CN113014678A - 一种域名的过滤方法及装置 - Google Patents
一种域名的过滤方法及装置 Download PDFInfo
- Publication number
- CN113014678A CN113014678A CN201911317176.9A CN201911317176A CN113014678A CN 113014678 A CN113014678 A CN 113014678A CN 201911317176 A CN201911317176 A CN 201911317176A CN 113014678 A CN113014678 A CN 113014678A
- Authority
- CN
- China
- Prior art keywords
- domain name
- filtered
- filtering
- server
- blacklist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 141
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000004458 analytical method Methods 0.000 claims abstract description 22
- 230000000977 initiatory effect Effects 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 3
- 230000001133 acceleration Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 14
- 238000009826 distribution Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 230000000717 retained effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种域名的过滤方法及装置,其中,方法包括:对待过滤域名进行DNS解析,确定待过滤域名对应的第一服务器,在与第一服务器成功建立HTTPS连接后,获取第一服务器中的第一证书,若确定第一证书中存在待过滤域名,则将待过滤域名过滤。该技术方案无需人工过滤不可加速域名,降低人力资源成本,且提高了过滤的准确率。
Description
技术领域
本发明实施例涉及网络加速领域,尤其涉及一种域名的过滤方法及装置。
背景技术
网络加速领域中,网络加速服务器可以对用户请求的域名进行加速,从而提高用户的访问速度,但是用户请求中仅有一部分域名可以被加速,如果不可加速域名被网络加速服务器错误加速,则可能会导致用户无法正常访问。现有技术中,主要通过运维人员从大量域名中人工过滤掉不可加速域名,该方式不仅浪费大量的人力,而且人工过滤准确率低,可能出现不可加速域名未被过滤掉,而被错误加速的问题。
发明内容
本发明实施例提供一种域名的过滤方法及装置,无需人工过滤不可加速域名,降低人力资源成本,且提高了过滤的准确率。
本发明实施例提供的一种域名的过滤方法,包括:
对待过滤域名进行DNS(Domain Name System,域名解析系统)解析,确定所述待过滤域名对应的第一服务器;
在与所述第一服务器成功建立HTTPS(Hyper Text Transfer Protocol overSecure Socket Layer,超文本传输安全协议)连接后,获取所述第一服务器中的第一证书;
若确定所述第一证书中存在所述待过滤域名,则将所述待过滤域名过滤。
上述技术方案中,设置对基于安全HTTPS连接的域名进行过滤,并通过判断待过滤域名对应的第一服务器的第一证书中是否存在待过滤域名,以确定待过滤域名是否为基于安全HTTPS连接的域名,通过该方式可以准确识别出基于安全HTTPS连接的域名,并将该基于安全HTTPS连接的域名过滤掉,且无需人工过滤,降低人力资源成本。
可选的,所述方法还包括:
若确定所述第一证书中不存在所述待过滤域名,则获取所述待过滤域名对应的别名;
对所述别名进行DNS解析,确定所述别名对应的第二服务器;
在与所述第二服务器成功建立HTTPS连接后,获取所述第二服务器中的第二证书;
若确定所述第二证书中存在所述别名,则将所述待过滤域名过滤。
上述技术方案中,在确定第一证书中不存在待过滤域名时,判断待过滤域名进行DNS解析后的别名对应的第二服务器的第二证书中是否存在该别名,以确定该别名是否为基于安全HTTPS连接的域名,进一步确定待过滤域名是否为基于安全HTTPS连接的域名,通过该方式可以进一步提高将基于安全HTTPS连接的域名过滤的准确率。
可选的,所述方法还包括:
若确定所述第二证书中不存在所述别名,则向所述第一服务器发起建立HTTP(HyperText Transfer Protocol,超文本传输协议)连接的请求;
在与所述第一服务器成功建立所述HTTP连接后,保留所述待过滤域名。
可选的,所述方法还包括:
在与所述第一服务器未成功建立所述HTTPS连接后,向所述第一服务器发起建立HTTP连接的请求;
若与所述第一服务器成功建立所述HTTP连接,则保留所述待过滤域名。
可选的,所述方法还包括:
若与所述第一服务器未成功建立所述HTTP连接,则将所述待过滤域名过滤。
上述技术方案中,考虑到域名可以支持除HTTPS连接和HTTP连接以外的其他连接方式,所以,在确定待过滤域名不是基于安全HTTPS连接的待过滤域名之后,不直接确定该待过滤域名为可加速域名,而是再次尝试建立HTTP连接,并在确定可以成功建立HTTP连接之后,确定对待过滤域名保留,即对待过滤域名进行域名加速,通过该方式,可以保障进行域名加速的待过滤域名为可加速域名。
可选的,在所述对待过滤域名进行DNS解析之前,还包括:
若确定所述待过滤域名在域名黑名单中,则将所述待过滤域名过滤;
其中,所述域名黑名单包括公共黑名单和/或局部黑名单和/或域名库黑名单;所述公共黑名单是预先设定的适用于所有地区的域名过滤的名单;所述局部黑名单是预先设定的适用于与所述局部黑名单相对应地区的域名过滤的名单;所述域名库黑名单是根据域名库中的域名日志经日志分析后确定的用于过滤的名单,所述域名日志用于记录所有待过滤域名的过滤结果。
上述技术方案中,在对待过滤域名进行DNS解析之前,先基于预先设定的域名黑名单对待过滤域名进行预先过滤,提高域名过滤的效率和准确率。
可选的,在所述对待过滤域名进行DNS解析之后,还包括:
若确定所述第一服务器的IP(Internet Protocol,网络之间互连的协议)地址在IP黑名单中,则将所述待过滤域名过滤;其中,所述IP黑名单是预先设定的用于域名过滤的IP列表。
上述技术方案中,基于IP对待过滤域名进行过滤,提高域名过滤的效率和准确率。
相应的,本发明实施例还提供了一种域名的过滤装置,包括:
解析单元,用于对待过滤域名进行DNS解析,确定所述待过滤域名对应的第一服务器;
过滤单元,用于在与所述第一服务器成功建立HTTPS连接后,获取所述第一服务器中的第一证书;若确定所述第一证书中存在所述待过滤域名,则将所述待过滤域名过滤。
可选的,所述过滤单元还用于:
若确定所述第一证书中不存在所述待过滤域名,则调用所述解析单元获取所述待过滤域名对应的别名;
调用所述解析单元对所述别名进行DNS解析,确定所述别名对应的第二服务器;
在与所述第二服务器成功建立HTTPS连接后,获取所述第二服务器中的第二证书;
若确定所述第二证书中存在所述别名,则将所述待过滤域名过滤。
可选的,所述过滤单元还用于:
若确定所述第二证书中不存在所述别名,则向所述第一服务器发起建立HTTP连接的请求;
在与所述第一服务器成功建立所述HTTP连接后,保留所述待过滤域名。
可选的,所述过滤单元还用于:
在与所述第一服务器未成功建立所述HTTPS连接后,向所述第一服务器发起建立HTTP连接的请求;
若与所述第一服务器成功建立所述HTTP连接,则保留所述待过滤域名。
可选的,所述过滤单元还用于:
若与所述第一服务器未成功建立所述HTTP连接,则将所述待过滤域名过滤。
可选的,所述过滤单元还用于:
在所述对待过滤域名进行DNS解析之前,若确定所述待过滤域名在域名黑名单中,则将所述待过滤域名过滤;
其中,所述域名黑名单包括公共黑名单和/或局部黑名单和/或域名库黑名单;所述公共黑名单是预先设定的适用于所有地区的域名过滤的名单;所述局部黑名单是预先设定的适用于与所述局部黑名单相对应地区的域名过滤的名单;所述域名库黑名单是根据域名库中的域名日志经日志分析后确定的用于过滤的名单,所述域名日志用于记录所有待过滤域名的过滤结果。
可选的,所述过滤单元还用于:
在所述对待过滤域名进行DNS解析之后,若确定所述第一服务器的IP地址在IP黑名单中,则将所述待过滤域名过滤;其中,所述IP黑名单是预先设定的用于域名过滤的IP列表。
相应的,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述域名的过滤方法。
相应的,本发明实施例还提供了一种计算机可读非易失性存储介质,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述域名的过滤方法。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种系统架构的示意图;
图2为本发明实施例提供的一种网络加速服务器的结构示意图;
图3为本发明实施例提供的第一种域名的过滤方法的流程示意图;
图4为本发明实施例提供的第二种域名的过滤方法的流程示意图;
图5为本发明实施例提供的第三种域名的过滤方法的流程示意图;
图6为本发明实施例提供的一种前端界面显示;
图7为本发明实施例提供的第四种域名的过滤方法的流程示意图;
图8为本发明实施例提供的一种域名的过滤装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1示例性的示出了本发明实施例提供的域名过滤方法所适用的系统架构,该系统架构可以包括用户终端110、运营商服务器120、网络加速服务器130、域名服务器140。
用户终端110如手机、电脑等,用户终端110向运营商服务器120发送用户请求,运营商服务器120会将用户请求同时发送至域名服务器140和网络加速服务器130。
网络加速服务器130在接收到用户请求后,根据用户请求判断本地缓存中是否存储有用户请求的数据,若有,则将用户请求的数据经运营商服务器120反馈至用户终端110;若没有,则根据用户请求从域名服务器140中下载该用户请求的数据并经运营商服务器120反馈至用户终端110,网络加速服务器130还会将该下载的数据缓存至本地,用于下一次用户请求时,将本地缓存的数据经运营商服务器120反馈至用户终端110。通过该方式,当网络加速服务器130本地缓存有用户请求的数据时,可以将用户请求的数据快速经运营商服务器120反馈至用户终端110,从而提高用户请求的速度。
需要说明的是,域名服务器140在接收到用户请求后,同样会根据用户请求将用户请求的数据经运营商服务器120反馈至用户终端110。也就是说,用户终端110在发出用户请求后,会接收到两份同样的数据,一份是网络加速服务器130返回的,一份是域名服务器140返回的,当网络加速服务器130本地缓存有用户请求的数据时,用户终端110会先接收到网络加速服务器130返回的数据,再接收到域名服务器140返回的数据;当网络加速服务器130本地没有缓存用户请求的数据时,用户终端110会先接收到域名服务器140返回的数据,再接收到网络加速服务器130返回的数据;用户终端110在接收到第一份数据之后即确定接收到返回的数据,在接收到第二份数据后则会将该接收到的第二份数据抛弃。
基于上述描述,当有些用户请求中域名被错误加速时,网络加速服务器130会将本地缓存的错误数据返回至用户终端110,且用户终端110无法正确获取到域名服务器140返回正确数据,从而导致用户终端110无法正常获取数据。
图2示例性的示出了本发明实施例提供的一种网络加速服务器130的结构示意图,该网络加速服务器130包括负载均衡服务器131、分发服务器132、缓存服务器133。
其中,负载均衡服务器131用于根据各分发服务器132的实际处理情况,将用户请求分发至各分发服务器132上;分发服务器132用于识别用户请求中的域名是否可以被加速,如果可以被加速,则将用户请求分发至对应的缓存服务器133上;缓存服务器133用于在接收到用户请求后,将用户请求的数据经运营商服务器反馈至用户终端。
需要说明的是,网络加速服务器130需要在识别出是可加速域名之后才会对域名进行加速,也即网络加速服务器130可以将不可加速域名过滤掉,在将不可加速域名过滤掉时,主要原则至少包括:将预先规定的不可加速域名过滤掉,将基于安全HTTPS连接的域名过滤掉。其中,基于安全HTTPS连接的域名在访问时,访问到的数据是加密数据,网络加速服务器130不能对加密数据进行本地缓存,所以网络加速服务器130不能对基于安全HTTPS连接的域名进行加速。
基于上述描述,图3示例性的示出了本发明实施例提供的一种域名的过滤方法的流程,该流程可以由域名的过滤的装置执行,该装置可以位于分发服务器中,可以是该分发服务器。
如图3所示,该流程具体包括:
步骤301,对待过滤域名进行DNS解析,确定待过滤域名对应的第一服务器;
步骤302,在与第一服务器成功建立HTTPS连接后,获取第一服务器中的第一证书;
步骤303,若确定第一证书中存在待过滤域名,则将待过滤域名过滤。
对待过滤域名进行DNS解析,可以确定出待过滤域名的别名和待过滤域名对应的第一服务器的IP地址;其中,第一服务器即提供待过滤域名服务的域名服务器。
本发明实施例中,先尝试与第一服务器建立HTTPS连接,即创建HTTPS连接请求与待过滤域名的443端口进行握手,若握手成功,则尝试获取第一服务器中的第一证书,第一证书中记录有经认证过的域名,可以从第一证书中获取经认证过的域名,并判断该第一证书的经认证过的域名中是否包含有该待过滤域名,若包含,则代表该待过滤域名为基于HTTPS连接的域名且该HTTPS连接为安全HTTPS连接,则可以确定该待过滤域名为不可加速域名,需要被过滤掉。
具体实现中,可以是判断第一证书中是否存在CN属性,如果存在,则将CN属性中的域名记录下来,下一步则收集第一证书中的SAN属性中的域名,并将CN属性中的域名和SAN属性中的域名汇总在一起并去重,若去重后的域名中包括该待过滤域名,则代表该待过滤域名为基于HTTPS连接的域名且该HTTPS连接为安全HTTPS连接,需要将该待过滤域名过滤掉。
上述实施例可以理解成是对待过滤域名进行基于安全HTTPS连接的域名检测,若确定第一证书中存在待过滤域名,则将待过滤域名过滤。此外,若确定第一证书中不存在待过滤域名,则有另一种实现方式,该实现方式可以理解成是基于安全HTTPS连接的待过滤域名的别名检测,或者是理解成是基于安全HTTPS的待过滤域名的域名别名状态检测。
具体可以如图4示出的流程图中:
步骤401,若确定第一证书中不存在待过滤域名,则获取待过滤域名对应的别名;
步骤402,对别名进行DNS解析,确定别名对应的第二服务器;
步骤403,在与第二服务器成功建立HTTPS连接后,获取第二服务器中的第二证书;
步骤404,若确定第二证书中存在别名,则将待过滤域名过滤。
若确定第一证书中不存在待过滤域名,不能完全确定待过滤域名是可加速域名,需要对待过滤域名的别名进行判断,具体判断流程可以是对别名进行DNS解析,确定别名对应的第二服务器,并尝试与第二服务器建立HTTPS连接,即创建HTTPS连接请求与待过滤域名的443端口进行握手,若握手成功,则尝试获取第二服务器中的第二证书,第二证书中记录有经认证过的域名,可以从第二证书中获取经认证过的域名,并判断该第二证书的经认证过的域名中是否包含有该待过滤域名的别名,若包含,则代表该待过滤域名的别名为基于安全HTTPS连接的域名,进一步可以确定该待过滤域名为基于安全HTTPS连接的域名,则可以确定该待过滤域名为不可加速域名,需要被过滤掉。
具体实现中,可以是判断第二证书中是否存在CN属性,如果存在,则将CN属性中的域名记录下来,下一步则收集第二证书中的SAN属性中的域名,并将CN属性中的域名和SAN属性中的域名汇总在一起并去重,若去重后的域名中包括该待过滤域名的别名,则代表该待过滤域名的别名为基于安全HTTPS连接的域名,进一步确定该待过滤域名为基于安全HTTPS连接的域名,需要将该待过滤域名过滤掉。
待过滤域名经DNS解析后可以确定出多个别名,可以是针对任一个别名执行如步骤402至步骤404的流程,只要有一个别名被确定为是基于安全HTTPS连接的域名,则可以确定该待过滤域名需要被过滤掉。
需要说明的是,待过滤域名可以理解成是用户最终访问的域名,对待过滤域名进行DNS解析,可以解析出多个别名,该多个别名可以理解成是在内容分发网络或者其他网络中的中间服务器的域名,无论是确定用户最终访问的域名是基于安全HTTPS连接的,还是中间服务器的域名是基于安全HTTPS连接的,都可以确定该待过滤域名是基于安全HTTPS连接的,需要被过滤掉。
上述实施例中,在确定第一证书中不存在待过滤域名时,判断待过滤域名进行DNS解析后的别名对应的第二服务器的第二证书中是否存在该别名,以确定该别名是否为基于安全HTTPS连接的域名,进一步确定待过滤域名是否为基于安全HTTPS连接的域名,通过该方式可以进一步提高将基于安全HTTPS连接的域名过滤的准确率。
上述实施例中,可以将基于安全HTTPS连接的待过滤域名过滤掉,但是除了基于安全HTTPS连接的待过滤域名还可能存在基于不安全HTTPS连接的待过滤域名以及基于HTTP连接的待过滤域名。
针对基于不安全HTTPS连接的待过滤域名,即确定与第一服务器成功建立HTTPS连接,但第一证书中不存在待过滤域名,与第二服务器成功建立HTTPS连接,但第二证书中同样不存在待过滤域名的别名时,可以进一步判断该待过滤域名是否可以基于HTTP建立连接,具体的,向第一服务器发起建立HTTP连接的请求,即向创建一个套接字与待过滤域名的80端口进行连接,若成功建立HTTP连接,则保留该待过滤域名,若未成功建立HTTP连接,则过滤该待过滤域名。
针对基于HTTP连接的待过滤域名,可以是在确定与第一服务器未成功建立HTTPS连接后,执行如图5示出的流程。
步骤501,向第一服务器发起建立HTTP连接的请求;
步骤502,若与第一服务器成功建立HTTP连接,则保留待过滤域名。
可以是向第一服务器发起建立HTTP连接的请求,具体的,创建一个套接字与待过滤域名的80端口进行连接,若成功建立HTTP连接,则确定该待过滤域名是基于HTTP连接的待过滤域名,可以进行加速,所以保留该待过滤域名。若与第一服务器未成功建立HTTP连接,则确定该待过滤域名不是基于HTTP连接的待过滤域名,不可以进行加速,需要将待过滤域名过滤。
上述实施例中,考虑到域名可以支持除HTTPS连接和HTTP连接以外的其他连接方式,所以,在确定待过滤域名不是基于安全HTTPS连接的待过滤域名之后,不直接确定该待过滤域名为可加速域名,而是再次尝试建立HTTP连接,并在确定可以成功建立HTTP连接之后,确定对待过滤域名保留,即对待过滤域名进行域名加速,通过该方式,可以保障进行域名加速的待过滤域名为可加速域名。
此外,可以基于域名黑名单对待过滤域名进行过滤,一种实现方式中,可以是在对待过滤域名进行DNS解析之前,判断该待过滤域名是否在域名黑名单中,若确定待过滤域名在域名黑名单中,则将待过滤域名过滤。
域名黑名单可以包括公共黑名单和/或局部黑名单和/或域名库黑名单,也就是说,域名黑名单可以包括公共黑名单、局部黑名单、域名库黑名单中的任一个或组合。
针对不同黑名单,解释如下:
(一)公共黑名单
公共黑名单是预先设定的适用于所有地区的域名过滤的名单。结合如图1所示的系统架构图,网络加速服务器可以部署在不同地区。针对不同地区,都会有相同的域名黑名单,为了方便操作,可以设置该相同的域名黑名单为公共黑名单,用于对所有地区的域名进行黑名单过滤。
公共黑名单可以通过三种方式对待过滤域名进行过滤,分别是全域名过滤、泛域名过滤和正则过滤:
全域名过滤即在待过滤域名与域名黑名单中的域名完全匹配情况下过滤掉,比如,设置域名黑名单中的全域名过滤包括news.aaa.com,则只有待过滤域名为news.aaa.com时,被过滤掉。
泛域名过滤即使用域名的后缀匹配多个全域名,如*.aaa.com,在对这类域名做过滤时,会取*号后的字符做后缀匹配,相当于只要待过滤域名的后缀中包括.aaa.com,则被过滤掉,比如,待过滤域名bbb.aaa.com会与*.aaa.com匹配并被过滤掉。
正则过滤即通过正则表达式来匹配域名,如video[0-9]+\.dddd\.com能用于匹配video1.dddd.com也能匹配video9.dddd.com。
(二)局部黑名单
局部黑名单是预先设定的适用于与局部黑名单相对应地区的域名过滤的名单;结合如图1所示的系统架构图,网络加速服务器可以部署在不同地区。针对不同地区,都会与对应地区个性化的域名黑名单,所以会针对不同地区设置于该地区相对应的局部黑名单。
局部黑名单同样可以通过三种方式对待过滤域名进行过滤,分别是全域名过滤、泛域名过滤和正则过滤,具体实现方式可以如全域名过滤的三种方式,不再赘述。
(三)域名库黑名单
域名库黑名单是根据域名库中的域名日志经日志分析后确定的用于过滤的名单,其中,域名日志是用于记录所有待过滤域名的过滤结果的日志。在对待过滤域名进行过滤时,根据一系列过滤原则,可以确定出是否将该待过滤域名过滤掉,且会标注被过滤域名的过滤原因,基于这些信息生成记录有待过滤域名的过滤结果的域名日志,可以对这些域名日志进行大数据分析,进而确定出更具有针对性的域名黑名单,用于对之后的待过滤域名进行过滤。
上述实施例中,在对待过滤域名进行DNS解析之前,先基于预先设定的域名黑名单对待过滤域名进行预先过滤,提高域名过滤的效率和准确率。
上述基于域名黑名单对待过滤域名进行过滤时,域名黑名单可以同时包括公共黑名单、局部黑名单和域名库黑名单,在根据三者进行比对时,可以是按照局部黑名单、公共黑名单和域名库黑名单的顺序进行比对,也可以是按照其他顺序进行比对。此外,域名黑名单过滤的实现方式可以是在对待过滤域名进行DNS解析之前,也可以是在对待过滤域名进行DNS解析之后,比如,在与待过滤域名成功建立HTTP连接之后,或者还可以是在对待过滤域名进行DNS解析之前通过局部黑名单、公共黑名对待过滤域名进行过滤,并在与待过滤域名成功建立HTTP连接之后通过域名库黑名单对待过滤域名进行过滤。
此外,在对待过滤域名进行DNS解析之后,还可以基于IP黑名单对待过滤域名进行过滤,具体的,预先设定用于域名过滤的IP列表,并将该IP列表定义为IP黑名单,若确定待过滤域名对应的IP地址(即第一服务器的IP地址)在IP黑名单中,则将待过滤域名过滤。基于IP对待过滤域名进行过滤,进一步提高域名过滤的效率和准确率。
当然,还可以设置局部去重白名单,该局部去重白名单用于指示将已经加入至白名单或者已经在泛域名或正则的覆盖范围内的域名过滤掉。
基于同一种发明构思,本发明实施例提供一种在具体场景下的域名过滤的方法的流程,该域名过滤方法可以通过分发服务器执行,该分发服务器中包括多个过滤器,分别执行不同的过滤原则,该多个过滤器可以包括局部黑名单过滤器、公共黑名单过滤器、局部去重白名单过滤器、HTTPS过滤器、域名别名状态检测(HTTPS)过滤器、非80端口过滤器、网内域名过滤器、域名库过滤,该多个过滤器可以全部运行,也可以部分运行,可以如图6所示在前端界面显示过滤器选项,用于运维人员选择需要用到的过滤器。此处,以运维人员勾选全部过滤器为例说明。
可以从日志中或者运营商处获取到包含大量待过滤域名的域名集合,并执行如图7示出的流程图:
步骤701,将域名集合中各待过滤域名输入至局部黑名单过滤器,局部黑名单过滤器将存在于局部黑名单中的待过滤域名过滤掉。
步骤702,将经过局部黑名单过滤器后的域名集合输入至公共黑名单过滤器,公共黑名单过滤器将存在于公共黑名单中的待过滤域名过滤掉。
步骤703,将经过公共黑名单过滤器后的域名集合输入至局部去重白名单过滤器,局部去重白名单过滤器将已经加入至局部白名单的或者已经在泛域名和正则的覆盖范围内的待过滤域名过滤掉。
步骤704,将经过局部去重白名单过滤器后的域名集合输入至HTTPS过滤器,HTTPS过滤器将基于安全HTTPS连接的待过滤域名进行初步过滤。
步骤705,将经过HTTPS过滤器后的域名集合输入至域名别名状态检测(HTTPS)过滤器,域名别名状态检测(HTTPS)过滤器将基于安全HTTPS连接的待过滤域名进一步过滤。
步骤706,将经过域名别名状态检测(HTTPS)过滤器的域名集合输入至非80端口过滤器,非80端口过滤器将不是基于HTTP连接的待过滤域名过滤掉。
步骤707,将经过非80端口过滤器的域名集合输入至网内域名过滤器,网内域名过滤器将对应的IP地址存在于IP黑名单中的待过滤域名过滤掉。
步骤708,将经过网内域名过滤器的域名集合输入至域名库过滤器,域名库过滤器将存在于域名库黑名单中的待过滤域名过滤掉。
步骤709,将经过域名库过滤器的域名集合进行域名加速。
上述实施例中,设置对基于安全HTTPS连接的域名进行过滤,并通过判断待过滤域名对应的第一服务器的第一证书中是否存在待过滤域名,以确定待过滤域名是否为基于安全HTTPS连接的域名,通过该方式可以准确识别出基于安全HTTPS连接的域名,并将该基于安全HTTPS连接的域名过滤掉,且无需人工过滤,降低人力资源成本。
基于同一发明构思,图8示例性的示出了本发明实施例提供的一种域名的过滤装置的结构,该装置可以执行域名的过滤方法的流程。
该装置包括:
解析单元801,用于对待过滤域名进行DNS解析,确定所述待过滤域名对应的第一服务器;
过滤单元802,用于在与所述第一服务器成功建立HTTPS连接后,获取所述第一服务器中的第一证书;若确定所述第一证书中存在所述待过滤域名,则将所述待过滤域名过滤。
可选的,所述过滤单元802还用于:
若确定所述第一证书中不存在所述待过滤域名,则调用所述解析单元801获取所述待过滤域名对应的别名;
调用所述解析单元801对所述别名进行DNS解析,确定所述别名对应的第二服务器;
在与所述第二服务器成功建立HTTPS连接后,获取所述第二服务器中的第二证书;
若确定所述第二证书中存在所述别名,则将所述待过滤域名过滤。
可选的,所述过滤单元802还用于:
若确定所述第二证书中不存在所述别名,则向所述第一服务器发起建立HTTP连接的请求;
在与所述第一服务器成功建立所述HTTP连接后,保留所述待过滤域名。
可选的,所述过滤单元802还用于:
在与所述第一服务器未成功建立所述HTTPS连接后,向所述第一服务器发起建立HTTP连接的请求;
若与所述第一服务器成功建立所述HTTP连接,则保留所述待过滤域名。
可选的,所述过滤单元802还用于:
若与所述第一服务器未成功建立所述HTTP连接,则将所述待过滤域名过滤。
可选的,所述过滤单元802还用于:
在所述对待过滤域名进行DNS解析之前,若确定所述待过滤域名在域名黑名单中,则将所述待过滤域名过滤;
其中,所述域名黑名单包括公共黑名单和/或局部黑名单和/或域名库黑名单;所述公共黑名单是预先设定的适用于所有地区的域名过滤的名单;所述局部黑名单是预先设定的适用于与所述局部黑名单相对应地区的域名过滤的名单;所述域名库黑名单是根据域名库中的域名日志经日志分析后确定的用于过滤的名单,所述域名日志用于记录所有待过滤域名的过滤结果。
可选的,所述过滤单元802还用于:
在所述对待过滤域名进行DNS解析之后,若确定所述第一服务器的IP地址在IP黑名单中,则将所述待过滤域名过滤;其中,所述IP黑名单是预先设定的用于域名过滤的IP列表。
基于同一发明构思,本发明实施例还提供了一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述域名的过滤方法。
基于同一发明构思,本发明实施例还提供了一种计算机可读非易失性存储介质,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述域名的过滤方法。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (16)
1.一种域名的过滤方法,其特征在于,包括:
对待过滤域名进行DNS解析,确定所述待过滤域名对应的第一服务器;
在与所述第一服务器成功建立HTTPS连接后,获取所述第一服务器中的第一证书;
若确定所述第一证书中存在所述待过滤域名,则将所述待过滤域名过滤。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
若确定所述第一证书中不存在所述待过滤域名,则获取所述待过滤域名对应的别名;
对所述别名进行DNS解析,确定所述别名对应的第二服务器;
在与所述第二服务器成功建立HTTPS连接后,获取所述第二服务器中的第二证书;
若确定所述第二证书中存在所述别名,则将所述待过滤域名过滤。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
若确定所述第二证书中不存在所述别名,则向所述第一服务器发起建立HTTP连接的请求;
在与所述第一服务器成功建立所述HTTP连接后,保留所述待过滤域名。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
在与所述第一服务器未成功建立所述HTTPS连接后,向所述第一服务器发起建立HTTP连接的请求;
若与所述第一服务器成功建立所述HTTP连接,则保留所述待过滤域名。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
若与所述第一服务器未成功建立所述HTTP连接,则将所述待过滤域名过滤。
6.如权利要求1所述的方法,其特征在于,在所述对待过滤域名进行DNS解析之前,还包括:
若确定所述待过滤域名在域名黑名单中,则将所述待过滤域名过滤;
其中,所述域名黑名单包括公共黑名单和/或局部黑名单和/或域名库黑名单;所述公共黑名单是预先设定的适用于所有地区的域名过滤的名单;所述局部黑名单是预先设定的适用于与所述局部黑名单相对应地区的域名过滤的名单;所述域名库黑名单是根据域名库中的域名日志经日志分析后确定的用于过滤的名单,所述域名日志用于记录所有待过滤域名的过滤结果。
7.如权利要求1所述的方法,其特征在于,在所述对待过滤域名进行DNS解析之后,还包括:
若确定所述第一服务器的IP地址在IP黑名单中,则将所述待过滤域名过滤;其中,所述IP黑名单是预先设定的用于域名过滤的IP列表。
8.一种域名的过滤装置,其特征在于,包括:
解析单元,用于对待过滤域名进行DNS解析,确定所述待过滤域名对应的第一服务器;
过滤单元,用于在与所述第一服务器成功建立HTTPS连接后,获取所述第一服务器中的第一证书;若确定所述第一证书中存在所述待过滤域名,则将所述待过滤域名过滤。
9.如权利要求8所述的装置,其特征在于,所述过滤单元还用于:
若确定所述第一证书中不存在所述待过滤域名,则调用所述解析单元获取所述待过滤域名对应的别名;
调用所述解析单元对所述别名进行DNS解析,确定所述别名对应的第二服务器;
在与所述第二服务器成功建立HTTPS连接后,获取所述第二服务器中的第二证书;
若确定所述第二证书中存在所述别名,则将所述待过滤域名过滤。
10.如权利要求9所述的装置,其特征在于,所述过滤单元还用于:
若确定所述第二证书中不存在所述别名,则向所述第一服务器发起建立HTTP连接的请求;
在与所述第一服务器成功建立所述HTTP连接后,保留所述待过滤域名。
11.如权利要求8所述的装置,其特征在于,所述过滤单元还用于:
在与所述第一服务器未成功建立所述HTTPS连接后,向所述第一服务器发起建立HTTP连接的请求;
若与所述第一服务器成功建立所述HTTP连接,则保留所述待过滤域名。
12.如权利要求11所述的装置,其特征在于,所述过滤单元还用于:
若与所述第一服务器未成功建立所述HTTP连接,则将所述待过滤域名过滤。
13.如权利要求8所述的装置,其特征在于,所述过滤单元还用于:
在所述对待过滤域名进行DNS解析之前,若确定所述待过滤域名在域名黑名单中,则将所述待过滤域名过滤;
其中,所述域名黑名单包括公共黑名单和/或局部黑名单和/或域名库黑名单;所述公共黑名单是预先设定的适用于所有地区的域名过滤的名单;所述局部黑名单是预先设定的适用于与所述局部黑名单相对应地区的域名过滤的名单;所述域名库黑名单是根据域名库中的域名日志经日志分析后确定的用于过滤的名单,所述域名日志用于记录所有待过滤域名的过滤结果。
14.如权利要求8所述的装置,其特征在于,所述过滤单元还用于:
在所述对待过滤域名进行DNS解析之后,若确定所述第一服务器的IP地址在IP黑名单中,则将所述待过滤域名过滤;其中,所述IP黑名单是预先设定的用于域名过滤的IP列表。
15.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行权利要求1至7任一项所述的方法。
16.一种计算机可读非易失性存储介质,其特征在于,包括计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行如权利要求1至7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911317176.9A CN113014678A (zh) | 2019-12-19 | 2019-12-19 | 一种域名的过滤方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911317176.9A CN113014678A (zh) | 2019-12-19 | 2019-12-19 | 一种域名的过滤方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113014678A true CN113014678A (zh) | 2021-06-22 |
Family
ID=76382650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911317176.9A Pending CN113014678A (zh) | 2019-12-19 | 2019-12-19 | 一种域名的过滤方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113014678A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102611756A (zh) * | 2012-03-28 | 2012-07-25 | 北京蓝汛通信技术有限责任公司 | 一种发送访问请求的方法及系统 |
CN103873466A (zh) * | 2014-03-04 | 2014-06-18 | 深信服网络科技(深圳)有限公司 | Https网站过滤及阻断告警的方法和装置 |
CN104168269A (zh) * | 2014-07-24 | 2014-11-26 | 深圳市腾讯计算机系统有限公司 | 安全连接建立方法、装置及系统 |
CN105721479A (zh) * | 2016-03-02 | 2016-06-29 | 北京网康科技有限公司 | 一种网址过滤方法及装置 |
CN106789939A (zh) * | 2016-11-29 | 2017-05-31 | 中国银联股份有限公司 | 一种钓鱼网站检测方法和装置 |
CN107147622A (zh) * | 2017-04-21 | 2017-09-08 | 深圳市共进电子股份有限公司 | Https加密网址的过滤方法、装置及其计算机设备 |
CN109040052A (zh) * | 2018-07-26 | 2018-12-18 | 平安科技(深圳)有限公司 | 一种信息处理方法、终端及计算机可读介质 |
CN109769043A (zh) * | 2019-03-14 | 2019-05-17 | 中国工商银行股份有限公司 | 域名解析方法、装置及系统 |
CN109818946A (zh) * | 2019-01-11 | 2019-05-28 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
-
2019
- 2019-12-19 CN CN201911317176.9A patent/CN113014678A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102611756A (zh) * | 2012-03-28 | 2012-07-25 | 北京蓝汛通信技术有限责任公司 | 一种发送访问请求的方法及系统 |
CN103873466A (zh) * | 2014-03-04 | 2014-06-18 | 深信服网络科技(深圳)有限公司 | Https网站过滤及阻断告警的方法和装置 |
CN104168269A (zh) * | 2014-07-24 | 2014-11-26 | 深圳市腾讯计算机系统有限公司 | 安全连接建立方法、装置及系统 |
CN105721479A (zh) * | 2016-03-02 | 2016-06-29 | 北京网康科技有限公司 | 一种网址过滤方法及装置 |
CN106789939A (zh) * | 2016-11-29 | 2017-05-31 | 中国银联股份有限公司 | 一种钓鱼网站检测方法和装置 |
CN107147622A (zh) * | 2017-04-21 | 2017-09-08 | 深圳市共进电子股份有限公司 | Https加密网址的过滤方法、装置及其计算机设备 |
CN109040052A (zh) * | 2018-07-26 | 2018-12-18 | 平安科技(深圳)有限公司 | 一种信息处理方法、终端及计算机可读介质 |
CN109818946A (zh) * | 2019-01-11 | 2019-05-28 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
CN109769043A (zh) * | 2019-03-14 | 2019-05-17 | 中国工商银行股份有限公司 | 域名解析方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6985576B2 (ja) | ビジネスプロセスシステム、ビジネスデータ処理方法及び装置 | |
CN112261172A (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
CN107133516B (zh) | 一种权限控制方法和系统 | |
WO2017107961A1 (zh) | 一种备份系统及方法 | |
CN111010405B (zh) | 一种SaaS化的网站安全监控系统 | |
CN112612977A (zh) | 一种页面显示方法、系统、装置、设备及存储介质 | |
CN111629058A (zh) | 一种镜像上传方法、装置、系统和后端设备 | |
CN113810408A (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
CN113190837A (zh) | 一种基于文件服务系统的web攻击行为检测方法及系统 | |
CN110891056A (zh) | Https请求认证方法及装置、电子设备、存储介质 | |
CN111241523A (zh) | 认证处理方法、装置、设备和存储介质 | |
CN111147625B (zh) | 获取本机外网ip地址的方法、装置及存储介质 | |
CN109347766B (zh) | 一种资源调度的方法及装置 | |
CN113014678A (zh) | 一种域名的过滤方法及装置 | |
CN109525478B (zh) | 一种ssl vpn连接方法及装置 | |
CN113938314B (zh) | 一种加密流量的检测方法及装置、存储介质 | |
CN106789979B (zh) | 一种idc机房内活跃域名的有效性诊断方法和装置 | |
CN116049099A (zh) | 一种数据处理方法、装置、电子设备及计算机可读介质 | |
CN105871982A (zh) | 内容推送的方法、装置以及系统 | |
CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
CN110071936B (zh) | 一种识别代理ip的系统及方法 | |
CN110061864B (zh) | 一种域名配置自动化验证的方法和系统 | |
CN107704557B (zh) | 操作互斥数据的处理方法、装置、计算机设备和存储介质 | |
CN112714161A (zh) | 视频接入方法、装置及视频接入系统 | |
CN112330366A (zh) | 兑换码兑换请求校验方法、装置、设备和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210622 |
|
RJ01 | Rejection of invention patent application after publication |