[发明专利]一种DNS防劫持方法和装置

说明书

本发明提供DNS防劫持方法和装置，属于网络通信技术领域。针对现有技术的客户端直接从本地缓存中存储的域名‑IP地址映射对内查找与所需要查询的域名对应的IP地址，会出现本地缓存原始数据过期或者被修改等导致IP地址错误的技术问题，本发明实施例提供的DNS防劫持方法和装置，系统包括客户端、存储设备和服务器，客户端根据接收的DNS解析请求，从存储设备内存储的标准域名‑IP地址映射对内查找与所需要查询的域名对应的IP地址，一定程度上减少了因为本地缓存原始数据过期或者被修改等导致IP地址错误的情况，极大程度上提高了DNS系统的安全性。

技术领域

本发明涉及网络通信技术领域，具体而言，涉及一种DNS防劫持方法和装置。

背景技术

随着域名系统飞速发展，域名的注册规模急剧扩大，其管理难度急剧增加。由于DNS协议在设计之初没有考虑太多的安全因素，DNS上的各类数据没有加密保护和认证预防，DNS系统在实现上具有脆弱性,再加上人为攻击和破坏，DNS面临非常严重的安全威胁。常见的安全问题包括域名与IP地址之间的映射关系被修改，客户主机遭受欺骗攻击、面临拒绝服务，DNS服务器缓存中毒、区域信息泄漏等。作为Internet上的关键基础服务，DNS一旦出错，将影响互联网大部分业务的正常运行。所以，DNS的安全问受到广泛关注，对DNS系统安全的分析和研究就显得尤为重要。

当前国内外对于DNS防劫持技术的研究主要基于DNS服务端，其中包括针对协议设计进行的改进、DNS服务端的流量检测、DNS管理和维护等几个方面。而在客户端进行的防护主要体现在对DNS服务器合法性的判断和自动配置方面。现有技术的防劫持设备都需要极大地工作量对现有的系统和设备进行改进，成本较高。

发明内容

有鉴于此，本发明实施例的目的在于提供一种DNS防劫持方法和装置。

本发明实施例提供的一种DNS防劫持方法，应用于DNS防劫持系统，所述DNS防劫持系统包括客户端和存储设备，所述存储设备内存储有标准域名-IP地址映射对，所述标准域名-IP地址映射对为经过预设规则验证的满足通信协议的映射对，所述方法包括：

所述客户端接收网络层发送的DNS解析请求；

根据所述DNS解析请求在所述标准域名-IP地址映射对内查找与所述DNS解析请求对应的IP地址；

若所述客户端查找到所述DNS解析请求对应的IP地址，将所查找到所述DNS解析请求对应的所述IP地址发送至所述网络层。

优选地，所述客户端根据所述DNS解析请求在所述标准域名-IP地址映射对内查找与所述DNS解析请求对应的IP地址，具体包括：

接收所述存储设备发送的清空指令，根据所述清空指令清除本地缓存内存储的原始域名-IP地址映射对；

接收所述存储设备导入本地缓存的所述标准域名-IP地址映射对；

根据所接收的所述DNS解析请求在所述本地缓存内的所述标准域名-IP地址映射对内查找与所述DNS解析请求对应的所述IP地址。

优选地，所述客户端根据所述DNS解析请求在所述标准域名-IP地址映射对内查找与所述DNS解析请求对应的IP地址，具体包括：

接收所述存储设备的清空指令，根据所述清空指令清除本地缓存内的标准域名-IP地址映射对；

根据所接收的DNS解析请求生成IP地址查询指令；

将所述IP地址查询指令发送至所述存储设备，以使所述存储设备在所述标准域名-IP地址映射对内查找与所述DNS解析请求对应的所述IP地址。

优选地，所述DNS防劫持系统还包括多个DNS服务器，所述方法还包括：