CN103957285B - 提供根域名解析服务的方法和系统 - Google Patents
提供根域名解析服务的方法和系统 Download PDFInfo
- Publication number
- CN103957285B CN103957285B CN201410158694.1A CN201410158694A CN103957285B CN 103957285 B CN103957285 B CN 103957285B CN 201410158694 A CN201410158694 A CN 201410158694A CN 103957285 B CN103957285 B CN 103957285B
- Authority
- CN
- China
- Prior art keywords
- dns
- domain name
- resolution
- root
- presumptive area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000013475 authorization Methods 0.000 claims abstract description 73
- 238000004458 analytical method Methods 0.000 claims abstract description 63
- 230000008878 coupling Effects 0.000 claims description 8
- 238000010168 coupling process Methods 0.000 claims description 8
- 238000005859 coupling reaction Methods 0.000 claims description 8
- 238000013507 mapping Methods 0.000 abstract description 16
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4552—Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种提供根域名解析服务的方法和系统。其中该提供根域名解析服务的方法包括:获取预定区域内多个域名的DNS解析记录;按照解析记录建立DNS各级节点的授权信息数据库;启动提供根域名解析服务的虚拟根节点,并由虚拟根节点根据授权信息数据库中的数据应答预定区域内的根域名解析请求。利用本发明的技术方案,利用预定区域内的DNS解析记录,建立DNS授权信息数据库,作为提供根域名解析服务的虚拟根节点的数据基础,自动为区域内提供DNS根解析服务,降低了依靠现有DNS系统进行根域名解析时区域内域名解析失败导致的互联网风险。
Description
技术领域
本发明涉及通信技术领域,特别是涉及提供根域名解析服务的方法和系统。
背景技术
DNS是域名系统(Domain Name System)的缩写,是因特网(Internet)的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。
通常Internet主机域名的一般结构为:主机名.三级域名.二级域名.顶级域名。Internet的顶级域名由Internet网络协会域名注册查询负责网络地址分配的委员会进行登记和管理,并且为Internet的每一台主机分配唯一的IP地址。
图1是现有技术中DNS的层次架构图,现有的DNS架构是一个层次树状结构,这个树状结构称为DNS域名空间,最上面的域名空间被称为“根节点”。从顶级域到某一个子域的路径就构成了一个域名,例如从顶级域.com到它的二级域Microsoft,再到Microsoft的子域departmentA就构成了一个域名departmentA.microsoft.com。
图2是现有技术中DNS的一个域名解析流程图,以访问网易门户地址www.163.com的解析过程为例进行介绍。其流程为:
步骤1,用户电脑向其系统上设置的本地DNS服务器发送解析www.163.com的请求。所谓本地DNS服务器是指一个DNS服务IP地址,可以是从运营商自动获取的,也可以是手动设置的。
步骤2,本地DNS服务器会在自己的空间里查看是否有这个域名的缓存,如果没有,就会向根服务器发送www.163.com的域名解析请求。
步骤3,根服务器接收到本地DNS服务器关于域名的解析请求后,分析请求的域名,返回给本地服务器.com这个域名节点的服务器的IP地址。
步骤4:本地DNS服务器在接到.com顶级域的服务器IP地址后,向.com顶级域发出查询www.163.com的解析请求。
步骤5,.com顶级域服务器在接收到关于www.163.com的解析请求后,返回给本地DNS服务器关于163这个二级域的DNS服务器的IP地址。
步骤6,本地DNS服务器继续向163这个二级域的DNS服务器发起关于www.163.com的解析请求。
步骤7,163这个域的管理服务器管理163.com下的所有的子域名。它的域名空间中有www这个子域名,其对应的IP地址为111.1.53.220,因此163.com域的DNS服务器会返回www.163.com对应的IP地址111.1.53.220给本地DNS服务器。
步骤8,本地DNS服务器接收到163.com这个域服务器关于www.163.com解析结果后,返回给用户对应的IP地址111.1.53.220,同时会将这个结果保留一段时间,以备其他用户的查询。
步骤9,用户电脑在获得www.163.com域名对应的IP地址111.1.53.220后,就开始向111.1.53.220这个IP请求网页内容。到此,DNS的一个完整请求解析流程结束。
DNS根服务器是DNS树型域名空间的“根”,负责TLD(top Level Domain,顶级域名)的解析,对于域名解析起着极其关键的作用。从理论上说,任何形式的标准域名要想被实现解析,按照技术流程,都必须经过全球“层级式”域名解析体系的工作才能完成。
通过以上介绍可以看出:“层级式”域名解析体系第一层就是根服务器,负责管理世界各国的域名信息,在根服务器下面是顶级域名服务器,即相关国家域名管理机构的数据库,如中国的CNNIC,然后再到下一级的域名数据库和ISP(Internet Service Provider,互联网服务提供商)的缓存服务器查询。一个域名必须首先经过根数据库的解析后,才能转到顶级域名服务器进行解析。如果DNS根节点不能访问,那么一切的域名解析都会失败。
然而,全球仅有13台根服务器。目前的分布情况为:主根服务器(A)美国1个;辅根服务器(B至M)美国9个,瑞典、荷兰、日本各1个。在现有技术中如果出现解析系统中屏蔽某个区域的域名,那么它们的IP地址将无法解析出来,这些域名所指向的网站就会从互联网中消失了。因此现有技术缺乏应对区域内应对根域名解析失败的解决方案。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的提供根域名解析服务的系统及其相应的提供根域名解析服务的方法。
本发明一个目的是要提高区域内根域名解析服务的可靠性。
本发明一个进一步的目的是自动监控根域名解析结果,防止出现域名结果被篡改。
依据本发明的一个方面,提供了一种提供根域名解析服务的方法。该提供根域名解析服务的方法包括:获取预定区域内多个域名的DNS解析记录;按照解析记录建立DNS各级节点的授权信息数据库;启动提供根域名解析服务的虚拟根节点,并由虚拟根节点根据授权信息数据库中的数据应答预定区域内的根域名解析请求。
可选地,获取预定区域内多个域名的DNS解析记录包括:在预定区域的骨干网出口处抓取DNS解析数据包;对DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
可选地,获取预定区域内多个域名的DNS解析记录包括:在本地递归DNS进行域名递归解析过程中,获取各级DNS授权服务器中的下一级的授权服务器的信息;将获取到的各级授权服务器的信息保存为域名的DNS解析记录。
可选地,按照解析记录建立DNS各级节点的授权信息数据库还包括:按照域名的类型将解析记录以分布式存储形式保存为授权信息数据库,授权信息数据库以边界网关协议提供数据服务。
可选地,在启动提供根域名解析服务的虚拟根节点之前还包括:判断DNS的解析结果是否正确;若否,启动提供根域名解析服务的虚拟根节点。
可选地,判断DNS的解析结果是否正确包括:判断是否收到DNS解析报文以及DNS解析报文是否预存的结果匹配;若判断结果中任一项为否,确定DNS的解析结果不正确。
根据本发明的一个方面,提供了一种提供根域名解析服务的系统。该提供根域名解析服务的系统包括:数据获取装置,被配置为获取预定区域内多个域名的DNS解析记录;虚拟根节点服务器,被配置为按照解析记录建立DNS各级节点的授权信息数据库,并运行有提供根域名解析服务的虚拟根节点,以根据授权信息数据库中的数据应答预定区域内的根域名解析请求。
可选地,数据获取装置,还被配置为在预定区域的骨干网出口处抓取DNS解析数据包;对DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
可选地,数据获取装置,还被配置为在本地递归DNS进行域名递归解析过程中,获取被解析域名的各级授权服务器的信息;将被解析域名的各级授权服务器的信息保存为域名的DNS解析记录。
可选地,虚拟根节点服务器为多个,以分布式形式布置,还被配置为按照域名的类型保存授权信息数据库,并以边界网关协议提供数据服务。
可选地,上述提供根域名解析服务的系统还包括:DNS验证装置,被配置为判断DNS的解析结果是否正确;虚拟根节点服务器,还被配置为在DNS验证装置的判断结果为否的情况下,启动提供根域名解析服务的虚拟根节点。
可选地,DNS验证装置还被配置为:判断是否收到DNS解析报文以及所述DNS解析报文是否预存的结果匹配;若判断结果中任一项为否,确定DNS的解析结果不正确。
本发明的提供根域名解析服务的方法和系统,利用预定区域内的DNS解析记录,建立DNS授权信息数据库,作为提供根域名解析服务的虚拟根节点的数据基础,自动为区域内提供DNS根解析服务,降低了依靠现有DNS系统进行根域名解析时区域内域名解析失败导致的互联网风险。
进一步地,本发明的提供根域名解析服务的方法及系统中虚拟根节点采用分布式部署,通过anycast模式对外提供服务,能有效降低DNS单点故障和提高防御DNS攻击能力,并可以对虚拟根节点配置访问权限控制,屏蔽DNS的攻击数据,优先保证区域内的本地DNS正常应答。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是现有技术中DNS的层次架构图;
图2是现有技术中DNS的一个域名解析流程;
图3是根据本发明一个实施例的提供根域名解析服务的系统的架构图;
图4是根据本发明一个实施例的提供根域名解析服务的系统在骨干网出口处抓取数据包以获取数据的示意图;
图5是根据本发明一个实施例的提供根域名解析服务的系统的利用本地DNS服务器进行数据获取的示意图;
图6是根据本发明一个实施例的提供根域名解析服务的系统提供根域名解析服务的示意图;以及
图7是根据本发明一个实施例的提供根域名解析服务的方法的示意图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
图3是根据本发明一个实施例的提供根域名解析服务的系统100的架构图,该提供根域名解析服务的系统100一般性地可以包括:数据获取装置110、虚拟根节点服务器120,进一步地可以设置有DNS验证装置130。
在本发明的一个实施例中,数据获取装置110被配置为获取预定区域内多个域名的DNS解析记录。虚拟根节点服务器120,被配置为按照解析记录建立DNS各级节点的授权信息数据库,并运行有提供根域名解析服务的虚拟根节点,以根据授权信息数据库中的数据应答预定区域内的根域名解析请求。DNS验证装置130被配置为判断DNS的解析结果是否正确;虚拟根节点服务器120在DNS验证装置的判断结果为否的情况下,启动提供根域名解析服务的虚拟根节点。
本实施例的根域名解析服务的系统100利用预定区域内的DNS解析记录,建立DNS授权信息数据库,作为提供根域名解析服务的虚拟根节点的数据基础,自动为区域内提供DNS根解析服务,降低了依靠现有DNS系统进行根域名解析时区域内域名解析失败导致的互联网风险。例如可以将中国境内作为上述预定区域,在对所有cn域名解析的过程中,获取所有cn域名的DNS解析记录,建立cn域名的授权信息数据库,从而现有DNS系统拒绝提供cn域名的根解析服务时,或者cn域名的根解析服务出现错误时,由本实施例的根域名解析服务的系统100的虚拟根节点利用备份的数据提供cn域名解析服务。
数据获取装置110可以通过多种方式获取DNS解析记录,例如一种可选方式为在预定区域的骨干网出口处抓取DNS解析数据包;对DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。另一种可选方式为在本地递归DNS进行域名递归解析过程中,获取被解析域名的各级授权服务器的信息;将被解析域名的各级授权服务器的信息保存为域名的DNS解析记录。
在以上第一种方式中,向区域外的根域名解析服务器进行DNS解析请求时,均需要经过本区域的骨干网路由,因此可以在骨干网出口处抓取DNS解析数据包,得到DNS解析记录。
图4是根据本发明一个实施例的提供根域名解析服务的系统100在骨干网出口处抓取数据包以获取数据的示意图。根域名解析服务器可以采用任播(anycast)技术在一定区域内设立镜像站,但是需要依赖于根域名解析服务器。本实施例中可以通过DNS协议本身的逐层解析的过程中或者在骨干网的出口处抓包分析,也能够收集到需要的DNS解析的授权信息,建立相应完整的DNS层次关系,进而建立完备的虚拟根节点所需的数据。
在以上第二种方式中,用户主机向本地DNS发送DNS解析请求一般均采用递归查询,本地DNS服务器中没有缓存被查询域名的地址时,本地DNS服务器会向其他根域名服务器继续发出查询请求报文,并获取结果,数据获取装置110可以利用在本地递归DNS进行域名递归解析过程中,获取各级DNS授权服务器中的下一级的授权服务器的信息,从而得到各级授权服务器的信息。
图5是根据本发明一个实施例的提供根域名解析服务的系统100的利用本地DNS服务器进行数据获取的示意图。在DNS域名系统的层次关系和分布式结构中,层次空间中每一级节点都存储着下一级的相关节点的授权信息记录。本地DNS在逐层解析的过程中,会访问到域名空间所有因层次的节点,此可以利用本地DNS服务器的递归过程将这些节点信息的授权记录进行保存,根据记录的相互关系,组成一个备份的域名层次空间,建立授权信息数据库。授权数据库对应域名空间的每一级,并且数据信息是实时更新,从而授权信息数据库形成了一个互联网域名层次的镜像。由于数据库拥有全部的授权信息记录,因此可以在根节点甚至是任何一级的域名节点服务器出现故障时,利用该数据库的数据可以实现该级DNS服务器进行授权解析服务。
本地递归DNS服务器(流入运营商提供的DNS和公共DNS)在进行递归时,会获取域名对应的各级授权服务器信息,所以可以在本地DNS递归的过程中,可以将区域内所有域名对应的解析记录镜像出来进行相应备份存储。
虚拟根节点服务器120可以为多个,以分布式形式布置,还被配置为按照域名的类型保存授权信息数据库,并以边界网关协议(Border GatewayProtocol,简称BGP)提供数据服务。边界网关协议(BGP)是运行于TCP上的一种自治系统的路由协议。BGP是用来处理像因特网大小的网络的协议,也能够妥善处理好不相关路由域间的多路连接的协议。多个虚拟根节点服务器120可以共用同一地址,以Anycast形式提供数据服务。Anycast在一个单播地址被分配到多于一个的接口上时,发到该接口的报文被网络路由到由路由协议度量的“最近”的目标接口上。Anycast允许DNS解析请求向多个虚拟根节点服务器120中的一个结点发送数据包,而这个结点由路由系统选择,对请求方结点透明,从而在一定程序上为源结点提供了更好的服务也减轻了网络负载。
利用在分布式数据库系统的架构,多个虚拟根节点服务器120通过查询分布式数据库获取对应的应答结果,通过开放式最短路径优先协议(OpenShortest Path First,简称OSPF)能实现多机同时工作,提高应答能力。OSPF协议是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,简称AS)内决策路由。是对链路状态路由协议的一种实现,隶属内部网关协议(IGP),运作于自治系统内部。
另外采用分布式形式布置虚拟根节点服务器120不仅可以加快DNS的解析过程,也更加合理地利用了因特网资源,而且通过anycast模式对外提供服务,能降低DNS单点故障和提高防御DNS攻击能力,同时还可以对虚拟根节点配置访问权限控制,屏蔽DNS的攻击数据,当出现解析异常时,优先保证区域内的本地DNS服务器的正常应答。
DNS验证装置130的一种运行流程为:在预定区域的骨干网出口处监听DNS解析报文;判断是否收到DNS解析报文以及DNS解析报文是否预存的结果匹配;若判断结果中任一项为否,确定DNS的解析结果不正确。在根域名解析错误的情况下,由虚拟根节点服务器120提供根域名解析服务的虚拟根节点,完成区域内的根域名解析工作。
根域名解析的结果一般是不会轻易修改,如果当前返回的解析结果与历史记录中预存的结果不匹配,则证明解析出现篡改,需要告警或采取人工干预。另外,如果当某个顶级域的授权无法正常工作或者返回的都为“SERVFAIL”也直接可以判断为解析结果错误。DNS的解析结果不正确的一种处理方法为:解析结果出现篡改后,根据告警信息进行判断,对界面操作点击,系统自动批量切换至虚拟根节点的DNS解析。
以上告警信息可以结合预先采集的非法DNS IP和合法的DNS IP地址白名单列表地址确定,例如预先收集的恶意DNS IP地址列表可以是由安全厂商预先收集的一组非法DNS IP地址,该预先收集的恶意DNS IP地址列表可以为客户端数据库中预先收集的恶意DNS IP地址列表,或者也可以为从网站上下载至客户端数据库中的恶意DNS IP地址列表。该预先设置的合法的DNS IP地址白名单列表可以预先存储在客户端数据库中,也可以从网站的服务器(例如:云安全服务器)上下载;
在具体实现中,主要的安全等级包括“危险”、“警告”和“安全”,其中,安全等级为“危险”的表示对用户的威胁最大,为“警告”的次之,为“安全”的最弱。界面上提示也可以据此进行。在出现界面告警信息后,可以采用自动或手动的方式启动虚拟根节点,避免非法DNS的解析结果造成的安全风险。
图6是根据本发明一个实施例的提供根域名解析服务的系统100提供根域名解析服务的示意图。当数据获取装置110建立好域名授权信息数据库后,虚拟根节点服务器120可以在数据的基础上启动一个虚拟根节点服务,对外提供根节点一样的解析服务和其他顶级域授权灾备服务。同时在骨干网对区域外的出口处启动监听DNS数据报文,对DNS解析记录的正确性进行监控,一旦发现根节点和其他不可控的域名解析异常情况,在出口处可以将对应的请求包传送到虚拟根节点进行解析应答,防止数据继续到国外服务器而导致被篡改。获取任何域名都需要从根节点开始,如果根节点返回错误,会导致所有域名都解析异常,直接导致整个互联网异常。利用本实施例的提供根域名解析服务的系统100可以有效避免类似的安全风险。
当现有的根域名解析服务器或者对应的其他域名解析出现异常的情况下,虚拟根节点服务器120利用授权信息数据库通过BGP的方式(anycast模式)构建出的虚拟根节点对外提供DNS解析服务。
其他的递归DNS可以通过修改根节点IP指向虚拟根服务IP,或者将所有域名解析转发到虚拟根节点,虚拟根节点根据授权信息数据库提供域名解析服务。其他DNS服务商无法快速修复时,发出DNS解析请求的用户主机可以紧急将用户的DNS修复到能解析的公共DNS上,以保证网络用户能正常使用网络。
以上虚拟根节点服务器120还可以通过判断DNS的解析请求的信息对DNS的解析请求是否恶意进行判断和处理,以防御针对DNS的拒绝服务攻击。例如虚拟根节点服务器120通过使用一个高速缓存,采用缓存存取优化、预更新等各种手段尽量降低了解析时延,实现了DNS请求的高速安全解析。当某一个请求源的流量异常突增时,自动分析和安全联动措施,对该DNS解析请求源限速。
例如在本实施例中的虚拟根节点服务器120,对本地DNS的发出的DNS解析请求进行域名解析,在虚拟根节点服务器120中设置有DNS攻击的防御装置。该防御装置获取DNS查询请求以及DNS查询请求的请求源的IP地址;按照IP地址在访问记录数据库中查询得出请求源的请求记录信息;判断请求记录信息中在预定周期内的请求次数是否超出了预设阈值;若是,判定请求源进行DNS攻击,并进行防御。防御方法可以使用直接过滤超速的DNS请求,或者结合用户客户端中安装的安全卫士等软件,进行安全防护和提示,例如用户客户端在安全建议显示区域输出提示信息或将DNS服务器地址修改为预设的安全地址。提高了虚拟根节点服务器120的安全性。
本发明实施例还提供了一种提供根域名解析服务的方法,该提供根域名解析服务的方法可以由以上实施例介绍的任意一种提供根域名解析服务的系统来执行,实现预定区域内的DNS根域名解析。图7是根据本发明一个实施例的提供根域名解析服务的方法的示意图,该提供根域名解析服务的方法包括:
步骤S702,获取预定区域内多个域名的DNS解析记录;
步骤S704,按照解析记录建立DNS各级节点的授权信息数据库;
步骤S706,启动提供根域名解析服务的虚拟根节点;
步骤S708,由虚拟根节点根据授权信息数据库中的数据应答预定区域内的根域名解析请求。
其中步骤S702的一种可选流程为:在预定区域的骨干网出口处抓取DNS解析数据包;对DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
步骤S702的另一种可选流程为:在本地递归DNS进行域名递归解析过程中,获取各级DNS授权服务器中的下一级的授权服务器的信息;将获取到的各级授权服务器的信息保存为域名的DNS解析记录。
步骤S704的一种可选流程为:按照域名的类型将解析记录以分布式存储形式保存为授权信息数据库,授权信息数据库以边界网关协议提供数据服务。
在本实施例的一个可选实施例中,在步骤S708之前,还可以判断DNS的解析结果是否正确;如果判断结果为否,则执行步骤S708启动提供根域名解析服务的虚拟根节点。判断DNS的解析结果是否正确可以通过以下方式实现:在预定区域的骨干网出口处监听DNS解析报文;判断是否收到DNS解析报文以及DNS解析报文是否预存的结果匹配;若判断结果中任一项为否,确定DNS的解析结果不正确。
本实施例中的方案利用预定区域内的DNS解析记录,建立DNS授权信息数据库,作为提供根域名解析服务的虚拟根节点的数据基础,自动为区域内提供DNS根解析服务,降低了依靠现有DNS系统进行根域名解析时区域内域名解析失败导致的互联网风险。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的提供根域名解析服务的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
本发明的实施例提供了A1.一种提供根域名解析服务的方法,包括:
获取预定区域内多个域名的DNS解析记录;
按照所述解析记录建立DNS各级节点的授权信息数据库;
启动提供根域名解析服务的虚拟根节点,并由所述虚拟根节点根据所述授权信息数据库中的数据应答所述预定区域内的根域名解析请求。
A2.根据A1所述的方法,其中,获取预定区域内多个域名的DNS解析记录包括:
在所述预定区域的骨干网出口处抓取DNS解析数据包;
对所述DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
A3.根据A1所述的方法,其中,获取预定区域内多个域名的DNS解析记录包括:
在本地递归DNS进行域名递归解析过程中,获取各级DNS授权服务器中的下一级的授权服务器的信息;
将获取到的各级授权服务器的信息保存为所述域名的DNS解析记录。
A4.根据A1至A3中任一项所述的方法,其中,按照所述解析记录建立DNS各级节点的授权信息数据库还包括:
按照域名的类型将所述解析记录以分布式存储形式保存为所述授权信息数据库,所述授权信息数据库以边界网关协议提供数据服务。
A5.根据A1至A4中任一项所述的方法,其中,在启动提供根域名解析服务的虚拟根节点之前还包括:
判断DNS的解析结果是否正确;
若否,启动提供根域名解析服务的虚拟根节点。
A6.根据A5所述的方法,其中,判断DNS的解析结果是否正确包括:
在所述预定区域的骨干网出口处监听DNS解析报文;
判断是否收到DNS解析报文以及所述DNS解析报文是否预存的结果匹配;
若判断结果中任一项为否,确定所述DNS的解析结果不正确。
本发明的实施例还提供了B7.一种提供根域名解析服务的系统,包括:
数据获取装置,被配置为获取预定区域内多个域名的DNS解析记录;
虚拟根节点服务器,被配置为按照所述解析记录建立DNS各级节点的授权信息数据库,并运行有提供根域名解析服务的虚拟根节点,以根据所述授权信息数据库中的数据应答所述预定区域内的根域名解析请求。
B8.根据B7所述的系统,其中,
所述数据获取装置,还被配置为在所述预定区域的骨干网出口处抓取DNS解析数据包;对所述DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
B9.根据B7所述的系统,其中,
所述数据获取装置,还被配置为在本地递归DNS进行域名递归解析过程中,获取各级DNS授权服务器中的下一级的授权服务器的信息;将获取到的各级授权服务器的信息保存为所述域名的DNS解析记录。
B10.根据B7至B9中任一项所述的系统,其中,
所述虚拟根节点服务器为多个,以分布式形式布置,还被配置为按照域名的类型保存所述授权信息数据库,并以边界网关协议提供数据服务。
B11.根据B7至B10中任一项所述的系统,还包括:
DNS验证装置,被配置为判断DNS的解析结果是否正确;
所述虚拟根节点服务器,还被配置为在所述DNS验证装置的判断结果为否的情况下,启动提供根域名解析服务的虚拟根节点。
B12.根据B11中任一项所述的系统,所述DNS验证装置还被配置为:
在所述预定区域的骨干网出口处监听DNS解析报文;
判断是否收到DNS解析报文以及所述DNS解析报文是否预存的结果匹配;
若判断结果中任一项为否,确定所述DNS的解析结果不正确。
Claims (10)
1.一种提供根域名解析服务的方法,包括:
获取预定区域内多个域名的DNS解析记录;
按照所述解析记录建立DNS各级节点的授权信息数据库;
启动提供根域名解析服务的虚拟根节点,并由所述虚拟根节点根据所述授权信息数据库中的数据应答所述预定区域内的根域名解析请求,并且
所述获取预定区域内多个域名的DNS解析记录的步骤包括:
在所述预定区域的骨干网出口处抓取DNS解析数据包;
对所述DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
2.根据权利要求1所述的方法,其中,获取预定区域内多个域名的DNS解析记录包括:
在本地递归DNS进行域名递归解析过程中,获取各级DNS授权服务器中的下一级的授权服务器的信息;
将获取到的各级授权服务器的信息保存为所述域名的DNS解析记录。
3.根据权利要求1或2所述的方法,其中,按照所述解析记录建立DNS各级节点的授权信息数据库还包括:
按照域名的类型将所述解析记录以分布式存储形式保存为所述授权信息数据库,所述授权信息数据库以边界网关协议提供数据服务。
4.根据权利要求1或2所述的方法,其中,在启动提供根域名解析服务的虚拟根节点之前还包括:
判断DNS的解析结果是否正确;
若否,启动提供根域名解析服务的虚拟根节点。
5.根据权利要求4所述的方法,其中,判断DNS的解析结果是否正确包括:
在所述预定区域的骨干网出口处监听DNS解析报文;
判断是否收到DNS解析报文以及所述DNS解析报文是否预存的结果匹配;
若判断结果中任一项为否,确定所述DNS的解析结果不正确。
6.一种提供根域名解析服务的系统,包括:
数据获取装置,被配置为获取预定区域内多个域名的DNS解析记录;
虚拟根节点服务器,被配置为按照所述解析记录建立DNS各级节点的授权信息数据库,并运行有提供根域名解析服务的虚拟根节点,以根据所述授权信息数据库中的数据应答所述预定区域内的根域名解析请求,并且
所述数据获取装置,还被配置为在所述预定区域的骨干网出口处抓取DNS解析数据包;对所述DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
7.根据权利要求6所述的系统,其中,
所述数据获取装置,还被配置为在本地递归DNS进行域名递归解析过程中,获取各级DNS授权服务器中的下一级的授权服务器的信息;将获取到的各级授权服务器的信息保存为所述域名的DNS解析记录。
8.根据权利要求6或7所述的系统,其中,
所述虚拟根节点服务器为多个,以分布式形式布置,还被配置为按照域名的类型保存所述授权信息数据库,并以边界网关协议提供数据服务。
9.根据权利要求6或7所述的系统,还包括:
DNS验证装置,被配置为判断DNS的解析结果是否正确;
所述虚拟根节点服务器,还被配置为在所述DNS验证装置的判断结果为否的情况下,启动提供根域名解析服务的虚拟根节点。
10.根据权利要求9所述的系统,所述DNS验证装置还被配置为:
在所述预定区域的骨干网出口处监听DNS解析报文;
判断是否收到DNS解析报文以及所述DNS解析报文是否预存的结果匹配;
若判断结果中任一项为否,确定所述DNS的解析结果不正确。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410158694.1A CN103957285B (zh) | 2014-04-18 | 2014-04-18 | 提供根域名解析服务的方法和系统 |
| US15/305,094 US20170041321A1 (en) | 2014-04-18 | 2015-03-19 | Method and system for providing root domain name resolution service |
| PCT/CN2015/074613 WO2015158193A1 (zh) | 2014-04-18 | 2015-03-19 | 提供根域名解析服务的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410158694.1A CN103957285B (zh) | 2014-04-18 | 2014-04-18 | 提供根域名解析服务的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103957285A CN103957285A (zh) | 2014-07-30 |
| CN103957285B true CN103957285B (zh) | 2015-09-09 |
Family
ID=51334508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410158694.1A Active CN103957285B (zh) | 2014-04-18 | 2014-04-18 | 提供根域名解析服务的方法和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20170041321A1 (zh) |
| CN (1) | CN103957285B (zh) |
| WO (1) | WO2015158193A1 (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103957285B (zh) * | 2014-04-18 | 2015-09-09 | 北京奇虎科技有限公司 | 提供根域名解析服务的方法和系统 |
| CN103957286B (zh) | 2014-04-18 | 2016-04-06 | 北京奇虎科技有限公司 | Dns安全系统及其故障处理方法 |
| CN104468244B (zh) * | 2014-12-31 | 2018-04-20 | 北京奇虎科技有限公司 | 域名解析系统灾备建构方法及装置 |
| CN106210159B (zh) * | 2015-05-07 | 2019-12-13 | 阿里巴巴集团控股有限公司 | 一种域名解析方法和设备 |
| CN105245626B (zh) * | 2015-07-02 | 2018-01-16 | 中国人民武装警察部队司令部信息化部 | 在专网中使用快捷域名实现网站寻址的方法 |
| CN106470251B (zh) * | 2015-08-19 | 2019-12-17 | 互联网域名系统北京市工程研究中心有限公司 | 域名解析方法及虚拟dns权威服务器 |
| CN105245631B (zh) * | 2015-09-25 | 2018-10-26 | 中国互联网络信息中心 | 一种优化dns根服务访问的方法与系统 |
| CN105245633A (zh) * | 2015-10-19 | 2016-01-13 | 北京奇虎科技有限公司 | 一种安全域名系统及其故障处理方法 |
| CN105282269B (zh) * | 2015-11-03 | 2018-07-06 | 中国互联网络信息中心 | 一种本地dns根服务器的配置方法和服务方法 |
| CN105391818B (zh) * | 2015-11-26 | 2019-02-05 | 中国互联网络信息中心 | 一种基于递归服务器的权威域名应急解析系统及方法 |
| CN106899423A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 域名系统的处理方法、装置及域名系统 |
| CN106973122A (zh) * | 2016-01-14 | 2017-07-21 | 中国移动通信集团浙江有限公司 | 一种基于云存储的域名系统及其应急解决方法 |
| CN107623751B (zh) * | 2016-07-14 | 2021-02-12 | 网宿科技股份有限公司 | Dns网络系统、域名解析方法及系统 |
| CN106302862B (zh) * | 2016-09-28 | 2019-07-05 | 大唐软件技术股份有限公司 | 一种dns递归服务器的收集方法和系统 |
| CN106790747A (zh) * | 2016-12-13 | 2017-05-31 | 北京网瑞达科技有限公司 | 一种域名系统dns二次递归解析的方法 |
| CN108206814B (zh) * | 2016-12-20 | 2021-03-16 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
| CN108064444B (zh) * | 2017-04-19 | 2020-05-19 | 北京大学深圳研究生院 | 一种基于区块链的域名解析系统 |
| CN107222492A (zh) * | 2017-06-23 | 2017-09-29 | 网宿科技股份有限公司 | 一种dns防攻击方法、设备和系统 |
| CN109995885B (zh) * | 2017-12-30 | 2022-06-03 | 中国移动通信集团辽宁有限公司 | 域名空间结构呈现方法、装置、设备及介质 |
| CN108900650A (zh) * | 2018-06-21 | 2018-11-27 | 广州大学 | 一种国家根节点之间的根区解析方法 |
| CN110166581B (zh) * | 2019-04-30 | 2022-03-29 | 大唐软件技术股份有限公司 | 一种域名解析服务器访问频次占比获取方法及装置 |
| US11206265B2 (en) * | 2019-04-30 | 2021-12-21 | Infoblox Inc. | Smart whitelisting for DNS security |
| CN111191156B (zh) * | 2019-12-20 | 2023-09-05 | 中移(杭州)信息技术有限公司 | 网络请求资源调度方法、装置及计算机可读存储介质 |
| CN111953802A (zh) * | 2020-07-06 | 2020-11-17 | 网宿科技股份有限公司 | 一种域名的解析方法、系统、设备及存储介质 |
| CN114143288B (zh) * | 2020-08-14 | 2024-05-28 | 中国移动通信集团山东有限公司 | 一种解析路径的确定方法、装置、存储介质和计算机设备 |
| CN115150358B (zh) * | 2021-03-31 | 2024-02-13 | 贵州白山云科技股份有限公司 | 域名获取的方法、电子装置以及系统 |
| CN113553520B (zh) * | 2021-07-20 | 2024-03-26 | 中国工商银行股份有限公司 | 一种多技术栈融合的域名自动化运维方法、系统及设备 |
| CN113556342A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 一种dns缓存服务器前缀变化攻击防护方法及装置 |
| CN113590909B (zh) * | 2021-07-28 | 2023-09-19 | 哈尔滨工业大学(威海) | 一种基于多源信息定位域名根镜像节点地理位置的方法 |
| CN113660359B (zh) * | 2021-08-25 | 2024-01-19 | 北京搜房科技发展有限公司 | 域名解析记录的管理方法及装置、存储介质及电子设备 |
| CN114205330B (zh) * | 2021-11-09 | 2024-08-13 | 北京快乐茄信息技术有限公司 | 域名解析方法、域名解析装置、服务器以及存储介质 |
| CN117221276B (zh) * | 2023-09-26 | 2024-05-14 | 福州大学 | 一种地球空间网格域名的网络架构与服务器层结构 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436981B (zh) * | 2007-11-13 | 2011-12-07 | 中国电信股份有限公司 | 在扩展的IPv4网络中的域名服务器系统 |
| CN101431539B (zh) * | 2008-12-11 | 2011-04-20 | 华为技术有限公司 | 一种域名解析方法、系统及装置 |
| CN101815105B (zh) * | 2010-03-25 | 2012-09-05 | 上海交通大学 | 带智能缓存的域名解析服务系统及其服务方法 |
| CN101917494B (zh) * | 2010-09-09 | 2013-05-15 | 刁永平 | 自治互联网的实现 |
| CN102497457A (zh) * | 2011-12-18 | 2012-06-13 | 刁玉平 | 自治可扩展互联网的网络地址复用法实现 |
| CN103957285B (zh) * | 2014-04-18 | 2015-09-09 | 北京奇虎科技有限公司 | 提供根域名解析服务的方法和系统 |
-
2014
- 2014-04-18 CN CN201410158694.1A patent/CN103957285B/zh active Active
-
2015
- 2015-03-19 US US15/305,094 patent/US20170041321A1/en not_active Abandoned
- 2015-03-19 WO PCT/CN2015/074613 patent/WO2015158193A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| US20170041321A1 (en) | 2017-02-09 |
| WO2015158193A1 (zh) | 2015-10-22 |
| CN103957285A (zh) | 2014-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103957285B (zh) | 提供根域名解析服务的方法和系统 | |
| US11792079B2 (en) | DNS package in a network | |
| AU2022202068B2 (en) | Rule-based network-threat detection | |
| CN103957286B (zh) | Dns安全系统及其故障处理方法 | |
| JP5499183B2 (ja) | Dnsキャッシュポイズニングを防止するための方法およびシステム | |
| CN104993953A (zh) | 检测网络服务状态的方法和装置 | |
| JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
| US9264440B1 (en) | Parallel detection of updates to a domain name system record system using a common filter | |
| CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| CN103957201A (zh) | 基于dns的域名信息处理方法、装置及系统 | |
| JP5415390B2 (ja) | フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム | |
| CN106790746B (zh) | 一种分布式域名存储和解析方法及系统 | |
| CN105245633A (zh) | 一种安全域名系统及其故障处理方法 | |
| CN111953673A (zh) | 一种dns隐蔽隧道检测方法及系统 | |
| US9762542B2 (en) | Parallel detection of updates to a domain name system record system using a common filter | |
| CN106302862A (zh) | 一种dns递归服务器的收集方法和系统 | |
| US11122004B1 (en) | Externally applying internal network domain name system (DNS) policies | |
| CN105812503A (zh) | 根服务器地址更新方法和一种递归服务器 | |
| CN116319113B (zh) | 一种域名解析异常的检测方法和电子设备 | |
| KR101351998B1 (ko) | 봇넷 탐지 방법 및 장치 | |
| KR101645222B1 (ko) | 어드밴스드 도메인 네임 시스템 및 운용 방법 | |
| CN112565478A (zh) | 域名线索备份方法、装置、系统、计算机设备和介质 | |
| KR20150084721A (ko) | 공유 단말 식별 방법 및 그 시스템 | |
| KR20150083978A (ko) | 공유 단말 식별 방법 및 그 시스템 | |
| Savolainen et al. | Discovery of the IPv6 prefix used for IPv6 address synthesis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: QIZHI SOFTWARE (BEIJING) CO., LTD. SHANGHAI JULIU Effective date: 20150217 Owner name: BEIJING QIHU TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: SHANGHAI JULIU SOFTWARE TECHNOLOGY CO., LTD. Effective date: 20150217 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C53 | Correction of patent of invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Tan Xiaosheng Inventor after: Qi Xiangdong Inventor after: Pu Can Inventor before: Pu Can |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 201109 MINHANG, SHANGHAI TO: 100088 XICHENG, BEIJING Free format text: CORRECT: INVENTOR; FROM: PU CHAN TO: TAN XIAOSHENG QI XIANGDONG PU CHAN |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20150217 Address after: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant after: Beijing Qihu Technology Co., Ltd. Applicant after: Qizhi Software (Beijing) Co., Ltd. Applicant after: SHANGHAI JULIU SOFTWARE TECHNOLOGY CO., LTD. Address before: 201109 Shanghai city Minhang District Fanghe Road No. 1088 building third room 2057 Applicant before: SHANGHAI JULIU SOFTWARE TECHNOLOGY CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |