(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202011486318.7
(22)申请日 2020.12.16
(71)申请人 上海牙木通讯技术有限公司
地址 200030 上海市徐汇区宜州路180号华
鑫慧享城B3栋4层
(72)发明人 程俊 汪凌
(74)专利代理机构 上海专利商标事务所有限公
司 31100
代理人 胡利鸣 陈斌
(51)Int.Cl.
H04L 29/12(2006.01)
(54)发明名称
一种用于DNS ECS智能透传的方法和系统
(57)摘要
本发明涉及一种用于DNS ECS智能透传的方
hash表,并将该需要暴露的IP地址作为ECS字段 透传到权威DNS服务器,为权威DNS服务器的精确
调度提供可能性,在规避了直接暴露客户源IP的
风险的同时减少客户端访问延时,提升客户体
验。权利要求书2页 说明书8页 附图5页CN 112769970 A 2021.05.07
C N 112769970
A
1.一种域名系统DNS服务器,包括:
处理器;
存储器;
映射hash表,所述映射hash表被配置以包括客户端的源IP地址到虚拟IP地址的映射;
扩展DNS客户端子网ECS字段生成模块,所述ECS字段生成模块被配置为根据虚拟IP地址生成ECS字段,并将生成的ECS字段附加到域名解析请求;以及 开关模块,所述开关模块被配置为控制ECS字段的透传。
2.如权利要求1所述的DNS服务器,其特征在于,所述虚拟IP地址能够体现运营商属性。
3.如权利要求1所述的DNS服务器,其特征在于,所述映射hash表能被配置以根据请求域名解析的客户端所使用的运营商、所述客户端所使用的运营商当前的流量状态或所述客户端所处于的地理位置来配置映射到所述客户端的源IP地址的虚拟IP地址。
4.一种用于域名解析的系统,包括:
客户端,所述客户端被配置为发送针对域名的解析请求;
本地域名系统DNS服务器,所述本地DNS服务器为如权利要求1所述的DNS服务器;
一个或多个递归DNS服务器,所述递归DNS服务器被配置为转发附加有ECS字段的解析请求,以透传所述ECS字段;以及
权威DNS服务器,所述权威DNS服务器被配置为基于接收到的ECS字段,返回针对所述ECS字段的解析结果。
5.如权利要求4所述的系统,其特征在于,在存在多个递归DNS服务器的情况下,第一递归DNS服务器将所述ECS字段透传到第二递归DNS服务器,并由最终的递归DNS服务器将所述ECS字段透传到所述权威DNS服务器。
6.一种用于域名解析的方法,包括:
本地域名系统DNS服务器从客户端接收域名解析请求,所述域名解析包括所述客户端的源IP地址,所述本地DNS服务器包括映射hash表,所述映射hash表被配置以包括客户端的源IP地址到虚拟IP地址的映射;
所述本地DNS服务器在映射hash表中查映射到所述客户端的源IP地的虚拟IP地址;
所述本地DNS服务器基于查到的虚拟IP地址生成ECS字段,并将所述ECS字段透传到递归DNS服务器;
所述递归DNS服务器将所述ECS字段透传到权威DNS服务器;以及
所述权威DNS服务器基于接收到的所述ECS字段,返回针对该ECS字段中所包含的虚拟IP地址的解析结果。
7.如权利要求6所述的方法,其特征在于,所述虚拟IP地址能够体现运营商属性。
8.如权利要求6所述的方法,其特征在于,所述映射hash表能被配置以根据所述客户端所使用的运营商、所述客户端所使用的运营商当前的流量状态或所述客户端所处于的地理位置来配置映射到所述客户端的源IP地址的虚拟IP地址。
9.如权利要求6所述的方法,其特征在于,进一步包括:
所述本地DNS服务器判断是否允许ECS透传,如果允许,则将所述ECS字段透传到所述递归DNS服务器。
10.如权利要求6所述的方法,其特征在于,所述递归DNS服务器将所述ECS字段透传到
权威DNS服务器进一步包括,在存在多个递归DNS服务器的情况下,第一递归DNS服务器将所述ECS字段透传到第二递归DNS服务器,并最终的递归DNS服务器将所述ECS字段透传到所述权威DNS服务器。
一种用于DNS ECS智能透传的方法和系统
技术领域
[0001]本发明涉及域名解析领域,更具体而言,涉及用于DNS ECS智能透传的方法和系统。
背景技术
[0002]域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP数串。
[0003]一般而言,当客户向Local DNS(即本地DNS)服务器发出DNS请求时,如果该本地DNS服务器无法解析,则会将DNS请求转发给其他DNS服务器,由此层层递归,直到权威服务器返回IP地址。
[0004]目前的授权运营商将收到的报文请求源IP为key(关键字),在事先配置好的不同地区、运营商视图中部署不同的IP记录,而这些记录就是位于对应的地区、运营商,所以当该地区、运营商中的路由器转发过来DNS请求时,就向其返回回去其中的记录,以此完成一次调度。
[0005]由客户DNS请求到最终的授权服务器这条网络线路中会经过各种路由器的转发,当到达时,授权服务器也只是知道最近的上一跳的源IP地址。一般而言,“上一跳”指的是到达最终授权服务器的报文的源IP地址。比如,授权服务器在内网中的一台设备上,网络上请求过来的DNS报文,会经过WAN口,再
到达LAN口,这个时候授权服务器收到的DNS请求报文的源IP可能是该局域网中的网关地址。所以“上一跳”指的是最终到达授权服务器所在网络下的上一跳设备,该设备只是路由上的网关设备。由此,真实的客户源IP以及其来源IP地址、运营商等信息将无从查起,这也就意味着授权服务器使用这样的IP地址去做调度,将丧失准确性,甚至会起到反作用。
[0006]友商Infoblox的透传技术可以将客户的源IP透传出去,最终的授权服务器确实可以避免上述的调度失真问题,但是却将客户的源IP信息直接暴露在网络中,存在着巨大的安全隐患,可能遭受DDOS攻击、隧道攻击、DNS投毒、商业欺诈等。
[0007]由上可见,无论是透传客户的源IP与否,到达最终授权服务器的IP信息是不可控或者固定的,比如不透传的技术可能由于网络路由的调整而变化,友商Infoblox的透传技术始终透传客户的固定IP,这些都意味着对调度的不可控以及不可定制,想要控制和调整某一片区的调度将变得不可行和困难。
[0008]因此,希望提供一种既能避免将客户的源IP直接暴露在网络上,又能根据客户的源IP合理划分应用服务器的方案。
发明内容
[0009]提供本发明内容以便以简化形式介绍将在以下具体实施方式中进一步的描述一些概念。本发明内容并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用
于帮助确定所要求保护的主题的范围。
[0010]根据本发明的一个实施例,提供了一种域名系统DNS服务器,包括:处理器;存储器;映射hash表,该映射hash表被配置以包括客户端的源IP地址到虚拟IP地址的映射;扩展DNS客户端子网ECS字段生成模块,该ECS字段生成模块被配置为根据虚拟IP地址生成ECS字段,并将生成的ECS字段附加到域名解析请求;以及开关模块,该开关模块被配置为控制ECS 字段的透传。
[0011]根据本发明的另一个实施例,提供了一种用于域名解析的系统,包括:客户端,该客户端被配置为发送针对域名的解析请求;本地域名系统DNS服务器,该本地DNS服务器为如上所述的DNS服务器;递归DNS服务器,该递归DNS服务器被配置为转发附加有ECS字段的解析请求,以透传该ECS字段;以及权威DNS服务器,该权威DNS服务器被配置为基于接收到的ECS字段,返回针对该ECS字段的解析结果。
[0012]根据本发明的还一个实施例,提供了一种用于域名解析的方法,包括:本地域名系统DNS服务器从客户端接收域名解析请求,该域名解析包括客户端的源IP地址,该本地DNS 服务器包括映射hash表,该映射hash表被配置以包括客户端的源IP地址到虚拟IP地址的映射;该本地DNS服务器在映射hash表中查映射到该客户端的源IP地的虚拟IP地址;该本地DNS服务器基于查到的虚拟IP地址生成ECS字段,并将该ECS字段透传到递归DNS服务器;该递归DNS服务器将该ECS字段透传到权威DNS服务器;
以及该权威DNS服务器基于接收到的所述ECS字段,返回针对该ECS字段中所包含的虚拟IP地址的解析结果。
[0013]通过阅读下面的详细描述并参考相关联的附图,这些及其他特点和优点将变得显而易见。应该理解,前面的概括说明和下面的详细描述只是说明性的,不会对所要求保护的各方面形成限制。
附图说明
[0014]为了能详细地理解本发明的上述特征所用的方式,可以参照各实施例来对以上简要概述的内容进行更具体的描述,其中一些方面在附图中示出。然而应该注意,附图仅示出了本发明的某些典型方面,故不应被认为限定其范围,因为该描述可以允许有其它等同有效的方面。
[0015]图1示出了现有技术中的用于域名解析的系统100以及相应的域名解析方案的示意图;
[0016]图2示出了根据本发明的一个实施例的用于域名解析的系统200以及相应的域名解析方案的示意图;
[0017]图3示出了根据本发明的一个实施例的用于域名解析的方法300的流程图;[0018]图4示出了根据本发明的一个实施例的采用本发明的DNS ECS透传方案的具体域名解析示例400的示意图;以及
[0019]图5示出了根据本发明的一个实施例的示例性计算设备的框图500。
具体实施方式
[0020]下面结合附图详细描述本发明,本发明的特点将在以下的具体描述中得到进一步的显现。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议