JP2019522416A - Dnsリクエストの抑制のためのシステム及び方法 - Google Patents

Dnsリクエストの抑制のためのシステム及び方法 Download PDF

Info

Publication number
JP2019522416A
JP2019522416A JP2018565310A JP2018565310A JP2019522416A JP 2019522416 A JP2019522416 A JP 2019522416A JP 2018565310 A JP2018565310 A JP 2018565310A JP 2018565310 A JP2018565310 A JP 2018565310A JP 2019522416 A JP2019522416 A JP 2019522416A
Authority
JP
Japan
Prior art keywords
address
domain name
request
server
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018565310A
Other languages
English (en)
Inventor
ラピドーズ,ユージーン
クズメンコ,ローマン
モルチャノワ,マキシム
モウラ パニセ,エドュアルド
モウラ パニセ,エドュアルド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AnchorFree Inc
Original Assignee
AnchorFree Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AnchorFree Inc filed Critical AnchorFree Inc
Publication of JP2019522416A publication Critical patent/JP2019522416A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/59Network arrangements, protocols or services for addressing or naming using proxies for addressing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

仮想プライベートルータ(VPR)は、DNSリクエストを傍受し、リクエストするアプリケーションに疑似IPアドレスを返信し、疑似IPアドレスはリクエスト中のドメイン名にマッピングされる。疑似IPアドレスを含むコンテンツに対するリクエストは、対応するドメイン名を含むように修正され、中間サーバに送信され、中間サーバは、ドメイン名を実IPアドレスに解決し、そのコンテンツリクエストを転送する。コンテンツは中間サーバにより受信され、中間サーバは、VPR経由等で、リクエストするアプリケーションにそれを返信する。そのドメイン名に対する後続のコンテンツリクエストが中間サーバをバイパスできるように、実IPアドレスが中間サーバにより返信されてよい。VPRがドメイン名を実IPアドレスに解決するように、幾つかのドメイン、ポート、及び/又はプロトコルに対するリクエストは中間サーバをバイパスしてもよい。【選択図】図1

Description

インターネット上で利用可能なコンテンツの大部分は、ユニバーサルリソースロケータ(URL)と関連付けられており、該URLはドメイン名によってコンテンツサーバを参照する。ある特定のコンテンツサーバからコンテンツをリクエストするために、そのドメイン名は数字からなるIPアドレスに変換される必要がある。この変換はドメインネームサービス(DNS)によって行われる。コンテンツリクエストを発行する前に、クライアントコンピュータは、リクエストされたドメイン名をIPアドレスにマッピングするようDNSサーバに依頼する。クライアントは、DNS応答を一定の許可時間(タイムトゥーリブ、TTL)の間キャッシュし得るが、キャッシュ時間が時間切れになった場合、又は、リクエストされたドメインがDNSキャッシュに格納されていない場合、新たなDNSリクエストを発行しなければならない。
DNSリクエストの度に、コンテンツをフェッチするために必要な時間が増加し、クライアントは、コンテンツリクエストを発行する前にDNS応答の受信を待たなければならない。DNSサーバが遅いと、コンテンツサーバが速くても、インターネットの体感速度が低下しうる。DNS応答がCNAMEレコード(あるドメイン名の別名の指定)を含む場合、クライアントは、別のDNSリクエストを発行する必要がある可能性があり、コンテンツの検索(retrieval)は更に遅れる。DNSのレイテンシは、モバイルネットワークで特に大きくなり、3Gネットワークで200〜300msに達しうる。
クライアント側のDNSリクエストを抑制する周知の方法は、コンテンツリクエスト毎にドメイン名を提供つつ、クライアントコンピュータからプロキシサーバを通じてHTTP又はHTTPSトラフィックを送信する方法である。クライアント側アプリケーションは、プロキシサーバ(例えばマイクロソフト社が提供するインターネットエクスプローラーはプロキシ設定に対応)を通じてそれが接続されていることを認識している場合、DNSリクエストを発行しない。その代わりに、プロキシサーバが、指定されたドメインに自身のDNSリクエストを発行する。
DNS解決をプロキシサーバに移すと、全体的なレイテンシ(特にクライアントがモバイルネットワークに接続されている場合)及びクライアント側のデータトラフィックは一般的に減少する。大きなDNSキャッシュを持つ同一のプロキシサーバに複数のユーザが接続される場合、リクエストされたDNS応答が既にキャッシュされている可能性が大きく、パフォーマンスが更に改善しうる。しかしながら、特にモバイルデバイス上の複数のクライアントアプリケーションは、プロキシ設定をサポートせず、クライアント側のDNS結果を廃棄し自身のDNSリクエストを発行するプロキシサーバを通じて接続されていたとしても、DNSリクエストを発行し続ける。クライアント側のDNSリクエストはまた、HTTP及び/又はHTTPS接続を終了し独自のDNSリゾルバを用いるVPNサーバを通じてクライアントが接続されている場合にも破棄される。
従って、特にクライアントコンピュータがプロキシ又はVPNサーバに接続されてる場合に、コンピュータネットワーク上でのクライアントからのDNSリクエストの数を減少させる必要がある。
本発明の利点の理解を促す目的で、添付の図面に示される具体的な実施形態を参照しながら、簡潔に上述した本発明を更に詳細に説明する。図面が示すのは本発明の典型的な実施形態でありその範囲を限定すると考えられるべきものではないとの理解に基づき、添付の図面を使用し、本発明について更に具体的、詳細に述べ、説明する。
本発明の実施形態に従った方法を実行するためのネットワーク環境を示す概略ブロック図である。 本発明の実施形態に従った、DNSリクエストを抑制するための方法のプロセスフロー図である。 本発明の実施形態に従った、幾つかのドメイン名に対するDNSリクエスト抑制をバイパスするプロセスフロー図である。 本発明の実施形態に従った、ルーティング不可IPアドレスを含むコンテンツリクエストを処理するための方法のプロセスフロー図である。 本発明の実施形態に従った、中間サーババイパス規則を適用してルーティング不可IPアドレスを伴うコンテンツリクエストを処理する方法のプロセスフロー図である。 本発明の実施形態に従った、TCPコンテンツリクエストを処理するための方法のプロセスフロー図である。 本発明の実施形態に従った、中間サーバのバイパスを含む、ルーティング不可IPアドレスを含むコンテンツリクエストを処理するための方法のプロセスフロー図である。 本発明の実施形態に従った、様々なプロトコルに対し中間サーバによりコンテンツを転送する方法のプロセスフロー図である。 本発明の実施形態に従った、様々なプロトコルに対して中間サーバによりコンテンツを転送する方法のプロセスフロー図である。 本発明の実施形態に従った、様々なプロトコルに対して中間サーバによりコンテンツを転送する方法のプロセスフロー図である。 本発明の実施形態に従った、VPNトラフィックを処理するためのプロセスフロー図である。 本発明の実施形態に従った、VPNセッションのレイテンシを低下させるためのプロセスフロー図である。 本発明の実施形態に従った、クライアント装置のIPアドレステーブルを追加(populate)しつつ、DNSリクエストを抑制する方法のプロセスフロー図である。 本発明の実施形態に従った、DNSリクエストを予期してIPアドレスを提供するための方法のプロセスフロー図である。 本発明の実施形態に従った方法の実装に適したコンピュータシステムの概略的ブロック図である。
本明細書において概観的に述べられ図面に例示される本発明のコンポーネントは、幅広く様々に異なる構成で配置、設計されうることが容易に理解されるであろう。従って、下記の、図面に示される本発明の実施形態の詳細な説明は、請求項に記載される発明の範囲の限定を意図するものではなく、単に本明細書において考察される本発明に係る実施形態の幾つかの例を代表するにすぎない。本明細書において述べられる実施形態は図面への参照により最もよく理解され、図面において、同様の要素は同じ参照番号で表される。
バーチャルプライベートルータ(VPR)と更に称されるクライアントコンピュータ上のソフトウェアは、1つ以上のクライアントアプリケーションにより開始された1つ以上のDNSリクエストを傍受し、リクエストされたドメイン名に対する疑似IPアドレスを返信し、リクエストされたドメイン名と返信された疑似IPアドレスとの対応関係を格納する。疑似IPアドレスは、リクエストされたドメイン名を実体コンテンツサーバに正確にマッピングする必要はない。
1つ以上の疑似IPアドレスを返信した後、VPRは、宛先として疑似IPアドレスを有する1つ以上のコンテンツリクエストを検出し、検出された疑似IPアドレスに対応するドメイン名を検索し、検索されたドメイン名の記述子と共にコンテンツリクエストを中間サーバに提出する。中間サーバは、提示されたドメイン名の記述子を実体コンテンツサーバに対応するIPアドレスに解決し、該サーバにコンテンツリクエストを転送し、クライアントコンピュータにコンテンツ応答を返信する。結果として、クライアントアプリケーションは、コンピュータネットワーク上でDNSリクエストを送信することなく、リクエストされたコンテンツを受信し、それにより、レイテンシ及びデータトラフィックの量を減少させる。
一実施形態において、VPRは、コンテンツリクエストが中間サーバを通じて送信されるべきか、それとも中間サーバをバイパスすべきかを判定する。コンテンツリクエストが中間サーバをバイパスすべき場合、VPRは、コンピュータネットワーク上でDNSリクエストを発行し、実IPアドレスを返信し、コンテンツリクエストが中間サーバを通じて送信されるべき場合、VPRは、コンピュータネットワーク上でDNSリクエストを発行することなく、疑似IPアドレスを返信する。
コンテンツリクエストを中間サーバを通じて送信するか否かかの判断は、ドメイン名、ポート、プロトコルのグループからの1つ以上のパラメータと関連づけられた一組のルーティング規則に依存してもよい。一実装において、VPRは、傍受されたDNSリクエストに応答を返信する前に、リクエストが中間サーバをバイパスすべきか否かを判定し、この判定は、リクエストされたドメイン名を1つ以上のルーティング規則に整合させることにより行われる。
別の実装では、VPRは、DNSリクエストを傍受した後、疑似IPアドレスを常に返信し、その後、疑似IPアドレスを宛先として有するコンテンツパケットを受信すると、そのIPアドレス、ポート、プロトコルと関連付けられたドメイン名のグループから1つ以上のパラメータを取得し、取得されたパラメータを1つ以上のルーティング規則に整合させ、コンテンツリクエストが中間サーバをバイパスすべき場合、取得されたドメイン名の実IPアドレスに対する自身のDNSリクエストを発行し、取得された実IPアドレスを用いてコンテンツリクエストをその後直接発行する。
一実施形態において、疑似IPアドレスはルーティング不可IPアドレスである。一実装において、ルーティング不可IPアドレスは、10.0.0.0−10.255.255.255、172.16.0.0−172.31.255.255、及び192.168.0.0−192.168.255.255の範囲の少なくとも1つの内のルーティング不可IPv4アドレスのグループから選択される。別の実装において、疑似IPアドレスはルーティング不可IPv6アドレスである。別の実装において、疑似IPアドレスとして用いられるルーティング不可IPアドレスは、クライアントコンピュータが接続されるローカルネットワーにより使用される範囲とは異なる1つ以上の範囲から選択される。別の実装において、疑似IPアドレスは、IPv4又はIPv6以外のトランスポートプロトコルと関連付けられたネットワークアドレスである。
幾つかの実施形態において、クライアントがVPNトンネルを通じてコンテンツリクエストを送信した後、VPNサーバは、リクエストされたドメイン名に対する自身のDNSリクエストを発行し、宛先IPアドレスをDNSリクエストから取得したものに置き換える。一実施形態において、この置き換えは、VPNトンネルからのトラフィックのデカプセル化(dis-encapsulate)後に行われる。別の実施形態においては、VPNトンネル内でトラフィックが依然としてカプセル化されている間に行われる。典型的には、HTTP及びHTTPSプロキシサーバは、それらのデータパケットが実宛先IPアドレスを含まない(幾つかの実施形態において、プロキシサーバのアドレスにそれは置き換えられる)ため、自身のDNSリクエストを発行する必要がある。先行技術におけるVPNサーバは、宛先IPアドレスを既に含むデータパケットに対する追加のDNSリクエストを行わず、カプセル化ヘッダを単に削除し、元のパケットをそれらの宛先に転送する。
一実施形態において、検出されたIPアドレスに対応するドメインの検索は、疑似IPアドレスのサブセットを抽出することと、格納されたドメイン名を参照するために該サブセットを用いることと、それにより、異なる範囲の疑似IPアドレスに対して、IPアドレスとドメイン名との間で同じ参照を維持可能にする。一実装において、検索された疑似IPアドレスのサブセットは、IPv4疑似IPアドレスの32ビット整数表現の下位ビット20桁以下を含む。
一実施形態において、VPRは、大きなTTL値を有する疑似IPアドレスを返信し、それにより、傍受される必要があるDNSリクエストの数を減少させる。
一実施形態において、中間サーバは少なくとも1つのプロキシサーバを含み、VPRは、1つ以上のクライアント側アプリケーションからのコンテンツリクエストをクライアント側プロキシにリダイレクトし、クライアント側プロキシは、リクエストを、リクエストされたドメインと共に、コンピュータネットワーク上でプロキシサーバに転送する。一実装において、1つ以上のHTTPコンテンツリクエストがクライアント側HTTPプロキシに提示され、クライアント側HTTPプロキシはHOSTヘッダ内のリクエストされたドメインを転送する。別の実装において、1つ以上のHTTPSコンテンツリクエストがクライアント側HTTPSプロキシに提示され、クライアント側HTTPSプロキシは、SNIヘッダ内のリクエストされたドメインを転送する。別の実装において、1つ以上のTCPコンテンツリクエストがクライアント側接続プロキシに提示され、クライアント側プロキシはCONNECTヘッダ内のリクエストされたドメインを転送する。
一実施形態において、中間サーバは、DNSリクエストを発行することによって、リクエストされたドメイン名の記述子をIPアドレスに解決する。一実装において、ドメイン名の記述子は、VPRによって傍受されたDNSリクエスト中で特定されるテキスト列(string)を含む。別の実装では、ドメイン名の記述子はテキスト列へのポインタであり、中間サーバは、リクエストされたドメイン名をIPアドレスに解決する前に、記述子によって指し示されたデータストレージからテキスト列の値を取得する。
一実施形態において、VPRは、2つ以上のコンテンツリクエストを少なくとも2つの異なる中間サーバに提示し、各コンテンツリクエストに対する中間サーバは、そのIPアドレス、ポート、及びプロトコルと関連付けられたドメイン名のグループからコンテンツリクエストの1つ以上のパラメータを取得し、これらのパラメータを1つ以上のルーティング規則とその後整合させることによって判定される。
別の実施形態において、中間サーバはVPNサーバであり、VPRは、クライアントコンピュータとVPNサーバとの間のVPNトンネル内において1つ以上のコンテンツリクエストをカプセル化する。一実装において、VPRは、VPNトンネル内において、リクエストされたドメイン名の記述子を提示する。一実装において、リクエストされたドメイン名の記述子は、宛先IPアドレスとして疑似APアドレスを有するTCP又はUDP接続の一組のデータパケットに、これらのデータパケットがVPNパケット内でカプセル化される前に追加される。
幾つかの実施形態において、中間サーバは、(自身のDNSリクエストを発行することにより解決された)実IPアドレスをコンテンツデータと共にクライアントに返送する。クライアントは、自身のDNSリクエストを発行せずに、中間サーバのバイパスにおいてリクエストを発行するためにそのアドレスを後で用いる。これにより、クライアントは、この実施形態においてDNSリクエストの発行を避けるために中間サーバを用いるが、それは実IPアドレスを取得するまでのみである。結果として、クライアントは、自身のDNSリクエストの代わりに疑似IPアドレスを依然として用いながら、中間サーバを通じた追加のホップに起因するパフォーマンス悪化を軽減する。
本発明に従った実施形態は、装置、方法、又はコンピュータプログラム製品として具体化されてもよい。従って、本発明は、全体がハードウェアという実施形態、全体がソフトウェアという実施形態(ファームウェア、常駐ソフトウェア、マイクロコード等を含む)、又は本明細書において概して“モジュール”又は“システム”と言及されるソフトウェア及びハードウェアの側面を組み合わせた実施形態の形式をとってもよい。更に、本発明は、媒体において具体化されるコンピュータ使用可能プログラムコードを有する、任意の有体の表現媒体で具体化されたコンピュータプログラム製品の形式をとってもよい。
1つ以上のコンピュータ使用可能又はコンピュータ読み取り可能な媒体の任意の組み合わせが利用されてもよい。例えば、コンピュータ読み取り可能媒体は、ポータブルコンピュータフロッピーディスク、ハードディスク、ランダムアクセスメモリ(RAM)デバイス、リードオンリーメモリ(ROM)デバイス、消去可能プログラマブルリードオンリメモリ(EPROM又はフラッシュメモリ)デバイス、ポータブルコンパクトディスクリードオンリメモリ(CDROM)、光学ストレージデバイス、及び磁気ストレージデバイスの内の1つ以上を含んでもよい。幾つかの選ばれた実施形態において、コンピュータ読み取り可能媒体は、命令実行システム、装置、もしくはデバイスにより、又はこれらに接続して使用されるプログラムを保持、格納、通信、伝播、又は移動できる任意の非一時的媒体を含んでもよい。
本発明の動作を実行するためのコンピュータプログラムコードは、例えば、Java、Smalltalk、又はC++等のオブジェクト指向型プログラム言語、及びCプログラム言語又は同様のプログラミング言語等の従来の手続き型プログラム言語を含む、1つ以上のプログラム言語の任意の組み合わせで記述されてもよく、HTML、XML、及びJSON等の記述言語又はマークアップ言語をも用いてもよい。プログラムコードは、その全体がコンピュータシステム上で、スタンドアロン型ソフトウェアパッケージとして実行されてもよく、コンピュータからいくらかの距離をおいた場所にあるリモートコンピュータ上で部分的に実行されてもよく、又は、その全体がリモートコンピュータ若しくはサーバ上で実行されてもよい。後者の場合、リモートコンピュータは、例えば、ローカルエリアネットワーク(LAN)若しくはワイドエリアネットワーク(WAN)を含む任意の種類のネットワークを通じてコンピュータに接続されてもよく、又は、(例えば、インターネットサービスプロバイダを用いてインターネットを通じて)外部コンピュータに接続されてもよい。コンピュータネットワークは、インターネットプロトコル以外のトランスポートプロトコルを用いてもよい。それに応じて、本発明は、IPアドレス以外の種類のネットワークアドレスに対して実装されてもよい。
以下、本発明の実施形態に従った方法、装置(システム)、及びコンピュータプログラム製品のフローチャート図及び/又はブロック図を参照しながら本発明を説明する。フローチャート図及び/又はブロック図中の各ブロック、並びにフローチャート図及び/又はブロック図中のブロックの組み合わせは、コンピュータプログラム命令又はコードとして実装できることが理解されるであろう。これらのコンピュータプログラム命令は、コンピュータ又はその他のプログラマブルデータ処理装置のプロセッサを通じて実行される命令がフローチャート及び/又はブロック図の1つ以上のブロックに特定される機能/行為を実装する手段を作り出すように、マシンを生み出す汎用コンピュータ、専用コンピュータ、又はその他のプログラマブルデータ処理装置のプロセッサに提供されてもよい。
これらのコンピュータプログラム命令はまた、コンピュータ読み取り可能媒体に格納される命令がフローチャート及び/又はブロック図の1つ以上のブロック中でに特定される機能/行為を実装する命令手段を含む製品を生み出すように、コンピュータ又はその他のプログラマブルデータ処理装置を特定の方法で機能させることができる非一時的コンピュータ読み取り可能媒体に格納されてもよい。
コンピュータプログラム命令はまた、コンピュータ又はその他のプログラマブルデータ処理装置上で実行される命令がフローチャート及び/又はブロック図の1つ以上のブロック中で特定される機能/行為を実装するためのプロセスを提供するように、コンピュータ又はその他のプログラマブル装置で実施される一連の動作ステップがコンピュータ実装プロセスを生み出させるために、コンピュータ又はそのたのプログラマブルデータ処理装置上にロードされてもよい。
図1は、本明細書に開示される方法が実装されてもよい例示的ネットワークアーキテクチャ100を説明する。具体的には、図13のコンピューティング装置1300等のコンピューティング装置は、1つ以上のアプリケーション102を格納及び実行することができる。具体的には、アプリケーション102は、そのようなアプリケーションを、ネットワーク上でデータを送信し又はリモートデバイスから受信するウェブブラウザ又はその他のアプリケーションとして含んでもよい。
コンピューティング装置1300は同様に、バーチャルプライベートルータ(VPR)104(その機能は後に詳しく述べる)をホストしてもよい。具体的には、VPR104は、ドメイン名の解決に対するリクエスト(例えばドメインネームサービス(DNS)リクエスト)と、コンテンツ又はコンテンツ送信に対するリクエストとの両方をアプリケーション102から傍受するトラフィックインターセプタ106を含んでもよい。
DNS解決リクエストはリゾルバ108によって処理されてよい。後に詳述するように、DNSリゾルバ108は、アプリケーション102からDNS解決リクエストを受信し、応答において、ルーティング不可IPアドレス(以下、「疑似IPアドレス」)をアプリケーション102に返信してもよい。幾つかの実施形態及び環境において、DNSリゾルバ108は、その実際のDNSリクエストをDNSサーバに送信し、ルーティング可能IPアドレス(以下、「実IPアドレス」)を受信し、そのルーティング可能IPアドレスをアプリケーション102に返信することで、アプリケーション102からのDNSリクエストに応答してもよい。DNSリゾルバ108は、ドメイン名を解決するためのリクエストに応答して、ドメイン名と、DNSリゾルバ108により生成された疑似IPアドレスと間のマッピングを記録してもよい。DNSリゾルバ108また、ドメインとDNSリゾルバ108によって解決された実IPアドレスとの間のマッピングを格納してもよい。
VPR104は更に、コンテンツルータ110を含んでもよい。アプリケーション102から受信されたコンテンツに対するリクエストは、コンテンツルータ110によって、コンテンツリクエスト中の疑似IPアドレスを識別し、該疑似IPアドレスにマッピングされたドメイン名を検索し、該ドメイン名を含む修正済みコンテンツリクエストを出力することで処理される。コンテンツリクエストに対する応答は、コンテンツルータ110によって受信され、アプリケーション102に返信されてもよい。
修正済みコンテンツリクエストは、コンテンツリクエストに対応する適切なモジュール112〜116により処理されてもよい。例えば、HTTPコンテンツリクエストはHTTPプロキシ112によって処理されてもよく、CONNECTコンテンツリクエストはCONNECTプロキシ114によって処理されてもよい。VPNトンネル内の通信はVPNモジュール116によって処理されてもよい。コンテンツリクエスト及びその他の通信は、モジュール112〜116によって中間サーバ118にその後送信されてもよい。幾つかの実施形態において、VPR104は、例示したモジュール112〜116よりも多い、又は少ないモジュールを実装してもよい。幾つかの実施形態において、VPRは更に、不正アクセスを防ぐためのファイアウォールを実装してもよい。
一実施形態において、中間サーバ118は少なくとも1つのプロキシサーバを含む。VPR104は、リクエストされたドメイン名を含むDNSリクエストを、1つ以上のクライアント側アプリケーションからクライアント側プロキシ(例えば、モジュール112〜116のうちの1つ)にリダイレクトし、クライアント側プロキシは、リクエストされたドメインと共に、そのリクエストをコンピュータネットワーク上で、プロキシサーバとして動作する中間サーバ118に転送する。一実装において、1つ以上のHTTPコンテンツリクエストがクライアント側HTTPプロキシ112に提示され、HTTPプロキシ112は、HOSTヘッダ内のリクエストされたドメインを転送する。別の実装において、1つ以上のHTTPSコンテンツリクエストがクライアント側HTTPSプロキシに提示され、クライアント側HTTPSプロキシはSNI(サーバネームアイデンティフィケーション)ヘッダ内のリクエストされたドメインを転送する。別の実装において、1つ以上のTCPコンテンツリクエストがクライアント側CONNECTプロキシ114に提示され、クライアント側CONNECTプロキシ114は、CONNECTヘッダ内のリクエストされたドメインを転送する。
一実装において、VPRは、2つ以上のコンテンツリクエストを少なくとも2つの異なる中間サーバに提示し、各コンテンツリクエストに対する中間サーバは、そのIPアドレス、ポート、及びプロトコルと関連付けられたドメイン名のグループからコンテンツリクエストの1つ以上のパラメータを取得し、これらのパラメータを1つ以上のルーティング規則と整合させることにより判定される。例えば、リクエストされたドメインに対する中間サーバは、中間サーバの位置に特有のコンテンツ(ローカルニュース等)を検索するため、又は、パフォーマンス改善のため(例えば、クライアントとコンテンツサーバとの間の直接ルートからの逸脱を最小化するため)に選択される。
VPR104の例示されたコンポーネントは、単一のクライアント装置1300によって格納及び実行されてもよいし、又は、ローカルネットワーク若しくはその他のネットワークによってクライアント装置1300に接続されたゲートウェイコンピュータ若しくはルータ等の複数のコンピューティング装置1300に分散されてもよい。
中間サーバ118は、修正済みコンテンツリクエスト及びその他の通信を受信し、ドメイン名を抽出し、ドメイン名をIPアドレスに解決し、そのIPアドレスに修正済みコンテンツリクエストを転送してもよい。幾つかの実施形態において、中間サーバ120は、コンテンツリクエストを受信してもよく、後に詳述するように、DNSリクエストを削減しつつVPN接続を管理するVPNサーバとして実施されてもよい。中間サーバ118はまた、VPNサーバとして機能してもよく、又はVPNトンネル内のコンテンツリクエスト及びその他の通信を他のVPNサーバに転送してもよい。
中間サーバ118、120はインターネット122、又は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、若しくはその他のネットワーク等のその他のネットワークに結合されてもよい。インターネット122への接続は、任意の有線又は無線の接続手段によってなされてもよい。コンテンツリクエストの対象であり、それらに対する応答を送信するサーバは、インターネット122に含まれるものと理解されてもよく、ネットワーク通信の対象であり、それらに対する応答を送信できる任意の装置を含んでよい。アプリケーション102及びVPR104を格納及び実行するコンピューティング装置1300(図13を参照)は、DNS名解決のリクエスト等のデータをインターネットから受信してもよく、それらに応答を送信してもよい。
図2は、VPR104、具体的にはDNSリゾルバ108によって実行されうる方法200を説明する。方法200は、DNSリクエストを傍受202することと、該DNSリクエストから、完全修飾ドメイン名(FQDN)をDNSから取得204することとを含んでよい。FQDNを疑似IPにマッピングするテーブル(FQDN_to_nr_IPテーブル)から該FQDNに対応する疑似IPを取得206するための試行がなされる。FQDN_to_nr_IPテーブルは、FQDNをキーとし、対応するIPアドレスをそのキーに対応する値とするハッシュテーブルであってもよい。本明細書にて説明されるその他のテーブルも同様にハッシュテーブルとして具体化されてもよい。
テーブル中にエントリが発見されないと判定された208場合、新しい疑似IPアドレス(nr_IP)が割り当て210られる。割り当てられた疑似IPアドレスは、該疑似IPアドレスがステップ204で取得されたFQDNに一意に解決するように、VPRの範囲内、又はVPR内の他のネーム空間内で一意であってもよい。一実装において、疑似IPアドレスは、10.0.0.−10.255.255.255、172.16.0.0−172.31.255.255、及び192.168.0.0−192.168.255.255の内の少なくとも1つの内のルーティング不可IPv4アドレスのグループから割り当て210られる。別の実装において、疑似IPアドレスはルーティング不可IPv6アドレスである。別の実装において、疑似IPアドレスとして用いられるルーティング不可IPアドレスは、クライアントコンピュータが接続されるローカルネットワークによって用いられる範囲とは異なる1つ以上の範囲から選択される。
一実装において、疑似IPアドレスとして用いられるルーティング不可IPアドレスは、クライアントコンピュータが接続されるローカルネットワークによって用いられる範囲とは異なる1つ以上の範囲から選択される。一実施形態において、検出されたIPアドレスに対応するドメインの検索は、疑似IPアドレスのサブセットを抽出することと、格納されたドメイン名を参照するために該サブセットを用いることと、これにより、異なる範囲の疑似IPアドレスに対するIPアドレスとドメイン名との間の同じ参照を維持することとを含む。例えば、Mビットの長さの疑似IPアドレスは、最下位ビットNビット(N<M)のみとして格納されてもよい。一実装において、疑似IPアドレスの検索されたサブセットは、IPv4疑似IPアドレスの32ビット整数表現の下位ビット20以下を含む。
例えば、VPR104は、FQDN_to_nr_IPテーブル中に有効なエントリを有しない、”example.com”というドメインに対するDNSリクエストを受信する。ローカルネットワーク上の他のリソースとの競合を避けるために、VPRは、現在のローカルネットワークが使用する範囲とは別のIP範囲内の疑似IPアドレスを返信すべきである。例えば、ユーザが192.168.0.0−192.168.255.255の範囲内のIPアドレスを有するローカルネットワークに現在接続している場合、VPRは、10.0.0.0−10.255.255.255の範囲内の疑似IPアドレス(例えば、0x11213に等しい最下位20ビットを有する10.17.18.19)を、FQDN_to_nr_IP又はnr_IP_to_FQDNテーブル中に同じ最下位20ビットを持つ疑似IPアドレスと他のFQDNが関連付けられていないことを確認した後に返信する。一意の対である<FQDN−>疑似IPアドレスの最下位20ビット”>は、FQDN_to_nr_IPテーブル(ドメインをキーとする)とnr_IP_to_FQDNテーブル(疑似IPアドレスの最下位20ビットをキーとする)の両方に格納される。
その後何らかの時点で、ユーザは、例えば10.0.0.0−10.255.255.255の範囲内のIPアドレスで、別のローカルネットワークに切り替えてもよい。ドメイン名“example.com”に対する別のDNSリクエストを受信した後、VPRは、nr_IP_to_FQDNテーブルから疑似IPの最下位20ビットを検索し、異なる範囲(例えば、172.16.0.0−172.31.255.255)の疑似IP、例えば最下位20ビット0x11213を有する疑似IP172.17.18.18をその後返信する。この方法では、ユーザが別の範囲のローカルIPアドレスに切り替えることに応じて、テーブルが変更される必要がない。別の例において、格納され得る疑似IPアドレスのビットは、実IPを記述するビット数よりも小さい範囲で、異なる数であってもよい。例えば、FQDN_to_nr_IP及びnr_IP_to_FQDNテーブルは、IPv4アドレスの最下位16ビットを格納してもよく、又は、IPv6アドレスの、ルーティングプレフィックス、サブネット識別子、若しくはインターフェース識別子の少なくとも数ビットを除いた部分を格納してもよい。
別の例において、FQDN_to_nr_IP及びnr_IP_to_FQDNの両方が疑似IPアドレス(10.17.18.19)全体を格納するが、同じ下位ビットを有する別の範囲内の疑似IPアドレスを生成つつ、最上位ビット又はその他のビットは無視される。結果として、ローカルリソースに割り当てられたルーティング不可IPアドレスと競合するリスクなしに、異なるローカルネットワークにおいて、疑似IPとドメイン名との間の同じ参照を用いることができる。このことは、ローカルネットワークの切り替えを検出した後、FQDN_to_nr_IP及びnr_IP_to_FQDNテーブルの一部を消去することに代えて、格納された参照をより長く維持することが可能となる。
方法200は更に、ステップ204で取得したFQDNを、割り当て210られた疑似IPアドレスにマッピングするために、FQDN_to_nr_IPテーブルを更新212することを含む。同様に、割り当て210られた疑似IPアドレスをステップ204で取得したFQDNにマッピングするエントリがnr_IP_to_FQDN中に作成される。
疑似IPアドレスに対するタイムトゥーリブ(TTL)は、VPR104及び/若しくはアプリケーションによって実装される所定のDNSプロトコルに対する最大許容値に、又は同一のFQDNに対するDNSリクエストの頻度を低減するのに十分大きな別の値、例えば実IPアドレスに対して用いられるTTL値よりも大きな値に設定214される。このことは、TTLの期限切れに起因するアプリケーションによるDNSリクエストの数を減少させる。ステップ210で割り当てられた疑似IPアドレスとステップ314で設定されたTTLとを含むDNS応答が作成316され、傍受202されたDNSリクエストを生成したアプリケーションにDNS応答が返信218される。
幾つかの例において、アプリケーションがドメイン名を解決するための別のリクエストを再度発行してもよいように、又は、別のアプリケーションが、過去の解決リクエストが傍受202されたドメイン名の解決をリクエストしてもよいように、疑似IPアドレスのTTLは期限が切れてもよい。どちらにせよ、ステップ204で識別されたFQDNは、FQDN_to_nr_IPテーブル中に対応するエントリを有すると発見208されるであろう。これに応じて、方法200は、ステップでFQDNに対応するテーブルから疑似IPアドレスに対するTTLの最大値に設定214することと、テーブル中のFQDNにマッピングされた疑似IPアドレスとステップ214で設定されたTTLとを含むDNS応答を作成216することと、傍受202されたDNSリクエストを生成したアプリケーションに該DNS応答を返信218することとを含んでもよい。TTLはまた、同一のFQDNに対するDNSリクエストの頻度を低減するのに十分大きなその他の値、例えば実IPアドレスに対して用いられるTTL値よりも大きな値に設定されてもよい。
図2の方法は、DNSリクエストを有利に抑制し、それにより、特にモバイルデバイスに対するレイテンシを減少させる。
図3を参照すると、幾つかの実施形態において、VPR104、具体的にはDNSリゾルバ108は、図2で説明されたプロセスからの幾つかのDNSリクエストをバイパスしてもよい。例えば、中間サーバ118、120は、VPR104をホストするコンピューティング装置1300と地理的に近接していない可能性がある。従って、幾つかのドメインは、ローカルニュース、スポーツ、天気、小売店等、位置に特有のコンテンツへのアクセスを提供しうる。このため、リモート中間サーバ118、120よりもむしろVPR104にDNSリクエストを解決させることが有利となる場合がある。
例えば、方法300は、図2を参照しながら上述したように、DNSリクエストを傍受202することと、該DNSリクエストからFQDNを取得204することとを含んでもよい。方法300は更に、FQDNをルーティング規則にマッピングするFQDN_to_rulesテーブル等から、FQDNに対応するルーティング規則を取得302することを試行することを含んでもよい。規則が発見されないと判定304された場合、方法300はデフォルトのルーティング規則の取得306を含んでもよい。テーブルからの規則、又はデフォルトの規則が中間サーバ118、120のバイパスを必要としないと判定308された場合、方法300は、図2を参照しながら上述したように、傍受202されたDNSリクエストを発行したアプリケーションに疑似IPアドレスを返信するステップ206〜218を実行することを含んでもよい。
テーブルからの規則、又はデフォルトの規則がバイパスを必要とすると発見308した場合、方法300は、FQDNを対応する実IPアドレスにマッピングするFQDN_to_r_IPテーブル等から、ステップ204のFQDNに対応する実IPアドレスを取得310することを試行することを含んでもよい。エントリが発見されない場合、そのエントリに対するTTLは、実IPアドレスに対する残存TTL、例えば、実IPアドレスを受信してからまだ経過していないDNSサーバから実IPアドレスに対して受信されたTTLの量に設定される。実IPアドレスとTTLとを含むDNS応答が作成216されてもよく、リクエスト元のアプリケーションに返信218されてもよい。
ステップ204のFQDNに対応する実IPアドレスが発見されない場合、方法316は、ステップ204のFQDNを含むDNSリクエストをDNSサーバに送信316することと、ステップ204のFQDNに対する実IPアドレスとTTLとを含む応答を受信318することと、FQDNを実IPアドレスに、実IPアドレスをFQDNに、それぞれマッピングするためにFQDN_to_r_IP及びr_IP_to_FQDNテーブルを更新することと、ステップ318で受信したDNS応答をリクエスト元のアプリケーションに返信218することとを含んでよい。実IPアドレスに対するTTLも、FQDN_to_r_IP及びr_IP_to_FQDNテーブル中のエントリと関連付けて格納されてもよい。FQDN_to_r_IPテーブルは同一のFQDNに対する2つ以上のIPアドレスを格納してもよく、r_IP_to_FQDNテーブルは同一の実IPに対する2つ以上のFQDNを格納してもよい。そのような場合、同一のキーと関連付けられた複数の値の内の1つが、ランダムセレクション、ラウンドロビン、又はその他のアルゴリズムによって選択されてもよい。
別の実装において、VPR104は、DNSリクエストを傍受した後に疑似IPアドレスを常に返信する。例えば、ルーティング規則が中間サーバ118、120のバイパスを必要とすると判断308されるか否かにかかわらず、ステップ206〜218を例外なく実行してよい。そのような実施形態において、ルーティング規則が中間サーバのバイパスを必要とすると判断308された場合、当該FQDNを参照するコンテンツリクエストが受信されるまで実IPアドレスが取得されないように、ステップ316〜320は省略されてもよい。
ルーティング規則によってバイパスが命じられていても疑似IPアドレスが割り当て210される場合、VPRは、疑似アドレスIPを宛先として有するコンテンツパケットを受信すると、当該疑似IPアドレスに関連付けられたドメイン名、ポート、プロトコルの内の幾つか又は全て等、1つ以上のパラメータを該パケットからを取得してもよい。VPR104は、取得したパラメータを1つ以上のルーティング規則とその後整合させ、コンテンツリクエストがルーティング規則毎の中間サーバをバイパスすべき場合、VPR104は、取得されたドメイン名の実IPアドレスに対する自身のDNSリクエストをその後発行し、取得された実IPアドレスを用いてコンテンツリクエストをその後直接発行する、すなわち、コンテンツリクエストを中間サーバ118、120にまず送信することなく、そのコンテンツリクエストを、実アドレスIPによりアドレス指定されたサーバに送信する。
図4は、VPR104により、例えばコンテンツルータ110により実行されてもよい方法400を説明する。方法400は、コンテンツリクエストが、コンテンツリクエストの宛先IPフィールド中等に、疑似IPアドレス(つまりルーティング不可IPアドレス)を含むか否かを判定402することを含んでよい。そうである場合、方法400は、その疑似IPアドレスに対応するFQDNを、nr_IP_to_FQDNテーブルから取得404することを試行することを含む。テーブル中に疑似IPアドレスが発見406された場合、テーブルからの対応するFQDNは、コンテンツリクエストに追加408され、コンテンツリクエストは中間サーバ118、120に送信410される。疑似IPアドレスに対するエントリが発見406されない場合、その後エラーが返信412される。
コンテンツリクエストが疑似IPアドレスを含まず、実IPアドレスを含むと発見402された場合、r_IP_to_FQDNテーブル中の該実IPアドレスに対応するFQDNを取得414する試行がなされる。テーブル中に実IPアドレスに対応するFQDNの発見416されない場合、又は同一の実IPアドレスに対する複数のFQDNが発見された場合、その後コンテンツリクエストは、単に該実IPアドレスで中間サーバ118、120に送信410されてよい。一意なFQDNが発見された場合、その後FQDNがコンテンツリクエストに追加408され、コンテンツリクエストは中間サーバ118、120にその後送信410される。
方法400は、コンテンツリクエストが疑似IPアドレスを含まない場合でも例外なくコンテンツリクエストを中間サーバ118、120に送信することを含む。コンテンツリクエストを受信すると、コンテンツリクエストに含まれるFQDNに対応する実IPアドレスが中間サーバ118、120により取得されてよく、幾つかの実施形態では、実IPアドレスを含むコンテンツリクエストに対しても同様である。
代替的な実施形態において、FQDNをコンテンツリクエストに追加408することよりもむしろ、VPR104は、コンテンツリクエストを疑似IPアドレスと共に中間サーバ118、120に送信する。VPR104は更に、コンテンツリクエストの傍受及び/又はコンテンツリクエストの中間サーバ118、120への転送の前に、中間サーバ118、120にnr_IP_to_FQDNテーブルの現在のコピーを通信するために中間サーバ118、120と連絡する。nr_IP_to_FQDNに対する更新は、定期的に、又は変更がある度、例えば新しい疑似IPアドレスが割り当て210られる度に、又はXミリ秒毎に送信されてよい。コンテンツリクエストの受信に応答して、中間サーバ118、120は、FQDNを検索して実IPアドレスに解決するために、自身のnr_IP_to_FQDNのコピーを用いてもよい。
図5は、コンテンツルータ110による等、VPR104により実行されてもよい、ある一定の環境下で中間サーバ118、120をバイパスすることを含む方法500を説明する。上記のように、中間サーバ118、120をバイパスすることは、コンテンツリクエストに応答して場所的に関連性のあるコンテンツが返信されるようにするため等、様々な理由のために、幾つかのドメインに対して有利に行われてよい。
方法500は、コンテンツリクエストが疑似IPアドレス(すなわち、ルーティング不可IPアドレス)を含むか否かを判定502することを含んでもよい。そうである場合、方法500は、その疑似IPアドレスに対応するFQDNをnr_IP_to_FQDNテーブルから取得504することの試行を含む。テーブル中に疑似IPアドレスが発見506された場合、ステップ504で取得されたFQDNに対応するルーティング規則を、ルーティング規則をFQDNにマッピングするFQDN_to_rulesテーブル等のテーブルから取得512することの試行がなされてよい。
コンテンツリクエストが疑似IPアドレスを含まないが、実IPアドレスを含むと発見502された場合、r_IP_to_FQDNテーブル中の実IPアドレスに対応するFQDNを取得508することの試行がなされる。テーブル中に実IPアドレスに対応するFQDNが発見510された場合、ステップ508で取得されたFQDNに対応するルーティング規則を、FQDN_to_rulesテーブル等のテーブルから取得512することの試行がその後なされる。r_IP_to_FQDNテーブルが同一の実IPに対する複数のFQDNを含む場合、規則はこれらのFQDNに対する一組の規則から選択することができる。例えば、これらのFQDNの内の少なくとも1つがこの規則と関連付けられている場合、中間サーバを通じてコンテンツリクエストが送信される。
ステップ504又はステップ508で取得されたFQDNに対するルーティング規則が発見514された場合、その後方法500は、ルーティング規則がコンテンツリクエストにより中間サーバ118、120のバイパスを必要とするか否かを判定516することを含んでよい。そうである場合、コンテンツリクエスト中で特定された宛先に、コンテンツリクエストがその後送信518される。具体的には、コンテンツリクエストが実IPアドレスを含む場合、コンテンツリクエストは、その実IPアドレスに送信される。コンテンツリクエストが疑似IPアドレスを含む場合は、DNSリクエストを発行し、実IPアドレスを含む応答を受信し、実IPアドレスを含むようにコンテンツリクエストを修正し、その実IPアドレスに修正済みコンテンツリクエストを送信することによって、疑似IPアドレスに対応するFQDN(FQDN_to_nr_IPテーブル中のFQDNにマッピングされたFQDN等)が実IPアドレスに解決されてもよい。中間サーバ118、120のバイパス中にコンテンツリクエストを送信する方法の例は、図7に関して後述する。
ルーティング規則が中間サーバ118、120のバイパスを必要としないと判定516された場合、ステップ504及び508の内の1つで判定されたFQDNを含むコンテンツリクエストは中間サーバ118、120にその後送信520される。
ステップ504及び508の内の1つで判断されたFQDNに対するルーティング規則が発見512されない場合、コンテンツリクエストに対応するポート及びプロトコル(HTTP、TCP、VPN、CONNECT等)の一方又は両方に対応するルーティング規則、例えば各ポート及び/又はプロトコルを、各ポート及び/又はプロトコルに対応するルーティング規則にマッピングするport_proto_to_rulesテーブル中等から取得522することの試行がなされてよい。ルーティング規則が発見されたと判定524された場合、上述のようにステップ516においてルーティング規則がその後適用される。規則が発見されないと判断524された場合、デフォルトの規則が設定526され、上述のようにステップ516においてデフォルトの規則が適用される。
幾つかの実施形態において、特定のFQDN、プロトコル、及び/又はポートと関連付けられたルーティング規則は、例えば、リクエストされたFQDNに対する追加的なテストに基づいて、動的に変更されてもよい。例えば、コンテンツリクエストに対するテスト応答時間から判定されると、コンテンツリクエストは、クライアントから遠いが中間サーバの近くに格納されたコンテンツに対しては中間サーバ118、120を通じて送信されてもよく、又は、中間サーバよりもクライアントの近くに格納されたコンテンツに対してはバイパスされてよい。
幾つかの実施形態において、コンテンツリクエストが中間サーバ118、120をバイパスすべきかに加えて、ルーティング規則は更に、コンテンツリクエストの属性に基づき、コンテンツリクエストのその他の側面を特定してもよい。例えば、ルーティング規則は、コンテンツリクエストをプロキシを通じて送るか、それともVPNを通じて送るか、又はいづれの中間サーバ118、120を用いるか等の、追加的な情報を特定してよい。一実装において、VPR104は、2つ以上のコンテンツリクエストを、少なくとも2つの異なる中間サーバに提示する。各コンテンツリクエストに対する中間サーバ118、120は、そのIPアドレス、ポート、及びプロトコルと関連付けられたドメイン名のグループからコンテンツリクエストの1つ以上のパラメータを取得し、これらのパラメータを1つ以上のルーティング規則と整合させることにより判定される。例えば、リクエストされたドメインに対する中間サーバ118、120は、中間サーバの位置に特有のコンテンツ(ローカルニュース等)を検索するため、又は、パフォーマンス改善のため(例えば、クライアントとコンテンツサーバとの間の直接ルートからの逸脱を最小化するため)に選択される。
幾つかの実施形態において、DNSリゾルバ108は、中間サーバをバイパスするか否かを特定する規則のみを用いてもよく、一方、コンテンツルータ110は、コンテンツリクエストをリクエストされたモジュール112〜116又はその他のモジュールを通じてルーティングするための追加情報を用いてよい。一例において、ルーティング規則は、宛先ポート80へのTCPトラフィックをHTTPプロキシ112を通じて、その他の全てのTCPトラフィックをCONNECTプロキシ114を通じて送ることを特定してもよく、その他の任意のプロトコルを用いるトラフィックは、VPNモジュール116を通じてルーティングされる。別の例において、ルーティング規則は、暗号化されていないデータ交換が第三者により傍受されうる公衆WiFiホットスポットにおいて、セキュリティを高めるために動的に変更されてもよい。例えば、HTTPトラフィック(TCPポート80)は、セキュアなWiFiホットスポットにおいてパフォーマンスを改善するためにHTTPプロキシを通じて、又は、公衆WiFiホットスポットでユーザを保護するためにセキュアなVPNを通じて、送信できる。WiFiホットスポットのセキュリティを判定する方法は、参照によってその全体が全ての目的に対し本明細書に組み込まれる、2013年12月30日に出願された、SYSTEM AND METHOD FOR SECURITY AND QUALITY ASSESSMENT OF WIRELESS ACCESS POINTSを名称とする、米国特許出願番号61/921,781に従ってもよい。WiFiホットスポットのセキュリティを判定する方法はまた、参照によってその全体が全ての目的に対し本明細書に組み込まれる、2014年12月17日に出願された、SYSTEM AND METHOD FOR SECURITY AND QUALITY ASSESSMENT OF WIRELESS ACCESS POINTSを名称とする、米国特許出願番号14/574,240に従ってもよい。
図6は、トラフィックインターセプタ106により傍受されたコンテンツリクエストに関するコンテンツルータ110による等、VPR104により実行されてもよい方法600を説明する。方法600は図3〜5の方法と組み合わせて実行されてもよい。具体的には、コンテンツリクエストは、それらに対応するFQDNがコンテンツリクエストに含まれるか、又は図3〜5の方法により追加される場合、方法300〜500の内の幾つか又は全てに従って中間サーバ118、120にルーティングされると判定され、コンテンツリクエストが生成されたプロトコルに基づいて処理されてよい。
例えば、方法600は、傍受されたコンテンツリクエストに関して行われてよい。方法600は、コンテンツリクエストがトランスミッションコントロールプロトコル(TCP)コンテンツリクエストであるか否かを判定602することを含んでもよい。そうである場合、コンテンツリクエストがHTTP(ハイパーテキストトランスミッションプロトコル)リクエストであるか否かがステップ604で評価される。そうである場合、コンテンツリクエストはHTTPプロキシ112を通じて中間サーバ118に送信606される。
コンテンツリクエストがHTTPリクエストではないと判定604された場合、その後FQDNがコンテンツリクエスト中に発見されたか、それとも上述のように疑似IPアドレスに従ってコンテンツリクエストに解決されたか。そうである場合、コンテンツリクエストのCONNECTヘッダにそのFQDNが追加され、修正された状態のコンテンツリクエストがCONNECTプロキシ114を通じて送信612される。FQDNが発見されいと判定608された場合、その後方法600は、コンテンツリクエストが疑似IPアドレスを含んだか否かを評価614することを含む。そうでない場合、実IPを含んだコンテンツリクエストがCONNECTプロキシ114を通じて送信612されてもよい。コンテンツリクエストが疑似IPアドレスを含むと発見614した場合、その後エラーが返信616される。一実施形態において、FQDNがIPアドレスと一意に関連付けられている場合にのみ、FQDNがCONNECTリクエストに追加される。そのような実施形態では、2つ以上のFQDNが同一の実IPと関連付けられる場合、FQDNを追加することなく、該リクエストはCONNECTプロキシを通じて送信される。
コンテンツリクエストがTCPコンテンツリクエスト以外であると判定602された場合、方法600は、FQDNがコンテンツリクエスト中で発見されたか、それとも上述のように疑似IPアドレスに従ってコンテンツリクエストに解決されたかを評価618することを含んでもよい。そうである場合、その後FQDNがコンテンツリクエストに追加620され、コンテンツリクエストはVPNモジュール116を通じて送信622される。FQDNがコンテンツリクエスト中又はコンテンツリクエストに対して発見されないと判定618された場合、その後ステップ624において、コンテンツリクエストが疑似IPアドレスを含むか否かが評価される。そうである場合、その後エラーが返信616される。そうでない場合、その後コンテンツリクエストはVPNモジュール622を通じて送信622される。
図6は、コンテンツリクエストが受信されてもよい3つの可能なプロトコル(HTTP、CONNECT、VPN)の一例である。他の実施形態では、他のプロトコルがが使用されてもよく、コンテンツリクエストは、そうしたコンテンツリクエストの送信を実装するための対応するモジュールを通じてルーティングされる。
図7は、VPR104、具体的にはコンテンツルータ110が、図5の方法500等に従って、中間サーバをバイパスするように選択されたコンテンツリクエストを処理してもよい例示的方法700を説明する。方法700は、コンテンツリクエストが疑似IPアドレスを含むか否かを判定702することを含んでもよい。そうでない場合、その後コンテンツリクエストは、コンテンツリクエストに含まれる実IPアドレスに単に送信704される。そうである場合、その後方法700は、疑似アドレスに対応するFQDNが、nr_IP_to_FQDNテーブル中等で発見されるか否かを評価706することを含んでもよい。そうでない場合、その後エラーが返信708される。そうである場合、その後FQDNに対する実IPアドレスは、FQDNと共にDNSリクエストを送信710し、実IPアドレスと共にDNSリクエストに対する応答を取得712し、FQDN_to_r_IP及びr_IP_to_FQDNテーブルをFQDNと実IPアドレスとの間のマッピングを含むように更新714し、コンテンツリクエスト中の疑似IPアドレスを実IPアドレスに置き換える716ことによって取得される。修正済みのコンテンツリクエストは実IPアドレスにその後送信704されてもよい。ドメイン名とIPアドレスとの間のマッピングを格納することに加えて、コンテンツルータはルーティング不可IPアドレスと実IPアドレスとの間のマッピングをも格納し、これを、ルーティング不可IPアドレスが同じドメインに既に割り当てられた後に実IPを受信すると、このマッピングを更新する。
図8A〜8Dは、様々なプロトコルのコンテンツリクエストに対して中間サーバ118、120により実行されてもよい方法800を説明する。図8AのステップはHTTPコンテンツリクエストに対して実行されてもよい。HTTPリクエストに対しては、方法800は、コンテンツリクエストが疑似IPアドレスを含むか否かを判定702することを含んでもよい。そうでない場合、コンテンツリクエストは、該コンテンツリクエストに含まれる実IPに単に送信804される。そうである場合、その後方法800は、HTTPコンテンツリクエストのホストヘッダからFQDNを取得806することを含んでもよい。そのFQDNに対する実IPアドレスは、FQDNと共にDNSリクエストを送信808し、実IPアドレスと共にDNSリクエストに対する応答を取得810し、HTTPコンテンツリクエスト中の疑似IPアドレスを実IPアドレスに置き換える812ことによって取得される。修正済みのHTTPコンテンツリクエストは、実IPアドレスにその後送信804されてもよい。
図8Aから理解されるように、また、図8B〜図8Dに関して理解されるように、本明細書の他の方法において説明されるように疑似IPアドレスを含むことに起因してFQDNを含むように修正されたコンテンツリクエストは、中間サーバ118、110に送信される場合に、疑似IPアドレスを宛先IPフィールド中等に依然として含んでもよく、これにより、中間サーバ118、120によるDNS解決が必要か否かかの判定を容易にするようにしてもよい。
図8Bを参照すると、非HTTP TCPコンテンツリクエストに対しては、方法80は、コンテンツリクエストが疑似IPアドレスを含むか否かを判定814することを含んでもよい。そうでない場合、その後コンテンツリクエストは、該コンテンツリクエストに含まれる実IPアドレスに単に送信816される。そうである場合、その後方法800は、CONNECTヘッダからFQDNを取得818することを試行することと、FQDNがCONNECTヘッダ中に発見されるか否かを評価820することとを含んでもよい。そうでない場合、その後エラーが返信822される。そうである場合、その後FQDNに対する実IPアドレスは、FQDNと共にDNSリクエストを送信824し、実IPアドレスと共にDNSリクエストに対する応答を取得826し、コンテンツリクエスト中の疑似IPアドレスを実IPアドレスに置き換える828ことによって取得される。修正済みのコンテンツリクエストは実IPアドレスにその後送信816されてもよい。
図8Cを参照すると、VPNコンテンツリクエストに対しては、方法80は、コンテンツリクエストが疑似IPアドレスを含むか否かを判定830することを含んでもよい。そうでない場合、その後コンテンツリクエストは、該コンテンツリクエストに含まれる実IPアドレスに単に送信832される。そうである場合、その後方法800は、コンテンツリクエストに含まれるデータからFQDNを取得834することを試行することと、FQDNがリクエストデータ中で発見されるか否かを評価836することとを含んでもよい。そうでない場合、その後エラーが返信838される。そうである場合、その後FQDNに対する実IPアドレスは、FQDNと共にDNSリクエストを送信840し、実IPアドレスと共にDNSリクエストに対する応答を取得842し、コンテンツリクエスト中の疑似IPアドレスを実IPアドレスに置き換える844ことで取得される。修正済みのコンテンツリクエストは、実IPアドレスにその後送信832されてもよい。
図8A〜図8Cは、DNSサーバからDNS名をリクエストすることによりDNS解決が行われる方法を記述する。しかしながら、方法800は更に、各FQDNを、そのFQDNに対して過去に受信した実IPアドレスにマッピングするFQDN_to_r_IPテーブル中等に、ドメイン名をキャッシュすることを含んでもよい。従って、コンテンツリクエストに対するFQDNが特定されると、このテーブルから実IPが検索されてもよい。
幾つかの実施形態において、実際のドメイン名を含まないがドメイン名を表す列へのポインタを含むコンテンツリクエストがVPRによって生成されてもよい。ドメイン名を含むテーブルは、各ポインタをテーブル中のテキスト列に解決することによって中間サーバがポインタをドメイン名に解決するように、VPR104と中間サーバ118、120との間で共有されてもよい。
図9は、VPR104と、VPNサーバ120として機能する中間サーバ120とにより実行されてもよい方法900を説明する。方法900は、VPR104によってVPNトラフィックを傍受902することと、そのトラフィックが疑似IPアドレスを含むか否かを評価904することとを含んでもよい。そうでない場合、その後トラフィックは、該トラフィックのアドレス指定を修正することなく、VPNサーバ120に送信906されてもよい。
そうである場合、その後方法900は、その疑似IPアドレスに対するFQDNを上述のFQDN_to_nr_IPテーブル等から検索908することを含んでもよい。FQDNは、VPNトンネル内でトラフィックにその後追加910されてもよく、修正済みのトラフィックがVPNサーバ120に送信912されてもよい。FQDNを追加910することは、トラフィックに追加のパケットを挿入すること、又は傍受902されたトラフィックの幾つか又は全てのパケットのフィールドにFQDNを追加することを含んでもよい。一実施形態において、FQDNの記述子は、疑似IPを宛先IPアドレスとして有するTCP又はUDP接続の一組のデータパケットに、これらのデータパケットがVPNパケット内にカプセル化される前に追加される。
トラフィックを送信912することは、VPNトンネル内で修正済みのトラフィックをまずカプセル化することを含んでもよい。当技術分野で周知のように、VPNトンネルは、パケットを暗号化することと、VPNサーバ120にその後送信される対応するVPNヘッダと共に、暗号化されたパケットをVPNパケット内に含むこととを含んでもよい。幾つかの例において、傍受902されたVPNトラフィックは、HOST、SNI、又はCONNECTヘッダ中等にFQDNをに既に含んでもよく、この場合ステップ908〜910は省略でき、トラフィックは、FQDNの追加なしに、カプセル化されてVPNサーバ120に送信912されてもよい。
VPNサーバ120は、修正済みのトラフィックを受信914してもよく、修正済みのトラフィックを取得するためVPNパケットをデカプセル化してもよい。当技術分野で周知のように、デカプセル化は、VPNヘッダを取り除くことと、カプセル化されたトラフィックを復号化することとを含んでもよい。FQDNは、VPNサーバ120によって修正済みのトラフィックから抽出916され、実IPアドレスに解決918されてよい。FQDNを実IPアドレスに解決918することは、FQDNと共にDNSリクエストを発行することと、その応答として実IPアドレスを受信することを含んでよい。解決918することは、過去に解決されたFQDNを実IPアドレスにマッピングするテーブルから実IPアドレスを検索することを含んでもよい。
幾つかの実施形態において、VPR104は、FQDNではなくむしろ、修正済みのトラフィック中のテキスト列へのポインタを含んでもよく、該テキスト列はFQDNを含む。これに従い、FQDNを抽出916することは、ポインタに対応するテキスト列を検索することを含んでもよい。
幾つかの実施形態において、VPR104及びVPNサーバ120はnr_IP_to_FQDNテーブルを共有してもよく、すなわち、VPNサーバ120がテーブルの現在のコピーを有するように、VPR104は定期的にテーブルを送信してもよく、又はテーブルを更新をしてもよい。従って、トラフィックはVPR104によって修正される必要がなく、VPNサーバ120はトラフィックを受信し、自身のバージョンのnr_IP_to_FQDNテーブルを用いて疑似IPアドレスをFQDNに解決する。
実IPアドレスが一旦取得されると、VPNサーバ120は、受信914されたトラフィック中の疑似IPアドレスを実IPアドレスに置き換え920、ステップ920で修正済みのトラフィックを実IPアドレス、すなわち、実IPアドレスが割り当てられたコンピュータシステムに送信922してもよい。
図9の方法は、VPNサーバへの従来のアプローチとは異なる。HTTP及びHTTPSプロキシサーバは、それらのデータパケットが実宛先IPアドレスを含まない(それはプロキシサーバのアドレスにより置き換えられる)ため、自身のDNSリクエストを発行する必要がある。しかしながら、従来技術のVPNサーバは、宛先IPアドレスを既に含むデータパケットに対して追加のDNSリクエストを行わなわず、カプセル化ヘッダを取り除き、元のパケットをそれらの宛先に送るだけである。
図10を参照すると、幾つかの実施形態において、VPNサーバ120は、それに接続するクライアント装置に対するレイテンシを、クライアント装置が本明細書に記載されるようにVPR104を実行するか否かにかかわらず、低減してもよい。例えば、VPNサーバ120は、VPN接続内で受信されたコンテンツリクエストに関して、図示された方法1000を実行してよい。方法1000は、ルーティング可能IPアドレスを含むコンテンツリクエストを受信1002することと、逆DNS(rDNS)リクエストをDNSサーバに発行すること、又は過去のDNS又はrDNSリクエストに対する応答に従ってルーティング可能IPアドレスをドメイン名にマッピングするキャッシュからルーティング可能IPアドレスを検索すること等によってルーティング可能IPアドレスに対応するドメイン名を識別1004することを含んでよい。
方法1000は更に、ステップ1004で識別されたドメイン名に対するDNSリクエストを発行1006することと、その返答に、ステップ1004で識別されたものとは異なりうるルーティング可能IPアドレスを受信1008することとを含んでよい。該異なるルーティング可能IPアドレスを受信すると、コンテンツリクエストは、その異なるルーティング可能IPアドレスを含むように修正されてもよく、その異なるルーティング可能IPアドレスを有するサーバシステムに送信1012されてもよい。
例えば、ヨーロッパのクライアント装置がヨーロッパ及び米国の両方のコンテンツサーバに対応するドメインに対するDNSリクエストを発行し、ヨーロッパのコンテンツサーバに対する実IPアドレスをその後受信する。このIPアドレスは、コンテンツリクエストがヨーロッパ内においてクライアントから直接発行された場合のアクセスレイテンシを低減する。しかしながら、ヨーロッパのクライアントが米国のVPNサーバ120とVPN接続を確立した場合、提供された実IPアドレスは、著しいパフォーマンス悪化の生じさせることがあり、クライアントリクエストは、米国のVPNサーバ120からヨーロッパのコンテンツサーバに送られるであろう。応答は米国のVPNサーバ120から送られ、ヨーロッパのクライアントにその後返される。VPNサーバ120がDNSリクエストを発行1006することにより、ドメイン名は、同一のドメイン名に対応するより近いサーバシステムのIPアドレスに解決されてもよく、それによりレイテンシを低減する。
幾つかの実施形態において、本発明に従うと、VPNサーバ120は、追加のDNSリクエストを発行1006する必要があると検出し、提供された宛先IPアドレスをDNS応答から取得されたものにより置き換える。上記の例において、VPNサーバ120は実IPアドレスを評価し、その提供された実IPアドレスがヨーロッパのコンテンツサーバを参照することを検出する。その応答として、VPNサーバ120は、自身のDNSリクエストを発行1006し、より近くの、例えば上記の例では米国の、より近くのコンテンツサーバを参照する応答を受信1008してもよく、それによりパフォーマンスが改善される。一実装において、追加のDNSリクエストが必要であるとの検出は、(a)ステップ1002で受信した、リクエストされた実IPアドレスの地理的位置を解決し、(b)リクエストされた実IPアドレスがVPNサーバ120のものとは異なる地理的地域に設置されたコンテンツサーバを参照すると判断された場合、例えばコンテンツサーバが、ある政治的若しくは地理的地域(国、州、大陸)の外にある、又はVPNサーバ120からの閾値距離を超える場合、追加のDNSリクエストが発行されるようにすることを含む。VPNサーバ120は、それ故、この比較を容易にするために、自身の位置を格納させられるか、又は取得するようにプログラムされてもよい。VPNサーバ120及びコンテンツサーバの地理的地域が同じか、又は互いから閾値距離内にあると判断される例では、ステップ1002で受信された実IPアドレスはVPNサーバ120によってその後変更されず、コンテンツリクエストは、ステップ1002で受信された実IPアドレスに対応するコンテンツサーバに送信される。
図11は、VPR104及び中間サーバ118の双方によるDNSリクエストを減らすために、VPR104及び中間サーバ118によって実行されてもよい方法1100を説明する。方法1100は、コンテンツリクエストを受信1102することと、コンテンツリクエストが(a)実IPアドレスを含むこと、(b)VPR104により実IPアドレスが格納されるFQDNにマッピングされる疑似IPアドレスを含むこと、又は(c)VPR104が対応するIPアドレスを格納しているFQDNを含むこと、の内の少なくとも1つであるか否かを判定することとを含む。例えば、コンテンツリクエストが疑似IPアドレスを含む場合、対応するFQDNがnr_IP_to_FQDNテーブル中で検索されてよい。コンテンツリクエストに含まれる、又は疑似IPアドレスから判定されるFQDNに対応する実IPアドレスは、そのFQDNに対するエントリが存在する場合、FQDN_to_r_IPテーブルから検索されてもよい。言い換えると、ステップ1104は、DNSリクエストを発行することなく、VPR104によってコンピュータシステム1300にキャッシュされたデータのみを用いて、VPR104によって実IPアドレスが判定されうるか否かを判定することを含んでもよい。
コンテンツリクエストがアドレス指定される実IPアドレスが、ステップ1104に関して上述したようにVPRによって解決されてもよい場合、その後コンテンツリクエストは、そのコンテンツリクエストを中間サーバ118にまず送信することなく、VPR104によって、該実IPアドレスに対応するサーバシステムに直接送信1106される。
実IPアドレスがコンピュータシステム1300上に格納されたキャッシュデータのみを用いて判定できない疑似IPアドレス又はFQDNを含むとコンテンツリクエストが発見1104された場合、その後コンテンツリクエストは、リクエストに含まれるFQDN又はリクエストに含まれる疑似IPアドレスに対応するFQDNと共に中間サーバ118に送信1108されてもよい。
中間サーバ118は、FQDNと共にリクエストを受信1110し、そのFQDNと共にDNSリクエストを発行して応答を受信することによって、又は中間サーバ118にローカルに格納されたデータ中の実IPアドレスへのFQDNのマッピングを発見することによって、FQDNを実IPアドレスに解決1110する。中間サーバは、実IPアドレスをコンテンツリクエストにその後追加し、コンテンツリクエストを実IPアドレス、すなわち実IPアドレスを割り当てられたサーバに転送1114し、該サーバは、コンテンツリクエストを処理し、中間サーバ118に応答を返信する。中間サーバ118は、コンテンツリクエストに対する応答を受信1116し、ステップ1112で判断されたFQDNに対する実IPアドレスと共に、VPR104に応答を返信1118する。DNSリクエストに対する応答中に含まれるその他のデータ、例えばFQDNに対する実IPアドレスやFQDN又はリクエストされたコンテンツと関連付けられた他の実IPアドレスのTTLも返信されてよい(例えば図12及び対応する説明を参照)。
例えば、1つ以上の実IPアドレスと任意の追加データ(例えばTTL)は、リクエストされたコンテンツと共に返信1118されるHTTPヘッダ内において返信されてもよい。別の実装において、実IPアドレスは、そのデータパターン又は返信されるデータセット内での位置によりVPR104によって認識されるデータパケット中で返信される。例えば、実IPアドレスは、リクエストされたコンテンツのパケットの前に挿入される最初のコンテンツパケット中で返信されることができる。VPR104は、リクエスト元のアプリケーションに応答を返信する前に、実IPアドレスを検索し、最初のパケットを除去する。
別の実装において、あるコンテンツリクエストに対する実IPアドレスは、別のコンテンツリクエストに対するデータと共に返信される。一実施形態において、中間サーバ118、120は、複数のドメイン名とそれらの実IPとの間の一組の対応関係を、コンテンツデータと共に返信する。リストされたIPに対応するドメイン名は、過去に発行されたコンテンツリクエスト、又は将来発行されると予想されるコンテンツリクエストを参照することができる。
例えば、ドメインAからコンテンツへのリクエストを受信した後、中間サーバ118、120は、メインサイトA(サーバに既知の、又はドメインAからのHTML応答を解析することで得られるドメイン)により参照されるドメインに対するDNSリクエストを発行してもよく、そのようなドメインと実IPとの組を、ドメインAからのコンテンツリクエストに対する応答と共に提供してもよい。結果として、VPR104は、未知のドメインへの少量のコンテンツリクエストのみのために中間サーバ118、120を使う必要があり、それにより、パフォーマンスが更に改善される。
VPR104は、応答を受信し、FQDNと実IPアドレスとの対応関係をFQDN_to_r_IP及びr_IP_to_FQDNテーブル中に格納すること等によって、1つのFQDN(又は複数のFQDN)にマッピングされた1つの実IPアドレス(又は複数の実アドレス)を格納1122する。応答は更に、受信1102されたコンテンツリクエストを発行したアプリケーションに、VPR104によって返信されてよい。応答は実IPアドレスを含んでもよく、又は除外してもよい。
同一又は異なるアプリケーションによるその他のコンテンツリクエストに関する方法1100の後続の反復において、FQDNに対する実IPアドレスはステップ1104において発見され、ステップ1108〜1122は省略でき、それによって、後続のコンテンツリクエストに対するレイテンシが低減され、中間サーバ118、120がバイパスされる。
図12を参照すると、図示の方法1200は、本明細書に記載されるように、VPR104を実行してもしなくてよいクライアント装置に対するプロキシサーバとして機能する中間サーバ118により実行されてもよい。方法1200は、中間サーバが後続のDNSリクエストの少なくとも一部を予期することを可能とし、クライアント装置のキャッシュに実IPアドレスを追加することでレイテンシを低減する。
方法1200は、ドメイン名又は実IPアドレスにアドレス指定されるコンテンツに対するリクエストを受信1202することと、その実IPアドレスにアドレス指定されたコンテンツリクエストを送信しその実IPアドレスと関連付けられたサーバからコンテンツリクエストに対する応答を受信すること等によって、そのドメイン名又は実IPアドレスによりアドレス指定されたサーバからリクエストされたコンテンツを検索1204することとを含んでもよい。
方法1200は更に、そのコンテンツに対する関連するドメインを識別1206することを含んでもよい。例えば、検索1204されたコンテンツがウェブページである場合、ウェブページ中のリンクによる参照ドメインが識別1206されてもよい。別の例において、元のドメインリクエストに追随するドメインリクエストの過去の組を観察することによって、関連ドメインのリストを作成することができ、この方法は、中間サーバによって解析できないHTTPSコンテンツに対して用いることができる。方法1200は更に、関連ドメインに対するDNSリクエストを発行1208することと、関連ドメインに対する実IPアドレスを受信1210することとを含んでもよい。方法1200は更に、関連ドメインに対する実IPアドレスを返信することと、コンテンツが受信1204されたクライアント装置に、検索1204されたコンテンツを返信1214することとを含んでもよい。コンテンツリクエストがドメインを含む場合、そのドメインに対する実IPアドレス及び関連ドメインが返信1212されてもよい。実IPアドレス及びコンテンツは、同一又は異なるメッセージ中に含まれてもよい。
実IPアドレスを受信すると、クライアント装置は、後続のコンテンツリクエストを中間サーバ118に送信することなく、IPアドレスに対応するサーバに直接送信されるように、それらをキャッシュしてもよい。例えば、クライアント装置は、関連ドメインと実IPアドレスの間の対応関係をFQDN_to_r_IP及びr_IP_to_FQDNテーブル中に格納してもよい。
方法1200は更に、関連ドメインの1つ以上の実IPアドレスへのTCP接続を、クライアントがこれらのドメインにコンテンツリクエストを送信するのを待たずに、サーバが先制して確立することを含んでよい。
方法1200は更に、サーバが1つ以上の関連ドメイン、例えば、コンテンツリクエストに対してHTTPSプロトコルを使用すると知られているものに対するTLSハンドシェイクを先制して行うことを含んでもよい。これを行うために、サーバは、クライアントによって特定のドメインに対し行われたTLSハンドシェイクから、セッションID又はセッションチケットを取得し、同じドメインに対する別のTLSハンドシェイクを先制して開始するために取得した値を用い、TLS応答をクライアントにその後渡す。クライアントは、TLS応答をキャッシュし、同一のセッションID又はチケットで同一のドメインに対するTLSリクエストを発行した後にそれをアプリケーションに返信することで、更にパフォーマンスを改善させる。サーバは、セッションID又はセッションチケットを、クライアントにより開始されたTLSハンドシェイクを観察することによって、又はそうした値をクライアントから受信することによって、取得でき、TLSセッションID又はセッションチケットのどちらも、クライアントとコンテンツプロバイダにのみ知られるべきである暗号鍵を開示しないので、秘匿される必要はない。
図13は、VPR104をホストしてよい例示的コンピューティング装置1300を説明するブロック図である。中間サーバ118、120も、コンピューティング装置1300の幾つか又は全体の属性を有してよい。コンピューティング装置1300は、例えば本明細書に述べられるような、様々な手順を実行するために用いられてよい。コンピューティング装置1300は、サーバ、クライアント、又はその他の任意のコンピューティングエンティティとして機能できる。コンピューティング装置は本明細書に述べられるような様々な監視機能を実行でき、例えば本明細書に述べられるアプリケーション等の、1つ以上のアプリケーションプログラムを実行できる。コンピューティング装置1300は、、デスクトップコンピュータ、ノートブックコンピュータ、サーバコンピュータ、ハンドヘルドコンピュータ、タブレットコンピュータ等の多様な種類のコンピューティング装置の何れかであってもよい。
コンピューティング装置1300は、1つ以上のプロセッサ1302、1つ以上の記憶装置1304、1つ以上のインターフェース1306、1つ以上の大容量記憶装置1308、1つ以上の入出力(I/O)装置1310、及び表示装置1330を含み、これらの全てはバス1312に結合される。プロセッサ1302は、記憶装置1304及び/又は大容量記憶装置1308に格納された1つ以上の命令を実行するプロセッサ又はコントローラを含む。プロセッサ1302はまた、キャッシュメモリ等の、様々な種類のコンピュータ読み取り可能媒体を含んでもよい。
記憶装置1304は、揮発性メモリ(例えばランダムアクセスメモリ(RAM))及び/又は不揮発性メモリ(例えばリードオンリメモリ(ROM)1316)等の様々なコンピュータ読み取り可能媒体を含む。記憶装置1304はまた、フラッシュメモリ等の書き換え可能なROMを含んでもよい。
大容量記憶装置1308は、磁気テープ、磁気ディスク、光学ディスク、及び固体メモリ(例えばフラッシュメモリ)等の様々なコンピュータ読み取り可能媒体を含む。図13に示されるように、具体的な大容量記憶装置はハードディスクドライブ1324である。様々なドライブがまた、大容量記憶装置1308に含まれてもよく、様々なコンピュータ読み取り可能媒体との間での読み取り/書き込みを可能にしてよい。大容量記憶装置1308は可換型媒体1326及び/又は固定型媒体を含む。
入出力装置1310は、データ及び/又はその他の情報を、コンピューティング装置1300との間で入力又は検索可能にする様々な装置を含む。例示的な入出力装置1310は、カーソル制御装置、キーボード、キーパッド、マイク、モニタ若しくはその他の表示装置、スピーカ、プリンタ、ネットワークインターフェースカード、モデム、レンズ、及びCCD若しくはその他の画像取得装置等を含む。
表示装置1330は、コンピューティング装置1300の1人以上のユーザに、情報を表示できる任意の種類の装置を含む。表示装置1330の例は、モニタ、表示端末、及び映像投影装置等を含む。
インターフェース1306は、コンピューティング装置1300が他のシステム、装置、又はコンピューティング環境と相互作用すること可能にする様々なインターフェースを含む。例示的なインターフェース1306は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、無線ネットワーク、及びインターネット等の任意の数の異なるネットワークインターフェース1320を含む。その他のインターフェースはユーザインターフェース1318及び周辺装置インターフェース1322を含む。インターフェース1306はまた、1つ以上のユーザインターフェース要素1318を含む。インターフェース1306はまた、プリンタ、ポインティング装置(マウス、トラックパッド等)、及びキーボードに対するインタフェース等の1つ以上の周辺インターフェースを含む。
バス1312は、プロセッサ1302、記憶装置1304、インターフェース1306、大容量記憶装置1308、及び入出力装置1310が、バス1312に結合されたその他の装置又はコンポーネントと共に相互に通信することを可能とする。バス1312は、システムバス、PCIバス、IEEE 1394バス、及びUSBバス等の幾つかの種類のバス構成の内の1つ以上を表す。
例示の目的で、プログラム及びその他の実行可能なプログラムコンポーネントは本明細書において個別のブロックとして示されているが、そのようなプログラム及びコンポーネントはコンピューティング装置1300の異なる記憶要素内に、様々なタイミングで存在し、プロセッサ1302により実行されてもよいことが理解される。代替的に、本明細書に述べられるシステム及び手順は、ハードウェア、又はハードウェア、ソフトウェア、及び/若しくはファームウェアの組み合わせにより実行することができる。例えば、1つ以上の特定用途集積回路(ASIC)が、1つ以上の本明細書に述べられるシステム及び手順を実行するようプログラムされることが可能である。

Claims (58)

  1. ドメイン解決の抑制のための方法であって、
    コンピューティング装置上で実行するアプリケーションから、同じ前記コンピューティング装置上で実行するモジュールによって、ドメイン名を含むドメイン解決リクエストであって、第1の外部サーバにアドレス指定された前記ドメイン解決リクエストを傍受することと、
    前記モジュールによって、前記ドメイン解決リクエストの前記外部サーバへの送信を抑制することと、
    前記モジュールによって、前記アプリケーションに、疑似インターネットプロトコル(IP)アドレスを前記ドメイン解決リクエストに対する応答として返信することと、
    前記モジュールによって、前記疑似IPアドレスを前記ドメイン解決リクエストの前記ドメイン名にマッピングするエントリを格納することと
    を含む、方法。
  2. 前記モジュールによって、前記アプリケーションから、前記疑似IPアドレスを含むコンテンツリクエストを傍受することと、
    前記モジュールにより前記アプリケーションから前記疑似IPアドレスを含む前記コンテンツリクエストを傍受することに応答して、前記エントリ中の疑似IPアドレスにマッピングされた前記ドメイン名を含む修正済みコンテンツリクエストを生成することと、
    前記修正済みコンテンツリクエストを、前記第1の外部サーバ及び異なる外部サーバの内の1つに送信することと
    を更に含む、請求項1に記載の方法。
  3. 前記第1の外部サーバ及び前記異なる外部サーバの内の前記1つによって、
    前記修正済みコンテンツリクエストを受信することと、
    前記ドメイン名に対応する実IPアドレスを取得することと、
    前記修正済みコンテンツリクエストに従って前記実IPアドレスからコンテンツをリクエストすることと、
    前記修正済みコンテンツリクエストに従って前記コンテンツを受信することと、
    前記修正済みコンテンツリクエストに従って前記コンテンツを前記コンピューティング装置に送信することと
    を更に含む、請求項2に記載の方法。
  4. 前記ドメイン解決リクエストに対する応答として、前記モジュールによって、前記アプリケーションに前記疑似インターネットプロトコル(IP)アドレスを返信することは、前記実IPアドレスに用いられたTTL値よりも大きな値に設定されたタイムトゥーリブ(TTL)属性を有する疑似IPアドレスを返信することを含む、請求項3に記載の方法。
  5. 前記アプリケーションは第1のアプリケーションであり、前記ドメイン解決リクエストは第1のドメイン解決リクエストであり、前記ドメイン名は第1のドメイン名であり、前記方法は、
    前記モジュールによって、前記第1のアプリケーション、及び前記コンピューティング装置上で実行する第2のアプリケーションの内の1つから、第2のドメイン名を含む第2のドメイン解決リクエストを傍受することと、
    前記モジュールよって、前記第2のドメイン名に適用されるドメイン名規則に従って、前記第2のドメイン名リクエストは抑制されるべきでないと判定することと、
    前記コンピューティング装置によって、前記第2のドメイン名を解決するためのリクエストを、前記コンピューティング装置から前記第1の外部サーバ及び第2の外部サーバの内の1つに送信することと、
    前記コンピューティング装置によって、前記第2のドメイン名を解決するための前記リクエストに対する応答を受信することと、
    前記コンピューティング装置によって、前記第2のドメイン名を解決するための前記リクエストに対する前記応答を、前記アプリケーションに返信することと
    を更に含む、請求項1に記載の方法。
  6. 前記アプリケーションは第1のアプリケーションであり、前記ドメイン解決リクエストは第1のドメイン解決リクエストであり、前記ドメイン名は第1のドメイン名であり、疑似IPアドレスは第1の疑似IPアドレスであり、前記方法は、
    前記モジュールによって、前記第1のアプリケーション、及び前記コンピューティング装置上で実行する第2のアプリケーションの内の1つから、第2のドメイン名を含む第2のドメイン解決リクエストを傍受することと、
    前記モジュールよって、前記第2のドメイン名に適用されるドメイン名規則に従って、前記第2のドメイン名リクエストは抑制されるべきでないと判定することと、
    前記第2のドメイン名に適用される前記ドメイン名規則に従って、前記第2のドメイン名リクエストは抑制されるべきでないと判定することに応答して、
    第2の疑似IPアドレスを、前記第1のアプリケーション及び前記第2のアプリケーションの内の前記1つに返信することと、
    前記モジュールによって、前記第2のドメイン名を解決するためのリクエストを、前記コンピューティング装置から前記第1の外部サーバ及び第2の外部サーバの内の1つに送信することと、
    前記モジュールによって、前記第2のドメイン名を解決するための前記リクエストに対する応答であって、前記第2のドメイン名に対応する実IPアドレスを含む前記応答を受信することと、
    前記モジュールによって、前記実IPアドレスを前記第2の疑似IPアドレスにマッピングすることと
    を更に含む、請求項1に記載の方法。
  7. 前記アプリケーションは第1のアプリケーションであり、前記ドメイン解決リクエストは第1のドメイン解決リクエストであり、前記ドメイン名は第1のドメイン名であり、疑似IPアドレスは第1の疑似IPアドレスであり、前記方法は、
    前記モジュールによって、前記第1のアプリケーション、及び前記コンピューティング装置上で実行する第2のアプリケーションの内の1つから、第2のドメイン名を含む第2のドメイン解決リクエストを傍受することと、
    前記モジュールによって、前記アプリケーションに、前記第2のドメイン解決リクエストに対する応答として第2の疑似IPアドレスを返信することと、
    前記モジュールによって、前記第2の疑似IPアドレスを前記第2のドメイン名にマッピングするエントリを格納場所中に格納することと、前記モジュールによって、前記第1のアプリケーション及び前記第2のアプリケーションの内の前記1つから、前記第2の疑似IPアドレスを含むコンテンツリクエストを傍受することと、
    前記格納場所から、前記第2の疑似IPアドレスに対応する前記第2のドメイン名を取得することと、
    前記モジュールよって、前記第2のドメイン名に適用されるドメイン名規則に従って、前記第2のドメイン名リクエストは抑制されるべきでないと判定することと、
    前記モジュールによって、前記第2のドメイン名を解決するためのリクエストを、前記コンピューティング装置から前記第1の外部サーバ及び第2の外部サーバの内の1つに送信することと、
    前記モジュールによって、前記第2のドメイン名を解決するための前記リクエストに対する応答であって、前記第2のドメイン名に対応する実IPアドレスを含む前記応答を受信することと、
    前記実IPアドレスを含む修正済みリクエストを生成することと、
    前記第1の外部サーバ及び異なる外部サーバの内の1つに、前記修正済みリクエストを送信することと
    を更に含む、請求項1に記載の方法。
  8. 疑似IPアドレスを前記ドメイン名にマッピングする前記エントリは、実IPアドレスよりも少ないビット数を含む、請求項1に記載の方法。
  9. 前記ドメイン解決リクエストはハイパーテキストトランスファープロトコル(HTTP)リクエストであり、前記方法は、前記HTTPリクエストのHOSTヘッダから前記ドメイン名を抽出することを更に含む、請求項1に記載の方法。
  10. 前記ドメイン解決リクエストはトランスミッションコントロールプロトコル(TCP)リクエストであり、前記方法は、前記TCPリクエストのCONNECTヘッダから前記ドメイン名を抽出することを更に含む、請求項1に記載の方法。
  11. 1つ以上のプロセッサと、前記1つ以上のプロセッサに動作可能に結合された1つ以上の記憶装置とを含むシステムであって、
    前記システム上で実行するモジュールによって、前記システムにより実行されるアプリケーションから、ドメイン名を含むドメイン解決リクエストであって、第1の外部サーバにアドレス指定された前記ドメイン解決リクエストを傍受することと、
    前記モジュールによって、前記ドメイン解決リクエストの前記外部サーバへの送信を抑制することと、
    前記モジュールによって、前記アプリケーションに、前記ドメイン解決リクエストに対する応答として疑似インターネットプロトコル(IP)アドレスを返信することと、
    前記モジュールによって、前記疑似IPアドレスを前記ドメイン解決リクエストの前記ドメイン名にマッピングするエントリを格納することと
    を前記1つ以上のプロセッサにさせるのに有効な実行可能で動作可能なデータを前記1つ以上の記憶装置が含む、システム。
  12. 前記実行可能で動作可能なデータは、
    前記モジュールによって、前記アプリケーションから、前記疑似IPアドレスを含むコンテンツリクエストを傍受することと、
    前記モジュールによって前記アプリケーションから前記疑似IPアドレスを含む前記コンテンツリクエストを傍受することに応答して、前記エントリ中の前記疑似IPアドレスにマッピングされた前記ドメイン名を含む修正済みコンテンツリクエストを生成することと、
    前記修正済みコンテンツリクエストを、前記第1の外部サーバ及び異なる外部サーバの内の1つに送信することと
    を前記1つ以上のプロセッサにさせるのに更に有効である、請求項11に記載のシステム。
  13. 前記第1の外部サーバ及び前記異なる外部サーバの内の1つであって、
    前記修正済みコンテンツリクエストを受信することと、
    前記ドメイン名に対応する実IPアドレスを取得することと、
    前記修正済みコンテンツリクエストに従って前記実IPアドレスからコンテンツをリクエストすることと、
    前記修正済みコンテンツリクエストに従って前記コンテンツを受信することと、
    前記修正済みコンテンツリクエストに従って前記コンテンツを前記コンピューティング装置に送信することと
    をするようにプログラムされた、前記第1の外部サーバ及び前記異なる外部サーバの内の前記1つを更に含む、請求項12に記載のシステム。
  14. 前記モジュールによって、前記アプリケーションに、前記ドメイン解決リクエストに対する応答として前記疑似インターネットプロトコル(IP)アドレスを返信することは、前記実IPアドレスに用いられたTTL値よりも大きな値に設定されたタイムトゥーリブ(TTL)属性を有する疑似IPアドレスを返信することを含むことを前記1つ以上のプロセッサにさせるのに前記実行可能で動作可能なデータは更に有効である、請求項13に記載のシステム。
  15. 前記アプリケーションは第1のアプリケーションであり、前記ドメイン解決リクエストは第1のドメイン解決リクエストであり、前記ドメイン名は第1のドメイン名であり、前記実行可能で動作可能なデータは、
    前記モジュールによって、前記第1のアプリケーション、及び前記システム上で実行する第2のアプリケーションの内の1つから、第2のドメイン名を含む第2のドメイン解決リクエストを傍受することと、
    前記モジュールよって、前記第2のドメイン名に適用されるドメイン名規則に従って、前記第2のドメイン名リクエストは抑制されるべきでないと判定することと、
    前記第2のドメイン名を解決するためのリクエストを、前記システムから前記第1の外部サーバ及び第2の外部サーバの内の1つに送信することと、
    前記第2のドメイン名を解決するための前記リクエストに対する応答を受信することと、
    前記第2のドメイン名を解決するための前記リクエストに対する前記応答を、前記アプリケーションに返信することと
    を前記1つ以上のプロセッサにさせるのに更に有効である、請求項11に記載のシステム。
  16. 前記アプリケーションは第1のアプリケーションであり、前記ドメイン解決リクエストは第1のドメイン解決リクエストであり、前記ドメイン名は第1のドメイン名であり、疑似IPアドレスは第1の疑似IPアドレスであり、前記実行可能で動作可能なデータは、
    前記モジュールによって、前記第1のアプリケーション、及び前記システム上で実行する第2のアプリケーションの内の1つから、第2のドメイン名を含む第2のドメイン解決リクエストを傍受することと、
    前記モジュールよって、前記第2のドメイン名に適用されるドメイン名規則に従って、前記第2のドメイン名リクエストは抑制されるべきでないと判定することと、
    前記第2のドメイン名に適用される前記ドメイン名規則に従って、前記第2のドメイン名リクエストは抑制されるべきでないと判断することに応答して、
    第2の疑似IPアドレスを、前記第1のアプリケーション及び前記第2のアプリケーションの内の前記1つに返信することと、
    前記モジュールによって、前記第2のドメイン名を解決するためのリクエストを、前記システムから前記第1の外部サーバ及び第2の外部サーバの内の1つに送信することと、
    前記モジュールによって、前記第2のドメイン名を解決するための前記リクエストに対する応答であって、前記第2のドメイン名に対応する実IPアドレスを含む前記応答を受信することと、
    前記モジュールによって、前記実IPアドレスを前記第2の疑似IPアドレスにマッピングすることと
    を前記1つ以上のプロセッサにさせるのに更に有効である、請求項11のシステム。
  17. 前記アプリケーションは第1のアプリケーションであり、前記ドメイン解決リクエストは第1のドメイン解決リクエストであり、前記ドメイン名は第1のドメイン名であり、疑似IPアドレスは第1の疑似IPアドレスであり、前記実行可能で動作可能なデータは、
    前記モジュールによって、前記第1のアプリケーション、及び前記コンピューティング装置上で実行する第2のアプリケーションの内の1つから、第2のドメイン名を含む第2のドメイン解決リクエストを傍受することと、
    前記モジュールによって、前記アプリケーションに、前記第2のドメイン解決リクエストに対する応答として第2の疑似インターネットプロトコル(IP)アドレスを返信することと、
    前記モジュールによって、前記第2の疑似IPアドレスを前記第2のドメイン名にマッピングするエントリを格納することと、
    前記モジュールによって、前記第1のアプリケーション及び前記第2のアプリケーションの内の前記1つから、前記第2の疑似IPアドレスを含むコンテンツリクエストを傍受することと、
    前記ストレージから、前記第2の疑似IPアドレスに対応する前記第2のドメイン名を取得することと、
    前記モジュールよって、前記第2のドメイン名に適用されるドメイン名規則に従って、前記第2のドメイン名リクエストは抑制されるべきでないと判定することと、
    前記モジュールによって、前記第2のドメイン名を解決するためのリクエストを、前記コンピューティング装置から前記第1の外部サーバ及び第2の外部サーバの内の1つに送信することと、
    前記モジュールによって、前記第2のドメイン名を解決するための前記リクエストに対する応答であって、前記第2のドメイン名に対応する実IPアドレスを含む前記応答を受信することと、
    前記モジュールによって前記第1のアプリケーション及び前記第2のアプリケーションの内の前記1つから前記第2のドメイン名を含む前記コンテンツリクエストを傍受することに応答して、前記第2の疑似IPアドレスにマッピングされた前記実IPアドレスを含む修正済みコンテンツリクエストを生成することと、
    前記第1の外部サーバ及び異なる外部サーバの内の1つに、前記修正済みリクエストを送信することと
    を前記1つ以上のプロセッサにさせるのに更に有効である、請求項11に記載のシステム。
  18. 前記疑似IPアドレスを前記ドメイン名にマッピングする前記エントリは、前記実IPアドレスよりも少ないビット数を含む、請求項17に記載のシステム。
  19. 前記ドメイン解決リクエストはハイパーテキストトランスファープロトコル(HTTP)リクエストであり、前記実行可能で動作可能なデータは、前記HTTPリクエストのHOSTヘッダから前記ドメイン名を抽出することを前記1つ以上のプロセッサにさせるのに更に有効である、請求項11に記載のシステム。
  20. 前記ドメイン解決リクエストはトランスミッションコントロールプロトコル(TCP)リクエストであり、前記実行可能で動作可能なデータは、前記TCPリクエストのCONNECTヘッダから前記ドメイン名を抽出することを前記1つ以上のプロセッサにさせるのに更に有効である、請求項11に記載のシステム。
  21. 仮想プライベートネットワーク(VPN)接続を管理するための方法であって、
    VPNサーバコンピュータによって、コンピューティング装置から、カプセル化された第1のトラフィックを受信することと、
    前記VPNサーバコンピュータによって、第1のトラフィックを取得するために、カプセル化された前記第1のトラフィックをデカプセル化するために
    前記VPNサーバコンピュータによって、前記第1のトラフィック中の第1のインターネットプロトコル(IP)アドレスを第2のインターネットプロトコルアドレスに置き換えることと、
    前記VPNサーバコンピュータによって、前記第1のトラフィックを前記第2のIPアドレスに送信すること
    を含む、方法。
  22. 前記第1のIPアドレスはルーティング不可IPアドレスであり、前記第2のIPアドレスはルーティング可能IPアドレスである、請求項21に記載の方法。
  23. 前記VPNサーバコンピュータによって、前記第1のトラフィック中の前記第1のIPアドレスを前記第2のIPアドレスに置き換えることは、
    カプセル化された前記第1のトラフィックに対して、前記第1のIPアドレスに対応するドメイン名を識別することと、
    前記第2のIPアドレスを取得するために前記ドメイン名を解決することと
    を更に含む、請求項22に記載の方法。
  24. 前記ドメイン名を前記第2のIPアドレスに解決することは、前記VPNサーバコンピュータによって、前記ドメイン名を含むドメインネームサービス(DNS)リクエストをDNSサーバに発行することと、前記DNSサーバから前記第2のIPアドレスと共に応答を受信することとを含む、請求項23に記載の方法。
  25. 前記VPNサーバコンピュータによって、前記第1のトラフィック中の前記第1のインターネットプロトコル(IP)アドレスを前記第2のインターネットプロトコルアドレスに置き換えることは、
    前記VPNサーバコンピュータによって、カプセル化された前記第1のトラフィック中でポインタを識別することと、
    前記VPNサーバコンピュータによって、前記ポインタにより参照されるテキスト列を検索することと、
    前記第2のIPアドレスを取得するために前記テキスト列を解決することと
    を更に含む請求項22に記載の方法。
  26. 前記コンピューティング装置上で実行するモジュールによって、前記コンピューティング装置上で実行するアプリケーションから、ドメイン名を含むドメイン解決リクエストであって、第1の外部サーバにアドレス指定された前記ドメイン解決リクエストを傍受することと、
    前記モジュールによって、前記ドメイン解決リクエストの前記外部サーバへの送信を抑制することと、
    前記モジュールによって、前記アプリケーションに、前記ドメイン解決リクエストに対する応答として前記ルーティング不可IPアドレスを返信することと
    を更に含む、請求項22に記載の方法。
  27. 前記モジュールによって、前記アプリケーションから、前記VPNサーバにアドレスしてされたVPN通信であって、前記ルーティング不可IPアドレスを含む前記VPN通信を傍受することと、
    前記モジュールによって前記アプリケーションから前記VPNサーバにアドレス指定された前記VPN通信を傍受することに応答して、前記モジュールによって、前記ドメイン名及び前記ルーティング不可IPアドレスの両方を宛先アドレスフィールド中に含む修正済みVPN通信を生成することと、
    前記モジュールによって、カプセル化された前記第1のトラフィックを生成するために前記修正済みVPN通信をカプセル化することと、
    前記モジュールによって、前記修正済みコンテンツリクエストを前記VPNサーバに送信することと、
    を更に含む、請求項26に記載の方法。
  28. 前記VPNサーバコンピュータによって、前記第1のトラフィック中の前記第1のIPアドレスを前記第2のIPアドレスに置き換えることは、
    前記VPNサーバによって、前記第1のIPアドレスをドメイン名にマッピングすることと、
    前記ドメイン名を前記第2のIPアドレスであって、前記第1のIPアドレスに対応する第1のコンテンツサーバよりも前記VPNに近い第2のコンテンツサーバに対応する前記第2のIPアドレスに解決することと
    を更に含む、請求項21に記載の方法。
  29. 前記VPNサーバコンピュータによって、前記第1のトラフィック中の前記第1のIPアドレスを前記第2のIPアドレスに置き換えることは、
    前記VPNサーバによって、前記第1のIPアドレスは、前記VPNサーバから閾値距離を超える第1のコンテンツサーバに対応すると判定することと、
    前記VPNサーバによって前記第1のIPアドレスは前記VPNサーバから閾値距離を超える前記第1のコンテンツサーバに対応すると判定することに応答して、
    前記VPNサーバによって、前記第1のIPアドレスをドメイン名にマッピングすることと、
    前記ドメイン名を前記第2のIPアドレスであって、前記第1のコンテンツサーバよりも前記VPNサーバに近い第2のコンテンツサーバに対応する前記第2のIPアドレスに解決することと、
    を更に含む、請求項21に記載の方法。
  30. 前記VPNサーバコンピュータによって、前記第1のトラフィック中の前記第1のインターネットプロトコル(IP)アドレスを第2のIPアドレスに置き換えることは、カプセル化された前記第1のトラフィックのVPNトンネル内で行われる、請求項21に記載の方法。
  31. 仮想プライベートネットワーク(VPN)接続を管理するためのシステムであって、1つ以上のプロセッサと、前記1つ以上のプロセッサに動作可能に結合された1つ以上の記憶装置を含む前記システムであって、
    コンピューティング装置から、カプセル化された第1のトラフィックを受信することと、
    第1のトラフィックを取得するために、カプセル化された前記第1のトラフィックをデカプセル化することと
    前記第1のトラフィック中の第1のインターネットプロトコル(IP)アドレスを第2のインターネットプロトコルアドレスに置き換えることと、
    前記第1のトラフィックを前記第2のIPアドレスに送信することと
    を前記1つ以上のプロセッサにさせるのに有効な実行可能で動作可能なデータを前記1つ以上の記憶装置が含む、システム。
  32. 前記第1のIPアドレスはルーティング不可IPアドレスであり、前記第2のIPアドレスはルーティング可能IPアドレスである、請求項31に記載のシステム。
  33. 前記実行可能で動作可能なデータは、
    カプセル化された前記第1のトラフィック中でドメイン名を識別することと、
    第2のIPアドレスを取得するために前記ドメインを解決することと
    によって、前記第1のトラフィック中の前記第1のIPアドレスを前記第2のIPアドレスに置き換えることを前記1つ以上のプロセッサにさせるのに有効である、請求項32に記載の方法。
  34. 前記実行可能で動作可能なデータは、前記ドメイン名を含むドメインネームサービス(DNS)リクエストをDNSサーバに発行することと、前記DNSサーバから前記第2のIPアドレスと共に応答を受信することによって、前記ドメイン名を前記第2のIPアドレスに解決することを前記1つ以上のプロセッサにさせるのに有効である、請求項33に記載の方法。
  35. 前記実行可能で動作可能なデータは、
    前記VPNサーバコンピュータによって、カプセル化された前記第1のトラフィック中でポインタを識別することと、
    前記VPNサーバコンピュータによって、前記ポインタにより参照されるテキスト列を検索することと、
    前記第2のIPアドレスを取得するために前記テキスト列を解決することと
    によって、前記第1のトラフィック中の前記第1のインターネットプロトコル(IP)アドレスを前記第2のインターネットプロトコルアドレスに置き換えることを前記1つ以上のプロセッサにさせるのに有効である、請求項32に記載の方法。
  36. 前記コンピューティング装置を更に含み、コンピューティング装置は、
    前記コンピューティング装置上で実行するモジュールによって、前記コンピューティング装置上でするアプリケーションから、ドメイン名を含むドメイン解決リクエストであって、第1の外部サーバにアドレス指定された前記ドメイン解決リクエストを傍受することと、
    前記モジュールによって、前記ドメイン解決リクエストの前記外部サーバへの送信を抑制することと、
    前記モジュールによって、前記アプリケーションに、前記ドメイン解決リクエストに対する応答として前記ルーティング不可IPアドレスを返信することと
    をするようにプログラムされる、請求項32に記載のシステム。
  37. 前記コンピューティング装置は、
    前記モジュールによって、前記アプリケーションから、前記VPNサーバにアドレス指定されたVPN通信であって、前記ルーティング不可IPアドレスを含む前記VPN通信を傍受することと、
    前記モジュールによって前記アプリケーションから前記VPNサーバにアドレス指定された前記VPN通信を傍受することに応答して、前記モジュールによって、前記ドメイン名及び前記ルーティング不可IPアドレスの両方を宛先アドレスフィールド中に含む修正済みVPN通信を生成することと、
    前記モジュールによって、カプセル化された前記第1のトラフィックを生成するために、前記修正済みVPN通信をカプセル化することと、
    前記モジュールによって、前記修正済みコンテンツリクエストを前記VPNサーバに送信することと
    をするように更にプログラムされる、請求項36に記載のシステム。
  38. 前記実行可能で動作可能なデータは、
    前記VPNサーバによって、前記第1のIPアドレスをドメイン名にマッピングすることと、
    前記ドメイン名を前記第2のIPアドレスであって、前記第1のIPアドレスに対応する第1のコンテンツサーバよりも前記コンピューティング装置に近い第2のコンテンツサーバに対応する前記第2のIPアドレスに解決することと
    によって、前記第1のトラフィック中の前記第1のIPアドレスを前記第2のIPアドレスに置き換えることを前記1つ以上のプロセッサにさせるのに更に有効である、請求項31に記載のシステム。
  39. 前記実行可能で動作可能なデータは、
    前記第1のIPアドレスによってアドレス指定された第1のコンテンツサーバの位置を判定することと、
    前記第1のコンテンツサーバの位置が前記システムから閾値距離を超える場合に、
    前記第1のIPアドレスをドメイン名にマッピングすることと、
    前記ドメイン名を前記第2のIPアドレスであって、前記第1のコンテンツサーバよりも前記コンピューティング装置に近い第2のコンテンツサーバをアドレス指定する前記第2のIPアドレスに解決することと
    を前記1つ以上のプロセッサにさせるのに更に有効である、請求項31に記載のシステム。
  40. 前記実行可能で動作可能なデータは、カプセル化された前記第1のトラフィックのVPNトンネル内において、前記第1のトラフィック中の前記第1のIPアドレスを前記第2のIPアドレスに置き換えることを前記1つ以上のプロセッサにさせるのに更に有効である、請求項31に記載の方法。
  41. ドメイン解決の抑制のための方法であって、
    コンピューティング装置上で実行するアプリケーションから、前記コンピューティング装置上で実行するモジュールによって、疑似IPアドレスを含むコンテンツリクエストを傍受することと、
    前記モジュールによって前記アプリケーションから前記疑似IPアドレスを含む前記コンテンツリクエストを傍受することに応答して、第1のデータテーブルのエントリ中の前記疑似IPアドレスにマッピングされたドメイン名を含む修正済みコンテンツリクエストを生成することと、
    前記コンピューティング装置によって、前記修正済みコンテンツリクエストを第1のサーバに送信することと、
    前記コンピューティング装置によって、前記修正済みコンテンツリクエストに対する応答であって、前記ドメイン名に対応するルーティング可能IPアドレスを含む前記応答を受信することと、
    前記コンピューティング装置によって、前記IPアドレス及びドメイン名を第2のデータテーブル中に格納することと
    を含む、方法。
  42. 前記コンピューティング装置によって、前記アプリケーションからの第2のコンテンツであって、前記ドメイン名を含む前記第2のコンテンツリクエストを検出することと、
    前記アプリケーションからの前記第2のコンテンツリクエストであって、前記ドメイン名を含む前記第2のコンテンツリクエストを検出することに応じて、前記コンピューティング装置によって、前記第2のデータテーブルから前記ルーティング可能IPアドレスを検索することと、
    前記コンピューティング装置によって、前記ルーティング可能IPアドレスを含む前記第2のコンテンツリクエストを、前記第1のサーバ、及び前記ルーティング可能IPアドレスでアドレスされる第2のサーバの内の1つに送信すること、
    を更に含む、請求項41に記載の方法。
  43. 前記コンピューティング装置によって、前記ルーティング可能アドレスでアドレス指定された前記第2のサーバに前記第2のコンテンツリクエストを第1のサーバをバイパスすることにより送信することを含む、請求項41に記載の方法。
  44. 前記モジュールによって、前記アプリケーションから、前記ドメイン名を含むドメイン解決リクエストであって、前記第1のサーバ及び第3のサーバの内の1つにアドレス指定された前記ドメイン解決リクエストを傍受することと、
    前記モジュールによって、前記ドメイン解決リクエストの送信を抑制することと、
    前記モジュールによって、前記アプリケーションに、前記ドメイン解決リクエストに対する応答として疑似IPアドレスを返信することと、
    前記モジュールによって、疑似IPアドレスを前記ドメイン解決リクエストの前記ドメイン名にマッピングする前記エントリを前記第1データテーブル中に格納することと
    を更に含む、請求項41に記載の方法。
  45. 前記モジュールによって前記アプリケーションに前記ドメイン解決リクエストに対する応答として前記疑似インターネットプロトコル(IP)アドレスを返信することは、前記実IPアドレスに用いられたTTL値よりも大きな値に設定されたタイムトゥーリブ(TTL)属性を有する疑似IPアドレスを返信することを含む、請求項44に記載の方法。
  46. ドメイン解決の抑制のための方法であって、
    第1のサーバによって、クライアント装置からドメイン名を含むコンテンツリクエストを受信することと、
    前記第1のサーバによって、前記ドメイン名をルーティング可能インターネットプロトコル(IP)アドレスに解決することと、
    前記第1のサーバによって、前記コンテンツリクエストにより参照されるコンテンツを、前記ルーティング可能IPアドレスに対応するリモートサーバから検索することと、
    前記第1のサーバによって、前記クライアント装置に、前記コンテンツリクエストにより参照される前記コンテンツと前記ルーティング可能IPアドレスとを送信することと
    を含む、方法。
  47. 前記ドメイン名をルーティング可能IPアドレスに解決することは、ドメインネームサービス(DNS)リクエストを発行することと、前記IPアドレスを含む前記DNSリクエストに対する応答を受信することとを含む、請求項46に記載の方法。
  48. 前記ドメイン名をルーティング可能IPアドレスに解決することは、前記ドメイン名を前記ルーティングIPアドレスにマッピングするデータベースから、前記ルーティング可能IPアドレスを検索することを含む、請求項46に記載の方法。
  49. 前記コンテンツリクエストにより参照される前記コンテンツと関連付けられた1つ以上の追加のドメイン名を識別することと、
    前記追加のドメイン名に対するルーティング可能IPアドレスを検索することと、
    前記追加のドメイン名に対する前記ルーティング可能IPアドレスを、前記コンテンツリクエストにより参照される前記コンテンツと共に返信することと
    を更に含む、請求項46に記載の方法。
  50. 前記追加のドメイン名は、前記コンテンツリクエストにより参照される前記コンテンツにリンクされたドメイン名である、請求項46に記載の方法。
  51. 前記クライアント装置上で実行するアプリケーションから、前記クライアント装置上で実行するモジュールによって、疑似IPアドレスを含む元のコンテンツリクエストを傍受することと、
    前記モジュールによって前記アプリケーションから前記疑似IPアドレスを含む前記元のコンテンツリクエストを傍受することに応答して、第1のデータテーブルのエントリ中の前記疑似IPアドレスにマッピングされたドメイン名を含む前記コンテンツリクエストを生成することと、
    前記コンピューティング装置によって、前記コンテンツリクエストを前記第1のサーバに送信することと、
    前記コンピューティング装置によって、前記コンテンツリクエストにより参照される前記コンテンツと前記ルーティング可能IPアドレスとを受信することと、
    前記コンピューティング装置によって、前記IPアドレス及びドメイン名を、第2のデータテーブル中に格納することと
    を更に含む、請求項46に記載の方法。
  52. 前記クライアント装置によって、前記アプリケーションからの第2のコンテンツリクエストであって、前記ドメイン名を含む前記第2のコンテンツリクエストを検出することと、
    前記アプリケーションからの第2のコンテンツリクエストであって、前記ドメイン名を含む前記第2のコンテンツリクエストを検出することに応答して、前記クライアント装置によって、前記第2のデータテーブルから前記ルーティング可能IPアドレスを検索することと、
    前記クライアント装置によって、前記ルーティング可能IPアドレスを含む前記第2のコンテンツリクエストを、前記第1のサーバ、及び前記ルーティング可能IPアドレスに対応する第2のサーバの内の1つに送信することと
    を更に含む、請求項46に記載の方法。
  53. ドメイン解決の抑制のための方法であって、
    第1のサーバによって、クライアント装置から、ルーティング可能IPアドレス及びドメイン名の内の1つを含むコンテンツリクエストを受信することと、
    前記第1のサーバによって、前記コンテンツリクエストにより参照されるコンテンツを、前記ルーティング可能IPアドレス及び前記ドメイン名の内の前記1つに対応するリモートサーバから検索することと、
    前記第1のサーバによって、前記コンテンツリクエストと関連付けられた1つ以上の関連ドメイン名を識別することと、
    前記第1のサーバによって、前記1つ以上の関連ドメイン名を1つ以上の関連IPアドレスに解決することと、
    前記第1のサーバによって、前記クライアント装置に、前記コンテンツリクエストにより参照される前記コンテンツと、前記1つ以上の関連ドメイン名にマッピングされた前記1つ以上の関連IPアドレスとを返信することと
    含む、方法。
  54. 前記コンテンツリクエストは、前記ルーティング可能IPアドレスを含む、請求項53に記載の方法。
  55. 前記コンテンツリクエストは前記ドメイン名を含み、
    前記第1のサーバによって、前記コンテンツリクエストにより参照される前記コンテンツを、前記ルーティング可能IPアドレスと前記ドメイン名の内の前記1つに対応する前記リモートサーバから検索することは、前記ドメイン名を対応するIPアドレスに解決することと、前記コンテンツリクエストを対応する前記IPアドレスに送信することとを含む、
    請求項53に記載の方法。
  56. 前記コンテンツリクエストにより参照される前記コンテンツはウェブページであり、前記1つ以上の関連ドメイン名は、前記ウェブページにリンクされたドメイン名である、請求項53に記載の方法。
  57. 前記クライアント装置によって、前記1つ以上の関連IPアドレスにマッピングされた前記関連IPアドレスを格納することと、
    前記クライアント装置によって、前記アプリケーションからの第2のコンテンツリクエストであって、前記1つ以上の関連ドメイン名の内の1つを含む前記第2のコンテンツリクエストを検出することと、
    前記アプリケーションからの第2のコンテンツリクエストであって、前記1つ以上の関連ドメイン名の内の1つを含む前記第2のコンテンツリクエストを検出することに応答して、前記クライアント装置によって、前記1つ以上のドメイン名の内の前記1つに対応する前記ルーティング可能IPアドレスを検索することと、
    前記クライアント装置によって、前記第1のサーバ及び第2のサーバの内の1つに、前記1つ以上のドメイン名の内の前記1つに対応する前記ルーティング可能IPアドレスを含む前記第2のコンテンツリクエストを送信すること
    を更に含む、請求項53に記載の方法。
  58. 前記クライアント装置によって、前記1つ以上のドメイン名の内の前記1つに対応する前記ルーティング可能IPアドレスによりアドレスされた前記第2のサーバの1つに前記第1のサーバをバイパスすることにより送信することを更に含む、請求項57に記載の方法。
JP2018565310A 2016-06-17 2016-06-17 Dnsリクエストの抑制のためのシステム及び方法 Pending JP2019522416A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2016/038144 WO2017218010A1 (en) 2016-06-17 2016-06-17 System and method for suppressing dns requests

Publications (1)

Publication Number Publication Date
JP2019522416A true JP2019522416A (ja) 2019-08-08

Family

ID=60663693

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018565310A Pending JP2019522416A (ja) 2016-06-17 2016-06-17 Dnsリクエストの抑制のためのシステム及び方法

Country Status (5)

Country Link
EP (1) EP3472985A4 (ja)
JP (1) JP2019522416A (ja)
KR (1) KR20190053170A (ja)
CA (1) CA3027334A1 (ja)
WO (1) WO2017218010A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472873A (zh) * 2021-06-25 2021-10-01 惠州高盛达科技有限公司 固定伪ip地址访问路由器主页的方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111314499B (zh) * 2020-02-17 2022-09-30 深信服科技股份有限公司 一种域名代理方法、装置、设备及可读存储介质
CN112040027B (zh) * 2020-09-14 2023-06-16 网易(杭州)网络有限公司 一种数据处理的方法及装置、电子设备、存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7418504B2 (en) * 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US6976090B2 (en) * 2000-04-20 2005-12-13 Actona Technologies Ltd. Differentiated content and application delivery via internet
US20040249939A1 (en) * 2003-05-23 2004-12-09 International Business Machines Corporation Methods and apparatus for dynamic and optimal server set selection
US7584500B2 (en) * 2003-11-19 2009-09-01 Hughes Network Systems, Llc Pre-fetching secure content using proxy architecture
JP5459314B2 (ja) * 2009-05-27 2014-04-02 日本電気株式会社 無線lanアクセスポイント装置、移動通信端末、通信方法およびプログラム
US8200752B2 (en) * 2009-12-23 2012-06-12 Citrix Systems, Inc. Systems and methods for policy based transparent client IP insertion

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472873A (zh) * 2021-06-25 2021-10-01 惠州高盛达科技有限公司 固定伪ip地址访问路由器主页的方法
CN113472873B (zh) * 2021-06-25 2023-05-26 惠州高盛达科技有限公司 固定伪ip地址访问路由器主页的方法

Also Published As

Publication number Publication date
WO2017218010A1 (en) 2017-12-21
KR20190053170A (ko) 2019-05-17
CA3027334A1 (en) 2017-12-21
EP3472985A4 (en) 2019-10-30
EP3472985A1 (en) 2019-04-24

Similar Documents

Publication Publication Date Title
US10356040B2 (en) System and method for suppressing DNS requests
US10812441B2 (en) System and method for suppressing DNS requests
US9819513B2 (en) System and method for suppressing DNS requests
US9602411B2 (en) System and method for suppressing DNS requests
US10904204B2 (en) Incompatible network gateway provisioned through DNS
US9525602B2 (en) Maintaining IP tables
US9319315B2 (en) Distributing transmission of requests across multiple IP addresses of a proxy server in a cloud-based proxy service
EP3171556B1 (en) Method and apparatus for setting network rule entry
US9497063B2 (en) Maintaining IP tables
CN108632221B (zh) 定位内网中的受控主机的方法、设备及系统
JP2004312609A (ja) 動的dns登録方法、ドメイン名解決方法、代理サーバ、及びアドレス変換装置
JPWO2005069532A1 (ja) 暗号化通信方法、暗号化通信システム、ノード装置及びプログラム
CN112702425B (zh) 基于域名泛解析的web应用访问代理方法、装置和存储介质
Al-kasassbeh et al. Winning tactics with DNS tunnelling
US20130291073A1 (en) Multi-stack subscriber sign on
JP2019522416A (ja) Dnsリクエストの抑制のためのシステム及び方法
CN111371915B (zh) Ip地址列表维护方法和装置及网关设备
Pittner CUSTOMIZING APPLICATION HEADERS FOR IMPROVED WARFIGHTING COMMUNICATIONS
CN118337755A (zh) 一种基于ipv6的dns代理方法、设备及介质
KR101125854B1 (ko) Nat 이전의 사설 ip 주소 정보 획득 방법, 장치, 시스템 및 컴퓨터 판독 가능한 기록 매체

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190614

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190614

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200422

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200609

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210202