本发明专利技术实施例公开了一种域名解析方法,包括:用户设备向防护设备发送目标域名的第一解析请求,第一解析请求包括用于标识所述用户设备的标识字段;防护设备对标识字段进行哈希运算得到标识信息,并构造第一CNAME响应,再向用户设备发送第一CNAME响应;用户设备向防护设备第一CNAME响应的第二解析请求;防护设备对标识信息进行验证,当第二解析请求包括标识信息验证通过时,向域名服务器发送第二解析请求;域名服务器对第二解析请求包括的标识信息进行验证,当第二解析请求包括标识信息验证通过时,对第二请求包括的目标域名进行解析。相应地,本发明专利技术实施例还公开相关系统和装置。本发明专利技术实施例可以提高域名解析的成功率。
【技术实现步骤摘要】
【专利摘要】本专利技术实施例公开了一种域名解析方法,包括:用户设备向防护设备发送目标域名的第一解析请求,第一解析请求包括用于标识所述用户设备的标识字段;防护设备对标识字段进行哈希运算得到标识信息,并构造第一CNAME响应,再向用户设备发送第一CNAME响应;用户设备向防护设备第一CNAME响应的第二解析请求;防护设备对标识信息进行验证,当第二解析请求包括标识信息验证通过时,向域名服务器发送第二解析请求;域名服务器对第二解析请求包括的标识信息进行验证,当第二解析请求包括标识信息验证通过时,对第二请求包括的目标域名进行解析。相应地,本专利技术实施例还公开相关系统和装置。本专利技术实施例可以提高域名解析的成功率。【专利说明】一种域名解析方法、系统及装置
本专利技术涉及互联网
,尤其涉及一种域名解析方法、系统及装置。
技术介绍
在互联网
中阻断恶意攻击一直是重要的技术特征,而目前主要通过如下方式阻断恶意攻击: 用户设备向防护设备发送目标域名的解析请求; 防护设备接收到该解析请求时,对该解析请求的源网络之间互连的协议(Internet Protocol, IP)地址进行一定哈希算法,得到标识信息(例如:cookie字符串),并构造包括由该标识信息和所述目标域名组成的第一别名记录(CNAME)响应,再将第一CNAME响应发送至该用户设备; 该用户设备识别第一 CNAME响应,并向防护设备发送第一 CNAME响应的解析请求; 防护设备接收到第一 CNAME响应的解析请求,采用相同的哈希算法验证第一CNAME响应包括的标识信息是否合法,若合法,则去掉第一 CNAME响应的标识信息构造为目标域名的第二 CNAME响应,并将第二 CNAME响应发送至该用户设备; 该用户设备识别第二 CNAME响应,再次向防护设备发送目标域名的解析请求; 防护设备识别出该用户设备再次发送的目标域名的解析请求的源IP地址,并识别出该源IP地址为白名单中包括的IP地址,再将该目标域名的解析请求发送至域名服务器,由域名服务器进行解析流程。 在实际应用在用户设备第一次发送目标域名的解析请求时,攻击设备也会发起恶意分布式拒绝服务(Distribut1n Denial Of Service, DD0S)攻击,即发送大量的域名解析请求。由于攻击设备是无法对CNAME响应做出回复的,即攻击设备无法向防护设备发送CNAME响应的解析请求,从而阻断恶意攻击。 但上述技术中,由于防护设备需要向用户设备发送两次CNAME响应,而实际应用中某些用户设备的解析软件会识别为解析环路,只会对第一个CNAME响应做出回复,将不会对第二 CNAME响应做出回复,从而导致解析失败。即上述技术方案中,域名解析的成功率比较低。
技术实现思路
本专利技术实施例提供了一种域名解析方法、系统及装置,可以提高域名解析的成功率。 第一方面,本专利技术实施例提供一种域名解析方法,包括: 用户设备向防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段; 所述防护设备对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一 CNAME响应,再向所述用户设备发送所述第一 CNAME响应; 所述用户设备识别所述第一 CNAME响应,并向所述防护设备发送所述第一 CNAME响应的第二解析请求; 所述防护设备对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求; 所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。 第二方面,本专利技术实施例提供一种域名解析方法,包括: 接收用户设备发送的目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段,并对所述标识字段进行哈希运算得到标识信息; 构造包括所述标识信息和所述目标域名的第一 CNAME响应,并向所述用户设备发送所述第一 CNAME响应;以使所述用户设备返回所述第一 CNAME响应的第二解析请求; 接收所述用户设备返回的所述第一 CNAME响应的第二解析请求,并对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为防护设备发送的解析请求;以使所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,由所述域名服务器对所述第二请求包括的所述目标域名进行解析。 第三方面,本专利技术实施例提供一种域名解析系统,包括:用户设备、防护设备和域名服务器,其中: 所述用户设备,用于向所述防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段; 所述防护设备,用于对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一 CNAME响应,再向所述用户设备发送所述第一 CNAME响应; 所述用户设备还用于识别所述第一 CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求; 所述防护设备还用于对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求; 所述域名服务器,用于根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。 第四方面,本专利技术实施例提供一种域名解析装置,其特征在于,包括:接收单元、构造单元、验证单元和发送单元,其中: 所述接收单元,用于接收用户设备发送的目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段,并对所述标识字段进行哈希运算得到标识信息; 所述构造单元,用于构造包括所述标识信息和所述目标域名的第一 CNAME响应,并向所述用户设备发送所述第一 CNAME响应;以使所述用户设备返回所述第一 CNAME响应的第二解析请求; 所述验证单元,用于接收所述用户设备返回的所述第一 CNAME响应的第二解析请求,并对所述第二解析请求包括的所述标识信息进行验证; 所述发送单元,用于当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述装置发送的解析请求;以使所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,由所述域名服务器对所述第二请求包括的所述目标域名进行解析。 上述技术方案中,防护设备只需要向用户设备发送上述第一 CNAME响应,这样用户设备本文档来自技高网...
【技术保护点】
一种域名解析方法,其特征在于,包括:用户设备向防护设备发送目标域名的第一解析请求,所述第一解析请求包括用于标识所述用户设备的标识字段;所述防护设备对所述标识字段进行哈希运算得到标识信息,并构造包括所述标识信息和所述目标域名的第一别名记录CNAME响应,再向所述用户设备发送所述第一CNAME响应;所述用户设备识别所述第一CNAME响应,并向所述防护设备发送所述第一CNAME响应的第二解析请求;所述防护设备对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,向域名服务器发送携带指示信息的所述第二解析请求,所述指示信息用于指示所述第二解析请求为所述防护设备发送的解析请求;所述域名服务器根据所述指示信息对所述第二解析请求包括的所述标识信息进行验证,当所述第二解析请求包括的所述标识信息验证通过时,对所述第二请求包括的所述目标域名进行解析。
【技术特征摘要】
【专利技术属性】
技术研发人员:罗喜军,白惊涛,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。