本發(fā)明公開(kāi)了一種DNS報(bào)文的處理方法，包括以下步驟，獲取合法的DNS服務(wù)器地址；接收未認(rèn)證用戶發(fā)送的DNS報(bào)文；當(dāng)所述DNS報(bào)文中的用戶IP地址不在DNS放行地址表中時(shí)，根據(jù)所述DNS服務(wù)器地址將所述DNS報(bào)文發(fā)送到DNS服務(wù)器，以便于所述DNS服務(wù)器確定該DNS報(bào)文為偽造DNS報(bào)文。同時(shí)，本發(fā)明還公開(kāi)了一種DNS報(bào)文的處理裝置以及系統(tǒng)。從而能夠解決現(xiàn)有的在Web認(rèn)證場(chǎng)景下，未認(rèn)證用戶通過(guò)偽裝為DNS報(bào)文而逃避認(rèn)證的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)，具體地，涉及一種DNS報(bào)文的處理方法、裝置及系統(tǒng)。

背景技術(shù)

Web認(rèn)證是一種基于網(wǎng)頁(yè)的認(rèn)證，未認(rèn)證用戶在瀏覽器地址欄輸入任意URL(Uniform Resource Locator，統(tǒng)一資源定位符)，其HTTP(Hypertext Transfer Protocol，超文本傳輸協(xié)議)報(bào)文都會(huì)被接入設(shè)備截獲。接入設(shè)備偽裝成用戶期望訪問(wèn)的站點(diǎn)，與用戶建立TCP(Transmission Control Protocol，傳輸控制協(xié)議)連接后，將預(yù)先設(shè)定好的認(rèn)證頁(yè)面推送給用戶，以達(dá)到用戶在線認(rèn)證，且不用安裝認(rèn)證客戶端的目的。如圖1所示，完整的Web認(rèn)證過(guò)程包括如下步驟：

S1、用戶的PC啟動(dòng)后，通過(guò)DHCP(Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議)協(xié)議自動(dòng)獲取IP地址；或者根據(jù)操作系統(tǒng)網(wǎng)卡中設(shè)定的IP地址進(jìn)行以太網(wǎng)通訊；

S2、用戶在未認(rèn)證PC瀏覽器的地址欄輸入任意URL，訪問(wèn)Web服務(wù)器；瀏覽器通過(guò)向DNS服務(wù)器查詢，獲得該URL所在網(wǎng)站的IP地址。而后，瀏覽器向該地址發(fā)起連接請(qǐng)求，建立到Web服務(wù)器的連接；

S3、接入設(shè)備截獲報(bào)文，偽裝成Web服務(wù)器，與未認(rèn)證PC建立TCP連接；

S4、PC發(fā)出HTTP的get請(qǐng)求；

S5、接入設(shè)備回應(yīng)該請(qǐng)求，告訴PC重定向地址為頁(yè)面推送Eportal服務(wù)器地址；

S6、PC根據(jù)該地址，與Eportal服務(wù)器建立連接，并請(qǐng)求認(rèn)證頁(yè)面；

S7、Eportal服務(wù)器返回認(rèn)證頁(yè)面；

S8、PC通過(guò)認(rèn)證頁(yè)面，提交用戶名密碼，到RADIUS(遠(yuǎn)程接入撥入用戶服務(wù))服務(wù)器認(rèn)證；

S9、RADIUS返回或失敗或成功消息，由Eportal推送認(rèn)證失敗或成功的頁(yè)面；如果返回失敗消息，則用戶訪問(wèn)Web服務(wù)器失敗，將重復(fù)步驟S2-S9；

S10、如果返回成功，用戶通過(guò)瀏覽器訪問(wèn)Web服務(wù)器，可以正常訪問(wèn)，不會(huì)被重定向到認(rèn)證頁(yè)面；

從上述認(rèn)證過(guò)程可以看到，接入設(shè)備在用戶Web認(rèn)證成功之前，需要能放行DHCP和DNS報(bào)文。放行DHCP報(bào)文，以確保PC能夠動(dòng)態(tài)獲取到IP地址；放行DNS報(bào)文，以確保能獲取到用戶訪問(wèn)URL對(duì)應(yīng)的IP地址。接入設(shè)備是通過(guò)識(shí)別UDP報(bào)文的目標(biāo)端口號(hào)(DNS的UDP目標(biāo)端口號(hào)為53，DHCP的目標(biāo)端口號(hào)為67)，來(lái)識(shí)別DNS和DHCP報(bào)文的。

這樣會(huì)出現(xiàn)一個(gè)問(wèn)題：通過(guò)架設(shè)一臺(tái)DNS代理服務(wù)器，另一用戶的PC上運(yùn)行DNS代理軟件，將對(duì)外發(fā)送的數(shù)據(jù)報(bào)文都封裝在DNS報(bào)文中(還是UDP目標(biāo)端口號(hào)為53的報(bào)文，只是其中的內(nèi)容修改為自定義的內(nèi)容)發(fā)送給DNS代理服務(wù)器。由于接入設(shè)備會(huì)放行DNS報(bào)文，所以報(bào)文會(huì)被轉(zhuǎn)發(fā)給DNS代理服務(wù)器，而后由DNS代理服務(wù)器解封裝報(bào)文后，根據(jù)報(bào)文的目的地址發(fā)送給實(shí)際的地址，反之亦然。通過(guò)這種方法可以逃避Web認(rèn)證，從而實(shí)現(xiàn)免認(rèn)證上網(wǎng)，逃避監(jiān)管。現(xiàn)有技術(shù)是通過(guò)配置DNS服務(wù)器白名單的方式，即在接入設(shè)備的上聯(lián)口上應(yīng)用訪問(wèn)控制列表ACL，只有指定的DNS服務(wù)器的DNS報(bào)文通過(guò)，到未指定的DNS服務(wù)器的報(bào)文無(wú)法通過(guò)。這個(gè)方式存在兩個(gè)比較嚴(yán)重的問(wèn)題：