务器。
通过上述过程可以看到,客户端无法直接访问DNS服务器,只能通过域名网关进行访问,且每个客户端获取到的mDNS IP地址不尽相同,同一客户端在不同时间获取到mDNSIP地址也不尽相同,因此到达了动态变换DNS服务器IP地址的目的,从而能够保护DNS服务器。
示例2
图8是根据本示例的mDNS IP地址重新分配过程流程图,仍以外置DHCP服务器场景为例,当客户端获取主机IP地址都租期快到期时,客户端向接入配置功能发送续租申请,以保持主机网络参数的有效性,如图8所示,该流程包括如下步骤:
步骤401,主机IP地址租期快到期,客户端通过接入网关向DHCP服务器发送DHCP续租请求,其中携带正在使用的主机IP地址;
步骤402,DHCP服务器同意客户端的续租请求,延长主机IP地址的租期,并查询当前为客户服务的域名网关;
步骤403,DHCP服务器向查询到的域名网关发送mDNS IP地址刷新请求,通知域名网关延长mDNS IP地址有效期,消息中携带主机IP地址、mDNS IP地址、主机IP地址租期;
步骤404,域名网关根据主机IP地址的租用期延长mDNS IP地址有效期,以及(主机IP地址,mDNS IP地址)绑定关系的有效期,例如,更新mDNS IP地址和绑定关系的有效期;
步骤405,域名网关返回刷新响应;
步骤406,DHCP服务器向客户端返回续租确认的DHCP响应。
当需要使用域名服务时,客户端继续所分配的主机IP地址向mDNS IP地址指定的域名网关发起域名服务请求,如步骤407至步骤410所示,具体和图7中的步骤307至步骤310类似。
通过上述过程,使得域名网关能够持续为客户端提供域名服务。
示例4:
图9是根据本示例的mDNS IP地址重新分配过程流程图,仍以外置DHCP服务器场景为例,当客户端获取主机IP地址都租期快到期时,客户端向接入配置功能发送续租申请,利用这个过程,也可以重新为终端配置主机参数。如图9所示,该流程包括如下步骤:
步骤501,主机IP地址租期快到期,客户端通过接入网关向DHCP服务器发送DHCP续租请求,其中携带客户端正在使用的主机IP地址;
步骤502,DHCP服务器延长IP地址租期,或者为客户端重新分配主机IP地址,设置IP地址租期,并重新为客户端选择域名网关;
步骤503,DHCP服务器向新选择的域名网关请求分配mDNS IP地址,建立新的(主机IP地址、mDNS IP地址)之间的绑定关系,具体过程同图3步骤303至305;
步骤504,DHCP服务向原域名网关发送mDNS IP地址释放请求去,原域名网关释放对应的mDNS IP地址,删除(主机IP地址、mDNS IP地址)之间的绑定关系,然后返回mDNS IP地址释放响应,DHCP服务器删除该客户端服务的域名网关记录;
步骤505,DHCP服务器通过接入网关向客户端发送DHCP响应,其中携带新分配的mDNS IP地址。
当需要使用域名服务时,客户端向新分配的mDNS IP地址指定的新域名网关发起域名服务请求,如步骤506至步骤509所示。
通过上述过程,能够在用户在线时更新mDNS IP地址,从而增强域名服务入口的动态性,加强了对DNS服务器的保护。
示例5:
图10是根据本示例的mDNS IP地址正常释放过程过程流程图,仍以外置DHCP服务器场景为例,当客户端关闭网络时,会主动释放主机IP地址,此时释放对应的mDNS IP地址。如图10所示,该流程包括如下步骤:
步骤601,客户端通过接入网关向DHCP服务器发送DHCP释放请求,其中携带正在使用的主机IP地址;
步骤602,DHCP服务器查询客户端正在使用的域名网关;
步骤603,DHCP服务器向域名网关发送mDNS IP地址释放请求,其中携带主机IP地址和mDNS IP地址信息;
步骤604,域名网关释放该客户端对该mDNS IP地址的占用,删除(主机IP地址,mDNS IP地址)绑定关系;
步骤605,域名网关向DHCP服务器返回释放响应;
步骤606,DHCP服务器通过接入网关向客户端返回DHCP释放响应。
通过上述过程,域名网关及时释放mDNS IP地址,维护正确的域名服务入口策略。
示例6:
图11是根据本示例的mDNS IP地址超时释放过程过程流程图,仍以外置DHCP服务器场景为例,当客户端离开网络,但没有发送DHCP释放请求时,需要支持超时释放机制。如图11所示,该流程包括如下步骤:
步骤701(图11中未展示),当客户端在指定的租期内没有发送续租请求,DHCP中的租期定时器会溢出;
步骤702,DHCP服务器主动释放主机IP地址;
步骤703,DHCP服务器向域名网关发送mDNS IP地址释放请求,其中携带主机IP地址和mDNS IP地址信息;
步骤704,域名网关释放该客户端对该mDNS IP地址的占用,删除(主机IP地址,mDNS IP地址)绑定关系;
步骤705,域名网关向DHCP服务器返回释放响应;
如果由于网络等原因,域名网关在mDNS IP地址有效期内没有收到DHCP Server发送的刷新请求或者释放请求,为了维持正确mDNS IP地址正确使用,域名网关支持超时释放功能,如步骤706至步骤707所示。
步骤706,当域名网关在指定的mDNS IP地址有效期内没有收到刷新请求时,域名网关中的mDNS IP地址有效期定时器会溢出(即租期超期);
步骤707,域名网关释放该客户端对该mDNS IP地址的占用,删除(主机IP地址,mDNS IP地址)绑定关系。
通过上述过程,域名网关维护正确的绑定关系。
示例7:
图12是根据本示例的接入配置功能内置方式的mDNS IP地址分配过程流程图,这种场景常见于移动网络,移动网络的接入网关,如GGSN、PGW,内置接入配置功能,在用户接入过程中,直接为客户端提供配置参数。如图8所示,此流程与图7主要区别是,在接入过程中完成IP地址的分配、域名网关的选择和mDNS IP地址分配,这些信息通过步骤806所示的接入信令发送给终端,以4G网络为例,此时接入网关为PGW,接入配置功能内置在PGW,如图12所示,该流程包括如下步骤:
步骤801,客户端接入到移动网络,向接入网关(PGW)发送附着请求;
步骤802,接入网关的内置接入配置功能从本地的IP地址池中为客户端分配主机IP地址,选择域名网关,并记录为该客户端服务的域名网关信息,主机IP地址的有效性和客户端在移动网络中的状态直接相关;
步骤803至805,接入网关向选择的域名网关请求mDNS IP地址,过程与图3步骤303至305相同;
步骤806,接入网关向客户端发送附着响应,其中携带主机IP地址、mDNS IP地址等参数,其中mDNS IP地址作为DNS IP地址字段参数发送给客户端;
客户端收到所述参数后,将mDNS IP地址对应的域名网关当作DNS服务器,后续将向域名网关请求域名服务。
步骤807至810,当客户端需要访问具体业务时,步骤与图3的步骤307至310相同。
客户端获取到业务服务器对应的IP地址,将使用该IP地址访问业务服务器,属于现有技术,不再赘述。
通过上述过程可以看出,对应接入网关内置接入配置功能的场景,其接入参数配置过程是在接入过程中完成的,使用接入信令传输主机配置参数,而且。
关于mDNS IP地址的维护,与外置接入参数配置功能场景类似,主要包括以下操作:
延长mDNS IP地址有效期:客户端在在线状态有效期内进行位置更新,接入网关延长客户端在线状态,同时通知域名网关延长mDNS IP地址有效期,过程与图8步骤402至405相同。
重新分配mDNS IP地址:客户端在在线状态有效期内进行位置更新,接入网关更新主机IP地址或者延长客户端在线状态,同时选择新的域名网关,向新域名网关请求mDNS IP地址,同时通知原域名网关释放mDNS IP地址,过程与图9步骤502至504相同。
mDNS IP地址正常释放:客户端主动离线,向接入网关发送去附着请求,接入网关通知域名网关释放mDNS IP地址,同时删除用户接入数据,过程与图10步骤602至605相同。
mDNS超期释放:当位置更新有效期超期时,接入网关检测到用户已经不在线,将通知域名网关释放mDNS IP地址,同时删除用户接入数据;或者当mDNS IP地址有效期超期时,域名网关释放mDNS IP地址。过程与图11所示过程相同。
从上述过程可以看出,内置接入配置功能的场景与外置接入配置功能场景类似,借助用户在线状态的维护,实现对DNS IP地址的维护。
示例8:
本示例提出了一种应用于DNS服务器的防御系统和方法,通过引入域名网关,对DNS服务器IP地址进行变换,从而对DNS服务器实现主动防御,增加攻击者的攻击难度,降低攻击成功的概率,从而提高整个网络安全性。在接入网关到DNS服务器路径上,增加域名网关(Domain Name Gateway,简称DNG),具体包括:
A.域名网关配置移动DNS服务器IP地址(Moving DNS Sever IP地址,简称mDNS IP地址)地址池
B.客户端获取或更新主机配置参数过程中,接入配置功能向域名网关请求mDNSIP地址,域名网关从mDNS IP地址池选择mDNS IP地址,然后返回给接入配置功能,接入配置功能将mDNS IP地址作为DNS IP地址分配给客户端;
C.客户端使用所分配的mDNS IP地址向域名网关发送业务服务器域名业务请求,域名网关向DNS服务器发送域名业务请求,并将DNS服务器返回的结果发送给客户端;
D.客户端根据域名解析结果访问业务服务器
进一步:A1网络中配置一个或多个域名网关,每个域名网关配置不同的mDNS IP地址池,mDNS IP地址池有1个或多个IP地址段组成;
B0主机参数配置过程使用DHCP协议或者是接入信令;
B1在网络中有多个域名网关时,接入配置功能需要选择1个或多个域名网关;
B2域名网关随机分配1个或多个mDNS IP地址,作为主DNS IP地址,或者主用和备用DNS IP地址,进一步优先选取没有被占用的mDNS IP地址;
B3在mDNS IP地址请求中携带分配给主机的IP地址和IP地址租期;
B4域名网关选择mDNS IP地址,同时建立主机IP地址和mDNS IP地址之间的绑定关系;
B5域名网关根据IP地址租期设定绑定关系的有效期,在有效期内,域名网关接收到接入配置功能发送的刷新请求,则延长有效期;在有效期内,域名网关接收到主机配置功能发送的释放请求时,或超出有效期时,则域名网关删除所述绑定关系;
B6域名网关向客户端返回的服务结果中,携带1个或多个mDNS IP地址,多个mDNSIP地址来自1个或多个域名网关;
C1域名网关收到来自客户端的域名业务请求后,根据主机IP地址和mDNS IP地址之间的绑定关系,检查请求消息,如果与绑定关系匹配,则向DNS服务器发送域名业务请求,否则拒绝业务请求,或使用受限DNS功能,或将域名业务请求引导到蜜罐系统;
C2在域名网关向DNS Server查询时,查询请求的目标地址为默认的DNS服务器IP地址,或者是在分配mDNS IP地址时选择的DNS服务器IP地址;
C3域名网关充当DNS代理使用客户端的主机IP地址向DNS服务器发送业务请求,或充当DNS缓存器使用域名网关的IP地址向DNS服务器发送业务请求;
本示例提供一种应用于DNS服务器的防御的系统,包括客户端、接入网关、接入配置功能、域名网关、DNS服务器、业务服务器。
客户端:建立与接入网关的连接,接收接入配置功能分配的主机IP地址,mDNS IP地址等参数,并将mDNS IP地址作为DNS服务器IP地址,发起域名业务请求,访问具体业务应用。
接入网关:在客户端接入过程中,从接入配置功能获取客户端配置参数提供给客户端,并实现客户端接入互联网功能,使客户端能够访问DNS服务器、业务服务器。
接入配置功能:根据客户端的接入信息,为客户端分配主机IP地址,选择域名网关,向域名网关请求mDNS IP地址,将分配的主机IP地址、获取的mDNS IP地址配置给客户端,同时维护主机配置的有效性。
域名网关:维护mDNS IP地址池,根据主机配置功能的请求,为客户端从mDNS IP地址池中选择mDNS IP地址,并建立客户端IP地址与mDNS IP地址之间的绑定关系,维护mDNSIP地址以及绑定关系的有效性;在客户端发起域名请求时,检查请求的合法性,如果是正常请求,则向DNS服务器发送业务请求,并将结果返回客户端,否则拒绝所述域名业务请求,或者将所述域名请求引导到蜜罐系统。
在一个网络中,存在一台或多台域名网关,每个域名网关配置的mDNS IP地址池,为一个或多个IP地址段组成,建议使用多个IP地址段,这样可以增强所选择mDNS IP地址的动态性,迷惑攻击者。
DNS服务器:根据请求服务域名解析为对应的IP地址,并返回。
业务服务器:向客户端提供业务,其IP地址和域名之间对应关系保存在DNS服务器。
本公开实施例提供一种通信设备,包括:
收发器,可对应于各种通信接口,例如,网络接口(网卡)和/或收发天线等;
存储器,可包括存储介质,能够用于各种数据的存储;
处理器,分别与所述收发器及所述存储器连接,用于通过执行存储在所述存储器上的计算机可执行指令控制所述收发器的信息收发,并实现前述任意一个技术方案提供的DNS服务器的安全防御方法,例如,图2至图5、图8至图12任意一个所示的方法。
所述处理器可包括中央处理器、微处理器、数字信号处理器、可编程阵列、专用集成电路等。
所述处理器可以通过集成电路总线等通信总线分别与所述存储器及存储器连接。该通信设备可为前述的域名网关、或者接入网关等接入配置功能所在的设备。
若该通信设备为前述的域名网关,则可以执行应用于域名网关中的DNS服务器的防御方法中的一个或多个技术方案。
若该通信设备为前述的接入网关或独立于接入网关的接入配置功能实体,则可以执行应用于接入网关中的DNS服务器的防御方法中的一个或多个技术方案,例如,图2至图5、图8至图12任意一个所示的方法。
本公开实施例提供一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被执行后,能够实现前述任意一个技术方案提供的DNS服务器的安全防御方法,例如应用于域名网关、接入网关等具有接入配置功能的设备中。所述存储介质包括:移动存储设备、只读存储器(ROM,Read至Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。所述计算机存储介质可为非瞬间存储介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本公开各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以所述权利要求的保护范围为准。
Claims (31)
1.一种DNS服务器的安全防御方法,其特征在于,包括:
根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配mDNSIP地址;
接收所述客户端发起的第一域名服务请求,其中,所述第一域名服务请求的目的地址为所述mDNS IP地址;
基于所述第一域名服务请求,向所述mDNS IP地址替换为对应的DNS服务器发送第二域名服务请求;
将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配mDNS IP地址,包括:
根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配第一mDNS IP地址;
所述方法还包括:
建立所述客户端的第一主机IP地址与所述第一mDNS IP地址的绑定关系;
根据所述第一域名服务请求中携带的所述客户端对应的DNS服务器的第二mDNS IP地址及第二主机IP地址,查询所述绑定关系,
所述基于所述第一域名服务请求,向所述mDNS IP地址替换为对应的DNS服务器发送第二域名服务请求,包括:
若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,向所述第二mDNS IP地址对应的DNS服务器发送第二域名服务请求。
3.根据权利要求1所述的方法,其特征在于,
若域名网关位于所述客户端和所述DNS服务器的路由路径上,所述第二域名服务请求和所述第一域名服务请求的源地址均为所述客户端的主机IP地址。
4.根据权利要求1所述的方法,其特征在于,
所述若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,向所述第二mDNS IP地址对应的DNS服务器发送第二域名服务请求,包括:
将所述第一域名服务请求中的所述第一主机IP地址替换为域名网关的网关IP地址,形成同时包括所述网关IP地址及所述DNS IP地址的所述第二域名服务请求。
5.根据权利要求1至4任一项所述的方法,其特征在于,
所述将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应,包括:
将所述第一域名服务响应中的所述DNS服务器的DNS IP地址替换为分配给所述客户端的所述mDNS IP地址。
6.根据权利要求1至4任一项所述的方法,其特征在于,
所述根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配mDNS IP地址,包括:
根据所述客户端的mDNS IP地址请求,从mDNS IP地址池中动态选择所述mDNS IP地址。
7.根据权利要求6所述的方法,其特征在于,所述根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配mDNS IP地址,包括以下之一:
根据所述客户端的mDNS IP地址请求,从mDNS IP地址池中随机选择所述mDNS IP地址;
根据所述客户端的mDNS IP地址请求,从mDNS IP地址池中随机选择出当前闲置的所述mDNS IP地址;
根据所述客户端的mDNS IP地址请求,若mDNS IP地址池不存在闲置的mDNS IP地址时,从已使用的mDNS IP地址池随机选择所述mDNS IP地址。
8.根据权利要求6所述的方法,其特征在于,所述根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配mDNS IP地址,包括:
根据所述客户端的所述mDNS IP地址请求,从mDNS IP地址池中选择多个所述mDNS IP地址。
9.根据权利要求8所述的方法,其特征在于,
所述根据所述客户端的所述mDNS IP地址请求,从mDNS IP地址池中选择多个所述mDNSIP地址,包括:
根据所述mDNS IP地址请求中携带的地址数量N,从mDNS IP地址池中选择N个所述mDNSIP地址。
10.根据权利要求2至4任一项所述的方法,其特征在于,
所述方法还包括:
为所述客户端分配对应的域名服务系统DNS服务器;
所述建立所述客户端的第一主机IP地址与所述第一mDNS IP地址的绑定关系,包括:
建立所述第一主机IP地址、所述第一mDNS IP地址及所述DNS服务器的DNS IP地址建立绑定关系。
11.根据权利要求10所述的方法,其特征在于,
所述若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,向所述第二mDNS IP地址对应的DNS服务器发送第二域名服务请求,包括:
若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中且所述第二主机IP地址及所述第二mDNS IP地址有绑定DNS IP地址,向绑定的所述DNS IP地址发送所述第二域名服务请求。
12.根据权利要求10所述的方法,其特征在于,
所述若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中,向所述第二mDNS IP地址对应的DNS服务器发送第二域名服务请求,包括:
若所述第二mDNS IP地址与所述第二主机IP地址包含在所述绑定关系中且所述第二主机IP地址及所述第二mDNS IP地址未绑定有DNS IP地址,向默认DNS服务器发送所述第二域名服务请求。
13.根据权利要求2至4任一项所述的方法,其特征在于,所述方法还包括以下至少之一:
若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,向所述客户端提供受限DNS服务;
若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,将所述域名服务请求引导到预定系统,其中,所述预定系统,用于对域名服务请求的攻击进行解析;
若所述第二mDNS IP地址与所述第二主机IP地址不在所述绑定关系中,拒绝向所述客户端提供DNS服务。
14.根据权利要求2至4任一项所述的方法,其特征在于,
所述mDNS IP地址请求中还携带有地址租期信息;
所述方法还包括:
根据所述地址租期信息,设置绑定关系中所述第一mDNS IP地址的有效期。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
接收续租请求;
根据所述续租请求,延长所述第一mDNS IP地址的有效期。
16.根据权利要求14所述的方法,其特征在于,所述方法还包括:
若所述有效期超期,删除所述绑定关系。
17.根据权利要求2至4任一项所述的方法,其特征在于,所述方法还包括:
接收释放请求;
根据所述释放请求,删除所述第一主机IP地址与所述第一mDNS IP地址的绑定关系,并释放所述第一mDNS IP地址。
18.根据权利要求2至4任一项所述的方法,其特征在于,所述方法还包括:
接收更新请求;
根据所述更新请求,删除第一绑定关系并建立第二绑定关系;其中,所述第一绑定关系为:更新前所述客户端对应的旧的第一主机IP地址与所述第一mDNS IP地址的绑定关系;所述第二绑定关系为:更新后所述客户端对应的新的第一主机IP地址与所述第一mDNS IP地址的绑定关系;其中,所述第二绑定关系相对于所述第一绑定关系,至少所述第一主机IP地址不同。
19.一种DNS服务器的安全防御方法,其特征在于,包括:
接收客户端的配置请求;
基于所述配置请求,为所述客户端分配主机网络协议IP地址;
基于所述主机IP地址向域名网关发送的移动域名系统mDNS IP地址请求;
接收所述域名网关基于mDNS IP地址请求返回的mDNS IP地址;
向所述客户端发送携带有所述主机IP地址及所述mDNS IP地址的配置响应。
20.根据权利要求19所述的方法,其特征在于,所述方法还包括:
设置所述主机IP地址的租期;
向所述域名网关发送指示所述租期的租期信息,其中,所述租期信息,用于所述域名网关设置分配给所述客户端的所述m DNS IP地址的有效期。
21.根据权利要求20所述的方法,其特征在于,所述方法还包括:
接收到所述客户端的续租请求;
根据所述续租请求延长所述主机IP地址的租期;
向所述域名网关发送续租请求,其中,所述续租请求,用于所述域名网关延长为所述客户端分配的mDNS IP地址的有效期。
22.根据权利要求19或20所述的方法,其特征在于,所述方法还包括:
在满足预设条件时,向所述域名网关发送释放请求,其中所述释放请求,用于解除所述客户端的主机IP地址和分配给所述客户端的mDNS IP地址之间的绑定关系。
23.根据权利要求22所述的方法,其特征在于,
所述满足预设条件包括以下之一:
接收到所述客户端主动离线发送的去附着请求;
检测到所述客户端的位置更新的有效期超期;
检测到所述客户端的主机IP地址的租期超期;
检测到所述客户端已离线。
24.根据权利要求19或20所述的方法,其特征在于,所述方法还包括:
接收所述客户端的续租请求;
根据所述续租请求为所述客户端分配新的主机IP地址,并根据所述续租请求设置所述新的主机IP地址的租期;
向所述域名网关发送更新请求,其中,所述更新请求,用于所述域名网关删除所述客户端旧的第一绑定关系并基于所述新的主机建立新的主机IP地址建立第二绑定关系。
25.根据权利要求19或20所述的方法,其特征在于,所述方法还包括:
根据所述配置请求,为所述客户端部署一台或多台域名网关;
记录所述域名网关的信息。
26.根据权利要求25所述的方法,其特征在于,所述根据所述配置请求,为所述客户端部署一台或多台域名网关,包括:
根据所述客户端的用户标识、设备标识、位置信息及选择策略的至少其中之一,为所述客户端部署一台或多个域名网关。
27.根据权利要求25所述的方法,其特征在于,所述方法还包括:
根据为所述客户端部署的域名网关的个数,确定向所述域名网关请求的为所述客户端动态分配的所述mDNS IP地址的数目。
28.一种DNS服务器的安全防御装置,其特征在于,包括:
第一分配模块,用于根据客户端的移动域名系统mDNS网络协议IP地址请求,为所述客户端动态分配第一mDNS IP地址;
第一接收模块,用于接收所述客户端发起的第一域名服务请求,其中,所述第一域名服务请求的目的地址为所述mDNS IP地址;
第一发送模块,用于基于所述第一域名服务请求,向所述mDNS IP地址替换为对应的DNS服务器发送第二域名服务请求;
提供模块,用于将所述DNS服务器基于所述第二域名服务请求提供的第一域名服务响应向所述客户端提供第二域名服务响应。
29.一种DNS服务器的安全防御装置,其特征在于,包括:
第四接收模块,用于接收客户端的配置请求;
第三分配模块,用于基于所述配置请求,为所述客户端分配主机网络协议IP地址;
第二发送模块,用于基于所述主机IP地址向域名网关发送的移动域名系统mDNS IP地址请求;
第五接收模块,用于接收所述域名网关基于mDNS IP地址请求返回的mDNS IP地址;
第三发送模块,用于向所述客户端发送携带有所述主机IP地址及所述mDNS IP地址的配置响应。
30.一种通信设备,其特征在于,包括:
收发器,
存储器,
处理器,分别与所述收发器及所述存储器连接,用于通过执行存储在所述存储器上的计算机可执行指令控制所述收发器的信息收发,并实现权利要求1至18或19至27任一项中提供的方法。
31.一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被执行后,能够实现权利要求1至18或19至27任一项中提供的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811257892.8A CN111107171B (zh) | 2018-10-26 | 2018-10-26 | Dns服务器的安全防御方法及装置、通信设备及介质 |
PCT/CN2019/112547 WO2020083288A1 (zh) | 2018-10-26 | 2019-10-22 | Dns服务器的安全防御方法及装置、通信设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811257892.8A CN111107171B (zh) | 2018-10-26 | 2018-10-26 | Dns服务器的安全防御方法及装置、通信设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111107171A true CN111107171A (zh) | 2020-05-05 |
CN111107171B CN111107171B (zh) | 2022-07-12 |
Family
ID=70330908
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811257892.8A Active CN111107171B (zh) | 2018-10-26 | 2018-10-26 | Dns服务器的安全防御方法及装置、通信设备及介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN111107171B (zh) |
WO (1) | WO2020083288A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112291363A (zh) * | 2020-11-06 | 2021-01-29 | 腾讯科技(深圳)有限公司 | 无线通信的方法、装置、电子设备和计算机可读存储介质 |
CN112333299A (zh) * | 2021-01-04 | 2021-02-05 | 观脉科技(北京)有限公司 | 一种域名解析方法、配置方法及设备 |
CN112637175A (zh) * | 2020-12-17 | 2021-04-09 | 山东云天安全技术有限公司 | 一种用于工业物联网的防御方法及装置 |
CN113206894A (zh) * | 2021-05-08 | 2021-08-03 | 腾讯科技(深圳)有限公司 | Dns服务器的发现方法、装置、计算机设备及存储介质 |
CN114710314A (zh) * | 2022-02-21 | 2022-07-05 | 深圳腾银信息咨询有限责任公司 | 一种配置化的软件服务平台访问方法、装置、系统及介质 |
CN115766434A (zh) * | 2021-09-03 | 2023-03-07 | 中国移动通信集团山东有限公司 | Vxlan的配置方法和设备 |
CN117061253A (zh) * | 2023-10-12 | 2023-11-14 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114363288B (zh) * | 2021-12-16 | 2024-08-06 | 北京华耀科技有限公司 | 报文处理方法、装置、链路负载均衡设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110145377A1 (en) * | 2009-12-10 | 2011-06-16 | At&T Intellectual Property I, L.P. | System and Method to Provide Name Services for Dynamically Assigned Internet Protocol (IP) Addresses |
US20160212204A1 (en) * | 2013-09-02 | 2016-07-21 | Zte Corporation | Domain Name Resolution Method, DNS Cache Server, and Final DNS Server |
WO2017161965A1 (zh) * | 2016-03-23 | 2017-09-28 | 中兴通讯股份有限公司 | 一种动态域名系统dns重定向方法、装置及系统 |
CN108632221A (zh) * | 2017-03-22 | 2018-10-09 | 华为技术有限公司 | 定位内网中的受控主机的方法、设备及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050076142A1 (en) * | 2003-09-19 | 2005-04-07 | Chin Kwan Wu | Automatic sub domain delegation of private name spaces for home-to-home virtual private networks |
CN101277306B (zh) * | 2008-05-14 | 2013-04-24 | 成都市华为赛门铁克科技有限公司 | 一种处理dns业务的方法、系统及设备 |
US8554933B2 (en) * | 2010-10-05 | 2013-10-08 | Verizon Patent And Licensing Inc. | Dynamic selection of packet data network gateways |
CN108040134A (zh) * | 2017-12-06 | 2018-05-15 | 杭州迪普科技股份有限公司 | 一种dns透明代理的方法及装置 |
-
2018
- 2018-10-26 CN CN201811257892.8A patent/CN111107171B/zh active Active
-
2019
- 2019-10-22 WO PCT/CN2019/112547 patent/WO2020083288A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110145377A1 (en) * | 2009-12-10 | 2011-06-16 | At&T Intellectual Property I, L.P. | System and Method to Provide Name Services for Dynamically Assigned Internet Protocol (IP) Addresses |
US20160212204A1 (en) * | 2013-09-02 | 2016-07-21 | Zte Corporation | Domain Name Resolution Method, DNS Cache Server, and Final DNS Server |
WO2017161965A1 (zh) * | 2016-03-23 | 2017-09-28 | 中兴通讯股份有限公司 | 一种动态域名系统dns重定向方法、装置及系统 |
CN108632221A (zh) * | 2017-03-22 | 2018-10-09 | 华为技术有限公司 | 定位内网中的受控主机的方法、设备及系统 |
Non-Patent Citations (1)
Title |
---|
杨凌凤: "基于动态IP地址的远程监控架设方案", 《电脑知识与技术》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112291363B (zh) * | 2020-11-06 | 2023-09-08 | 腾讯科技(深圳)有限公司 | 无线通信的方法、装置、电子设备和计算机可读存储介质 |
WO2022095708A1 (zh) * | 2020-11-06 | 2022-05-12 | 腾讯科技(深圳)有限公司 | 无线通信方法、装置、设备、存储介质及计算机程序产品 |
CN112291363A (zh) * | 2020-11-06 | 2021-01-29 | 腾讯科技(深圳)有限公司 | 无线通信的方法、装置、电子设备和计算机可读存储介质 |
CN112637175B (zh) * | 2020-12-17 | 2021-08-20 | 山东云天安全技术有限公司 | 一种用于工业物联网的防御方法及装置 |
CN112637175A (zh) * | 2020-12-17 | 2021-04-09 | 山东云天安全技术有限公司 | 一种用于工业物联网的防御方法及装置 |
CN112333299B (zh) * | 2021-01-04 | 2021-12-28 | 观脉科技(北京)有限公司 | 一种域名解析方法、配置方法及设备 |
CN112333299A (zh) * | 2021-01-04 | 2021-02-05 | 观脉科技(北京)有限公司 | 一种域名解析方法、配置方法及设备 |
CN113206894A (zh) * | 2021-05-08 | 2021-08-03 | 腾讯科技(深圳)有限公司 | Dns服务器的发现方法、装置、计算机设备及存储介质 |
US11855957B2 (en) | 2021-05-08 | 2023-12-26 | Tencent Technology (Shenzhen) Company Limited | Discovery method and apparatus for DNS server, computer device, computer-readable storage medium and computer program product |
CN113206894B (zh) * | 2021-05-08 | 2024-04-23 | 腾讯科技(深圳)有限公司 | Dns服务器的发现方法、装置、计算机设备及存储介质 |
CN115766434A (zh) * | 2021-09-03 | 2023-03-07 | 中国移动通信集团山东有限公司 | Vxlan的配置方法和设备 |
CN114710314A (zh) * | 2022-02-21 | 2022-07-05 | 深圳腾银信息咨询有限责任公司 | 一种配置化的软件服务平台访问方法、装置、系统及介质 |
CN117061253A (zh) * | 2023-10-12 | 2023-11-14 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
CN117061253B (zh) * | 2023-10-12 | 2023-12-22 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2020083288A1 (zh) | 2020-04-30 |
CN111107171B (zh) | 2022-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111107171B (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
CN109981803B (zh) | 业务请求处理方法及装置 | |
KR101029900B1 (ko) | 이동 ip 동적 홈에이전트 할당을 위한 방법 및 장치 | |
WO2017088628A1 (zh) | 地址转换方法、装置及系统、网络标识控制方法及装置 | |
JP2005072639A (ja) | 識別子割当装置、方法及びプログラム | |
CN1761263B (zh) | 避免网络地址冲突的系统和方法 | |
WO2015196755A1 (zh) | 一种身份位置分离网络中的地址分配方法及接入服务节点 | |
US7289471B2 (en) | Mobile router, position management server, mobile network management system, and mobile network management method | |
CN111327668A (zh) | 网络管理方法、装置、设备和存储介质 | |
US20230239675A1 (en) | Application context relocation method and apparatus | |
CN104253798A (zh) | 一种网络安全监控方法和系统 | |
JP5451903B2 (ja) | 公共設備においてネットワークにアクセスする方法及びシステム | |
US20130125246A1 (en) | Method and system for accessing network on public device | |
JP4604142B2 (ja) | ネットワークを用いた通信システム及びその通信システムに用いられる通信装置及びプログラム | |
CN105429936A (zh) | 专网路由器内存储资源恶意占用抵御方法及装置 | |
JP5726302B2 (ja) | トポロジサーバを用いた、通信アーキテクチャにわたって分散されたノードのネットワークに対する秘密または保護されたアクセス | |
CN105208022A (zh) | 报警信息生成方法及装置 | |
KR100625240B1 (ko) | 휴대 인터넷 망에서의 인터넷 프로토콜 주소 관리 장치 및그 방법 | |
CN107295504B (zh) | 一种Wi-Fi保护设置的控制方法和网关设备 | |
JP7480434B2 (ja) | スマートカード管理装置の分散管理システム及び管理方法 | |
CN112968915B (zh) | Dns域名服务器攻击的处理方法、处理系统、处理装置 | |
KR100739299B1 (ko) | 중간 dhcp 서버를 이용한 중앙집중관리방식의 아이피자동할당 방법 | |
JP4170649B2 (ja) | メッセンジャーサーバーシステム、メッセンジャーサービスの提供方法、メッセンジャーサービスにおける接続先決定サーバー | |
JP3609624B2 (ja) | 移動計算機装置、移動計算機管理装置、モバイル情報管理装置及び通信制御方法 | |
CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |