CN114465982B - 一种权威域名消失式风险的自主防御方法及装置 - Google Patents
一种权威域名消失式风险的自主防御方法及装置 Download PDFInfo
- Publication number
- CN114465982B CN114465982B CN202111342802.7A CN202111342802A CN114465982B CN 114465982 B CN114465982 B CN 114465982B CN 202111342802 A CN202111342802 A CN 202111342802A CN 114465982 B CN114465982 B CN 114465982B
- Authority
- CN
- China
- Prior art keywords
- dns
- provider
- domain name
- user
- dns provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明提出一种权威域名消失式风险的自主防御方法及装置,包括设置DNS代理服务插件,所述DNS代理服务插件适用于DNS递归服务器和个人主机用户两种互联网设备;所述DNS代理服务插件在当前DNS提供方拒绝服务或无法解析时,进行切换DNS解析过程中指向的首个DNS服务请求对象的操作,即进行切换其他DNS提供方的操作;对于有个性化需求的DNS递归服务器或个人主机用户,对DNS代理服务插件进行自定义配置,对于无个性化需求的DNS递归服务器或个人主机用户,采用DNS代理服务插件的默认配置,使得用户能够正常获得域名解析服务,实现自主防御权威域名消失式风险。
Description
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种权威域名消失式风险的 自主防御方法及装置。
背景技术
DNS(Domain Name System,域名系统)是一种提供域名到IP地址解析服 务的互联网基础设施。现有的最原始的域名系统采用层级结构,包括根域名服务 器和权威域名服务器,如图1所示,图1为域名系统的层级结构图,当用户想访 问“www.example.com”,DNS递归服务器接收到请求之后,请求信息先后经过 根域名服务器root和权威域名服务器com,example,最后用户获得 “www.example.com”的IP地址,访问www.example.com的服务器。域名系统 中各层的权威域名解析服务器组成了域名空间树,如图2所示,图2为权威域名 解析服务器的域名空间树状图,每个权威域名解析服务器即一个节点,存储着其 下域名空间的域名树结构信息以及域名资源记录,资源记录的格式如图3所示, 图3为域名资源记录的格式图,该资源记录表示将域名“www.example.com”解 析为IPv4地址1.2.3.4。
如今DNS的集中化解析存在着权威域名消失式风险。权威域名消失式风险 是指根域名服务器直接删除某权威域名的数据,导致该权威域名的域名缺失,相 当于在现有DNS中不存在该权威域名,致使所有个人主机用户无法正常解析该 域名。
面对DNS的集中化解析存在着用户致盲式风险和权威域名消失式风险,国 内外学者也在寻求着相应的解决方法。张宇等提出一个自主开放的互联网根域名 解析体系,从域名结构和域名机制两方面来解决权威域名消失式风险。首先,其 针对域名唯一性与去中心化之间矛盾,提出了授权与解析分离机制,在保留单一 根权威的条件下,实现解析服务去中心化。接着,针对中心式结构风险,提出建 立国家根与根联盟,通过自治与合作实现权力制衡。然后,分析了新体系防范风 险的有效性以及在当前DNS基础之上的增量,并讨论新体系所具有的自主、开 放、平等、透明性质。最后,对新体系的安全性进行分析并给出了一个原型系统。(张宇,夏重达,方滨兴,等.一个自主开放的互联网根域名解析体系[J].信息安全学报,2017,2(4):57-69.)。
然而,现代互联网的使用过于广泛,即使是细微的迭代改进也极难落地,上 述视图改变域名结构和域名机制,提出新的DNS,以解决权威域名消失式风险 的方法很难得到推广,广大用户仍面临着权威域名消失式风险。
发明内容
本发明为克服上述现有技术无法防范权威域名消失式风险的缺陷,提供一种 权威域名消失式风险的自主防御方法及装置。
为解决上述技术问题,本发明的技术方案如下:
第一个方面,本发明提出一种权威域名消失式风险的自主防御方法,包括:
设置DNS代理服务插件,所述DNS代理服务插件适用于DNS递归服务器 和个人主机用户两种互联网设备;所述DNS代理服务插件在当前DNS提供方拒 绝服务或无法解析时,进行切换DNS解析过程中指向的首个DNS服务请求对象 的操作,即进行切换其他DNS提供方的操作;
对于有个性化需求的DNS递归服务器或个人主机用户,对DNS代理服务插 件进行自定义配置,所述DNS代理服务插件在DNS解析过程中根据自定义配置 校验DNS提供方权威数据并自动切换DNS提供方,以及更新相关文件;
对于无个性化需求的DNS递归服务器或个人主机用户,采用DNS代理服务 插件的默认配置,所述DNS代理服务插件在DNS解析过程中根据默认配置校验 DNS提供方权威数据并自动切换DNS提供方,以及更新相关文件。
优选地,在所述自定义配置中,具体包括以下步骤:
步骤A-1:根据DNS递归服务器或个人主机用户的个性化需求对DNS代理 服务插件进行自定义配置;
步骤A-2:在DNS解析过程中,接收用户发起的域名解析请求,根据自定 义配置的规则,选择DNS代理范围,然后判断所述域名解析请求应当发往的DNS 提供方,然后切换DNS提供方;
步骤A-3:根据自定义配置的更新规则以及解析结果,更新PAC文件。
优选地,步骤A-1具体包括以下步骤:
步骤A-1-1:选择已有的DNS提供方,或输入DNS提供方的IP地址并进行 命名,以更新DNS提供方列表;
步骤A-1-2:设置DNS提供方的切换规则;
步骤A-1-3:设置DNS提供方的更新规则。
优选地,所述DNS代理范围包括全局代理和PAC代理;其中:
当使用全局代理时,用户发起的域名解析请求均发往特定的DNS提供方, 然后切换特定的DNS提供方;
当使用PAC代理时,首先按照优先顺序匹配用户DNS提供方列表中的每个 DNS提供方单独应用的PAC文件,若匹配DNS提供方单独应用的PAC文件成 功,则将请求发往匹配成功的DNS提供方,切换DNS提供方;其次匹配全局应 用的PAC文件,若匹配全局应用的PAC文件成功,则将用户发起的域名解析请 求发往优先顺序最高的DNS提供方代理域名解析服务,若请求解析失败,则向 下一顺次的DNS提供方发送域名解析请求。
优选地,所述步骤A-3中,当选择同步DNS提供方的PAC文件,定时下载 DNS提供方的PAC文件并更新;当选择在原来的PAC文件中添加或删除解析失 败的域名,根据解析结果实时更新相关的PAC文件。
优选地,在所述默认配置中,具体包括以下步骤:
步骤B-1:DNS代理服务插件使用默认配置;
步骤B-2:在DNS解析过程中,接收用户发起的域名解析请求,根据默认 配置的规则,判断所述域名解析请求应当发往的DNS提供方,然后切换DNS提 供方;
步骤B-3:根据默认配置的更新规则以及解析结果,更新PAC文件,具体为: 选择同步DNS提供方的PAC文件,定时下载DNS提供方的PAC文件并更新。
优选地,所述默认配置中包括固定的目标DNS提供方、预设的切换规则和 预设的更新规则。
优选地,步骤B-2具体包括:
默认使用PAC代理:首先按照优先顺序匹配用户DNS提供方列表中的每个 DNS提供方单独应用的PAC文件,若匹配DNS提供方单独应用的PAC文件成 功,则将请求发往匹配成功的DNS提供方;其次匹配全局应用的PAC文件,若 匹配全局应用的PAC文件成功,则将用户发起的域名解析请求发往优先顺序最 高的DNS提供方代理域名解析服务,若请求解析失败,则向下一顺次的DNS提 供方发送域名解析请求。
优选地,所述DNS代理服务插件还包括不启动代理模式,不启用代理模式 在任何情况下仍访问根域名服务器以获取域名解析服务。
第二个方面,本发明还提出一种权威域名消失式风险的自主防御装置,应用 于上述任一方案所述的权威域名消失式风险的自主防御方法中,包括:
DNS代理服务插件,所述DNS代理服务插件在当前DNS提供方拒绝服务 或无法解析时,进行切换其他DNS提供方的操作。
所述DNS代理服务插件包括DNS提供方切换模块、IP地址获取模块、DNS 提供方认证模块和切换规则管理模块。
所述IP地址获取模块,用于获取有效DNS提供方的IP地址。
所述DNS提供方认证模块,用于检验DNS提供方的权威数据。
所述切换规则管理模块,用于在DNS解析过程中,管理用户切换DNS提供 方的切换规则。
所述DNS提供方切换模块包括自定义配置单元、默认配置单元、递归服务 器接口和客户端接口。
所述自定义配置单元用于对于有个性化需求的DNS递归服务器或个人主机 用户,对DNS代理服务插件进行自定义配置,所述DNS代理服务插件在DNS 解析过程中根据自定义配置自动切换DNS提供方以及更新相关文件。
所述默认配置单元用于对于无个性化需求的DNS递归服务器或个人主机用 户,采用DNS代理服务插件的默认配置,所述DNS代理服务插件在DNS解析 过程中根据默认配置自动切换DNS提供方以及更新相关文件。
所述递归服务器接口用于,拦截递归服务器本身对现有根域名服务器的请求, 根据设置及策略转发请求至相应DNS提供方,接收相应DNS提供方返回的结果, 调用递归服务器接收根域名服务器返回结果的接口,将结果返回递归服务器。
所述客户端接口用于,拦截个人主机本身对本地DNS解析服务器的请求, 根据设置及策略转发请求至相应DNS提供方接收相应DNS提供方返回的结果, 调用个人主机接收DNS解析服务器返回结果的接口,将结果返回个人主机。
与现有技术相比,本发明技术方案的有益效果是:本发明设计了DNS代理 服务插件,在当前DNS提供方拒绝服务或无法解析时,个人主机用户和DNS递 归服务器通过使用所述DNS代理服务插件将域名解析请求发往其他能够进行域 名解析服务的DNS提供方,能够快速切换到其他安全可信的DNS提供方,获得 域名解析服务,自主防御权威域名消失式风险。
附图说明
图1为现有技术的域名系统的层级结构图。
图2为现有技术的权威域名解析服务器的域名空间树状图。
图3为现有技术的域名资源记录的格式图。
图4为实施例1中DNS代理服务插件进行DNS代理服务的流程图。
图5为实施例1中在DNS递归服务器中使用DNS代理服务插件的域名解析过程 示意图。
图6为实施例1中在个人主机用户中使用DNS代理服务插件的域名解析过程示 意图。
图7为实施例2中DNS代理服务插件进行DNS代理服务的流程示意图。
图8为实施例3中权威域名消失式风险的自主防御装置的架构图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
请参阅图4-图6本实施例提出一种权威域名消失式风险的自主防御方法,包 括:
设置DNS代理服务插件,所述DNS代理服务插件适用于DNS递归服务器 和个人主机用户两种互联网设备;所述DNS代理服务插件在当前DNS提供方拒 绝服务或无法解析时,进行切换DNS解析过程中指向的首个DNS服务请求对象 的操作,即进行切换其他DNS提供方的操作。
在具体实施过程中,对于有个性化需求的DNS递归服务器或个人主机用户, 对DNS代理服务插件进行自定义配置,所述DNS代理服务插件在DNS解析过 程中根据自定义配置校验DNS提供方权威数据并自动切换DNS提供方,以及更 新相关文件。对于无个性化需求的DNS递归服务器或个人主机用户,采用DNS 代理服务插件的默认配置,所述DNS代理服务插件在DNS解析过程中根据默认 配置校验DNS提供方权威数据并自动切换DNS提供方,以及更新相关文件。
如图5所示,图5为在DNS递归服务器中使用DNS代理服务插件的域名解 析过程示意图,首先,个人主机用户向DNS递归服务器发送域名解析请求,DNS 递归服务器将域名解析请求发送至DNS代理服务插件,DNS代理服务插件检测 配置的策略,制定DNS提供方的切换规则,然后DNS代理服务插件将规则信息 发送给递归服务器,匹配DNS提供方,若此时的DNS提供方与递归服务器成功 匹配,则切换DNS提供方,完成域名解析服务,否则DNS代理服务插件重新制 定切换规则,直至完成成功切换DNS提供方,完成域名解析服务。
如图6所示,图6为在个人主机用户中使用DNS代理服务插件的域名解析 过程示意图,首先,个人主机用户发出域名解析请求,代理服务插件检测配置的 策略,制定DNS提供方的切换规则,然后DNS代理服务插件将规则信息直接发 送给个人主机用户,匹配DNS提供方,若此时的DNS提供方与个人主机用户成 功匹配,则切换DNS提供方,完成域名解析服务,否则DNS代理服务插件重新 检测配置的策略,直至完成成功切换DNS提供方,完成域名解析服务。
实施例2
本实施例提出一种权威域名消失式风险的自主防御方法,如图7所示,图7 为本实施例中DNS代理服务插件进行DNS代理服务的流程示意图,DNS代理 服务的具体流程如下所示:
对于有个性化需求的DNS递归服务器或个人主机用户,对DNS代理服务插 件进行自定义配置,所述DNS代理服务插件在DNS解析过程中根据自定义配置 自动切换DNS提供方以及更新相关文件,具体包括以下步骤:
步骤A-1:根据DNS递归服务器或个人主机用户的个性化需求对DNS代理 服务插件进行自定义配置,具体包括以下步骤:
步骤A-1-1:选择已有的DNS提供方,或输入DNS提供方的IP地址并进行 命名,以更新DNS提供方列表;
步骤A-1-2:设置DNS提供方的切换规则;
步骤A-1-3:设置DNS提供方的更新规则。
步骤A-2:在DNS解析过程中,接收用户发起的域名解析请求,根据自定 义配置的规则,选择DNS代理范围,然后判断所述域名解析请求应当发往的DNS 提供方,然后切换DNS提供方;
所述代理范围包括全局代理和PAC代理;
所述DNS代理范围包括全局代理和PAC代理;其中:
当使用全局代理时,用户发起的域名解析请求均发往特定的DNS提供方, 然后切换特定的DNS提供方;
当使用PAC代理时,首先按照优先顺序匹配用户DNS提供方列表中的每个 DNS提供方单独应用的PAC文件(域名名单),若匹配DNS提供方单独应用的 PAC文件成功,则将请求发往匹配成功的DNS提供方,切换DNS提供方;其次 匹配全局应用的PAC文件,若匹配全局应用的PAC文件成功,则将用户发起的 域名解析请求发往优先顺序最高的DNS提供方代理域名解析服务,若请求解析 失败,则向下一顺次的DNS提供方发送域名解析请求。
步骤A-3:根据自定义配置的更新规则以及解析结果,更新PAC文件,具 体包括:当选择同步DNS提供方的PAC文件,定时下载DNS提供方的PAC文 件并更新;当选择在原来的PAC文件中添加或删除解析失败的域名,根据解析 结果实时更新相关的PAC文件。
对于无个性化需求的DNS递归服务器或个人主机用户,采用DNS代理服务 插件的默认配置,所述DNS代理服务插件在DNS解析过程中根据默认配置自动 切换DNS提供方以及更新相关文件,具体包括以下步骤:
步骤B-1:DNS代理服务插件使用默认配置;
步骤B-2:在DNS解析过程中,接收用户发起的域名解析请求,根据默认 配置的规则,判断所述域名解析请求应当发往的DNS提供方,然后切换DNS提 供方;
在默认配置中默认使用PAC代理:首先按照优先顺序匹配用户DNS提供方 列表中的每个DNS提供方单独应用的PAC文件,若匹配DNS提供方单独应用 的PAC文件成功,则将请求发往匹配成功的DNS提供方;其次匹配全局应用的 PAC文件,若匹配全局应用的PAC文件成功,则将用户发起的域名解析请求发 往优先顺序最高的DNS提供方代理域名解析服务,若请求解析失败,则向下一 顺次的DNS提供方发送域名解析请求。
步骤B-3:根据默认配置的更新规则以及解析结果,更新PAC文件,具体为: 选择同步DNS提供方的PAC文件,定时下载DNS提供方的PAC文件并更新。
在具体实施过程中,在当前DNS提供方拒绝服务或无法解析时,个人主机 用户和DNS递归服务器通过使用所述DNS代理服务插件将域名解析请求发往其 他能够进行域名解析服务的DNS提供方,能够快速切换到其他安全可信的DNS 提供方,获得域名解析服务,自主防御权威域名消失式风险,使得用户获得安全 有效的域名解析服务,提高DNS服务器的安全性和可用性。另外,本发明除了 结合13台根域名服务器外,还结合了多方域名解析服务提供方,能够更加有效 地抵御现有DNS系统集中化解析带来的权威域名消失式风险,降低其为个人主 机用户带来的危害,帮助用户可以获得更自主安全可信的域名解析服务。
实施例4
请参阅图7,本实施例提出一种权威域名消失式风险的自主防御方法,包括 设计适用于当前各类DNS递归服务器和操作系统的DNS代理服务插件,由所述 DNS代理服务插件自动配置域名解析过程中首个请求对象(通常为根域名服务 器或其他DNS提供方),所述DNS代理服务插件包括自定义模式、默认代理模 式和不启用代理模式。
DNS代理服务插件的自定义模式中,DNS代理服务插件能够实现一下功能:
(1)实现用户可以选中并添加DNS提供方的功能:用户可以看到待选DNS 提供方列表,选中已有的待选DNS提供方并添加到使用的DNS提供方列表中, 也可以输入DNS提供方的IP地址,然后命名并添加到DNS提供方的列表中。
(2)实现用户设置切换规则的功能:用户可以通过选择代理范围,包括全 局代理和PAC代理,以及编辑PAC文件灵活制定切换规则,用户设置切换规则 后,切换规则实时更新。
所述全局代理是指用户可以选中任意一个DNS提供方,令其全局代理域名 解析服务。
所述PAC代理是指用户可以选中一个或多个DNS提供方并添加到DNS提 供方列表,令其根据全局应用的PAC文件或单独应用的PAC文件,灵活代理域 名解析服务。当用户编辑每一个DNS提供方所单独应用的PAC文件时,若请求 域名与该PAC文件内容匹配时,则使用该DNS提供方代理域名解析服务,否则 请求根域名服务器获得域名解析服务;另外,用户也可以对DNS提供方列表中 多个DNS提供方进行优先排序,编辑全局应用的PAC文件以及每个DNS提供 方单独应用的PAC文件,其次匹配全局应用的PAC文件。若匹配DNS提供方 单独应用的PAC文件成功,则将请求发往匹配成功的DNS提供方;其次匹配全 局应用的PAC文件,若匹配全局应用的PAC文件成功,则将用户发起的域名解 析请求发往优先顺序最高的DNS提供方代理域名解析服务,若请求解析失败, 则向下一顺次的DNS提供方发送域名解析请求。
(3)实现用户可以设置更新规则的功能:对任意一个DNS提供方,用户可 以选择是否同步DNS提供方的PAC文件、根域名服务器或其他特定DNS提供 方解析失败的域名加入该DNS提供方的PAC文件中,以及是否将当前DNS提 供方解析失败的域名从当前PAC文件中剔除。
(4)实现用户可以选中DNS提供方并验证身份的功能:用户可以选中已有 的待选DNS提供方或输入DNS提供方的IP地址,对其进行身份验证。若该DNS 提供方不支持身份验证或身份验证失败,则会向用户反馈警示消息。
DNS代理服务插件的默认代理模式有固定的目标DNS提供方(IP地址名单)、 预设的切换规则和预设的更新规则(同步DNS提供方的域名名单)。对于无个 性化需求的DNS递归服务器管理员或个人主机用户采用默认代理模式,DNS代 理服务插件将定时主动拉取可用DNS提供方数据,检验DNS提供方权威数据, 一键切换本地主机使用的DNS提供方。
当用户不启用代理模式时,在任何情况下仍访问根域名服务器以获取域名解 析服务。
在具体实施过程中,用户可以根据自己的需求灵活切换DNS代理服务插件 的代理模式,自主验证特征域名解析服务提供方身份;在DNS代理服务插件启 动后,支持自动加载可用的域名解析服务提供方,有着高便携性和安全性。
实施例3
请参阅图8,本实施例提出一种权威域名消失式风险的自主防御装置,应用 于上述实施例所述的权威域名消失式风险的自主防御方法中,包括DNS代理服 务插件,所述DNS代理服务插件包括DNS提供方切换模块、IP地址获取模块、 DNS提供方认证模块和切换规则管理模块。
所述DNS代理服务插件在当前DNS提供方拒绝服务或无法解析时,进行切 换其他DNS提供方的操作;
所述DNS提供方切换模块包括自定义配置单元、默认配置单元、递归服务 器接口和客户端接口。所述自定义配置单元用于对于有个性化需求的DNS递归 服务器或个人主机用户,对DNS代理服务插件进行自定义配置,所述DNS代理 服务插件在DNS解析过程中根据自定义配置自动切换DNS提供方以及更新相关 文件。所述默认配置单元用于对于无个性化需求的DNS递归服务器或个人主机 用户,采用DNS代理服务插件的默认配置,所述DNS代理服务插件在DNS解 析过程中根据默认配置自动切换DNS提供方以及更新相关文件。
在具体应用中执行流程如下:
首先,通过IP地址获取模块获取有效DNS提供方的IP地址,在用户界面 显示出可供选择的已有的DNS提供方。
其次,DNS提供方认证模块检验DNS提供方的权威数据,以确保数据的有 效性和准确性,用户点击查看某个已有DNS提供方时,在用户界面该DNS提供 方的认证结果。
再次,DNS提供方切换模块中的递归服务器接口拦截递归服务器本身对现 有根域名服务器的请求,根据设置及策略转发请求至相应的DNS提供方,并接 收相应DNS提供方返回的结果,调用递归服务器接收DNS解析服务器返回结果 的接口,将结果返回递归服务器。而客户端接口则拦截个人主机本身对本地DNS 解析服务器(通常是递归服务器)的请求,根据设置及策略转发请求至相应的 DNS提供方接收相应的返回结果。
最后,切换规则管理模块读取并应用默认/用户配置的规则,实现在DNS解 析过程中的灵活切换。
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非 是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明 的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施 方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进 等,均应包含在本发明权利要求的保护范围之内。
Claims (10)
1.一种权威域名消失式风险的自主防御方法,其特征在于,包括:
设置DNS代理服务插件,所述DNS代理服务插件适用于DNS递归服务器和个人主机用户两种互联网设备;所述DNS代理服务插件在当前DNS提供方拒绝服务或无法解析时,进行切换DNS解析过程中指向的首个DNS服务请求对象的操作,即进行切换其他DNS提供方的操作;
对于有个性化需求的DNS递归服务器或个人主机用户,对DNS代理服务插件进行自定义配置,所述DNS代理服务插件在DNS解析过程中根据自定义配置校验DNS提供方权威数据并自动切换DNS提供方,以及更新相关文件;
对于无个性化需求的DNS递归服务器或个人主机用户,采用DNS代理服务插件的默认配置,所述DNS代理服务插件在DNS解析过程中根据默认配置校验DNS提供方权威数据并自动切换DNS提供方,以及更新相关文件。
2.根据权利要求1所述的权威域名消失式风险的自主防御方法,其特征在于,在所述自定义配置中,具体包括以下步骤:
步骤A-1:根据DNS递归服务器或个人主机用户的个性化需求对DNS代理服务插件进行自定义配置;
步骤A-2:在DNS解析过程中,接收用户发起的域名解析请求,根据自定义配置的规则,选择DNS代理范围,然后判断所述域名解析请求应当发往的DNS提供方,然后切换DNS提供方;
步骤A-3:根据自定义配置的更新规则以及解析结果,更新PAC文件。
3.根据权利要求2所述的权威域名消失式风险的自主防御方法,其特征在于,步骤A-1具体包括以下步骤:
步骤A-1-1:选择已有的DNS提供方,或输入DNS提供方的IP地址并进行命名,以更新DNS提供方列表;
步骤A-1-2:设置DNS提供方的切换规则;
步骤A-1-3:设置DNS提供方的更新规则。
4.根据权利要求2所述的权威域名消失式风险的自主防御方法,其特征在于,所述DNS代理范围包括全局代理和PAC代理;其中:
当使用全局代理时,用户发起的域名解析请求均发往特定的DNS提供方,然后切换特定的DNS提供方;
当使用PAC代理时,首先按照优先顺序匹配用户DNS提供方列表中的每个DNS提供方单独应用的PAC文件,若匹配DNS提供方单独应用的PAC文件成功,则将请求发往匹配成功的DNS提供方,切换DNS提供方;其次匹配全局应用的PAC文件,若匹配全局应用的PAC文件成功,则将用户发起的域名解析请求发往优先顺序最高的DNS提供方代理域名解析服务,若请求解析失败,则向下一顺次的DNS提供方发送域名解析请求。
5.根据权利要求4所述的权威域名消失式风险的自主防御方法,其特征在于,所述步骤A-3中,当选择同步DNS提供方的PAC文件,定时下载DNS提供方的PAC文件并更新;当选择在原来的PAC文件中添加或删除解析失败的域名,根据解析结果实时更新相关的PAC文件。
6.根据权利要求1所述的权威域名消失式风险的自主防御方法,其特征在于,在所述默认配置中,具体包括以下步骤:
步骤B-1:DNS代理服务插件使用默认配置;
步骤B-2:在DNS解析过程中,接收用户发起的域名解析请求,根据默认配置的规则,判断所述域名解析请求应当发往的DNS提供方,然后切换DNS提供方;
步骤B-3:根据默认配置的更新规则以及解析结果,更新PAC文件,具体为:选择同步DNS提供方的PAC文件,定时下载DNS提供方的PAC文件并更新。
7.根据权利要求6所述的权威域名消失式风险的自主防御方法,其特征在于,所述默认配置中包括固定的目标DNS提供方、预设的切换规则和预设的更新规则。
8.根据权利要求6所述的权威域名消失式风险的自主防御方法,其特征在于,步骤B-2具体包括:
默认使用PAC代理:首先按照优先顺序匹配用户DNS提供方列表中的每个DNS提供方单独应用的PAC文件,若匹配DNS提供方单独应用的PAC文件成功,则将请求发往匹配成功的DNS提供方;其次匹配全局应用的PAC文件,若匹配全局应用的PAC文件成功,则将用户发起的域名解析请求发往优先顺序最高的DNS提供方代理域名解析服务,若请求解析失败,则向下一顺次的DNS提供方发送域名解析请求。
9.根据权利要求1所述的权威域名消失式风险的自主防御方法,其特征在于,所述DNS代理服务插件还包括不启动代理模式,不启用代理模式在任何情况下仍访问根域名服务器以获取域名解析服务。
10.一种权威域名消失式风险的自主防御装置,其特征在于,包括:
DNS代理服务插件,所述DNS代理服务插件在当前DNS提供方拒绝服务或无法解析时,进行切换其他DNS提供方的操作;
所述DNS代理服务插件包括DNS提供方切换模块、IP地址获取模块、DNS提供方认证模块和切换规则管理模块;
所述IP地址获取模块,用于获取有效DNS提供方的IP地址;
所述DNS提供方认证模块,用于检验DNS提供方的权威数据;
所述切换规则管理模块,用于在DNS解析过程中,管理用户切换DNS提供方的切换规则;
所述DNS提供方切换模块包括自定义配置单元、默认配置单元、递归服务器接口和客户端接口;
所述自定义配置单元用于对于有个性化需求的DNS递归服务器或个人主机用户,对DNS代理服务插件进行自定义配置,所述DNS代理服务插件在DNS解析过程中根据自定义配置自动切换DNS提供方以及更新相关文件;
所述默认配置单元用于对于无个性化需求的DNS递归服务器或个人主机用户,采用DNS代理服务插件的默认配置,所述DNS代理服务插件在DNS解析过程中根据默认配置自动切换DNS提供方以及更新相关文件;
所述递归服务器接口用于,拦截递归服务器本身对现有根域名服务器的请求,根据设置及策略转发请求至相应DNS提供方,接收相应DNS提供方返回的结果,调用递归服务器接收根域名服务器返回结果的接口,将结果返回递归服务器;所述客户端接口用于,拦截个人主机本身对本地DNS解析服务器的请求,根据设置及策略转发请求至相应DNS提供方接收相应DNS提供方返回的结果,调用个人主机接收DNS解析服务器返回结果的接口,将结果返回个人主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111342802.7A CN114465982B (zh) | 2021-11-12 | 2021-11-12 | 一种权威域名消失式风险的自主防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111342802.7A CN114465982B (zh) | 2021-11-12 | 2021-11-12 | 一种权威域名消失式风险的自主防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114465982A CN114465982A (zh) | 2022-05-10 |
| CN114465982B true CN114465982B (zh) | 2023-03-24 |
Family
ID=81406476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111342802.7A Active CN114465982B (zh) | 2021-11-12 | 2021-11-12 | 一种权威域名消失式风险的自主防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114465982B (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11110324A (ja) * | 1997-10-07 | 1999-04-23 | Hitachi Ltd | 代理サーバ選択装置および代理サーバ |
| CN103297564B (zh) * | 2013-07-03 | 2016-12-28 | 深圳市共进电子股份有限公司 | 一种自动切换外部代理服务器地址的方法 |
| CN107995325B (zh) * | 2017-12-08 | 2021-08-24 | 北京酷我科技有限公司 | 一种Android上降低域名解析失败的方法 |
| US11277373B2 (en) * | 2019-07-24 | 2022-03-15 | Lookout, Inc. | Security during domain name resolution and browsing |
| CN112929463A (zh) * | 2021-01-26 | 2021-06-08 | 网宿科技股份有限公司 | 一种基于dns的流量代理方法、服务器及系统 |
-
2021
- 2021-11-12 CN CN202111342802.7A patent/CN114465982B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114465982A (zh) | 2022-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11683300B2 (en) | Tenant-aware distributed application authentication | |
| US11088903B2 (en) | Hybrid cloud network configuration management | |
| US10091005B2 (en) | Push notification service | |
| CN102769529B (zh) | Dnssec签名服务器 | |
| CN107277049B (zh) | 一种应用系统的访问方法及装置 | |
| US7979734B2 (en) | Method and system for preventing service disruption of internet protocol (IP) based services due to domain name resolution failures | |
| CN107690800A (zh) | 管理动态ip地址分配 | |
| US20030226036A1 (en) | Method and apparatus for single sign-on authentication | |
| US20090125522A1 (en) | File sharing system and file sharing method | |
| US20030182423A1 (en) | Virtual host acceleration system | |
| GB2458470A (en) | Mobile terminal authorisation arrangements | |
| MX2011003223A (es) | Acceso al proveedor de servicio. | |
| CN101179565B (zh) | 一种电子节目单基本业务的实现方法 | |
| CN111010405B (zh) | 一种SaaS化的网站安全监控系统 | |
| CN110868446A (zh) | 一种后ip的主权网体系架构 | |
| KR20210130989A (ko) | Api 게이트웨이 엑셀레이터 시스템 및 방법 | |
| US8112535B2 (en) | Securing a server in a dynamic addressing environment | |
| CN114465982B (zh) | 一种权威域名消失式风险的自主防御方法及装置 | |
| CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| CN111245791B (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
| US20020184536A1 (en) | Method and apparatus for brokering and provisioning of windows | |
| CN112217910B (zh) | 视频服务访问方法、装置、网络设备和存储介质 | |
| CN110875903B (zh) | 一种安全防御方法及设备 | |
| CN115189897A (zh) | 零信任网络的访问处理方法、装置、电子设备及存储介质 | |
| KR20000072758A (ko) | 사용자 정의환경을 가진 클라이언트 프로그램으로보안서버에 로그인하여 다수의 웹서비스서버에 로그인없이 한번의 클릭으로 보안화된 통로를 거처 원하는웹문서에 직접 접근하는 보안 서비스 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |