CN106561028B - 隔离因特网协议地址 - Google Patents

Abstract

本发明描述了隔离计算装置的IP地址的方法和域名服务器（DNS）。所述DNS(104)可以实施包括接收来自在该DNS(104)处的该计算装置(102)的请求和基于预定义规则集来分析该请求的方法。此后，可以基于该分析由DNS(104)隔离该计算装置（102）的IP地址并为该IP地址触发隔离模式。在隔离模式中，受限制的业务可以被DNS(104)提供给该计算装置(102)。进一步，该方法包括如果在高速缓存(202)中该响应可用，则由DNS(104)提供对应于该请求的响应给该计算装置。基于响应的存活时间（TTL），在高速缓存(202)中可用的响应可以或者是过期响应或者是未过期响应。如果该响应在高速缓存(202)中不可用，则该方法包括由DNS(104)放弃提供对应于该请求的响应。该放弃可以包括不执行用于访问对应于该请求的响应的递归搜索。

Description

隔离因特网协议地址

技术领域

本发明主题一般涉及隔离计算装置的IP地址，具体涉及在域名服务器(DNS)上隔离IP地址。

背景技术

域名服务器(DNS)一般指的是将域名(例如，网站名称或统一资源定位符(URL))转换成因特网协议(IP)地址的业务或服务器。IP地址可以为节点网络内的节点(计算装置),尤其是主机的标识符，且可用于网络内主机与其他节点之间的通信。由IP地址标识的主机可存储与网站名称或URL相关联的内容，并可将该内容提供给请求域名的DNS和/或用户的客户端装置。为了将域名转换成IP地址，DNS可利用通常包括请求最为频繁的、各自具有IP地址的域名的记录的映射信息。

在某些情况下，DNS可能会因为一些原因(例如，域名的映射信息不可用)而无法将域名转换成相应的IP地址。在此种情况下，DNS可以请求另一DNS(其通常被称为后端服务器或授权服务器)，以提供相应的IP地址。后端服务器在接收到该请求后可以在存储在后端服务器的高速缓存(或数据库)中的映射信息内搜索相应的IP地址，并将相应的IP地址提供给DNS。随后主机可以基于该IP地址被标识，以用于检索与域名相关联的内容并将该内容提供给客户端装置。

发明内容

提供本发明内容以介绍与隔离计算装置的IP地址有关的概念。本发明内容并不意在标识所要求保护的主题的实质特征，也不意在用于确定或限制所要求保护的主题的范围。

在本主题的一个示例性实施方式中，描述了隔离对应于计算装置的互联网协议(IP)地址的方法。在一个实例中，该方法包括在域名服务器(DNS)处接收来自计算装置的请求，并通过基于预定的一套规则对请求进行分析，以触发隔离模式，从而通过DNS将所述计算装置对应的IP地址隔离，其中在隔离模式中受限制的业务被提供给所述计算装置。该方法进一步包括：如果响应在高速缓存中可用，则在隔离模式中通过DNS提供对应于所述请求的所述响应，其中所述响应是基于所述响应的存活时间(TTL)的过期响应和未过期响应中的一种。该方法进一步包括：如果响应在高速缓存中不可用，则在隔离模式中通过DNS放弃提供对应于所述请求的所述响应，其中所述放弃包括不执行用于访问对应于所述请求的所述响应的递归搜索。

在本主题的另一个示例性实施方式中，描述了隔离对应于计算装置的IP地址的DNS。在该实例中，DNS包括处理器和耦合至处理器的隔离引擎。隔离引擎接收来自计算装置的请求，并通过基于预定的一套规则对请求进行分析，以触发隔离模式，从而将所述计算装置对应的IP地址隔离，其中在隔离模式中受限制的业务被提供给所述计算装置。DNS进一步包括耦合至处理器的通信模块，其中如果响应在高速缓存中可用，则在隔离模式中通信模块将对应于所述请求的所述响应提供给所述计算装置，其中所述响应是基于所述响应的存活时间(TTL)的过期响应和未过期响应中的一种。如果响应在高速缓存中不可用，则在隔离模式中通信模块进一步放弃将对应于所述请求的所述响应提供给所述计算装置，其中所述通信模块进一步放弃执行用于访问对应于所述请求的所述响应的递归搜索。

本主题还描述了根据本主题的一个示例性实施方式的非瞬时性计算机可读介质。非瞬时性计算机可读介质可以包括一组计算机可读指令，当执行时，该计算机可读指令使计算系统接收来自计算装置的域名请求，并通过基于预定的一套规则来分析该域名请求，以触发隔离模式，从而隔离所述计算装置的IP地址，其中在隔离模式中受限制的业务被提供给所述计算装置。当执行时，如果响应在高速缓存中可用，则该计算机可读指令进一步可以将对应于所述域名请求的所述响应提供给所述计算装置，其中所述响应是基于所述响应的存活时间(TTL)的过期响应和未过期响应中的一种，并且如果响应在所述高速缓存中不可用，则放弃将对应于所述请求的所述响应提供给所述计算装置，其中所述计算机可读介质进一步放弃执行用于访问对应于所述域名请求的所述响应的递归搜索。

附图说明

参考附图对具体实施方式进行描述。在附图中，附图标记中最左边的数字标识该附图标记在其中首次出现的附图。在所有的附图中，相同的数字用于表示相同的特征和部件。现在仅通过实例的方式并参考附图，对根据本发明主题的实施方式的系统和/或方法的一些实施方式进行描述，其中：

图1示出了根据本发明主题的实施方式实施DNS的网络环境；

图2示出了根据本发明主题的实施方式DNS的部件的示意图；

图3示出了根据本发明主题的实施方式用于隔离计算装置的IP地址的方法；

图4示出了根据本发明主题的实施方式用于处理来自于隔离的IP地址的请求的方法；并且

本领域技术人员应理解，本文的任何框图表示的是体现本发明主题的原理的示例性系统的概念图。同理，将理解的是，任何流程图、作业图、状态转移图、伪码等等代表各种进程，其可实质上表示在计算机可读介质中，并从而由计算机或处理器执行，无论这样的计算机或处理器是否被明确地示出都是如此。

具体实施方式

传统地，已开发出各种用于隔离连接至网络的计算装置的因特网协议(IP)地址的技术。已知技术包括分析各种计算装置所产生的通信量的方法、确定通信量的数量是否超过预定义阈值的方法以及发起制止产生此通信量的计算装置的合适动作的方法。该计算装置可因恶意用户而受到损坏，并因此可能产生过量的通信量。过量的通信量可对应于该计算装置所生成的过量的请求，其被发送至域名服务器(DNS)。进一步地，当DNS响应于该请求将过量的响应发送至计算装置时，DNS也会产生过量的通信量。

已知技术将请求量或响应量与预定义阈值进行比较，以确定通信量过载的状态。如果请求量超过预定义阈值，则计算装置随后被隔离，以防止通信量过载对网络和网络单元产生影响。

在隔离该计算装置后，以对应于包含在线内容的网络服务器的响应或信息的方式从各种网络单元(例如，DNS)提供至计算装置的业务可被完全中断。进一步地，网络通信(例如，计算装置生成的请求)通常被阻挡。例如，如果计算装置被隔离，则来自于计算装置的与搜索网站的IP解析相关的请求会受到阻挡而无法到达DNS。因此，该请求不会被处理，而在较长的等待时间后，出错信息会被发送至计算装置。此外，计算装置会被保持隔离较长的一段时间，直至该计算装置产生可接受数量的以请求或响应形式的通信量为止。已知技术还可维持该被隔离的计算装置的列表，并可阻挡来自于属于该列表的计算装置的请求。

因此，由于请求被阻挡，且未被DNS进行处理，计算装置在请求发送期间经历了数据丢失。进一步，来自于隔离的计算装置的请求的标识及该请求的定期阻挡可导致由网络单元执行的额外的任务，由此使得总体进程变得复杂、耗时且耗资源。此外，在较长的一段时间内发生在计算装置处的出错信息和较长的等待时间可影响提供给计算装置的业务的连续性。

根据本发明主题的示例性实施方式，描述了用于隔离计算装置的因特网协议(IP)地址的方法和系统。所述隔离IP地址的技术在时间和资源上非常高效，且其最小化与隔离计算装置所发送的请求相关的数据丢失。此外，所述技术为隔离计算装置提供受限制的业务，以确保提供给隔离的计算装置的业务的连续性。

在本发明主题的实施方式中，描述了一种用于隔离计算装置的因特网协议(IP)地址的方法。该方法包括在该DNS接收来自于计算装置的请求。该请求可与服务器的IP地址相关，其中该服务器包含计算装置的用户打算访问的特定网站。随后，基于预定义规则集对该请求进行分析，以确定该请求与各种限定在预定义规则集中的隔离参数的一致性。如果该请求违反一个或多个预定义规则集中所限定的隔离参数，则该IP地址可被DNS隔离，且隔离模式可被触发。

例如，预定义规则集限定了在规定的时间内从计算装置接收到的请求的数量的阈值。如果计算装置发送的请求的数量超过如预定义规则集中所限定的请求数量的阈值，则计算装置的IP地址被DNS隔离，且用于该IP地址的隔离模式被触发。

在隔离模式中，受限制的业务被DNS提供给计算装置，凭此提供给计算装置的业务未被完全中断。特别地，DNS在接收到请求后，会在该DNS的高速缓存中搜寻响应。如果该响应在高速缓存中可用，则DNS将该响应提供给计算装置。在一种情况下，基于该响应的存活时间(TTL)值，在高速缓存中可用的响应可为过期响应和未过期响应中的一个。如果该响应在高速缓存中不可用，则DNS放弃将该响应提供给计算装置，以阻止用于从授权服务器获得该响应的递归搜索。

本发明主题的技术通过在隔离模式期间将业务提供给计算装置来提供增强的隔离IP地址管理。此外，将在高速缓存中可用的响应提供给计算装置可允许DNS以有时间限制的方式进行响应，由此减少请求的处理时间和计算装置的用户的等待时间，从而确保提供给计算设备的业务的连续性。

应注意的是，说明书仅仅描述了本发明主题的原理。因此，应理解的是，本领域技术人员将能够设计出各种体现本发明主题的原理且包括在其实质和范围内的装置(虽然其在本文中未明确地进行描述)。此外，所有在本文中引用的实例都主要旨在清楚地仅仅用于说明的目的，以帮助读者明白本发明的原理和由发明人贡献来发展本领域的概念，且其将被解释为不限于这些具体引用的实例和条件。而且，本文中所有引用了本发明的原理、方面和实施方式的陈述以及其具体实例都旨在涵盖其等同物。

本领域技术人员还将理解的是，本文所用词语“在……期间”、“在……的同时”和“当……的时候”并非意指动作根据初始动作而立即发生的精确术语；二是其意指在初始动作与由初始动作引发的反应之间可能会存在一些微小但合理的延迟，例如传播延迟。此外，为了清楚地进行描述，本文通篇使用词语“连接”和“耦接”，且其可包括直接连接和间接连接中的任意一种。因此，如果第一装置耦接至第二装置，则该连接可通过直接电或机械连接、经由其他装置和连接件的间接电或机械连接、光电连接或无线电连接进行。已在下文中通过参考若干实例对本发明主题的各种实施方式进行了描述。

参考图1至图4对上述方法和系统做进一步的描述。应注意的是，说明书和附图以及本文所述的实例仅仅示出了本发明主题的原理，因此其不应被解释为对本发明主题的限制。因此，可理解的是，能够设计出各种体现本发明主题的原理的装置(虽然其未在本文中明确地进行描述或示出)。而且，本文中所有引用了原理、方面的陈述以及其具体实例都旨在涵盖其等同物。

图1示出了根据本发明主题的实施方式的网络环境100。网络环境100可为公共分布式环境或专用封闭网络环境中的任意一种。网络环境100可包括不同的经由网络106可通信地耦接至域名服务器(DNS)104的计算装置102-1、102-2、……、102-N。出于阐述的原因，计算装置102-1、102-2、……、102-N共同地被称作为计算装置102，且其在下文中被单独称为计算装置102。DNS104可包括用于隔离计算装置102的IP地址的隔离引擎108。

在本发明主题的实施方式中，计算装置102可为台式电脑、移动装置和笔记本电脑之一，用户可通过其利用统一资源定位符(URL)请求对网站进行访问。在实施方式中，DNS104可为用于解析域名请求和识别来自于域名请求的顶级域名(TLD)和二级域名(SLD)并将域名请求转换成相应的因特网协议(IP)地址的名称服务器。DNS104还可为网络服务器、递归DNS、转发DNS和缓存DNS之一，该网络服务器将对数字内容的访问提供给计算装置102。

网络106可为无线或有线网络，或其组合。网络106可为单独网络的集合，其中单独网络彼此相互连接，并起到单个大型网络的作用(例如，因特网或内联网)。这种单独网络的实例包括但不限于：全球移动通信系统(GSM)网络、通用移动通信系统(UMTS)网络、个人通信业务(PCS)网络、时分多址(TDMA)网络、码分多址(CDMA)网络、下一代网络(NGN)、公共交换电话网(PSTN)和综合业务数字网(ISDN)。根据技术，网络106包括各种网络实体，例如收发器、网关和路由器；然而，为了便于理解，已省略了这些细节。

网络环境100与DNS104相关联，其中DNS104可从计算装置102接收与网页内容相关的请求，并可以包含网页内容的网络服务器的地址的形式提供响应。该请求可在用户打算通过计算装置102访问网站并在网络(Web)浏览器的地址栏输入网站名称或统一资源定位符(URL)时生成。DNS104可从接收到的请求读取计算装置102的IP地址，然后利用该IP地址以将响应发送给计算装置102。DNS104还可存储计算装置102的IP地址，以用于响应来自于计算装置102的具有缩短的往返时间的后继请求。

在本发明主题的实施方式中，DNS104的隔离引擎108可接收来自于计算装置102的请求。隔离引擎108随后可基于存储在DNS104中的预定义规则集对请求进行分析。此后，隔离引擎108可基于请求与预定义规则集的一致性确定是否必须隔离计算装置102的IP地址。例如，如果预定义规则集限定在10秒钟内接收到的来自于计算装置102的请求的最大数量为25，且从计算装置102接收到的请求的数量在10秒钟内超过请求的最大数量，则隔离计算装置102的IP地址。

在一种情况下，如果请求与预定义规则集相一致，则请求中的一个或多个与一个或多个网站相关联的域名可被识别。此后，DNS104可核实一个或多个域名的相应IP地址在DNS104的高速缓存内是否可用。在所述情况下，在高速缓存内可用的IP地址的每一个都可与存储与一个或多个网站相关的内容的主机相关联。如果相应的IP地址可用，则DNS104可为请求生成相应的响应，并将该响应发送给计算装置102。计算装置102随后可基于从DNS104接收到的IP地址与相应的主机进行通信。

然而，如果请求与预定义规则集不一致，则隔离引擎108可隔离计算装置102的IP地址，并为该IP地址触发隔离模式。在隔离模式中，DNS104不会完全中断提供给计算装置102的业务；相反，其会提供受限制的业务。因此，本发明主题在计算装置102处于隔离模式中时，确保了提供给计算装置102的业务的连续性。关于DNS104的运行和计算装置102的IP地址的隔离的阐述已进一步相对于以下附图说明进行了详细的说明。

图2示出了根据本发明主题的实施方式的DNS104的部件。DNS104可与高速缓存202相关联。DNS104可包括处理器204、接口206和存储器208。进一步地，DNS104可包括模块210和数据212。

除了其他功能以外，高速缓存202还作为用于存储与请求频繁的域名和主机IP地址相关的信息的外部储存库。在本发明主题的实施方式中，高速缓存202可为域名和它们各自的IP地址存储映射信息。在示例性实施方式中，高速缓存202可为位于DNS104内的内部储存库，其用于存储与请求频繁的域名相关的信息。根据本发明主题的实施方式，虽然高速缓存202已被描述为位于DNS104的外部，但是高速缓存202还可实施在DNS104内，例如在存储器208内。

处理器204，除其他功能外，可配置成取出并执行存储在存储器208的计算机可读指令。处理器204可以实施为一个或多个微处理器、微型计算机、微控制器、数字信号处理器、中央处理单元、状态机、逻辑电路，和/或基于操作指令操作信号的任何装置。附图中所示的各种元件(包括任何标记为“处理器”的功能模块)的功能，可通过使用专用硬件以及能够与适当软件结合来执行软件的硬件来提供。当由处理器提供时，这些功能可由单个专用处理器、单个共享处理器或者多个独立处理器(其中一些可以被共享)来提供。此外，对术语“处理器”的明确使用不应该被解释为专指能执行软件的硬件，并且可以隐含地而非限制性地包括，数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)、非易失性存储器，也可包括其他的硬件(传统的和/或定制的)。

接口206可以包括多种基于机器可读指令接口和硬件接口，其允许DNS104与不同实体交互，例如处理器204、模块210和数据212。此外，接口206还可使得DNS104的部件与其他DNS以及外部储存库通信。接口206可以利于各种各样的网络和协议类型之内的多种通信，包括无线网络、无线局域网(WLAN)、RAN、基于卫星的网络，等等。

除了其他功能，存储器208可连接至处理器204并且可以提供用于生成不同请求的数据和指令。存储器208可以包括所属领域中已知的任意计算机可读介质，包括，例如，易失性存储器，诸如静态随机存取存储器(SRAM)和动态随机存取存储器(DRAM))，和/或非易失性存储器，诸如只读存储器(ROM)、可擦除可编程ROM、闪存、硬盘、光盘以及磁带。

模块210可以包括例行程序、程序、对象、组件、数据结构等类似结构，它们执行特定任务或实现特定抽象数据类型。模块210还可包括DNS104上的一些补充应用程序，例如操作系统的模块。另外，模块210可在硬件、由处理单元执行的指令中实施或由其组合实施。

在本发明主题的另一方面，模块210可以为机器可读指令(软件)，当被处理器/处理单元执行时，其可执行上述任何的功能。机器可读指令可以存储在电子存储装置、硬盘、光盘或其他机器可读存储介质或者非瞬时性介质上。在一个实施方式中，机器可读指令还可经由网络连接下载到存储介质。

除其他功能外，数据212可作为储存库，该储存库用于存储可由一个或多个模块210取出、处理、接收或生成的数据。

模块210可以执行不同功能，这些功能可以包括但不限于，隔离计算装置102的IP地址、提供隔离模式下与请求对应的响应和在提供响应至计算装置102及与后端服务器通信时放弃。相应地，模块210可包括隔离引擎108和通信模块214。此外，模块210可以包括其他模块216用于一些额外操作，例如，但不限于，预定义规则集的参数选择和确定在隔离模式期间执行的一个或多个规则。数据212可包括隔离数据218、规则数据220和其他数据222。

在操作中，隔离引擎108可以在规定时间周期内接收来自计算装置102的多个请求。隔离引擎108可以基于预定义规则集对多个请求进行分析。在一个实例中，根据隔离引擎108的分析能力，隔离引擎108能够分析来自计算装置的最大数量的请求。预定义规则集可以包括多个隔离参数，这些参数可以与多个请求比较以确定该多个请求是否与隔离参数相一致。

在一种情况下，隔离参数可与以下参数中的一种相关：在一定时间周期期间从计算装置的IP地址接收的请求的数量、在该时间周期期间从计算装置的IP地址接收到的在高速缓存中的相应响应不可用的请求的数量和在该时间周期期间用于通过递归搜索为计算装置的IP地址找到响应的累计时间。另外，隔离参数可与在该时间周期期间从计算装置的IP地址接收的不同请求的数量相关以及与在该时间周期期间其对应的响应包括“NXDOMAIN”属性或“ServerFail”属性之一或另一标准属性的请求的数量相关。

在一个实施方式中，隔离引擎108可以把隔离参数与来自阈值列表中的阈值进行比较以确定隔离参数是否超过该阈值。在本发明主题的一个实施方式中，如果多个请求未能与预定义规则集的隔离参数相一致，那么隔离引擎108可以隔离计算装置102的IP地址并且为计算装置102触发隔离模式。例如，如果对应于请求的响应包括“NXDOMAIN”属性或者“ServerFail”属性之一或另一标准属性，则计算装置102的IP地址被隔离。

在一个实例中，隔离参数可以与由隔离引擎108接收的最大请求数量的阈值相关，从而超出阈值的请求数量可触发隔离模式。在所述实例中，用于分析请求的数量的阈值可为计算装置102设置为50,000个请求。如果来自计算装置102的请求数量在持续时间内超过阈值50,000，则隔离模式被触发。相似地，如果阈值被设置为70,000，则当请求数量超过阈值70,000时，隔离引擎108可触发隔离模式。

在另一情况下，隔离引擎108可以维持隔离的IP地址列表，该列表包括被隔离引擎108隔离的IP地址。在所述情况下，隔离引擎108可添加计算装置102的IP地址到隔离的IP地址列表中。隔离引擎108随后可与通信模块214共享关于计算装置102的隔离的IP地址信息。

在一个实施方式中，通信模块214可以从隔离引擎108接收与通信模块214相关的信息。接收到信息后，通信模块214可以为计算装置102提供受限制的业务。在一种情况下，为了提供受限制的业务，通信模块214可以核实对应于多个请求的响应在高速缓存202中是否可用。在一种情况下，该响应可以是基于响应存活时间(TTL)值的过期响应和未过期响应之一。在一个实施方式中，隔离模式下响应的TTL值可以长于非隔离模式下响应的TTL值，以使得高速缓存202中可用的响应有更长时间。例如，如果响应的TTL在非隔离模式期间在高速缓存中是12小时，则同样的响应的TTL在隔离模式期间更新为15小时，从而该响应在高速缓存202中可用更长时间，由此在隔离模式期间增强提供给计算装置102的业务。

在另一情况下，响应的可用性还可取决于高速缓存202的TTL值，该值与时间周期有关，该时间周期内该高速缓存202可用以提供响应。在本发明主题中，高速缓存202的可用性可以不取决于在隔离模式期间的TTL值，且因此高速缓存在隔离模式期间可用。如果响应在高速缓存202中可用，则通信模块214可以将该响应发送到计算装置102。

如果响应在高速缓存202中不可用，则通信模块214可不执行递归搜索以与授权服务器通信而获得响应并随后提供响应到计算装置102。因此，如果响应在高速缓存202中不可用，则在隔离模式通信模块214可以放弃为计算装置102提供对应于请求的响应。

随着计算装置102的IP地址添加到隔离的IP地址列表中，对于来自同一个IP地址的后继请求，隔离引擎108可以确定该IP地址是否已经在该列表中。如果该IP地址已经在该列表中，则DNS104可以如上所述，继续提供受限制的业务给该计算装置102。在本发明主题的实施方式中，隔离引擎108可以继续分析来自处于隔离模式的计算装置102的请求以确定来自该计算装置102的请求是否与预定义规则集相一致。如果该请求与预定义规则集相一致，则该计算装置102的IP地址可以自动去隔离。在一种情况下，隔离引擎108可以在预定时间周期期满后对该IP地址进行去隔离。预定时间周期或者可以基于IP地址隔离和接着去隔离的平均时间计算，或者可以基于特定计算装置102过去的隔离模式的持续时间来计算。在另一情况下，用户可以分析来自处于隔离模式的计算装置102的请求以确定该请求与预定义规则集的一致性。如果用户确定该请求与预定义规则集相一致，则该用户可以对该计算装置102的IP地址进行去隔离。

图3和图4分别示出了方法300和400。描述方法300和400的顺序并非旨在解释为限制，并且任何数量的所述方法块都可以按任意顺序组合以实施方法300和400，或者可替代的方法。此外，方法300和400可以由处理器或计算系统通过任何适合的硬件、非瞬时性机器可读指令或者它们的组合来实现。

可以理解的是，方法300和400的步骤可以由编程的计算系统来执行。方法300和400的步骤可以基于存储在非瞬时性计算机可读介质的指令来执行，这将很容易理解。非瞬时性计算机可读介质可以包括，例如，数字存储器、磁性存储介质(诸如一个或多个磁盘和磁带)、硬盘驱动器或光学可读数字数据存储介质。在本发明主题的实施方式中，如上所述，方法300和400可以由DNS104来执行。

图3示出了根据本发明主题的实施方式的隔离计算装置的IP地址的方法300。

在框302，从计算装置102可以接收到请求。该请求可以和计算装置102的用户打算访问的网页内容相关。在实施方式中，该请求可以由隔离引擎108在DNS104处接收。之后，在框304，可以通过基于预定义规则集分析该请求来隔离对应于计算装置102的IP地址以触发隔离模式。在隔离模式中，受限制的业务被提供给该计算装置102。在实施方式中，DNS104的隔离引擎108可以基于预定义规则集分析该请求并触发隔离模式以提供受限制的业务给该计算装置102。

在框306，如果响应在高速缓存中可用，则将对应于该请求的响应提供给处于隔离模式的计算装置102。在一种情况下，DNS能提供该响应，该响应可以是基于响应的存活时间(TTL)的过期响应和未过期响应中的一种。在实施方式中，通信模块214可以核实在高速缓存202中的响应，如果响应在高速缓存202中可用，则该响应被提供给计算装置102。在框308，如果响应在高速缓存中不可用，则可以放弃提供该响应给处于隔离模式的计算装置102。该放弃可以包括不执行用于访问对应于该请求的响应的递归搜索。在一个实施方式中，DNS104的通信模块214可以放弃将该响应提供给处于隔离模式的计算装置102。

图4示出了根据本发明主题的实施方式的处理来自隔离的IP地址的请求的方法400。

在框402，可以接收来自计算装置的另一个请求。该请求可以由隔离引擎108接收。此后，在框404，确定对应于该计算装置102的IP地址在隔离的IP地址列表中。在实施方式中，隔离引擎108可以确定该计算装置的IP地址是否在隔离的IP地址列表中。如果该计算装置的IP地址在列表中，则在框406可以将对应于该请求的响应提供给计算装置102。在实施方式中，如果该响应在高速缓存中可用，通信模块214可以将该响应提供给该计算装置102。提供给计算装置102的响应可以是基于响应的存活时间(TTL)的过期响应和未过期响应之一。

在框408，如果在高速缓存中该响应不可用，则可以放弃将该响应提供给计算装置102。该放弃可以包括不执行用于访问对应于该另一个请求的响应的递归搜索。在实施方式中，如果该响应在高速缓存202中不可用，则通信模块214可以放弃将该响应提供给计算装置102。

因此，上述技术的时间和资源效率高，其保证了隔离模式期间对计算装置的业务连续性且增强了隔离的IP地址的管理。

虽然本发明主题的实施方式以特定于结构特征和/或方法的语言描述，但是应该理解的是本发明主题不必限于所述特定特征或方法。相反，在用于DNS的几个实例实施方式的上下文中公开和解释所述具体特征和方法。

Claims (15)

1.一种隔离对应于计算装置(102)的因特网协议(IP)地址的方法，所述方法包括，

在域名服务器(DNS)(104)处接收来自所述计算装置的请求；

由所述域名服务器(104)通过基于预定义规则集分析所述请求来隔离对应于所述计算装置的所述因特网协议地址以触发隔离模式，其中在所述隔离模式中受限制的业务被提供给所述计算装置(102)；

如果响应在高速缓存(202)中可用，则由所述域名服务器(104)在所述隔离模式中提供对应于所述请求的所述响应，其中所述响应是基于所述响应的存活时间(TTL)的过期响应和未过期响应中的一种；以及

如果所述响应在所述高速缓存(202)中不可用，则由所述域名服务器(104)在所述隔离模式中放弃提供对应于所述请求的所述响应，其中所述放弃包括不执行用于访问对应于所述请求的所述响应的递归搜索。

2.根据权利要求1所述的方法，其中所述预定义规则集包括隔离参数，其中所述隔离参数包括以下参数中的至少一种：在时间周期期间从所述计算装置的所述因特网协议地址接收到的在所述高速缓存(202)中对应的响应不可用的请求的数量、在时间周期期间用于通过递归搜索为所述计算装置(102)的所述因特网协议地址找到响应的累积时间、在时间周期期间接收到的来自所述计算装置(102)的所述因特网协议地址的不同请求和相同请求中的其中一种的数量、在时间周期期间接收到的来自所述计算装置(102)的所述因特网协议地址的其对应响应包括“NXDOMAIN”属性、“Server Fail”属性和标准属性中的至少一种的请求的数量。

3.根据权利要求1所述的方法，其中，隔离对应于所述计算装置(102)的所述因特网协议地址包括将所述隔离参数中的至少一个隔离参数与阈值列表中的一个阈值进行比较。

4.根据权利要求1所述的方法，其进一步包括在预定时间周期期满后对所述因特网协议地址去隔离。

5.根据权利要求1所述的方法，其中隔离所述计算装置(102)的所述因特网协议地址包括将所述隔离的因特网协议地址存储在列表中。

6.根据权利要求5所述的方法，其进一步包括：从所述计算装置(102)接收另一请求，

确定对应于所述计算装置(102)的所述因特网协议地址来自存储在列表中的所述隔离的因特网协议地址，

根据确定，如果所述响应在高速缓存(202)中可用，则提供对应于所述另一请求的所述响应，其中所述响应是基于所述响应的存活时间(TTL)的过期响应和未过期响应中的一种；以及

如果所述响应在所述高速缓存(202)中不可用，则放弃提供对应于所述另一请求的所述响应，其中所述放弃包括不执行用于访问对应于所述请求的所述响应的递归搜索。

7.根据权利要求1所述的方法，其中所述递归搜索包括为了访问对应于所述请求的所述响应来与授权服务器进行通信，其中所述请求的所述响应在所述高速缓存(202)中不可用。

8.根据权利要求1所述的方法，其中，由用户对对应于所述计算装置(202)的所述因特网协议地址去隔离。

9.一种用于隔离对应于计算装置(102)的因特网协议地址的域名服务器(DNS)(104)，所述域名服务器(104)包括，

处理器(204)，

隔离引擎(108)，其耦合至所述处理器(204)，其中所述隔离引擎(108)用于：

接收来自所述计算装置(102)的请求，

通过基于预定义规则集分析所述请求来隔离所述计算装置的所述因特网协议地址以触发隔离模式，其中在所述隔离模式中受限制的业务被提供给所述计算装置(102)，

通信模块(214)，其耦合至所述处理器(204)，其中所述通信模块(214)用于：

如果响应在高速缓存(202)中可用，则在所述隔离模式中将对应于所述请求的所述响应提供给所述计算装置(102)，其中所述响应是基于所述响应的存活时间(TTL)的过期响应和未过期响应中的一种；以及

如果所述响应在所述高速缓存中不可用，则在所述隔离模式中放弃提供对应于所述请求的所述响应，其中所述通信模块(214)还进一步放弃执行用于访问对应于所述请求的所述响应的递归搜索。

10.根据权利要求9所述的DNS(104)，其中所述预定义规则集包括隔离参数，所述隔离参数包括以下参数中的至少一种：在时间周期期间从所述计算装置的所述因特网协议地址接收到的在所述高速缓存(202)中对应的响应不可用的请求的数量、在时间周期期间用于通过递归搜索为所述计算装置(102)的所述因特网协议地址找到响应的累积时间、在时间周期期间接收到的来自所述计算装置(102)的所述因特网协议地址的不同请求和相同请求中的其中一个的数量、在时间周期期间接收到的来自所述计算装置(102)的所述因特网协议地址的其对应响应包括“NXDOMAIN”属性、“ServerFail”属性和标准属性中的至少一种的请求的数量。

11.根据权利要求9所述的DNS(104)，其中用于隔离对应于所述计算装置(102)的所述因特网协议地址的所述隔离引擎(108)进一步包括将所述隔离参数中的至少一个隔离参数与阈值列表中的一个阈值进行比较。

12.根据权利要求9所述的DNS(104)，其中所述高速缓存与所述DNS(104)相关。

13.根据权利要求9所述的DNS(104)，其中所述隔离引擎(108)在预定时间周期期满后进一步对所述因特网协议地址去隔离。

14.根据权利要求9所述的DNS(104)，其中所述隔离引擎(108)进一步将所述计算装置的所述因特网协议地址存储在包括隔离的因特网协议地址的列表中。

15.一种非瞬时性计算机可读介质，其具有一组计算机可读指令，当所述计算机可读指令执行时使计算系统：

接收来自计算装置(102)的域名请求，

通过基于预定义规则集分析所述域名请求来隔离所述计算装置(102)的因特网协议地址以触发隔离模式，其中在所述隔离模式中受限制的业务被提供给所述计算装置(102)，

如果响应在高速缓存(202)中不可用，则在所述隔离模式中对应于所述域名请求的所述响应被提供给所述计算装置(102)，其中所述响应是基于所述响应的存活时间(TTL)的过期响应和未过期响应中的一种；以及

如果所述响应在所述高速缓存中不可用，则在所述隔离模式中放弃提供对应于所述请求的所述响应，其中所述计算机可读介质还进一步放弃执行用于访问对应于所述域名请求的响应的递归搜索。