CN105245633A - 一种安全域名系统及其故障处理方法 - Google Patents
一种安全域名系统及其故障处理方法 Download PDFInfo
- Publication number
- CN105245633A CN105245633A CN201510679965.2A CN201510679965A CN105245633A CN 105245633 A CN105245633 A CN 105245633A CN 201510679965 A CN201510679965 A CN 201510679965A CN 105245633 A CN105245633 A CN 105245633A
- Authority
- CN
- China
- Prior art keywords
- node
- dns
- request
- dns request
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0668—Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种安全域名系统及其故障处理方法。该安全域名系统包括:第一节点,适于对客户端发起的DNS请求提供域名解析服务;作为所述第一节点的代理节点的第二节点,适于当所述第一节点出现DNS解析故障时,向第三节点请求应答所述DNS请求;授权信息数据库,适于存储指定区域的所有DNS请求及对应的授权信息;第三节点,适于接收来自所述第二节点的DNS请求,调用所述授权信息数据库中相应的授权信息,对所述DNS请求进行应答。本发明实施例中,第三节点仅对第二节点转发的DNS请求进行应答,从而保证了第三节点在提供域名解析服务时的响应能力和速度,提高域名解析的安全性和稳定性。
Description
技术领域
本发明涉及互联网应用技术领域,特别涉及一种安全域名系统及其故障处理方法。
背景技术
DNS(DomainNameSystem,域名系统),Internet(因特网)上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便地访问互联网,而不用去记住能够被机器直接读的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析或主机名解析。
Internet主机域名的一般结构为:主机名.三级域名.二级域名.顶级域名。Internet的顶级域名由Internet网络协会域名注册查询负责网络地址分配的委员会进行登记和管理,它还为Internet的每一台主机分配唯一的IP地址。
图1是现有技术中DNS的一个域名解析流程图,以访问网易门户地址www.163.com的解析过程为例进行介绍。其流程为:
步骤1,用户电脑(或客户端)向其系统上设置的本地DNS服务器发送解析www.163.com的请求。所谓本地DNS服务器是指一个DNS服务IP地址,可以是从运营商自动获取的,也可以是手动设置的。
步骤2,本地DNS服务器会在自己的空间里查看是否有这个域名的缓存,如果没有,就会向根域服务器发送www.163.com的域名解析请求。
步骤3,根域服务器接收到本地DNS服务器关于域名的解析请求后,分析请求的域名,返回给本地DNS服务器.com这个域名节点的服务器的IP地址。
步骤4,本地DNS服务器在接到.com顶级域的服务器IP地址后,向.com顶级域服务器发出查询www.163.com的解析请求。
步骤5,.com顶级域服务器在接收到关于www.163.com的解析请求后,返回给本地DNS服务器关于163这个二级域的DNS服务器的IP地址。
步骤6,本地DNS服务器继续向163这个二级域的DNS服务器发起关于www.163.com的解析请求。
步骤7,163这个域的管理服务器管理163.com下的所有的子域名。它的域名空间中有www这个子域名,其对应的IP地址为111.1.53.220,因此163.com域的DNS服务器会返回www.163.com对应的IP地址111.1.53.220给本地DNS服务器。
步骤8,本地DNS服务器接收到163.com这个域服务器关于www.163.com解析结果后,返回给用户对应的IP地址111.1.53.220,同时会将这个结果保留一段时间,以备其他用户的查询。
步骤9,用户电脑在获得www.163.com域名对应的IP地址111.1.53.220后,就开始向111.1.53.220这个IP请求网页内容。到此,DNS的一个完整请求解析流程结束。
然而,当根域服务器、顶级域服务器或者其他授权服务器发生故障不能提供正常的域名解析服务时,如何进行域名解析成为亟待解决的技术问题。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的安全域名系统以及基于安全域名系统进行故障处理的方法。
根据本发明的一方面,提供了一种安全域名系统,包括:
第一节点,适于对客户端发起的DNS请求提供域名解析服务;
作为所述第一节点的代理节点的第二节点,适于当所述第一节点出现DNS解析故障时,向第三节点请求应答所述DNS请求;
授权信息数据库,适于存储指定区域的所有DNS请求及对应的授权信息;
第三节点,适于接收来自所述第二节点的DNS请求,调用所述授权信息数据库中相应的授权信息,对所述DNS请求进行应答。
可选地,所述第三节点仅对来自所述第二节点的DNS请求进行应答。
可选地,所述第三节点的数据链路独立于所述第一节点的数据链路。
可选地,所述第二节点还适于:
对所述DNS请求中的异常请求进行过滤;
向第三节点请求应答过滤后的所述DNS请求。
可选地,所述系统还包括:
递归服务器,适于接收所述客户端发起的DNS请求,并向所述第一节点和/或所述第二节点请求应答所述DNS请求。
可选地,所述第二节点还适于:
若所述第一节点能够提供正常的域名解析服务,则拒绝应答所述DNS请求。
可选地,所述递归服务器还适于:
当所述第一节点能够提供正常的域名解析服务、所述第二节点拒绝应答所述DNS请求时,向所述第一节点请求应答所述DNS请求。
可选地,所述第二节点还适于:
当所述第一节点出现DNS解析故障时,查询本节点是否缓存了所述DNS请求对应的授权信息;
若否,则向所述第三节点请求应答所述DNS请求。
可选地,所述第二节点还适于:
若本节点缓存了所述DNS请求对应的授权信息,则利用本节点缓存的所述DNS请求对应的授权信息,对所述DNS请求进行应答。
可选地,所述授权信息包括访问量超过访问阈值的DNS解析记录,和/或,重要域名的DNS解析记录。
可选地,所述授权信息数据库还适于:
根据所述授权信息的相互关系,组成域名层次空间。
可选地,所述授权信息数据库为互联网域名层次的镜像。
可选地,所述第二节点还适于:
在骨干网对所述指定区域的临界区域出口处进行DNS数据报文的监听,以确定所述第一节点是否出现DNS解析故障。
根据本发明的另一方面,还提供了一种基于安全域名系统进行故障处理的方法,包括:
当第一节点出现DNS解析故障时,启动作为所述第一节点的代理节点的第二节点,由所述第二节点向第三节点请求应答所述DNS请求,其中,所述第一节点对客户端发起的DNS请求提供域名解析服务;
利用所述第三节点调用授权信息数据库中相应的授权信息,对所述DNS请求进行应答,其中,所述授权信息数据库中存储了指定区域的所有DNS请求及对应的授权信息。
可选地,所述第三节点仅对来自所述第二节点的DNS请求进行应答。
可选地,所述第三节点的数据链路独立于所述第一节点的数据链路。
可选地,由所述第二节点向第三节点请求应答所述DNS请求,包括:
由所述第二节点对所述DNS请求中的异常请求进行过滤,并向第三节点请求应答过滤后的所述DNS请求。
可选地,所述方法还包括:
由递归服务器接收所述客户端发起的DNS请求,并向所述第一节点和/或所述第二节点请求应答所述DNS请求。
可选地,所述方法还包括:
若所述第一节点能够提供正常的域名解析服务,则不启动所述第二节点。
可选地,当所述递归服务器向所述第二节点请求应答所述DNS请求,所述第一节点能够提供正常的域名解析服务,所述第二节点拒绝应答所述DNS请求时,所述递归服务器向所述第一节点请求应答所述DNS请求。
可选地,在启动第二节点之后,还包括:
由所述第二节点查询本节点是否缓存了所述DNS请求对应的授权信息;
若否,则向所述第三节点请求应答所述DNS请求。
可选地,所述方法还包括:
若本节点缓存了所述DNS请求对应的授权信息,则利用本节点缓存的所述DNS请求对应的授权信息,对所述DNS请求进行应答。
可选地,所述授权信息包括访问量超过访问阈值的DNS解析记录,和/或,重要域名的DNS解析记录。
可选地,所述授权信息数据库根据所述授权信息的相互关系,组成域名层次空间。
可选地,所述授权信息数据库为互联网域名层次的镜像。
可选地,所述方法还包括:
在骨干网对所述指定区域的临界区域出口处进行DNS数据报文的监听,以确定所述第一节点是否出现DNS解析故障。
本发明实施例提供的安全域名系统,在正常状态下,第一节点能够对客户端发起的DNS请求提供域名解析服务,而当第一节点出现DNS解析故障时,系统中作为代理节点的第二节点便向第三节点请求应答DNS请求,由第三节点调用授权信息数据库中相应的授权信息,对DNS请求进行应答。本发明实施例提供的安全域名系统中,授权信息数据库中存储了指定区域内的所有DNS请求及对应的授权信息,这样第三节点能够有足够的信息资源对DNS请求进行应答。进一步,安全域名系统中的第二节点,其作为第一节点的代理节点,当第一节点出现DNS解析故障时,向第三节点请求应答DNS请求,从而使得第三节点能够不直接对外提供域名解析服务,而是当第一节点出现DNS解析故障时,对第二节点转发的DNS请求进行应答,从而保证了第三节点在提供域名解析服务时的响应能力和速度,提高域名解析的安全性和稳定性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了现有技术中DNS的一个域名解析流程;
图2示出了根据本发明一个实施例的安全域名系统的结构示意图;
图3示出了根据本发明另一个实施例的安全域名系统的结构示意图;
图4示出了根据本发明一个实施例的基于安全域名系统进行故障处理的方法的流程图;以及
图5示出了根据本发明另一个实施例的基于安全域名系统进行故障处理的方法的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为解决上述技术问题,本发明实施例提供了一种安全域名系统,用于在提供域名解析服务的节点出现DNS解析故障时能够进行故障类的容灾处理。图2示出了根据本发明一个实施例的安全域名系统的结构示意图。参见图2,该安全域名系统200至少可以包括:
第一节点210,适于对客户端发起的DNS请求提供域名解析服务;
作为第一节点210的代理节点的第二节点220,与第一节点210相耦合,适于当第一节点出现DNS解析故障时,向第三节点230请求应答DNS请求;
授权信息数据库240,与第三节点230相耦合,适于存储指定区域的所有DNS请求及对应的授权信息;
第三节点230,适于接收来自第二节点220的DNS请求,调用授权信息数据库240中相应的授权信息,对DNS请求进行应答。
本发明实施例提供的安全域名系统,在正常状态下,第一节点能够对客户端发起的DNS请求提供域名解析服务,而当第一节点出现DNS解析故障时,系统中作为代理节点的第二节点便向第三节点请求应答DNS请求,由第三节点调用授权信息数据库中相应的授权信息,对DNS请求进行应答。本发明实施例提供的安全域名系统中,授权信息数据库中存储了指定区域内的所有DNS请求及对应的授权信息,这样第三节点能够有足够的信息资源对DNS请求进行应答。进一步,安全域名系统中的第二节点,其作为第一节点的代理节点,当第一节点出现DNS解析故障时,向第三节点请求应答DNS请求,从而使得第三节点能够不直接对外提供域名解析服务,而是当第一节点出现DNS解析故障时,对第二节点转发的DNS请求进行应答,从而保证了第三节点在提供域名解析服务时的响应能力和速度,提高域名解析的安全性和稳定性。
需要说明的是,本发明实施例提及的各节点可以是单台服务器,或者是多台服务器组成的服务器集群,或者是多个服务器集群组成的集群组。
上文提及的第一节点210,可以对客户端发起的DNS请求提供域名解析服务,因而第一节点210可以是图1中所示的本地DNS服务器、根域服务器(即,根节点)、顶级域服务器(即,顶级域节点)或者其他授权服务器(即,其他授权节点),本发明在此并不限制。
目前全球仅有13台根域服务器,分布是:主根域服务器(A)美国1个,设置在弗吉尼亚州,辅根域服务器(B至M)美国9个,瑞典、荷兰、日本各1个。由上述数据可知,根域服务器(即,根节点)数量较少,且主要设置在部分区域,那么其他区域在域名分析的过程中缺乏主动性和风险控制功能。域名系统是互联网的基础服务,而根域服务器更是整个域名系统的基础,控制了域名解析的根域服务器,也就控制了相应的所有域名和IP地址。若存在根域服务器的国家突然屏蔽某一地区的域名,那么这些域名所指向的网站就会从互联网上中消失。
当第一节点210出现DNS解析故障时,第二节点220向第三节点230请求应答DNS请求,由第三节点230调用授权信息数据库240提供域名解析。在本发明实施例中,由于DNS(域名系统)的层次关系和分布式结构,层次空间中每一级节点都存储着下一级的相关节点的授权信息记录。本地DNS服务器在逐层解析的过程中,会访问到域名空间所有层次的节点,因此可以将保存这些节点信息的授权记录备份下来,根据记录的相互关系,组成一个备份的域名层次空间,即授权信息数据库240。此外,以中国为例,因为根节点和国际域名的授权服务器都在国外,所以可以在中国骨干网出口进行抓包,将DNS解析记录进行提取分析,存储对应的授权信息记录。
进一步地,授权信息数据库240采用分布式的方式进行存储,即,授权信息数据库240对应域名空间的每一级,并且数据信息是实时更新,因此,授权信息数据库240可以是一个互联网域名层次的镜像。由于授权信息数据库240拥有全部的授权信息记录,因此可以在根节点甚至是任何一级的域名节点服务器出现故障时,都可以替代这一级的服务器进行域名解析服务。
在本发明一实施例中,为了加快解析速度,某些常用的、访问量比较大的DNS解析记录,或者某些重要域名的DNS解析记录,可以单独存储在授权信息数据库240的指定位置,以便第三节点230到授权信息数据库240中查询时能够进行快速回复,实现紧急应答。即,在授权信息数据库240中,授权信息可以包括存储访问量超过访问阈值的DNS解析记录,和/或,重要域名的DNS解析记录。
在本发明的另一实施例中,第三节点230可以采用分布式部署,通过BGP(BorderGatewayProtocol,边界网关协议,用来连接Internet上独立系统的路由选择协议)方式应答DNS请求。可选地,BGP方式可以为Anycast(任播)模式。
当第一节点210为根节点或国际域名的授权节点时,为保证第二节点220能够及时获知第一节点210出现解析故障,则第二节点220可以在骨干网对指定区域的临界区域出口处进行DNS数据报文的监听,以确定第一节点210是否出现DNS解析故障。具体的,以中国为例,可以在中国对境外的出口处监听DNS数据报文,对DNS解析记录的正确性进行监控,一旦发现第一节点210和其他不可控的域名解析异常情况,在出口处可以将对应的请求包传送到第二节点220进行应答,防止数据继续到国外服务器而导致被篡改。
根域名解析的结果一般是不会轻易修改,如果当前返回的解析结果与历史记录中预存的结果不匹配,则证明解析出现篡改,需要告警或采取人工干预。另外,如果当某个顶级域的授权无法正常工作或者返回的都为“ServFail”也直接可以判断为解析结果错误。DNS的解析结果不正确的一种处理方法为:解析结果出现篡改后,根据告警信息进行判断,对界面操作点击,系统自动批量切换至第二节点220,由第二节点220转发至第三节点230进行DNS解析。
以上告警信息可以结合预先采集的非法DNSIP和合法的DNSIP地址白名单列表地址确定,例如预先收集的恶意DNSIP地址列表可以是由安全厂商预先收集的一组非法DNSIP地址,该预先收集的恶意DNSIP地址列表可以为客户端数据库中预先收集的恶意DNSIP地址列表,或者也可以为从网站上下载至客户端数据库中的恶意DNSIP地址列表。该预先设置的合法的DNSIP地址白名单列表可以预先存储在客户端数据库中,也可以从网站的服务器(如云安全服务器)上下载。
在具体实现时,主要的安全等级包括“危险”、“警告”和“安全”,其中,安全等级为“危险”的表示对用户的威胁最大,为“警告”的次之,为“安全”的最弱。界面上提示也可以据此进行。
进一步地,上文提及的第三节点230,仅对来自第二节点220的DNS请求进行应答,从而能够保证第三节点230在提供域名解析服务时的响应能力和速度。在本发明的另一实施例中,第三节点230的数据链路独立于第一节点210的数据链路,例如,可以将第一节点210和第三节点230放置到不同的机房,并保证链路数据一致。
在本发明的又一实施例中,可以由第二节点220设置访问权限控制,屏蔽DNS的攻击数据,从而进一步提高DNS解析的安全性及稳定性,并提高防御DNS攻击能力。即,由第二节点220对DNS请求中的异常请求进行过滤,进而向第三节点230请求应答过滤后的DNS请求。由于每个网络数据包都具备一个特征码,且每个特征码是独一无二的,因此,可以根据特征码判断网络数据包的DNS请求的属性,识破伪装成正常数据包的DNS攻击操作。现根据如下步骤判断所述网络数据包中是否携带有DNS攻击行为:
步骤A、计算网络数据包的特征码;
步骤B、判断特征码是否是DNS攻击行为的特征码,若是,执行步骤C,若否,执行步骤D;
步骤C、确定网络数据包中携带有DNS攻击行为;
步骤D、确定网络数据包中未携带有DNS攻击行为。
其中,可以预先存储已知DNS攻击行为的特征码,当需要校验时,将步骤A中计算出的特征码与预先存储的特征码进行匹配,若匹配成功,则是DNS攻击行为,反之则不是。
这里的特征码可以根据IP或域名等域名信息确定,例如,计算指定时间内接收的来自同一IP的网络数据包数得到特征码,和/或计算指定时间内接收的来自同一域名的网络数据包数。若1秒内从同一IP或同一域名接收的网络数据包数远远大于应该接收的包数,就证明该IP地址或域名已被变成攻击源。这也是IP限速策略、域名限速策略的基本原理。被证明变为攻击源的IP地址或域名,之后再接收到来自这一源头的网络数据包,可以直接舍弃或过滤掉,避免被其攻击,提高系统安全性能及处理效率。
在本发明的再一实施例中,如图3所示,上文图2展示的安全域名系统200还可以包括:
递归服务器250,与第一节点210和第二节点220相耦合,适于接收客户端发起的DNS请求,并向第一节点和/或第二节点请求应答DNS请求。
若第一节点210能够提供正常的域名解析服务,则第二节点220拒绝应答DNS请求。进一步地,当第一节点210能够提供正常的域名解析服务、第二节点220拒绝应答DNS请求时,递归服务器250向第一节点210请求应答DNS请求。
在本发明的又一实施例中,第二节点220还适于:当第一节点210出现DNS解析故障时,查询本节点是否缓存了DNS请求对应的授权信息,若本节点未缓存DNS请求对应的授权信息,则向第三节点230请求应答DNS请求。反之,若本节点缓存了DNS请求对应的授权信息,则直接利用本节点缓存的DNS请求对应的授权信息,对DNS请求进行应答。
基于同一发明构思,本发明实施例还提供了一种应用上述任意可选实施例或其组合所提供的安全域名系统进行故障处理的方法。图4示出了根据本发明一个实施例的基于安全域名系统进行故障处理的方法的流程图。参见图4,该方法至少可以包括步骤S402至步骤S404:
步骤S402,当第一节点出现DNS解析故障时,启动作为第一节点的代理节点的第二节点,由第二节点向第三节点请求应答DNS请求,其中,第一节点对客户端发起的DNS请求提供域名解析服务;
步骤S404,利用第三节点调用授权信息数据库中相应的授权信息,对DNS请求进行应答,其中,授权信息数据库中存储了指定区域的所有DNS请求及对应的授权信息。
本发明实施例中,在正常状态下,第一节点能够对客户端发起的DNS请求提供域名解析服务,而当第一节点出现DNS解析故障时,作为第一节点的代理节点的第二节点便向第三节点请求应答DNS请求,利用第三节点调用授权信息数据库中相应的授权信息,对DNS请求进行应答。由于授权信息数据库中存储了指定区域内的所有DNS请求及对应的授权信息,这样第三节点能够有足够的信息资源对DNS请求进行应答。进一步,本发明实施例中的第二节点,其作为第一节点的代理节点,当第一节点出现DNS解析故障时,向第三节点请求应答DNS请求,从而使得第三节点能够不直接对外提供域名解析服务,而是当第一节点出现DNS解析故障时,对第二节点转发的DNS请求进行应答,从而保证了第三节点在提供域名解析服务时的响应能力和速度,提高域名解析的安全性和稳定性。
需要说明的是,本发明实施例提及的各节点可以是单台服务器,或者是多台服务器组成的服务器集群,或者是多个服务器集群组成的集群组。
步骤S402中提及的第一节点,可以对客户端发起的DNS请求提供域名解析服务,因而第一节点可以是图1中所示的本地DNS服务器、根域服务器(即,根节点)、顶级域服务器(即,顶级域节点)或者其他授权服务器(即,其他授权节点),本发明在此并不限制。
当第一节点出现DNS解析故障时,第二节点向第三节点请求应答DNS请求,由第三节点调用授权信息数据库提供域名解析。在本发明实施例中,由于DNS(域名系统)的层次关系和分布式结构,层次空间中每一级节点都存储着下一级的相关节点的授权信息记录。本地DNS服务器在逐层解析的过程中,会访问到域名空间所有层次的节点,因此可以将保存这些节点信息的授权记录备份下来,根据记录的相互关系,组成一个备份的域名层次空间,即授权信息数据库。此外,以中国为例,因为根节点和国际域名的授权服务器都在国外,所以可以在中国骨干网出口进行抓包,将DNS解析记录进行提取分析,存储对应的授权信息记录。
进一步地,授权信息数据库采用分布式的方式进行存储,即,授权信息数据库对应域名空间的每一级,并且数据信息是实时更新,因此,授权信息数据库可以是一个互联网域名层次的镜像。由于授权信息数据库拥有全部的授权信息记录,因此可以在根节点甚至是任何一级的域名节点服务器出现故障时,都可以替代这一级的服务器进行域名解析服务。
在本发明一实施例中,为了加快解析速度,某些常用的、访问量比较大的DNS解析记录,或者某些重要域名的DNS解析记录,可以单独存储在授权信息数据库的指定位置,以便第三节点到授权信息数据库中查询时能够进行快速回复,实现紧急应答。即,在授权信息数据库中,授权信息可以包括存储访问量超过访问阈值的DNS解析记录,和/或,重要域名的DNS解析记录。
在本发明的另一实施例中,第三节点可以采用分布式部署,通过BGP(BorderGatewayProtocol,边界网关协议,用来连接Internet上独立系统的路由选择协议)方式应答DNS请求。可选地,BGP方式可以为Anycast(任播)模式。
当第一节点为根节点或国际域名的授权节点时,为保证第二节点能够及时获知第一节点出现解析故障,则第二节点可以在骨干网对指定区域的临界区域出口处进行DNS数据报文的监听,以确定第一节点是否出现DNS解析故障。具体的,以中国为例,可以在中国对境外的出口处监听DNS数据报文,对DNS解析记录的正确性进行监控,一旦发现第一节点和其他不可控的域名解析异常情况,在出口处可以将对应的请求包传送到第二节点进行应答,防止数据继续到国外服务器而导致被篡改。
进一步地,上文提及的第三节点,仅对来自第二节点的DNS请求进行应答,从而能够保证第三节点在提供域名解析服务时的响应能力和速度。在本发明的另一实施例中,第三节点的数据链路独立于第一节点的数据链路,例如,可以将第一节点和第三节点放置到不同的机房,并保证链路数据一致。
在本发明的又一实施例中,可以由第二节点设置访问权限控制,屏蔽DNS的攻击数据,从而进一步提高DNS解析的安全性及稳定性,并提高防御DNS攻击能力。即,由第二节点对DNS请求中的异常请求进行过滤,进而向第三节点请求应答过滤后的DNS请求。这里关于DNS的攻击数据的判断可参见前文介绍,此处不再赘述。
在本发明的再一实施例中,由递归服务器接收客户端发起的DNS请求,并向第一节点和/或第二节点请求应答DNS请求。若第一节点能够提供正常的域名解析服务,则第二节点拒绝应答DNS请求。
进一步地,若递归服务器向第二节点请求应答DNS请求,而第二节点拒绝应答DNS请求(由于第一节点能够提供正常的域名解析服务,因而第二节点拒绝应答DNS请求),则递归服务器根据DNS协议重新发起二次查询,向第一节点请求应答DNS请求。
在本发明的又一实施例中,当第一节点出现DNS解析故障时,第二节点查询本节点是否缓存了DNS请求对应的授权信息,若本节点未缓存DNS请求对应的授权信息,则向第三节点请求应答DNS请求。反之,若本节点缓存了DNS请求对应的授权信息,则直接利用本节点缓存的DNS请求对应的授权信息,对DNS请求进行应答。
以上介绍了图4所示实施例的各个环节的多种实现方式,下面通过具体实施例进一步介绍基于安全域名系统进行故障处理的方法的实现过程。
图5示出了根据本发明另一个实施例的基于安全域名系统进行故障处理的方法的流程图。在该实施例中,假设第一节点为授权服务器(或权威服务器),对客户端发起的DNS请求提供域名解析服务;第二节点为超级防护节点(即,NS-IP-safe),为第一节点的代理节点,第一节点和第二节点的IP均对外公开;第三节点为隐藏节点(即,DNS-IP-backup),仅对来自第二节点的DNS请求进行应答。第一节点和第三节点位于不同的机房,并保证链路数据一致。参见图5,该方法至少可以包括步骤S502至步骤S512。
步骤S502,由递归服务器接收客户端发起的DNS请求,并向第一节点请求应答DNS请求。
步骤S504,判断第一节点是否出现DNS解析故障,若是,则继续执行步骤S506;若否,则继续执行步骤S508。
步骤S506,启动作为第一节点的代理节点的第二节点,继续执行步骤S510。
步骤S508,由第一节点应答DNS请求。
步骤S510,由第二节点应答DNS请求,对DNS请求中的异常请求进行过滤,进而向第三节点请求应答过滤后的DNS请求。
该步骤中,由第二节点设置访问权限控制,屏蔽DNS的攻击数据,从而进一步提高DNS解析的安全性及稳定性,并提高防御DNS攻击能力。这里关于DNS的攻击数据的判断可参见前文介绍,此处不再赘述。
步骤S512,利用第三节点调用授权信息数据库中相应的授权信息,对DNS请求进行应答。
该步骤中,授权信息数据库中存储了指定区域的所有DNS请求及对应的授权信息,具体的生成授权信息数据库的方案可参见前文介绍,此处不再赘述。
在本发明的另一实施例中,在步骤S502中,若递归服务器向第二节点请求应答DNS请求,而步骤S504中判断第一节点能够提供正常的域名解析服务,第二节点拒绝应答DNS请求,则递归服务器按DNS协议重新发起二次查询,向第一节点请求应答DNS请求。
根据上述任意一个可选实施例或多个可选实施例的组合,本发明实施例能够达到如下有益效果:
本发明实施例提供的安全域名系统,在正常状态下,第一节点能够对客户端发起的DNS请求提供域名解析服务,而当第一节点出现DNS解析故障时,系统中作为代理节点的第二节点便向第三节点请求应答DNS请求,由第三节点调用授权信息数据库中相应的授权信息,对DNS请求进行应答。本发明实施例提供的安全域名系统中,授权信息数据库中存储了指定区域内的所有DNS请求及对应的授权信息,这样第三节点能够有足够的信息资源对DNS请求进行应答。进一步,安全域名系统中的第二节点,其作为第一节点的代理节点,当第一节点出现DNS解析故障时,向第三节点请求应答DNS请求,从而使得第三节点能够不直接对外提供域名解析服务,而是当第一节点出现DNS解析故障时,对第二节点转发的DNS请求进行应答,从而保证了第三节点在提供域名解析服务时的响应能力和速度,提高域名解析的安全性和稳定性。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的安全域名系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
本发明实施例还公开了:A1、一种安全域名系统,包括:
第一节点,适于对客户端发起的DNS请求提供域名解析服务;
作为所述第一节点的代理节点的第二节点,适于当所述第一节点出现DNS解析故障时,向第三节点请求应答所述DNS请求;
授权信息数据库,适于存储指定区域的所有DNS请求及对应的授权信息;
第三节点,适于接收来自所述第二节点的DNS请求,调用所述授权信息数据库中相应的授权信息,对所述DNS请求进行应答。
A2、根据A1所述的系统,其中,所述第三节点仅对来自所述第二节点的DNS请求进行应答。
A3、根据A1或A2所述的系统,其中,所述第三节点的数据链路独立于所述第一节点的数据链路。
A4、根据A1-A3任一项所述的系统,其中,所述第二节点还适于:
对所述DNS请求中的异常请求进行过滤;
向第三节点请求应答过滤后的所述DNS请求。
A5、根据A1-A4任一项所述的系统,其中,还包括:
递归服务器,适于接收所述客户端发起的DNS请求,并向所述第一节点和/或所述第二节点请求应答所述DNS请求。
A6、根据A1-A5任一项所述的系统,其中,所述第二节点还适于:
若所述第一节点能够提供正常的域名解析服务,则拒绝应答所述DNS请求。
A7、根据A6所述的系统,其中,所述递归服务器还适于:
当所述第一节点能够提供正常的域名解析服务、所述第二节点拒绝应答所述DNS请求时,向所述第一节点请求应答所述DNS请求。
A8、根据A1-A7任一项所述的系统,其中,所述第二节点还适于:
当所述第一节点出现DNS解析故障时,查询本节点是否缓存了所述DNS请求对应的授权信息;
若否,则向所述第三节点请求应答所述DNS请求。
A9、根据A8所述的系统,其中,所述第二节点还适于:
若本节点缓存了所述DNS请求对应的授权信息,则利用本节点缓存的所述DNS请求对应的授权信息,对所述DNS请求进行应答。
A10、根据A1-A9任一项所述的系统,其中,所述授权信息包括访问量超过访问阈值的DNS解析记录,和/或,重要域名的DNS解析记录。
A11、根据A1-A10任一项所述的系统,其中,所述授权信息数据库还适于:
根据所述授权信息的相互关系,组成域名层次空间。
A12、根据A11所述的系统,其中,所述授权信息数据库为互联网域名层次的镜像。
A13、根据A1-A12任一项所述的系统,其中,所述第二节点还适于:
在骨干网对所述指定区域的临界区域出口处进行DNS数据报文的监听,以确定所述第一节点是否出现DNS解析故障。
B14、一种基于安全域名系统进行故障处理的方法,包括:
当第一节点出现DNS解析故障时,启动作为所述第一节点的代理节点的第二节点,由所述第二节点向第三节点请求应答所述DNS请求,其中,所述第一节点对客户端发起的DNS请求提供域名解析服务;
利用所述第三节点调用授权信息数据库中相应的授权信息,对所述DNS请求进行应答,其中,所述授权信息数据库中存储了指定区域的所有DNS请求及对应的授权信息。
B15、根据B14所述的方法,其中,所述第三节点仅对来自所述第二节点的DNS请求进行应答。
B16、根据B14或B15所述的方法,其中,所述第三节点的数据链路独立于所述第一节点的数据链路。
B17、根据B14-B16任一项所述的方法,其中,由所述第二节点向第三节点请求应答所述DNS请求,包括:
由所述第二节点对所述DNS请求中的异常请求进行过滤,并向第三节点请求应答过滤后的所述DNS请求。
B18、根据B14-B17任一项所述的方法,其中,还包括:
由递归服务器接收所述客户端发起的DNS请求,并向所述第一节点和/或所述第二节点请求应答所述DNS请求。
B19、根据B14-B18任一项所述的方法,其中,还包括:
若所述第一节点能够提供正常的域名解析服务,则不启动所述第二节点。
B20、根据B19所述的方法,其中,还包括:
当所述递归服务器向所述第二节点请求应答所述DNS请求,所述第一节点能够提供正常的域名解析服务,所述第二节点拒绝应答所述DNS请求时,所述递归服务器向所述第一节点请求应答所述DNS请求。
B21、根据B14-B20任一项所述的方法,其中,在启动第二节点之后,还包括:
由所述第二节点查询本节点是否缓存了所述DNS请求对应的授权信息;
若否,则向所述第三节点请求应答所述DNS请求。
B22、根据B21所述的方法,其中,还包括:
若本节点缓存了所述DNS请求对应的授权信息,则利用本节点缓存的所述DNS请求对应的授权信息,对所述DNS请求进行应答。
B23、根据B14-B22任一项所述的方法,其中,所述授权信息包括访问量超过访问阈值的DNS解析记录,和/或,重要域名的DNS解析记录。
B24、根据B14-B23任一项所述的方法,其中,所述授权信息数据库根据所述授权信息的相互关系,组成域名层次空间。
B25、根据B24所述的方法,其中,所述授权信息数据库为互联网域名层次的镜像。
B26、根据B14-B25任一项所述的方法,其中,还包括:
在骨干网对所述指定区域的临界区域出口处进行DNS数据报文的监听,以确定所述第一节点是否出现DNS解析故障。
Claims (10)
1.一种安全域名系统,包括:
第一节点,适于对客户端发起的DNS请求提供域名解析服务;
作为所述第一节点的代理节点的第二节点,适于当所述第一节点出现DNS解析故障时,向第三节点请求应答所述DNS请求;
授权信息数据库,适于存储指定区域的所有DNS请求及对应的授权信息;
第三节点,适于接收来自所述第二节点的DNS请求,调用所述授权信息数据库中相应的授权信息,对所述DNS请求进行应答。
2.根据权利要求1所述的系统,其中,所述第三节点仅对来自所述第二节点的DNS请求进行应答。
3.根据权利要求1或2所述的系统,其中,所述第三节点的数据链路独立于所述第一节点的数据链路。
4.根据权利要求1-3任一项所述的系统,其中,所述第二节点还适于:
对所述DNS请求中的异常请求进行过滤;
向第三节点请求应答过滤后的所述DNS请求。
5.根据权利要求1-4任一项所述的系统,其中,还包括:
递归服务器,适于接收所述客户端发起的DNS请求,并向所述第一节点和/或所述第二节点请求应答所述DNS请求。
6.根据权利要求1-5任一项所述的系统,其中,所述第二节点还适于:
若所述第一节点能够提供正常的域名解析服务,则拒绝应答所述DNS请求。
7.根据权利要求6所述的系统,其中,所述递归服务器还适于:
当所述第一节点能够提供正常的域名解析服务、所述第二节点拒绝应答所述DNS请求时,向所述第一节点请求应答所述DNS请求。
8.根据权利要求1-7任一项所述的系统,其中,所述第二节点还适于:
当所述第一节点出现DNS解析故障时,查询本节点是否缓存了所述DNS请求对应的授权信息;
若否,则向所述第三节点请求应答所述DNS请求。
9.根据权利要求8所述的系统,其中,所述第二节点还适于:
若本节点缓存了所述DNS请求对应的授权信息,则利用本节点缓存的所述DNS请求对应的授权信息,对所述DNS请求进行应答。
10.一种基于安全域名系统进行故障处理的方法,包括:
当第一节点出现DNS解析故障时,启动作为所述第一节点的代理节点的第二节点,由所述第二节点向第三节点请求应答所述DNS请求,其中,所述第一节点对客户端发起的DNS请求提供域名解析服务;
利用所述第三节点调用授权信息数据库中相应的授权信息,对所述DNS请求进行应答,其中,所述授权信息数据库中存储了指定区域的所有DNS请求及对应的授权信息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510679965.2A CN105245633A (zh) | 2015-10-19 | 2015-10-19 | 一种安全域名系统及其故障处理方法 |
PCT/CN2016/102424 WO2017067443A1 (zh) | 2015-10-19 | 2016-10-18 | 一种安全域名系统及其故障处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510679965.2A CN105245633A (zh) | 2015-10-19 | 2015-10-19 | 一种安全域名系统及其故障处理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105245633A true CN105245633A (zh) | 2016-01-13 |
Family
ID=55043130
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510679965.2A Pending CN105245633A (zh) | 2015-10-19 | 2015-10-19 | 一种安全域名系统及其故障处理方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105245633A (zh) |
WO (1) | WO2017067443A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017067443A1 (zh) * | 2015-10-19 | 2017-04-27 | 北京奇虎科技有限公司 | 一种安全域名系统及其故障处理方法 |
CN106973122A (zh) * | 2016-01-14 | 2017-07-21 | 中国移动通信集团浙江有限公司 | 一种基于云存储的域名系统及其应急解决方法 |
WO2017177692A1 (zh) * | 2016-04-12 | 2017-10-19 | 上海斐讯数据通信技术有限公司 | 一种基于dns机制的无线接入方法及无线接入设备 |
CN108366138A (zh) * | 2018-05-28 | 2018-08-03 | 北京奇虎科技有限公司 | 域名操作方法、系统及电子设备 |
CN109510778A (zh) * | 2019-01-03 | 2019-03-22 | Oppo广东移动通信有限公司 | 流量调度的方法、装置、系统、设备及存储介质 |
CN110944027A (zh) * | 2018-09-21 | 2020-03-31 | 阿里巴巴集团控股有限公司 | 访问处理方法、装置、设备以及系统 |
WO2021004144A1 (zh) * | 2019-07-11 | 2021-01-14 | 广东美的制冷设备有限公司 | 域名解析方法、域名解析装置、家电设备和存储介质 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113067781B (zh) * | 2020-01-02 | 2022-12-27 | 阿里巴巴集团控股有限公司 | 一种数据处理方法及其装置 |
CN115150358B (zh) * | 2021-03-31 | 2024-02-13 | 贵州白山云科技股份有限公司 | 域名获取的方法、电子装置以及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100332680A1 (en) * | 2009-06-24 | 2010-12-30 | Broadcom Corporation | Fault tolerance approaches for dns server failures |
CN102137174A (zh) * | 2010-12-29 | 2011-07-27 | 华为技术有限公司 | 域名系统缓存的方法、授权域名服务器、缓存域名服务器 |
CN103118117A (zh) * | 2013-02-04 | 2013-05-22 | 河南有线电视网络集团有限公司 | 一种负载均衡和冗余保护方法及装置 |
CN103929507A (zh) * | 2014-04-28 | 2014-07-16 | 广东睿江科技有限公司 | 一种实现可离线化dns服务的方法及装置 |
CN103957286A (zh) * | 2014-04-18 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns安全系统及其故障处理方法 |
CN103957285A (zh) * | 2014-04-18 | 2014-07-30 | 上海聚流软件科技有限公司 | 提供根域名解析服务的方法和系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103957284B (zh) * | 2014-04-04 | 2015-09-09 | 北京奇虎科技有限公司 | Dns行为的处理方法、装置及系统 |
CN105245633A (zh) * | 2015-10-19 | 2016-01-13 | 北京奇虎科技有限公司 | 一种安全域名系统及其故障处理方法 |
-
2015
- 2015-10-19 CN CN201510679965.2A patent/CN105245633A/zh active Pending
-
2016
- 2016-10-18 WO PCT/CN2016/102424 patent/WO2017067443A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100332680A1 (en) * | 2009-06-24 | 2010-12-30 | Broadcom Corporation | Fault tolerance approaches for dns server failures |
CN102137174A (zh) * | 2010-12-29 | 2011-07-27 | 华为技术有限公司 | 域名系统缓存的方法、授权域名服务器、缓存域名服务器 |
CN103118117A (zh) * | 2013-02-04 | 2013-05-22 | 河南有线电视网络集团有限公司 | 一种负载均衡和冗余保护方法及装置 |
CN103957286A (zh) * | 2014-04-18 | 2014-07-30 | 上海聚流软件科技有限公司 | Dns安全系统及其故障处理方法 |
CN103957285A (zh) * | 2014-04-18 | 2014-07-30 | 上海聚流软件科技有限公司 | 提供根域名解析服务的方法和系统 |
CN103929507A (zh) * | 2014-04-28 | 2014-07-16 | 广东睿江科技有限公司 | 一种实现可离线化dns服务的方法及装置 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017067443A1 (zh) * | 2015-10-19 | 2017-04-27 | 北京奇虎科技有限公司 | 一种安全域名系统及其故障处理方法 |
CN106973122A (zh) * | 2016-01-14 | 2017-07-21 | 中国移动通信集团浙江有限公司 | 一种基于云存储的域名系统及其应急解决方法 |
WO2017177692A1 (zh) * | 2016-04-12 | 2017-10-19 | 上海斐讯数据通信技术有限公司 | 一种基于dns机制的无线接入方法及无线接入设备 |
CN108366138A (zh) * | 2018-05-28 | 2018-08-03 | 北京奇虎科技有限公司 | 域名操作方法、系统及电子设备 |
CN108366138B (zh) * | 2018-05-28 | 2021-10-26 | 北京奇虎科技有限公司 | 域名操作方法、系统及电子设备 |
CN110944027A (zh) * | 2018-09-21 | 2020-03-31 | 阿里巴巴集团控股有限公司 | 访问处理方法、装置、设备以及系统 |
CN109510778A (zh) * | 2019-01-03 | 2019-03-22 | Oppo广东移动通信有限公司 | 流量调度的方法、装置、系统、设备及存储介质 |
WO2021004144A1 (zh) * | 2019-07-11 | 2021-01-14 | 广东美的制冷设备有限公司 | 域名解析方法、域名解析装置、家电设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2017067443A1 (zh) | 2017-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105245633A (zh) | 一种安全域名系统及其故障处理方法 | |
CN103957286B (zh) | Dns安全系统及其故障处理方法 | |
CN103957285B (zh) | 提供根域名解析服务的方法和系统 | |
US20230421590A1 (en) | Rule-Based Network-Threat Detection | |
CN108886540B (zh) | 域名解析方法、装置及计算机可读存储介质 | |
CN103957284B (zh) | Dns行为的处理方法、装置及系统 | |
US10491561B2 (en) | Equipment for offering domain-name resolution services | |
US7797410B2 (en) | Reverse IP method and system | |
CN109067930B (zh) | 域名接入方法、域名解析方法、服务器、终端及存储介质 | |
US20090327487A1 (en) | Method and system for discovering dns resolvers | |
CN105681358A (zh) | 检测域名劫持的方法、装置和系统 | |
CN105939337B (zh) | Dns缓存投毒的防护方法及装置 | |
CN103957201A (zh) | 基于dns的域名信息处理方法、装置及系统 | |
US9264440B1 (en) | Parallel detection of updates to a domain name system record system using a common filter | |
CN105099821A (zh) | 基于云的虚拟环境下流量监控的方法和装置 | |
CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
CN105245631B (zh) | 一种优化dns根服务访问的方法与系统 | |
CN106790746B (zh) | 一种分布式域名存储和解析方法及系统 | |
EP3332533B1 (en) | Parallel detection of updates to a domain name system record system using a common filter | |
JP2011096045A (ja) | 計算機、計算機システム、及び、アプリケーション実行方法 | |
CN110572406A (zh) | 一种失陷主机确定方法、系统及相关装置 | |
CN104967538A (zh) | 网络故障切换方法、设备及系统 | |
CN111787129A (zh) | 为客户端配置本地dns服务器的方法及系统 | |
CN110266684B (zh) | 一种域名系统安全防护方法及装置 | |
EP0820176B1 (en) | A method and apparatus for restricting access to private information in domain name systems by filtering information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160113 |