随着时代发展,互联网已走进了千家万户,成为了人们生活中不可缺少的一部分。但当前互联网宽带用户上网,时常会受到恶意网站(挂马、钓鱼网站等)、色情网站、违法网站(假医假药、传销、反动等)、垃圾网站(只有广告等无效信息的站点)等不良网站的侵扰。一方面,用户网络安全是二个薄弱环节,不良网站等会不同程度地干扰了百姓的正常生活;另一方面,这些不良网站导致用户常受到病毒、木马等恶意代码、程序的袭击,不但用户自身上网感受不好,蠕虫等病毒或大量无效垃圾流量甚至还可能会拥塞互联网接人服务提供商( ISP)的网络通道造成其他用户的上网问题,而且有此对计算机及网络不太熟悉的用户可能会误认为ISP的问题,向其客服部门进行投诉,这样ISP只得派工上门协助查找原因或排障维修,很多情况下要解决本不该由ISP处理的客户端问题。浪费了大量人工。
通过绿色DNS的优化设置和屏蔽,可以减少甚至避免这种情况的发生,提高用户满意度。降低ISP无谓成本、提高工作效率。
1 绿色DNS系统的实现原理
绿色DNS的实现原理并不复杂:
1.1建立一套域名黑名单制度,黑名单来源可以是政府主管部门(主要是违法网站)、网络安全厂商(主要是病毒、挂马等恶意网站)、运营商自我检测出的问题网站(产生大量无效垃圾流量等)、互联网网络用户举报等。建立一套用户举报和受理程序,上网用户可以随时举报恶意网站和非法网站,经运营商核实后加入黑名单;针对原黑名单网站纠正后的情况,可由上网用户或网站站长申请取消黑名单,经运营商核实后取消。以此方式,不断更新DNS黑名单。
1.2设立一台(组)单独服务器,其中在DNS服务器将黑名单中的问题域名予以屏蔽(不再接收从根域名解析得到的IP地址),并解析到特定的一个导航页面所在的WEB服务器的IP地址上。由WEB服务器通过导航页面提示用户所访问的页面有问题、建议不再访问,若用户需强制访问,提示用户更换本机设置的 DNS服务器地址或经用户授权直接临时修改客户机的HOSTS文件,访问后再将HOSTS文件还原。
2 使用绿色DNS的数据流程
用户只需将客户端机的DNS服务器设置为绿色DNS服务器IP地址即可。当客户机访问一个网站时,客户机操作系统将域名信息提交给绿色DNS系统的DNS 服务器,由绿色DNS进行解析;绿色DNS查找自身DNS配置中如果没有找到该域名的信息(正常网站域名),则向上一级DNS服务器发起请求,获取该域名的真实解析地址,并将查询到的解析结果返回给客户机,用户可以正常访问网站;若绿色DNS查找自身DNS配置中有该域名的信息(说明该域名已被设置为了不良网站屏蔽),则向客户机返回指定的IP地址,用户访问到的实际结果是得到该域名指向为不良网站的警示信息。
3 绿色DNS建设实施方案
整个绿色DNS系统按功能划分,典型应用的硬件需要有WEB服务器,DNS服务器、数据库胜务器与应用服务器各一台,当然也可以根据负载、投资、网络资源等实际情况将WEB、数据库与应用服务器甚至DNS服务器合并共用同一台物理主机(强烈建议DNS服务器单设,以提高系统的域名解析处理能力、不至成为访问网站的瓶颈),或每类主机都加至少一台备机提高系统可靠性与系统安全性。
以典型配置为例:
首先要设立一台“导航提示”的WEB服务器,WEB服务提供与外部的人机接口,绿色DNS用户看到的提示页面,以及用户举报、DNS后台管理页面都要由该服务提供。可以直接使用WINDOWS SERVER2003操作系统自带的IIS6.0来提供WEB服务,具体配置方法比较简单。前台网站程序通过域名判断根据来访域名不同显不不同的内容页面,提示用户“其访问的网站有非法信息或恶意内容、为保护用户予以屏蔽”;开发一套B/S架构的管理后台程序,实现系统管理员或操作员可以通过网络将上级主管部门下发的违法网站、安全厂商提示的恶意网站以及运营商自己检测出的不良网站录到绿色DNS系统的黑名单中,并可在核实后审批普通用户在前台页面中自助举报的不良网站、审批已在黑名单中不良网站的管理者或用户在其整改完毕后解除黑名单的申请。所有被定义到黑名单中的不良网站域名、网站名称等信息都将存入到数据库服务器中。
DNS服务器是本系统的核心,主要提供面向用户的域名解析服务,可以使用WINDOWS SERVER 2003操作系统自带的DNS服务,要配置好上一级DNS服务器,设置DNS服务器的转发器属性,设置所有其他DNS域都转发,以便查询本服务器未配置的域名解析时可以向上一级DNS服务器发起请求,获取域名的真实解析地址。
数据库服务器用以存储由WEB递交过来的域名黑名单(包括管理后台提交和前台页面提交管理后台审核的),可以采用MS Sql,Oracle , Mysql或其他任何一种关系型的网络数据库,若负载量不大、硬件性能较高,在WEB、数据库、应用服务器合用的情况下甚至可采用ACCESS等这类单机小型数据库_数据库中应有域名黑名单表和黑名单记录日志表。域名黑名单表是绿色DNS解析的依据,其字段中应包含网站域名、主机头(二级域名头)、导航 IP地址(WEB服务器的IP);黑名单口志表详细记录了黑名单域名的来源、域名、主机头(二级域名头)、网站名称、网站类型、指令(新加入黑名单或从黑名单中解除)、列入/解除黑名单原因、申请信息(提交人、提交时间、提交者1P),审核信息(审核人、审核时间、审核者IP)、执行完成时间等。通过 WEB服务器的管理后台程序,日志表中的记录一旦审核通过。根据记录的指令,插人域名黑名单表一条新记录或删除域名黑名单表中的指定记录。
应用服务器上要开发部署一套C/S架构的软件,主要用于定时触发动作(如每隔5分钟一次),读取数据库(域名黑名单表)中的不良网站记录信息,并根据信息情况,增删改DNS服务器中的域名解析记录。域名黑名单表中存在的域名将被配置在DNS服务器中并解析到指定的WEB服务器IP地址上,并为WEB服务器的导肮网站增加配置黑名单域名的主机头;域名黑名单表中没有的域名将在DNS服务器中所删除解析记录,并删除WEB服务器上黑名单域名的主机头配置。
网站和软件程序具体的编码限于篇幅在此不再费述。
经过上述绿色DNS系统的搭建,当使川绿色DNS的互联网用户访问的网站属于被列人恶意网站或非法网站黑名单中时,页面将显示绿色UNS在“导航网站”设置的内容普示用户,运营商也可以根据需要在提示页面上增设第方广告和自身业务的推广宣传内容。由此方式实现的绿色上网功能,简单实用,能降低大多数用户遭遇木马、病毒袭扰的概率,优化提高了ISP的网络质量;通过页面广告还可以获得一定的直接经济效益。