域名服务器的前端控制方法及系统

摘要

发明涉及网络安全技术领域，具体地说是一种域名服务器的前端控制方法及系统，其特征在于前端管理器设有DNS数据包捕获模块，与DNS数据包捕获模块输出端相连接的控制策略模块，与控制策略模块相连接的黑/白名单查询模块，与控制策略模块输出端相连接的DNS解析应答转发模块，与黑/白名单查询模块相连接的黑/白名单索引数据库模块，以及分别与控制策略模块、DNS解析应答转发模块相连接的用于记录处理结果的日志模块，其中日志模块和黑/白名单索引数据库模块与数据库模块相连接，本发明与现有技术相比，既不影响DNS服务器的正常域名解析，又能实现对恶意域名的有效控制。

主权项

一种域名服务器的前端控制方法，其特征在于包括以下步骤：步骤1：建立与更新黑/白名单索引数据库，系统初始化时在内存中建立四个索引数据库：IP黑名单、IP白名单、域名白名单和域名黑名单，其中IP黑名单以及IP白名单包含非法访问者IP地址和资源记录中出现的IP地址，IP黑名单以及IP白名单数据索引结构采用了哈希B树结构实现，在系统运行过程中，管理端将黑/白名单及其对应的控制策略下发到DNS数据库，系统轮询DNS数据库，如有更新则反馈给黑/白名单索引数据库；步骤2：捕获数据包，在前端管理器主机的两块网卡上捕获出入DNS服务器的请求包和应答包，其中对请求包的捕获是在DNS域名请求包还未到达DNS服务器之前拦截，响应包的捕获是DNS域名请求包经过DNS服务器响应后本系统再拦截响应包；步骤3：将捕获到的DNS数据解析出首部信息、请求者的IP地址、请求的域名及响应的IP地址，根据不同的记录类型（包括A记录、A4记录、A6记录、反向解析）和功能开关的启停，转入各自的控制分支；步骤4：黑/白名单查询，根据DNS数据包解析出的域名和地址信息使用黑/白名单查询模块判断该包是否在黑/白名单下，判断范围包括请求包的源IP地址与其要请求解析的域名、应答包的目的地址、请求的域名和解析出的IP地址；步骤5：控制处理，根据步骤4中的查询结果对域名或IP地址进行控制和处理，如果查询结果是请求解析域名的主机IP、请求域名以及资源记录中的IP地址均不在黑名单中或者其中任一在白名单中，则放行该数据包，如果查询结果为请求解析域名的主机IP地址、请求域名以及资源记录中的IP地址中有一项在黑名单中，则将应答包交由控制策略模块进行控制处理；步骤6：对步骤5处理后的数据包交由DNS解析应答转发模块进行转发、丢弃或重组，如果是请求包或响应包位于黑名单中，则根据控制策略，前端管理器重组重定向或欺骗的DNS响应包直接发往域名解析请求者，或者不作响应；如果拦截到的是请求包在白名单中或不在黑名单中，则需发给DNS服务器去做正常解析；步骤7：将上述控制过程中生成的日志文件进行统计分析后，将统计分析结果存入DNS数据库，与DNS数据库相连接的管理端实现对系统的管理和结果的查看。