[发明专利]报文处理方法和网络设备

说明书

技术领域

本发明涉及网络通信技术领域，尤其指一种报文处理方法和网络设备。

背景技术

在TCP/IP(Transmission Control Protocol/Internet Protocol，传输控制协议/互联网络协议)架构的网络环境中，例如广泛使用的Internet，DNS(DomainName System，域名系统)是一个非常重要而且常用的系统。DNS的主要功能就是将用户容易记忆的域名与不容易记忆的IP(Internet Protocol，互联网络协议)地址进行转换，而执行DNS服务的网络主机则称之为DNS服务器。DNS服务器通常是将域名转换为IP地址，然后再使用所查找到的IP地址进行服务的连接，该过程俗称为正向解析。例如：用户终端向DNS服务器发送访问域名www.popunet.net的请求，则DNS服务器根据其保存的域名和IP地址的映射关系，查找与域名www.popunet.net相对应的IP地址，如61.186.250.41，然后向IP地址为61.186.250.41的服务提供设备发送服务请求，进行服务连接。通过DNS服务器的作用，使得用户能够通过记忆简单的域名代替难记的IP地址，方便了用户的服务查询。

随着Internet的飞速发展，组网环境日趋复杂，网络攻击、病毒攻击、网络欺骗等行为也日益频繁，对网络整体组网安全的危害性也日趋严重。DNS的安全性也日益成为人们关注的焦点，由DNS安全引发的安全问题也越来越多，例如：网络中存在部分恶意用户终端假冒DNS服务器的情况，由于该情况的存在，导致了用户终端发出的DNS申请不能被正确的DNS服务器应答，而被假冒的DNS服务器应答，从而引起用户终端不能正常进行域名转换而导致用户终端业务异常。另外，假冒DNS服务器还可能通过向用户终端发送大量的假冒DNS应答报文，占用大量资源达到对用户终端进行攻击的目的，此种攻击方式属于DOS(Denial Of Service，拒绝服务)攻击。

现有技术中一种解决DNS安全问题的方法是应用层过滤，即通过分析设备收发的DNS报文的协议内容，根据预先设定的规则干预DNS报文的转发流程，从而达到保护DNS安全的目的。但是该方法的重点部署是在防火墙设备上，而在其他类型的网络设备上因资源占用等一些原因导致无法很好的部署，并且该方法的配置过程繁琐，需要熟悉DNS协议的专业人员进行配置，而且需要对应用层协议信息进行分析，对设备的处理性能要求比较高。

发明内容

本发明实施例提供一种报文处理方法和网络设备，以解决现有技术中保护DNS安全的方法复杂、不易部署的缺陷。

为达到上述目的，本发明实施例一方面提供了一种报文处理方法，包括以下步骤：获取所接收域名系统DNS服务器应答报文入端口的信任属性；若所述入端口为信任端口，则对所述DNS服务器应答报文进行转发。

另一方面，本发明实施例还提供了一种网络设备，包括：端口信任属性获取单元，用于获取所接收DNS服务器应答报文入端口的信任属性；报文转发单元，与所述端口信任属性获取单元连接，用于在所述端口信任属性获取单元获取到接收DNS服务器应答报文的入端口为信任端口之后，转发所述DNS服务器应答报文。

与现有技术相比，本发明实施例在网络设备上设置端口的信任属性，通过简单易用的配置解决了DNS仿冒攻击的问题，提高了网络设备的安全能力，从而提升了DNS业务的安全性。

附图说明

图1是本发明实施例一种报文处理方法的流程图；

图2是本发明实施例一的报文处理示意图；

图3是本发明实施例二的报文处理示意图；

图4是本发明实施例一种网络设备的结构示意图。

具体实施方式

下面结合附图和具体实施例进行详细说明。

如图1所示，图1是本发明实施例一种报文处理方法的流程图，主要包括以下步骤：

步骤101，获取所接收DNS服务器应答报文入端口的信任属性。