終端的dns服務(wù)器的監(jiān)控方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����,涉及終端的DNS服務(wù)器的監(jiān)控方法及系統(tǒng)。
【背景技術(shù)】
[0002]作為互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施���,域名系統(tǒng)(Domain Name System, DNS) 一直為全球互聯(lián)網(wǎng)的運(yùn)行提供關(guān)鍵性的基礎(chǔ)服務(wù)�����。隨著互聯(lián)網(wǎng)規(guī)模爆炸式增長�,DNS相關(guān)的各種新技術(shù)相繼出現(xiàn)�,如IPv6、多語種域名和DNS安全擴(kuò)展協(xié)議(DNS Security Extens1n,DNSSEC)等���,DNS系統(tǒng)也由此變得越來越龐雜�����。由于在設(shè)計(jì)之初對安全性和擴(kuò)展性考慮欠缺�,域名系統(tǒng)在協(xié)議���、實(shí)現(xiàn)和操作上在著固有的不足與脆弱��,進(jìn)而使其面臨著很多安全威脅����。
[0003]作為一個(gè)DNS系統(tǒng)的重要組成部分,遞歸服務(wù)器不僅容易遭受緩存中毒和DDOS等的外部攻擊����,而且容易因?yàn)槿藶榕渲缅e(cuò)誤等內(nèi)部原因而發(fā)生故障。另外���,一些不良的遞歸服務(wù)器還可能會(huì)篡改域名數(shù)據(jù)�,重定向用戶的域名請求����,影響DNS應(yīng)用的正常使用。不管是哪種問題�,都會(huì)造成終端用戶無法正常上網(wǎng),或影響到用戶的上網(wǎng)安全��。
[0004]不僅終端預(yù)設(shè)的DNS服務(wù)器容易遭受攻擊���,而且即使遞歸服務(wù)器是安全且穩(wěn)定的���,但也不能完全保證從它到終端之間的安全�����。雖然越來越多的頂級域和二級域部署了DNSSEC,但是至今DNSSEC卻無法保障從DNS服務(wù)器到終端之間的安全���。
[0005]現(xiàn)在�����,當(dāng)預(yù)設(shè)的DNS服務(wù)器發(fā)生安全故障或終端到它之間遇到攻擊時(shí)�,用戶上網(wǎng)受到一定的影響��,但用戶沒有有效的手段發(fā)現(xiàn)問題和了解故障��。
【發(fā)明內(nèi)容】
[0006]針對上述問題����,本發(fā)明的目的是提供終端的DNS服務(wù)器的監(jiān)控方法及系統(tǒng),通過對終端的DNS服務(wù)器進(jìn)行監(jiān)測和控制���,以解決終端配置的DNS服務(wù)器安全故障影響終端上網(wǎng)的問題�����,從DNS角度幫助減少訪問網(wǎng)絡(luò)的時(shí)延和提高訪問網(wǎng)絡(luò)的安全性�����,最終提高終端訪問網(wǎng)絡(luò)的體驗(yàn)�����。
[0007]為了實(shí)現(xiàn)上述技術(shù)目的�����,本發(fā)明采用以下技術(shù)方案:
[0008]終端的DNS服務(wù)器的監(jiān)控方法�,具體包括以下步驟:
[0009]I)分別獲取由客戶機(jī)本機(jī)發(fā)出的和接收到的DNS數(shù)據(jù);
[0010]2)對DNS數(shù)據(jù)進(jìn)行分析���,分析解析時(shí)延統(tǒng)計(jì)和檢測返回的DNS數(shù)據(jù)的安全性����,如果解析超時(shí)或者DNS數(shù)據(jù)異常�,跳轉(zhuǎn)到3);否則,跳過此步驟而繼續(xù)I)的監(jiān)測;
[0011]3)通過操作系統(tǒng)的DNS修改接口用一個(gè)DNS服務(wù)器的IP地址列表替換當(dāng)前的DNS,將新的DNS作為系統(tǒng)的DNS�����。
[0012]進(jìn)一步地�,步驟I)中通過從網(wǎng)卡上抓包或者通過其他手法(包括本機(jī)的請求日志或系統(tǒng)日志)獲取DNS數(shù)據(jù)。
[0013]進(jìn)一步地���,步驟I)中獲取的DNS數(shù)據(jù)可能有:終端請求解析的域名和DNS服務(wù)器相應(yīng)的應(yīng)答數(shù)據(jù)����,解析域名所用時(shí)延����,請求失敗的次數(shù)和機(jī)率���,請求命中的次數(shù)和機(jī)率��,DNS停服務(wù)的機(jī)濾和頻率等��。
[0014]進(jìn)一步地�����,步驟2)中解析時(shí)延統(tǒng)計(jì)的方法包括:將終端每次的域名解析請求所花費(fèi)的時(shí)間記錄下來��,統(tǒng)計(jì)過去一段時(shí)間內(nèi)的或自從開始統(tǒng)計(jì)時(shí)刻起平均解析時(shí)延�����。
[0015]進(jìn)一步地��,步驟2)中DNS數(shù)據(jù)的安全性的檢測方法包括:向一臺(tái)或多臺(tái)預(yù)留DNS服務(wù)器請求同類型資源記錄集的域名數(shù)據(jù)��,并將要檢測安全性的域名數(shù)據(jù)與之相比對�����,按照一定的標(biāo)準(zhǔn)判斷其安全性�����;或者將要檢測的域名數(shù)據(jù)發(fā)送到一個(gè)域名數(shù)據(jù)安全性檢測平臺(tái)或系統(tǒng)���,請求它幫助檢測其安全性�。
[0016]進(jìn)一步地�����,步驟3)中所述的DNS服務(wù)器的IP地址列表中包含一個(gè)或多個(gè)解析時(shí)延比原DNS服務(wù)器更小和DNS解析數(shù)據(jù)正確安全的DNS服務(wù)器的IP地址。
[0017]進(jìn)一步地�����,步驟3)中所述的DNS服務(wù)器的IP地址列表是基于DNS請求域名對預(yù)留服務(wù)器進(jìn)行探測得到的�����,包括:向預(yù)留服務(wù)器發(fā)送有關(guān)使用本機(jī)請求域名的DNS請求�����,統(tǒng)計(jì)DNS解析時(shí)延和DNS解析數(shù)據(jù)的安全性和完整性�����,并從中選出解析時(shí)延比原DNS服務(wù)器更小和DNS解析數(shù)據(jù)正確安全的DNS服務(wù)器���。
[0018]進(jìn)一步地,上述方法還包括在替換DNS之前向用戶或相關(guān)系統(tǒng)發(fā)送DNS變更消息�����,并等待用戶的反饋��,如果在規(guī)定的時(shí)間里有反饋,則采取用戶反饋的解決方案����,否則就直接完成替換工作。
[0019]其中�����,上述DNS變更消息包括操作系統(tǒng)當(dāng)前配置的DNS存在的問題描述和解析時(shí)延比原DNS服務(wù)器更小和DNS解析數(shù)據(jù)正確安全的DNS服務(wù)器的IP地址���。
[0020]終端的DNS服務(wù)器的監(jiān)控系統(tǒng)����,包括監(jiān)測模塊和控制模塊���,其中:
[0021]所述監(jiān)測模塊用于監(jiān)測終端的DNS請求和DNS響應(yīng)的系統(tǒng)流量����,計(jì)算DNS的響應(yīng)時(shí)延�����,檢測返回的DNS響應(yīng)數(shù)據(jù)的安全性�����,如果超時(shí)或者DNS響應(yīng)數(shù)據(jù)異常,那么就通知控制模塊以做DNS變更�����;
[0022]所述控制模塊接收監(jiān)測模塊的通知��,調(diào)用操作系統(tǒng)的接口修改操作系統(tǒng)的DNS設(shè)置�,用解析時(shí)延比原DNS服務(wù)器更小和DNS解析數(shù)據(jù)正確安全的服務(wù)器進(jìn)行替換。
[0023]進(jìn)一步地���,上述系統(tǒng)還包括探測模塊��,所述探測模塊接收監(jiān)測模塊發(fā)來的域名探測請求��,向探測模塊預(yù)留的DNS服務(wù)器請求該域名����,并獲取DNS服務(wù)器的解析時(shí)延和檢測返回的DNS響應(yīng)數(shù)據(jù)的安全性��;同時(shí)�,探測模塊還可以將探測結(jié)果存儲(chǔ)起來�,以備查詢���。
[0024]另外,當(dāng)監(jiān)控系統(tǒng)設(shè)置探測模塊時(shí)����,所述監(jiān)測模塊還會(huì)將監(jiān)測到的終端請求的域名定期或不定期地發(fā)送給探測模塊。
[0025]進(jìn)一步地����,當(dāng)監(jiān)測模塊檢測到客戶機(jī)系統(tǒng)設(shè)置的DNS的響應(yīng)時(shí)延過大和響應(yīng)數(shù)據(jù)異常,就向探測模塊請求閾值個(gè)數(shù)的(如2個(gè))響應(yīng)時(shí)延比原DNS服務(wù)器更小���、響應(yīng)數(shù)據(jù)正確安全的DNS服務(wù)器的IP地址����。當(dāng)探測模塊接收到此類請求時(shí)�����,就檢索之前的探測結(jié)果���,查找請求數(shù)量的響應(yīng)時(shí)延比原DNS服務(wù)器更小��、響應(yīng)數(shù)據(jù)正確安全的DNS服務(wù)器的IP地址����,并將將探測結(jié)果中排名在前面的服務(wù)器返回給監(jiān)測模塊。
[0026]進(jìn)一步地�����,上述系統(tǒng)還包括提醒模塊�����,所述提醒模塊接收監(jiān)測模塊發(fā)送來的DNS變更通知��,并向終端發(fā)送提醒消息�����;同時(shí)����,還接收用戶的反饋。如果用戶有反饋�,那么將用戶反饋發(fā)送給控制模塊。
[0027]另外���,當(dāng)監(jiān)控系統(tǒng)設(shè)置提醒模塊時(shí)����,所述控制模塊接收提醒模塊發(fā)送來的用戶反饋信息�,根據(jù)用戶反饋維護(hù)操作系統(tǒng)。
[0028]本發(fā)明的優(yōu)點(diǎn)如下:
[0029]由于采用了以上的方案�,可實(shí)現(xiàn)以下優(yōu)點(diǎn):
[0030](I) DNS解析高可用性。由于以往操作系統(tǒng)配置的DNS服務(wù)器是固定的且數(shù)量有限(一般來說就設(shè)置一兩個(gè))和對這些服務(wù)器的選擇方法簡單(如輪尋)�,所以DNS解析性能會(huì)容易受到影響。本方法不僅增加了 DNS服務(wù)器可以選擇的余地���,而且通過向服務(wù)器探測收集到的用戶的請求域名和一些加權(quán)等合理手法針對性地獲取性能更優(yōu)良的服務(wù)器��。這樣的服務(wù)器可用性和穩(wěn)定性必然相對更高���。
[0031](2)安全系數(shù)高。由于探測模塊對服務(wù)器返回的數(shù)據(jù)做了一些安全檢查����,如DNSSEC驗(yàn)證,所以相比以往操作系統(tǒng)完全信任服務(wù)器返回的請求結(jié)果本系統(tǒng)設(shè)置的服務(wù)器安全系數(shù)必然更高����。在DNSSEC方面,解決了服務(wù)器和終端之間的“最后一英里”安全性問題�。
[0032](3)部署簡單����。本監(jiān)控系統(tǒng)不用更改DNS協(xié)議和操作系統(tǒng)代碼��,只要將監(jiān)控系統(tǒng)部署在客戶機(jī)終端上并讓操作系統(tǒng)授權(quán)給該系統(tǒng)修改DNS的權(quán)限即可�。
【附圖說明】
[0033]圖1是本發(fā)明終端的DNS服務(wù)器的監(jiān)控系統(tǒng)架構(gòu)圖。
[0034]圖2是本發(fā)明終端的DNS服務(wù)器的監(jiān)控系統(tǒng)模塊圖�����。
[0035]圖3是本發(fā)明另一終端的DNS服務(wù)器的監(jiān)控系統(tǒng)模塊圖��。
[0036]圖4是本發(fā)明終端的DNS服務(wù)器的監(jiān)控方法流程圖���。
【具體實(shí)施方式】
[0037]本發(fā)明提出一種終端的DNS服務(wù)器的監(jiān)控方法及系統(tǒng)���,用以提升終端的DNS解析的安全性,其系統(tǒng)架構(gòu)如圖1所示����。
[0038]監(jiān)控終端的DNS服務(wù)器的方法是:監(jiān)測預(yù)設(shè)的DNS服務(wù)器的性能(如響應(yīng)時(shí)延)和安全特性(DNSSEC驗(yàn)證),如果發(fā)現(xiàn)安全隱患和性能故障�����,那么就提醒用戶做處理��、提醒用戶并提供合適的解決方案或者以默