本发明专利技术实施例提供一种域名解析方法、域名解析装置及电子设备,方法包括:根据域名解析请求向预设的DNS代理服务器进行本地缓存查询,若本地缓存有网址映射关系,则据其进行域名解析;若本地未缓存网址映射关系,则启动静态冗余查询机制,包括:从DNS解析服务器组中选取一个DNS解析服务器,根据域名解析请求,同时向DNS解析服务器和预设的LDAP服务器进行查询,比对二者的查询结果,若一致,则进行域名解析;若不一致,则启动动态冗余查询机制,包括:从DNS解析服务器组其余的DNS解析服务器中选取多个DNS解析服务器,根据域名解析请求,同时向多个DNS解析服务器进行查询,根据查询结果进行域名解析或风险报警。从而提高域名解析速度并提升域名解析安全性。
【技术实现步骤摘要】
域名解析方法、域名解析装置及电子设备
本专利技术涉及域名解析服务
,尤其涉及一种域名解析方法、域名解析装置及电子设备。
技术介绍
为了使用户方便的访问互联网,而不用去记住被机器直接读取的IP地址数值串,通常采用域名代替IP地址来标识站点地址,当客户端需要访问网络时,在浏览器中输入域名,经过域名解析之后,客户端便实现了对该IP地址所对应的服务器的访问。传统的域名解析方式是:使用DNS(DomainNameSystem,域名解析系统)进行从域名到IP地址的正向解析以及从IP地址到域名的反向解析。所述正向解析流程如图1所示:①在浏览器中输入域名www.example.com,操作系统会先后检查自己本机的hosts文件以及本机DNS解析器缓存是否有这个域名相应的网址映射关系,如果有,则调用此IP地址映射,完成域名解析。②如果hosts文件与本机DNS解析器缓存中都没有相应的网址映射关系,则首先会找TCP/IP参数中设置的本地DNS递归服务器,此本地DNS递归服务器收到查询请求时,如果要查询的域名,包含在其本地配置区域资源或其缓存中,则返回解析结果给客户机,完成域名解析。③-④如果本地DNS递归服务器本地配置区域资源与缓存对域名的解析都无效,则本地DNS递归服务器就把查询请求发至全世界的13台根DNS服务器,各根DNS服务器根据请求的顶级域名(.com)返回对应的顶级域名服务器IP地址;⑤-⑥本地DNS递归服务器收到顶级域名服务器IP地址后,会请求该顶级域名服务器,该顶级域名服务器返回对应的二级域名服务器的地址(example.com)给本地DNS递归服务器;⑦-⑧当本地DNS递归服务器收到二级域名服务器的地址后,会请求该二级域名服务器,进行域名查询,找到www.example.com主机,则返回解析结果给客户机,完成域名解析。而传统的域名解析过程中,通常也会存在安全问题。目前针对DNS服务器的DNS缓存投毒等恶意攻击频频发生,可是DNS安全拓展协议(DNSSEC)很难应用于大规模部署的情况。因此,有人提出了用拟态DNS技术(Mimic-DNS,M-DNS)来保证DNS服务器的安全。拟态DNS技术的设计架构及服务流程如图2所示,其架构是由选调器和包含多个异构DNS服务器的服务器池组成的,其工作原理为:首先选调器动态从DNS递归服务器池随机选取若干服务器并行处理查询请求,然后对各服务器的处理结果采用投票机制决定最终的有效响应。拟态DNS服务器的服务流程具体为:(1)用户发出DNS查询请求;(2)选调器从递归服务器池中随机选取n个缓存服务器发出查询。若所有缓存服务器的应答均一致,则通过(3)将查询结果返回给用户,结束;若不是所有应答均一致,则进一步通过(4)向权威服务器池发出查询;(5)将递归服务器池的所有结果与权威服务器的所有结果进行统计。(6)若得票数最高的结果的票数超过半数,则将该结果反馈给用户;否则,重新进行查询。综上,传统的域名解析技术存在着诸多隐患或问题:1、长期使用DNS根域名服务器容易形成对外国技术的依赖,并且一些高级网络信息易被其他拥有DNS根域名服务器的国家获知,安全性较差;2、DNS作为基础性服务,但其本身存有一定程度的网络安全缺陷,比如DNS对于请求不做访问的认证与控制,并且使用“FirstAnswerWins”原则,使之容易受到不同种类型的攻击,如DNS劫持攻击,DNS缓存投毒,本地DNS文件欺骗等,可能会造成DNS服务的崩溃;3、传统DNS只能提供精确的域名与ip的映射关系,功能单一、灵活性差。而拟态DNS技术(M-DNS),虽然在一定程度上提高了DNS对抗攻击的能力,但该方案仍然存在缺陷:1、M-DNS的选调器承担了较大的处理量,容易到达瓶颈和遭受DDoS攻击;2、M-DNS中选取多个递归服务器的过程,以及判决机制会使得时延增加,并且成本高昂;3、选调器与用户之间仍为传统的DNS应答方式,导致用户与拟态DNS的选调器交互过程容易成为攻击对象,易被攻击者攻击成功。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供了一种域名解析方法、域名解析装置及电子设备。第一方面,本专利技术实施例提供了一种域名解析方法,包括:获取域名解析请求,根据域名解析请求向预设的DNS代理服务器进行本地缓存查询,若所述DNS代理服务器本地缓存有网址映射关系,则根据所述网址映射关系进行域名解析;若所述DNS代理服务器本地未缓存网址映射关系,则启动静态冗余查询机制,包括:从DNS解析服务器组中选取一个DNS解析服务器,根据域名解析请求,同时向所述DNS解析服务器和预设的LDAP服务器进行查询,比对二者的查询结果,若一致,则进行域名解析;若二者的查询结果不一致,则启动动态冗余查询机制,包括:从DNS解析服务器组其余的DNS解析服务器中选取多个DNS解析服务器,根据域名解析请求,同时向所述多个DNS解析服务器进行查询,根据查询结果进行域名解析或风险报警。进一步地,所述域名解析方法,在获取域名解析请求之前,还包括:基于网络个人代理平台预先设立DNS代理服务器,且,所述DNS代理服务器与所述网络个人代理平台自动建立HTTPS连接。进一步地,所述DNS代理服务器采用URL参数形式传递目的域名;和,所述DNS代理服务器采用重定向服务,以对域名解析获得的目的网址进行重定向访问。进一步地,所述从DNS解析服务器组其余的DNS解析服务器中选取多个DNS解析服务器,根据域名解析请求,同时向所述多个DNS解析服务器进行查询,根据查询结果进行域名解析或风险报警,具体包括:从DNS解析服务器组其余的DNS解析服务器中选取多个DNS解析服务器,根据域名解析请求,同时向所述多个DNS解析服务器进行查询;根据所述多个DNS解析服务器中各自缓存的网址映射关系,分别获得多个可能目的网址,从所述多个可能目的网址中筛选出众数目的网址,将所述众数目的网址出现的次数与预设阈值进行比较;若所述众数目的网址出现的次数大于等于预设阈值,则将所述众数目的网址作为真实目的网址,根据所述真实目的网址,进行域名解析;否则,判定域名解析请求中的域名受到了攻击,所述DNS代理服务器发出DNS风险报警信息。进一步地,所述LDAP服务器为基于所述DNS代理服务器本地预先设立的,且所述LDAP服务器的LDAP数据库存储在所述DNS代理服务器本地。进一步地,所述LDAP数据库按照预设的更新策略,在每次域名解析完成后自动进行更新;和,所述更新策略采用基于DNSZONE关联的GDSF-T缓存更新算法。进一步地,所述域名解析请求包括直接域名解析请求、对域名模糊查找请求和自然语言搜索域名请求。第二方面,本专利技术实施例提供了一种域名解析装置,包括:本地查询模块,用于获取域名解析请求,根据域名解析请求向预设的DNS代理服务器进行本地缓存查询,若所述DNS代理服务器本地缓存有网址映射本文档来自技高网...
【技术保护点】
1.一种域名解析方法,其特征在于,包括:/n获取域名解析请求,根据域名解析请求向预设的DNS代理服务器进行本地缓存查询,若所述DNS代理服务器本地缓存有网址映射关系,则根据所述网址映射关系进行域名解析;/n若所述DNS代理服务器本地未缓存网址映射关系,则启动静态冗余查询机制,包括:从DNS解析服务器组中选取一个DNS解析服务器,根据域名解析请求,同时向所述DNS解析服务器和预设的LDAP服务器进行查询,比对二者的查询结果,若一致,则进行域名解析;/n若二者的查询结果不一致,则启动动态冗余查询机制,包括:从DNS解析服务器组其余的DNS解析服务器中选取多个DNS解析服务器,根据域名解析请求,同时向所述多个DNS解析服务器进行查询,根据查询结果进行域名解析或风险报警。/n
【技术特征摘要】
1.一种域名解析方法,其特征在于,包括:
获取域名解析请求,根据域名解析请求向预设的DNS代理服务器进行本地缓存查询,若所述DNS代理服务器本地缓存有网址映射关系,则根据所述网址映射关系进行域名解析;
若所述DNS代理服务器本地未缓存网址映射关系,则启动静态冗余查询机制,包括:从DNS解析服务器组中选取一个DNS解析服务器,根据域名解析请求,同时向所述DNS解析服务器和预设的LDAP服务器进行查询,比对二者的查询结果,若一致,则进行域名解析;
若二者的查询结果不一致,则启动动态冗余查询机制,包括:从DNS解析服务器组其余的DNS解析服务器中选取多个DNS解析服务器,根据域名解析请求,同时向所述多个DNS解析服务器进行查询,根据查询结果进行域名解析或风险报警。
2.根据权利要求1所述的域名解析方法,其特征在于,在获取域名解析请求之前,还包括:
基于网络个人代理平台预先设立DNS代理服务器,且,所述DNS代理服务器与所述网络个人代理平台自动建立HTTPS连接。
3.根据权利要求2所述的域名解析方法,其特征在于,所述DNS代理服务器采用URL参数形式传递目的域名;
和,所述DNS代理服务器采用重定向服务,以对域名解析获得的目的网址进行重定向访问。
4.根据权利要求1-3任一所述的域名解析方法,其特征在于,所述从DNS解析服务器组其余的DNS解析服务器中选取多个DNS解析服务器,根据域名解析请求,同时向所述多个DNS解析服务器进行查询,根据查询结果进行域名解析或风险报警,具体包括:
从DNS解析服务器组其余的DNS解析服务器中选取多个DNS解析服务器,根据域名解析请求,同时向所述多个DNS解析服务器进行查询;
根据所述多个DNS解析服务器中各自缓存的网址映射关系,分别获得多个可能目的网址,从所述多个可能目的网址中筛选出众数目的网址,将所述众数目的网址出现的次数与预设阈值进行比较;
若所述众数目的网址出现的次数大于等于预设阈值,则将所述众数目的网址作为真实目的网址,根据所述真实目的网址,...
【专利技术属性】
技术研发人员:葛宁,刘永嘉,姜宇,吕凯,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。