大规模验证DNS递归服务器探测DNSSEC错误配置的方法及设备

技术领域

本发明涉及互联网基础资源配置领域，尤其涉及一种大规模验证DNS递归服务器探测DNSSEC错误配置的方法、装置、终端设备以及存储介质。

背景技术

随着互联网的快速普及，使得信息更加便捷、高效地传递，人们可以随时随地获取和分享信息。然而在互联网的信息传递中也存在着一定的信息安全隐患。

互联网之间通信是基于IP地址进行通信的，为了方便人们使用互联网，通常IP地址会被转换成相应的易记忆的域名网址，而实现这种转换功能的系统就是DNS(DomainName System，域名系统)。

DNS系统是一个分布式数据库系统，域名到IP地址的解析可以由若干个域名服务器共同完成，每一个站点维护自己的信息数据库，并运行一个服务器程序供互联网上的客户端查询。然而在客户端向DNS解析服务器(也称为DNS递归服务器)查询域名时，恶意攻击者可以通过伪造DNS数据包或篡夺DNS解析服务器的控制权，改变DNS解析服务器的响应结果，从而导致网络连接中断或恶意网站访问等安全问题，导致信息传递的安全漏洞的产生。

随着人们越来越重视网络信息安全，DNSSEC(Domain Name System SecurityExtensions，域名系统安全扩展)等安全增强协议得到了逐步的发展和完善，DNSSEC的广泛部署成为DNS体系架构演进的重点和热点。DNSSEC通过提供源颁发机构确保数据完整性，以及已验证的否认存在来防止DNS数据的篡改和欺骗攻击。然而，DNSSEC的实现增加了部署的DNS基础设施的复杂性，而配置错误将可能导致DNS解析失败或难以达到既定的安全目标。

然而，现有的技术只是对域名数据集进行DNSSEC错误配置的检测，检测结果与实际的DNSSEC错误配置的符合度不高，难以保证客户端通过DNS解析服务器查询到的DNS数据是安全可靠的。

发明内容

本发明的主要目的在于提供一种大规模验证DNS递归服务器探测DNSSEC错误配置的方法、装置、终端设备以及存储介质，旨在解决现有DNSSEC错误配置检测技术存在检测结果与实际的DNSSEC错误配置的符合度不高的技术问题。

为实现上述目的，本发明提供一种大规模验证DNS递归服务器探测DNSSEC错误配置的方法，所述大规模验证DNS递归服务器探测DNSSEC错误配置的方法包括：

基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；

在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；

根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；

基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。

可选地，所述基于在云服务器预先搭建的域名环境，对所述域名进行不同的DNSSEC错误配置的步骤包括：

基于云服务器，将自定义的服务器作为域名服务器，并在域名服务器本地修改DNSSEC相关的配置文件，实现DNSSEC环境的配置；

根据不同的DNSSEC错误配置，对所述DNSSEC环境的配置进行修改。

可选地，所述在所述云服务器上，通过DNS递归服务器对所述域名环境DNSSEC错误配置进行检测，并获取所述DNS递归服务器的检测结果之前，还包括：

获取开放的支持DNSSEC协议的多个DNS递归服务器的IP地址数据集；

基于所述IP地址数据集，设置DNS递归服务器。

可选地，所述在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果的步骤包括：

在所述云服务器上，以命令行和脚本的形式向DNS递归服务器发送数据包，请求对所述域名环境进行探测；

基于所述DNS递归服务器，对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果。

可选地，所述基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证的步骤包括：

若所述分析结果是DNS递归解析服务器提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误是有效验证；

若所述分析结果是DNS递归解析服务器未提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误不是有效验证。

可选地，所述根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果之后，还包括：

根据不同的DNSSEC错误配置，将所述DNS递归服务器的检测结果分类，得到分类后的DNS递归服务器的检测结果；

根据所述分类后的DNS递归服务器的检测结果，输出针对不同的DNSSEC错误配置的DNS递归服务器的检测结果的可视化图表；

所述基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证的步骤包括：

基于分析结果和所述可视化图表，确认DNS递归服务器对DNSSEC配置错误是否有效验证，并对DNS递归服务器验错能力进行分析。

可选地，所述DNSSEC错误配置包括DS错误、DNSKEY错误、RRSIG错误以及NSEC记录错误。

此外，为实现上述目的，本发明还提供一种大规模验证DNS递归服务器探测DNSSEC错误配置的装置，所述装置包括：

环境配置模块，用于基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；

检测模块，用于在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；

分析模块，用于根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；

验证模块，用于基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。

本申请实施例还提出一种终端设备，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的大规模验证DNS递归服务器探测DNSSEC错误配置的程序，所述大规模验证DNS递归服务器探测DNSSEC错误配置的程序被所述处理器执行时实现如上所述的大规模验证DNS递归服务器探测DNSSEC错误配置的方法的步骤。

本申请实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有大规模验证DNS递归服务器探测DNSSEC错误配置的程序，所述大规模验证DNS递归服务器探测DNSSEC错误配置的程序被处理器执行时实现如上所述的大规模验证DNS递归服务器探测DNSSEC错误配置的方法的步骤。

本发明实施例提出的一种大规模验证DNS递归服务器探测DNSSEC错误配置的方法、装置、终端设备以及存储介质，基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的域名系统安全扩展DNSSEC错误配置；在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。由此，通过对DNS递归服务器验错能力的探测，相比现有技术，能够进一步提高检测DNSSEC错误配置的能力，保证客户端通过DNS递归服务器查询到的DNS数据安全可靠。

附图说明

图1为本申请配置检测装置所属终端设备的功能模块示意图；

图2为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法第一实施例的流程示意图；

图3为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中步骤S210的细化流程示意图；

图4为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中自定义域名服务器的配置文件的示例；

图5为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中自定义域名服务器的区域数据文件的示例；

图6为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中基于云服务器进行DS设定的示意图；

图7为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法第二实施例的流程示意图；

图8为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中步骤S220的细化流程示意图；

图9为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中步骤S240的细化流程示意图；

图10为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法第三实施例的流程示意图；

图11为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中针对DS错误检测的DNS递归服务器的关键提示信息的图表示例；

图12为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中针对DNSKEY错误检测的DNS递归服务器的关键提示信息的图表示例；

图13为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中针对RRSIG错误检测的DNS递归服务器的关键提示信息的图表示例；

图14为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中针对NSEC错误检测的DNS递归服务器的关键提示信息的图表示例。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。

由于现有技术只是对域名数据集进行DNSSEC错误配置的检测，检测结果与实际的DNSSEC错误配置的符合度不高，难以保证客户端通过DNS解析服务器查询到的DNS数据是安全可靠的。

本发明提供一种解决方案，通过对DNS递归服务器验错能力的探测，相比现有技术，能够进一步提高检测DNSSEC错误配置的能力，保证客户端通过DNS递归服务器查询到的DNS数据安全可靠。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的终端设备结构示意图。

如图1所示，该终端设备可以包括：处理器101，例如中央处理器(CentralProcessing Unit，CPU)，通信总线102、用户接口103，网络接口104，存储器105。其中，通信总线102用于实现这些组件之间的连接通信。用户接口103可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口103还可以包括标准的有线接口、无线接口。网络接口104可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity，WI-FI)接口)。存储器105可以是高速的随机存取存储器(Random Access Memory，RAM)存储器，也可以是稳定的非易失性存储器(Non-Volatile Memory，NVM)，例如磁盘存储器。存储器105可选的还可以是独立于前述处理器101的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对配置检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

在图1所示的终端设备中，网络接口104主要用于与其他设备进行数据通信；用户接口103主要用于与用户进行数据交互；本发明终端设备中的处理器101、存储器105可以设置在终端设备中，所述终端设备通过处理器101调用存储器105中存储的大规模验证DNS递归服务器探测DNSSEC错误配置的程序，并执行本发明实施例提供的大规模验证DNS递归服务器探测DNSSEC错误配置的方法。

具体地，存储器105中的大规模验证DNS递归服务器探测DNSSEC错误配置的配置检测程序被处理器执行时实现以下步骤：

基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；

在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；

根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；

基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。

进一步地，存储器105中的配置检测程序被处理器执行时还实现以下步骤：

基于云服务器，将自定义的服务器作为域名服务器，并在域名服务器本地修改DNSSEC相关的配置文件，实现DNSSEC环境的配置；

根据不同的DNSSEC错误配置，对所述DNSSEC环境的配置进行修改。

进一步地，存储器105中的配置检测程序被处理器执行时还实现以下步骤：

获取开放的支持DNSSEC协议的多个DNS递归服务器的IP地址数据集；

基于所述IP地址数据集，设置DNS递归服务器。

进一步地，存储器105中的配置检测程序被处理器执行时还实现以下步骤：

在所述云服务器上，以命令行和脚本的形式向DNS递归服务器发送数据包，请求对所述域名环境进行探测；

基于所述DNS递归服务器，对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果。

进一步地，存储器105中的配置检测程序被处理器执行时还实现以下步骤：

若所述分析结果是DNS递归解析服务器提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误是有效验证；

若所述分析结果是DNS递归解析服务器未提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误不是有效验证。

进一步地，存储器105中的配置检测程序被处理器执行时还实现以下步骤：

根据不同的DNSSEC错误配置，将所述DNS递归服务器的检测结果分类，得到分类后的DNS递归服务器的检测结果；

根据所述分类后的DNS递归服务器的检测结果，输出针对不同的DNSSEC错误配置的DNS递归服务器的检测结果的可视化图表；

所述基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证的步骤包括：

基于分析结果和所述可视化图表，确认DNS递归服务器对DNSSEC配置错误是否有效验证，并对DNS递归服务器验错能力进行分析。

进一步地，存储器105中的配置检测程序被处理器执行时还实现以下步骤：

所述DNSSEC错误配置包括DS错误、DNSKEY错误、RRSIG错误以及NSEC错误。

本实施例通过上述方案，具体通过基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。基于上述的大规模验证DNS递归服务器探测DNSSEC错误配置的方法进行对互联网基础资源的DNSSEC错误配置检测，通过对DNS递归服务器验错能力的探测，相比现有技术对域名数据集进行DNSSEC错误配置检测，能够进一步提高检测DNSSEC错误配置的能力，保证客户端通过DNS递归服务器查询到的DNS数据安全可靠。

基于上述终端设备架构但不限于上述架构，提出本申请方法实施例。

参照图2，图2为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法第一实施例的流程示意图。所述大规模验证DNS递归服务器探测DNSSEC错误配置的方法包括：

步骤S210：基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；

步骤S220：在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；

步骤S230：根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；

步骤S240：基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。

本实施例方法的执行主体可以是一种配置检测装置，也可以是一种配置检测终端设备或服务器，本实施例以配置检测装置进行举例，该配置检测装置可以集成在具有数据处理功能的智能手机、平板电脑等终端设备上。

本实施例方案主要实现对互联网基础资源的DNSSEC错误配置的检测，提高检测DNSSEC错误配置的能力，保证客户端通过DNS递归服务器查询到的DNS数据安全可靠。

以下对本实施例各个步骤进行详细解释：

具体地，为了方便人们在互联网进行通信，通常会使用DNS系统将IP地址转换成相应的易记忆的域名网址。然而在使用DNS系统进行域名查询时，可能会存在某些恶意攻击导致信息安全漏洞的产生。

为了保证互联网的信息安全，针对DNS的安全问题，提出了DNSSEC协议来保证DNS数据的真实性和完整性。

为了方便理下文，在此对DNSSEC的实现作简要的介绍。DNSSEC协议主要是通过数字签名技术对DNS数据进行来源确认保证完整性和真实性，以及已验证的否认存在来防止DNS的篡改和欺骗攻击。DNS系统中存在着各种资源记录集即RRset(Resource Recordset)，DNSSEC使用密钥对来生成数字签名，并通过扩展资源记录实现认证。

在DNSSEC中，公钥用于验证数字签名，而私钥用于生成数字签名。数字签名区域管理员拥有一个私钥，并使用该私钥对区域数据进行签名。签名后的数据包括一个数字签名和一条包含签名的DNS记录。

在DNSSEC中，签名密钥被分成ZSK(Zone-Signing Key，区域签名密钥)和KSK(Key-Signing Key，密钥签名密钥)。ZSK用于对Zone内所有的资源记录进行签名，由域名服务器生成、签名。权域名服务器在每次DNS查询的时候，都会使用ZSK对查询结果(资源记录)进行数字签名。KSK对应一个私钥，可用于为特定区域的其他认证密钥进行签名。一般来说，私钥对应的KSK可用于为ZSK签名。

在DNSSEC中增加了RRSIG(Resource Record Signature，资源记录签名)、DNSKEY(DNS密钥)、DS(Delegation Signer，委托签名)、NSEC(Next Secure，下一个安全)等记录。

其中，RRSIG记录存储DNSSEC签名，签名信息可用于验证其他DNS记录的真实性和完整性。

DNSKEY记录包含用于RRSIG验证的公钥信息，一般会公布ZSK和KSK的相关明文，以便DNS解析服务器获取DNSKEY记录来验证数据签名。

DS记录存储DNSKEY的散列值，用于验证DNSKEY的真实性，从而建立一个信任链。

NSEC记录是可用于确定特定区域中是否存在某个名称，主要是为了解决记录不存在于某个区域的问题(即“拒绝存在”认证问题)。因攻击者无法插入不存在的记录，从而减少了缓存污染攻击的风险，同时无法使用先前截获的DNS查询来欺骗DNS服务器，提高了DNS系统的安全性。

当客户端查询某个域名时，DNS服务器返回带有数字签名的DNS应答数据。客户端可以使用公钥验证数字签名的有效性，从而确保DNS应答数据的完整性和真实性。如果数字签名无效或被篡改，客户端将无法验证数据的真实性，从而避免了未经授权的访问和攻击。

然而DNSSEC的实现增加了部署的DNS基础设施的复杂性，而配置错误将可能导致DNS解析失败或难以达到既定的安全目标。现有的配置检测技术只是对域名数据集进行DNSSEC错误配置的检测，无法完全防止在用户查询DNS过程中第三方的恶意DNS劫持，同时针对大规模的域名数据集检测的复杂性高，造成检测结果与实际的DNSSEC错误配置的符合度不高，难以保证客户端通过DNS解析服务器查询到的DNS数据是安全可靠的。

因此，本申请针对上述现有方法存在的问题，设计了一种通过对DNS递归服务器验错能力进行探测的DNSSEC错误配置检测方法。该大规模验证DNS递归服务器探测DNSSEC错误配置的方法具体可以包括以下步骤：

步骤S210：基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；

首先，用户需要在云服务器中进行域名的注册，并对相应的域名服务器进行DNSSEC环境的配置，以此来实现DNSSEC协议，保证域名系统的安全性。

同时为了对DNS递归服务器验错能力进行探测，我们需要对此前DNSSEC环境的配置进行不同的修改，来实现对域名设置不同的DNSSEC错误配置。其中，云服务器是人员根据实际自行选择的服务器，本实施例中优选为CentOS服务器；域名是人员根据实际需要进行注册的，本实施例中优选为.top域名与.cn域名；域名环境是指基于云服务器构建的域名服务器的工作环境；DNSSEC错误配置可以是DS错误、DNSKEY错误、RRSIG错误以及NSEC错误中任一项。

步骤S220：在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；

然后，在云服务器的控制台上，向DNS递归服务器进行发送域名探测请求，DNS递归服务器根据域名探测请求对相应的域名环境进行DNSSEC错误配置检测。根据在检测过程中出现的提示信息，得到相应的DNS递归服务器的检测结果。

其中，DNS递归服务器的选取是人员自行选取的公开的且支持DNSSEC协议的递归服务器，用于处理域名探测请求；域名探测请求一般是由客户端发起，是为了将域名转换成相应的IP地址，以实现互联网的通信过程。DNSSEC错误配置检测是指在DNS递归服务器中对域名进行探测时，为了确保域名服务器提供的DNS数据是满足DNSSEC协议的，对此DNS数据的来源机构的数字签名进行确认。

步骤S230：根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；

然后，因在步骤S210对域名环境已经进行了DNSSEC错误配置，在DNSSEC错误配置检测结果中会存在着提示信息，分析此提示信息是否是相应的DNSSEC错误配置的提示信息，并得到分析结果。其中，提示信息可以是DS验证失败，DNSKEY验证失败，NSEC验证失败，RRSIG验证失败，无法验证或验证成功等检测过程中出现的任意提示信息。

步骤S240：基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。

最后，基于所述分析结果，确认提示信息中是否存在着与步骤S210中设置的DNSSEC错误配置对应的错误提示，对DNS递归服务器的DNSSEC配置的检测进行有效性的判定。

本实施例通过上述方案，具体通过基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。通过对DNS递归服务器验错能力的探测，相比现有技术对域名数据集进行DNSSEC错误配置检测，能够进一步提高检测DNSSEC错误配置的能力，保证客户端通过DNS递归服务器查询到的DNS数据安全可靠。

参照图3，图3为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中对域名进行设置不同的DNSSEC错误配置的具体流程示意图。基于上述图2所示的实施例，在本实施例中，所述步骤S210：基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置包括：

步骤S2101：基于云服务器，将自定义的服务器作为域名服务器，对所述域名设置DNSSEC环境配置；

具体地，为了使配置检测装置能够正确解析本地配置的DNS文件，在云服务器的控制台上，设定DNS服务器(也就是域名服务器)为用户自定义的服务器，本实施例优选为named.conf中定义的服务器。同时为了DNSSEC的实现，域名服务器需要对其工作环境进行配置以支持DNSSEC协议。

进一步地，在所述云服务器上，将自定义的服务器作为域名服务器，并在域名服务器本地修改DNSSEC相关的配置文件，实现DNSSEC环境的部署。

例如，本实施例中，云服务器是基于阿里云的centos云服务器，注册域名为iwbtfy.top，域名服务器是named.conf中定义的服务器。

为了保障域名服务器的正常工作，首先修改/etc/named.conf文件，构建域名服务器，具体域名服务器的配置文件可以参照图4所示，同时创建/var/named/iwbtfy.top.zone文件，即iwbtfy.top的区域数据文件。

为了实现DNSSEC环境的部署，在云服务器上对域名iwbtfy.top生成KSK和ZSK，并向之前创建的zone文件添加所述KSK和ZSK，修改后的zone文件参照图5所示。

然后在本地对KSK和ZSK生成对应的DS记录，并在注册服务器的控制台中设定DS，具体设定DS的云服务器的控制台界面参照图6所示。最后对修改后的配置环境进行重启named服务，以此完成域名服务器对DNSSEC环境的部署。

步骤S2102：根据不同的DNSSEC错误配置，对所述DNSSEC环境配置进行修改。

具体地，根据不同的DNSSEC错误配置，通过云服务器或对相关的配置文件进行修改，使得DNSSEC环境配置出现不同的错误。

进一步地，所述DNSSEC错误配置包括：DS错误、DNSKEY错误、RRSIG错误以及NSEC记录错误等。

具体地，DS错误可以是云服务器上DS记录的DNSSEC加密算法与本地生成的DS不同，造成DS错误。DNSKEY错误可以是DNSKEY记录中的域关键位或者签名算法设置错误。RRSIG错误可以是将签名算法设置成不支持的DNSKEY算法，使得无法通过DNSKEY来验证RRSIG记录。NSEC错误可以是注释NSEC记录，使得无法验证否认存在。

例如，本实施例中，云服务器是基于阿里云的centos云服务器，注册域名为iwbtfy.top，域名服务器是named.conf中定义的服务器，相关的配置文件为服务器本地的iwbtfy.top.zone.signed文件。

当DNSSEC环境配置是DS错误，通过在云服务器控制台修改DNSSEC的加密算法与摘要，与在本地生成的DS不同。

当DNSSEC环境配置是通过设置不支持的DNSKEY算法生成的RRSIG错误，在本地修改配置文件，将资源记录集合的RRSIG的数字签名算法设置成不支持的算法，导致无法通过RRSIG包含的数字签名进行验证资源记录集合。

当DNSSEC环境配置是通过无域关键位生成的DNSKEY错误，在本地修改配置文件，将DNSKEY记录中的域关键位置为0，其中域关键位是用来表示该DNSKEY是否带有域名信息的关键标志位。如果该位的值为0，则表示该DNSKEY是不带域的DNSKEY；如果该位的值为1，则表示该DNSKEY是带域的DNSKEY。

当DNSSEC环境配置是使NSEC缺失生成的NSEC错误，在本地修改配置文件，注释NSEC记录，使得DNSSEC的否认存在不能得到验证。

本实施例通过上述方案，具体通过基于云服务器，将自定义的服务器作为域名服务器，对所述域名设置DNSSEC环境配置；根据不同的DNSSEC错误配置，对所述DNSSEC环境配置进行修改；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。通过搭建DNSSSEC配置错误的域名环境，构建出便于验证DNS递归服务器的验错能力的测试环境，能够帮助进一步提高检测DNSSEC错误配置的能力。

参照图7，图7为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法第二实施例的流程示意图，通过获取多个DNS递归服务器的IP地址数据集，便于后续一次性完成大量的DNS递归服务器验错能力的确认。基于上述图2所示的实施例，在本实施例中，在上述步骤S220：在所述云服务器上，通过DNS递归服务器对所述域名环境DNSSEC错误配置进行检测，并获取所述DNS递归服务器的检测结果之前，还包括：

步骤S710：获取开放的支持DNSSEC协议的多个DNS递归服务器的IP地址数据集；

步骤S720：基于所述IP地址数据集，设置DNS递归服务器。

具体地，首先通过配置检测装置从DNS相关数据平台获取开放的支持DNSSEC协议的多个DNS递归服务器的IP地址数据集。其中，开放的支持DNSSEC协议的DNS递归服务器可以是全球现有的免费公共DNS递归服务器；DNS相关数据平台可以是DNS数据开源社区、公布DNS数据的网络平台、DNS解析服务提供机构等。

最后将获取到的IP地址数据集作为测试数据集，通过在云服务器上动态地修改配置文件，对待验证的DNS递归服务器进行IP地址设定，实现一次性完成大量的DNS递归服务器对DNSSEC错误配置的检测。

需要说明的是基于上述图2所示的实施例，本实施例中获取DNS递归服务器的IP地址数据集，并通过IP地址数据集进行设置DNS递归服务器的步骤，不限定在上述步骤S210：基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置之前或之后。

本实施例通过上述方案，具体通过基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；获取开放的支持DNSSEC协议的多个DNS递归服务器的IP地址数据集；基于所述IP地址数据集，设置DNS递归服务器；在所述云服务器上，通过DNS递归服务器对所述域名环境DNSSEC错误配置进行检测，并获取所述DNS递归服务器的检测结果；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。

配置检测装置通过收集开放的支持DNSSEC协议的多个DNS递归服务器的IP地址数据集，基于此IP地址数据集来进行一次性完成大量的DNS递归服务器对DNSSEC错误配置的检测。在现有技术的基础上，进一步提升对DNSSEC错误配置的检测能力，而且便于后续实现一次性完成大量的DNS递归服务器验错能力的确认，节省重复对DNS递归服务器验错能力的验证资源。

参照图8，图8为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中DNS递归服务器对DNSSEC错误配置进行检测的具体流程示意图。基于上述图2所示的实施例，所述步骤S220：在所述云服务器上，通过DNS递归服务器对所述域名环境DNSSEC错误配置进行检测，并获取所述DNS递归服务器的检测结果包括：

步骤S2201：在所述云服务器上，以命令行和脚本的形式向DNS递归服务器发送数据包，请求对所述域名环境进行探测；

具体地，为了将域名转换成相应的IP地址，以实现互联网的通信过程。在所述云服务器的控制台上，以命令行和脚本的形式向DNS递归服务器发送数据包，请求对所述域名环境进行探测。通常配置检测装置可以nslookup命令、Ping命令、DIG命令、Python脚本等方式进行DNS查询，请求对域名环境进行探测。本实施例中优选为通过DIG命令请求对域名环境进行探测，具体使用dig命令查询DNS记录的语法为dig+域名，例如dig www.example.com。

其中，DNS递归服务器的选取是人员自行选取的公开的且支持DNSSEC协议的递归服务器，用于处理域名探测请求。

步骤S2202：基于所述DNS递归服务器，对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果。

具体地，在DNS递归服务器接收到云服务器的数据包请求后，对所述域名环境进行DNSSEC错误配置检测。根据在检测过程中出现的提示信息，得到相应的DNS递归服务器的检测结果。其中DNSSEC错误配置检测是指在DNS递归服务器中对域名环境进行探测时，为了确保域名服务器提供的DNS数据是满足DNSSEC协议的，对此DNS数据的来源机构的数字签名进行确认。

本实施例通过上述方案，具体通过基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；在所述云服务器上，以命令行和脚本的形式向DNS递归服务器发送数据包，请求对所述域名环境进行探测；基于所述DNS递归服务器，对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。通过对DNS递归服务器验错能力的探测，相比现有技术对域名数据集进行DNSSEC错误配置检测，能够进一步提高检测DNSSEC错误配置的能力，保证客户端通过DNS递归服务器查询到的DNS数据安全可靠。

参照图9，图9为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法实施例中判定DNS递归服务器对DNSSEC配置错误是否有效验证的具体流程示意图。基于上述图2所示的实施例，所述步骤S240：基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证包括：

步骤S2401：若所述分析结果是DNS递归解析服务器提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误是有效验证；

步骤S2402：若所述分析结果是DNS递归解析服务器未提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误不是有效验证。

具体地，对DNS递归解析服务器是否提供相应的错误提示的分析结果进行确认，如果分析结果是DNS递归解析服务器有提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误是有效验证。如果分析结果是DNS递归解析服务器没有提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误是无效验证。

例如，设置的DNSSEC配置错误为DS错误，如果DNS递归解析服务器提供了无法通过DS记录对DNSKEY进行验证的错误提示信息，分析结果就应当为DNS递归解析服务器有提供符合错误的DS的相应错误提示，所述DNS递归服务器对错误的DS是有效验证。如果DNS递归解析服务器提供了无法验证否认存在即无法验证NSEC、DNSKEY丢失、RRSIG丢失等提示信息，分析结果就应当为DNS递归解析服务器没有提供符合错误的DS的相应错误提示，所述DNS递归服务器对错误的DS是无效验证。其中，在无效验证的判定中，DNS所提供的提示信息可以是除无法通过DS记录对DNSKEY进行验证外的提示信息，上述判定无效验证的提示信息仅做参考。

本实施例通过上述方案，具体通过基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；若所述分析结果是DNS递归解析服务器提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误是有效验证；若所述分析结果是DNS递归解析服务器未提供符合DNSSEC配置错误的相应错误提示，则确定所述DNS递归服务器对DNSSEC配置错误不是有效验证。

配置检测装置通过确认DNS递归解析服务器是否提供相应的错误提示的分析结果，来判定DNS递归服务器对DNSSEC配置错误是否有效验证。通过对DNS递归服务器验错能力的检测，提高DNSSEC错误配置的检测能力，保证域名系统的安全性，保证客户端通过DNS递归服务器查询到的DNS数据安全可靠。

参照图10，图10为本申请大规模验证DNS递归服务器探测DNSSEC错误配置的方法第三实施例的流程示意图，通过结合可视化图表和分析结果，对DNS递归服务器验错能力进行分析。基于上述图2所示的实施例，在上述步骤S230：根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果之后，还包括：

步骤S1010：根据不同的DNSSEC错误配置，将所述DNS递归服务器的检测结果分类，得到分类后的DNS递归服务器的检测结果；

具体地，基于预先设置的不同的DNSSEC错误配置，将DNS递归服务器的检测结果分类，得到针对不同的DNSSEC错误配置的DNS递归服务器的检测结果。例如，本实施例中，所述不同的DNSSEC错误配置包括DS错误、DNSKEY错误、RRSIG错误以及NSEC错误。

配置检测装置将DNS递归服务器的检测结果按照这4种DNSSEC错误配置进行分类，分别得到针对DS错误的DNS递归服务器的检测结果、针对DNSKEY错误的DNS递归服务器的检测结果、针对RRSIG错误的DNS递归服务器的检测结果，以及针对NSEC错误的DNS递归服务器的检测结果。

步骤S1020：根据所述分类后的DNS递归服务器的检测结果，输出针对不同的DNSSEC错误配置的DNS递归服务器的检测结果的可视化图表；

具体地，根据针对不同的DNSSEC错误配置的DNS递归服务器的检测分类结果，分析得到针对不同的DNSSEC错误配置检测，DNS递归服务器的检测结果中关键提示信息，并输出对应的可视化图表。

例如，本实施例中，所述不同的DNSSEC错误配置包括DS错误、DNSKEY错误、RRSIG错误以及NSEC错误；关键提示信息是指在检测结果中出现的报错信息；域名为iwbtfy.top，将1000个支持DNSSEC的DNS递归服务器作为测试数据集，对iwbtfy.top进行DNSSEC配置错误检测。配置检测装置将DNS递归服务器的检测结果的关键提示信息分类后，可以输出得到4张图表，分别是针对DS错误检测的DNS递归服务器的关键提示信息、针对DNSKEY错误检测的DNS递归服务器的关键提示信息、针对RRSIG错误检测的DNS递归服务器的关键提示信息，以及针对NSEC错误检测的DNS递归服务器的关键提示信息，具体输出图表结果参照图11至图14所示。

步骤S1030：所述基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证的步骤包括：

基于分析结果和所述可视化图表，确认DNS递归服务器对DNSSEC配置错误是否有效验证，并对DNS递归服务器验错能力进行分析。

具体地，通过对DNS递归解析服务器是否提供相应的错误提示的分析结果进行确认，可以判定DNS递归服务器对DNSSEC配置错误是否有效验证。同时结合所述可视化图表，可以分析针对不同的DNSSEC错误配置，DNS递归服务器通常会检测出错的地方，进而对DNS递归服务器进行优化；也可以分析筛选得到针对本实施例中所列举的4种DNSSEC错误配置，能够检测正确的DNS递归服务器。

本实施例通过上述方案，具体通过基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；根据不同的DNSSEC错误配置，将所述DNS递归服务器的检测结果分类，得到分类后的DNS递归服务器的检测结果；根据所述分类后的DNS递归服务器的检测结果，输出针对不同的DNSSEC错误配置的DNS递归服务器的检测结果的可视化图表；基于分析结果和所述可视化图表，确认DNS递归服务器对DNSSEC配置错误是否有效验证，并对DNS递归服务器验错能力进行分析。

通过对所述分析结果和DNS递归服务器的检测结果的可视化图表进行分析，进一步确认DNS递归服务器验错能力，还可以根据其检测结果出现的错误信息，进行对DNS递归服务器进行优化，避免潜在的安全漏洞，保证客户端通过DNS递归服务器查询到的DNS数据安全可靠。

此外，为实现上述目的，本发明还提供一种大规模验证DNS递归服务器探测DNSSEC错误配置的装置，所述装置包括：

环境配置模块，用于基于在云服务器预先搭建的域名环境，对所述域名环境中的域名设置不同的DNSSEC错误配置；

检测模块，用于在所述云服务器上，通过DNS递归服务器对所述域名环境进行DNSSEC错误配置检测，并获取所述DNS递归服务器的检测结果；

分析模块，用于根据所述DNS递归服务器的检测结果，分析DNS递归解析服务器是否提供相应的错误提示，并得到分析结果；

验证模块，用于基于所述分析结果，确认所述DNS递归服务器对DNSSEC配置错误是否有效验证。

本实施例实现大规模验证DNS递归服务器探测DNSSEC错误配置的原理及实施过程，请参照上述各实施例，在此不再赘述。

本申请实施例还提出一种终端设备，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的大规模验证DNS递归服务器探测DNSSEC错误配置的程序，所述大规模验证DNS递归服务器探测DNSSEC错误配置的程序被所述处理器执行时实现如上所述的大规模验证DNS递归服务器探测DNSSEC错误配置的方法的步骤。

由于本大规模验证DNS递归服务器探测DNSSEC错误配置的程序被处理器执行时，采用了前述所有实施例的全部技术方案，因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果，在此不再一一赘述。

本申请实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有大规模验证DNS递归服务器探测DNSSEC错误配置的程序，所述大规模验证DNS递归服务器探测DNSSEC错误配置的程序被处理器执行时实现如上所述的大规模验证DNS递归服务器探测DNSSEC错误配置的方法的步骤。

由于本配置检测程序被处理器执行时，采用了前述所有实施例的全部技术方案，因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果，在此不再一一赘述。

要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，被控终端，或者网络设备等)执行本申请每个实施例的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。