一种DNS流量处理的方法、系统、设备及存储介质技术方案

本申请的目的是提供一种DNS流量处理的方法、系统、设备及存储介质，本申请通过客户端劫持本地的DNS流量，解析所述DNS流量，并基于预设规则对所述DNS流量进行相应处理，当所述DNS流量与所述预设规则相匹配时，将DNS流量的目的地址改写为指定DNS服务器的地址，并对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的DNS流量进行安全检查，并将通过安全检查的DNS流量根据所述指定DNS服务器的地址发往指定DNS服务器。从而提升处理效率，并降低数据泄露的风险。低数据泄露的风险。低数据泄露的风险。

【技术实现步骤摘要】
一种DNS流量处理的方法、系统、设备及存储介质


[0001]本申请涉及计算机领域，尤其涉及一种DNS流量处理的方法、系统、设备及存储介质。

技术介绍

[0002]当前网络环境下，传统DNS(域名解析系统)解析过程中，易遭受各种各样的攻击，可能产生数据泄露风险，导致传统DNS解析服务器的安全性和性能无法得到保证。
[0003]现有技术中，往往通过DOH(DNS over HTTPS)或者DOT(DNS over TLS)等协议加密数据并将DNS数据发送到安全DNS解析服务器。
[0004]然而，不管是DOH协议还是DOT协议都依赖于TLS协议(安全传输层协议)的安全性，而TLS协议的安全性主要依赖于第三方CA服务商。一旦第三方CA服务商出现运营事故或安全事故，则无法使用CA服务商的认证服务，将直接影响到使用企业IT服务的最终用户。同时，无法排除一些国家具有第三方CA服务商的控制权，因此存在被攻击的可能性。

技术实现思路

[0005]本申请的一个目的是提供一种DNS流量处理的方法、系统、设备及存储介质，用以解决现有技术中DNS解析及加密受限于第三方CA服务商致使易被攻击的问题。
[0006]根据本申请的一个方面，提供了一种DNS流量处理的方法，应用于客户端，所述方法包括：
[0007]本地的DNS流量被劫持到所述客户端；
[0008]所述客户端解析所述DNS流量，并基于预设规则对所述DNS流量进行相应处理，包括：当所述DNS流量与所述预设规则相匹配时，将DNS流量的目的地址改写为指定DNS服务器的地址，并对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的DNS流量进行安全检查，并将通过安全检查的DNS流量根据所述指定DNS服务器的地址发往指定DNS服务器。
[0009]可选地，对所述DNS流量进行加密处理，包括：
[0010]使用私有协议对所述DNS流量进行加密处理。
[0011]可选地，所述预设规则包含需要启用指定DNS的第一域名集合，所述方法还包括：
[0012]当所述DNS流量对应的域名与所述需要启用指定DNS的第一域名集合存在匹配项时，确定所述DNS流量与所述预设规则相匹配。
[0013]可选地，所述方法还包括：
[0014]当所述DNS流量对应的域名与所述需要启用指定DNS的第一域名集合不存在匹配项时，确定所述DNS流量与预设规则不匹配。
[0015]可选地，所述客户端解析所述DNS流量，并基于预设规则对所述DNS流量进行相应处理，还包括：
[0016]当所述DNS流量与所述预设规则不匹配时，客户端不对所述DNS流量的目的地址进
行改写，其中，所述DNS流量的目的地址为默认DNS服务器的地址；
[0017]对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的DNS流量进行安全检查，并将通过安全检查的DNS流量根据所述默认DNS服务器的地址发往默认DNS服务器。
[0018]可选地，所述方法包括：
[0019]所述客户端从管理平台接收所述预设规则。
[0020]本申请实施例还提供了一种DNS流量处理的方法，应用于边缘节点，所述方法包括：
[0021]获取客户端发送的加密处理后的DNS流量；
[0022]对所述客户端发送的加密处理后的DNS流量进行安全检查，根据DNS流量的目的地址，将通过安全检查的DNS流量发往指定DNS服务器或者默认DNS服务器的地址。
[0023]可选地，对所述客户端发送的加密处理后的DNS流量进行安全检查，包括：
[0024]对所述DNS流量对应的数据包进行解密处理，得到解密后的DNS流量；
[0025]对所述解密后的DNS流量对应的报文进行安全检查。
[0026]本申请实施例还提供了一种DNS流量处理的方法，应用于管理平台，所述方法包括：
[0027]获取预设规则；
[0028]将所述预设规则发送至客户端，以使得所述客户端基于所述预设规则对被劫持到客户端的本地的DNS流量进行相应处理。
[0029]可选地，所述预设规则包括需要启用指定DNS的第一域名集合，以使得当所述DNS流量对应的域名与所述需要启用指定DNS的第一域名集合存在匹配项时，所述客户端将被劫持到客户端的本地的DNS流量的目的地址改写为指定DNS服务器的地址，并对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点进行安全检查。
[0030]本申请实施例还提供了一种DNS流量处理的系统，所述系统包括客户端、管理平台、边缘节点和指定DNS服务器，其中，
[0031]所述客户端用于劫持本地的DNS流量，解析所述DNS流量，并基于预设规则对所述DNS流量进行相应处理，包括：当所述DNS流量与所述预设规则相匹配时，将DNS流量的目的地址改写为指定DNS服务器的地址，并对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点；
[0032]所述管理平台用于获取预设规则，将所述预设规则发送至所述客户端；
[0033]所述边缘节点用于获取客户端发送的加密处理后的DNS流量，对所述客户端发送的加密处理后的DNS流量进行安全检查，根据DNS流量的目的地址，将通过安全检查的DNS流量发往指定DNS服务器或者默认DNS服务器的地址；
[0034]所述指定DNS服务器用于获取边缘节点发送的通过安全检查的DNS流量，对所述通过安全检查的DNS流量进行响应。
[0035]本申请实施例还提供了一种用于DNS流量处理的设备，所述设备包括：
[0036]一个或多个处理器；以及
[0037]存储有计算机可读指令的存储器，所述计算机可读指令在被执行时使所述处理器执行所述用于DNS流量处理的方法的操作。
[0038]本申请实施例还提供了一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现所述一种DNS流量处理的方法。
[0039]与现有技术相比，本申请实施例提供的一种DNS流量处理的方案中，客户端劫持本地的DNS流量，解析所述DNS流量，并基于预设规则对所述DNS流量进行相应处理，当所述DNS流量与所述预设规则相匹配时，将DNS流量的目的地址改写为指定DNS服务器的地址，并对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的DNS流量进行安全检查，并将通过安全检查的DNS流量根据所述指定DNS服务器的地址发往指定DNS服务器。相较于需要有算法协商的过程用以适配各种浏览器的基于TLS协议的传统方案，在本申请实施例的方案中，由于可以省略算法协商，直接进行密钥协商，从而可以使得协商速度更快，提升协商效率；由于是在本地的客户端进行DNS引流，从而可以降低数据泄露的风险，提升数据的安全本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种DNS流量处理的方法，其特征在于，应用于客户端，所述方法包括：本地的DNS流量被劫持到所述客户端；所述客户端解析所述DNS流量，并基于预设规则对所述DNS流量进行相应处理，包括：当所述DNS流量与所述预设规则相匹配时，将DNS流量的目的地址改写为指定DNS服务器的地址，并对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的DNS流量进行安全检查，并将通过安全检查的DNS流量根据所述指定DNS服务器的地址发往指定DNS服务器。2.根据权利要求1所述的方法，其特征在于，对所述DNS流量进行加密处理，包括：使用私有协议对所述DNS流量进行加密处理。3.根据权利要求1所述的方法，其特征在于，所述预设规则包含需要启用指定DNS的第一域名集合，所述方法还包括：当所述DNS流量对应的域名与所述需要启用指定DNS的第一域名集合存在匹配项时，确定所述DNS流量与所述预设规则相匹配。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：当所述DNS流量对应的域名与所述需要启用指定DNS的第一域名集合不存在匹配项时，确定所述DNS流量与预设规则不匹配。5.根据权利要求4所述的方法，其中，所述客户端解析所述DNS流量，并基于预设规则对所述DNS流量进行相应处理，还包括：当所述DNS流量与所述预设规则不匹配时，客户端不对所述DNS流量的目的地址进行改写，其中，所述DNS流量的目的地址为默认DNS服务器的地址；对所述DNS流量进行加密处理，将加密处理后的DNS流量发送至边缘节点，以使得所述边缘节点对所述加密处理后的DNS流量进行安全检查，并将通过安全检查的DNS流量根据所述默认DNS服务器的地址发往默认DNS服务器。6.根据权利要求1
‑
4中任意一项所述的方法，其特征在于，所述方法包括：所述客户端从管理平台接收所述预设规则。7.一种DNS流量处理的方法，其特征在于，应用于边缘节点，所述方法包括：获取客户端发送的加密处理后的DNS流量；对所述客户端发送的加密处理后的DNS流量进行安全检查，根据DNS流量的目的地址，将通过安全检查的DNS流量发往指定DNS服务器或者默认DNS服务器...

【专利技术属性】
技术研发人员：王琪琛，胡金涌，
申请(专利权)人：上海云盾信息技术有限公司，
类型：发明
国别省市：