[发明专利]一种DNS报文的处理方法、装置及系统

说明书

本发明公开了一种DNS报文的处理方法，包括以下步骤，获取合法的DNS服务器地址；接收未认证用户发送的DNS报文；当所述DNS报文中的用户IP地址不在DNS放行地址表中时，根据所述DNS服务器地址将所述DNS报文发送到DNS服务器，以便于所述DNS服务器确定该DNS报文为伪造DNS报文。同时，本发明还公开了一种DNS报文的处理装置以及系统。从而能够解决现有的在Web认证场景下，未认证用户通过伪装为DNS报文而逃避认证的问题。

技术领域

本发明涉及网络通信技术，具体地，涉及一种DNS报文的处理方法、装置及系统。

背景技术

Web认证是一种基于网页的认证，未认证用户在浏览器地址栏输入任意URL(Uniform Resource Locator，统一资源定位符)，其HTTP(Hypertext Transfer Protocol，超文本传输协议)报文都会被接入设备截获。接入设备伪装成用户期望访问的站点，与用户建立TCP(Transmission Control Protocol，传输控制协议)连接后，将预先设定好的认证页面推送给用户，以达到用户在线认证，且不用安装认证客户端的目的。如图1所示，完整的Web认证过程包括如下步骤：

S1、用户的PC启动后，通过DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)协议自动获取IP地址；或者根据操作系统网卡中设定的IP地址进行以太网通讯；

S2、用户在未认证PC浏览器的地址栏输入任意URL，访问Web服务器；浏览器通过向DNS服务器查询，获得该URL所在网站的IP地址。而后，浏览器向该地址发起连接请求，建立到Web服务器的连接；

S3、接入设备截获报文，伪装成Web服务器，与未认证PC建立TCP连接；

S4、PC发出HTTP的get请求；

S5、接入设备回应该请求，告诉PC重定向地址为页面推送Eportal服务器地址；

S6、PC根据该地址，与Eportal服务器建立连接，并请求认证页面；

S7、Eportal服务器返回认证页面；

S8、PC通过认证页面，提交用户名密码，到RADIUS(远程接入拨入用户服务)服务器认证；

S9、RADIUS返回或失败或成功消息，由Eportal推送认证失败或成功的页面；如果返回失败消息，则用户访问Web服务器失败，将重复步骤S2-S9；

S10、如果返回成功，用户通过浏览器访问Web服务器，可以正常访问，不会被重定向到认证页面；

从上述认证过程可以看到，接入设备在用户Web认证成功之前，需要能放行DHCP和DNS报文。放行DHCP报文，以确保PC能够动态获取到IP地址；放行DNS报文，以确保能获取到用户访问URL对应的IP地址。接入设备是通过识别UDP报文的目标端口号(DNS的UDP目标端口号为53，DHCP的目标端口号为67)，来识别DNS和DHCP报文的。

这样会出现一个问题：通过架设一台DNS代理服务器，另一用户的PC上运行DNS代理软件，将对外发送的数据报文都封装在DNS报文中(还是UDP目标端口号为53的报文，只是其中的内容修改为自定义的内容)发送给DNS代理服务器。由于接入设备会放行DNS报文，所以报文会被转发给DNS代理服务器，而后由DNS代理服务器解封装报文后，根据报文的目的地址发送给实际的地址，反之亦然。通过这种方法可以逃避Web认证，从而实现免认证上网，逃避监管。现有技术是通过配置DNS服务器白名单的方式，即在接入设备的上联口上应用访问控制列表ACL，只有指定的DNS服务器的DNS报文通过，到未指定的DNS服务器的报文无法通过。这个方式存在两个比较严重的问题：