CN108449444A - 区域数据传输方法、自循环域名解析系统及方法 - Google Patents
区域数据传输方法、自循环域名解析系统及方法 Download PDFInfo
- Publication number
- CN108449444A CN108449444A CN201810268964.2A CN201810268964A CN108449444A CN 108449444 A CN108449444 A CN 108449444A CN 201810268964 A CN201810268964 A CN 201810268964A CN 108449444 A CN108449444 A CN 108449444A
- Authority
- CN
- China
- Prior art keywords
- server
- domain name
- domain
- loopa
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/0836—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability to enhance reliability, e.g. reduce downtime
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供的区域数据传输方法、自循环域名解析系统及方法,通过区域传输与抓包技术获取全量索引数据,与运营商对接,为国内广大用户提供域名解析服务。一旦国外根域名服务器发生故障,该系统可以作为应急平台,根据根域、顶级域和权威域名服务器索引授权解析数据,实现用户请求无需出国即可获取递归结果,有效规避国外根域恶性DDos攻击、劫持等带来的安全威胁以及潜在的经济损失。自循环域名解析系统拥有庞大的解析数据能力并采用机器学习技术进行数据分析与安全监控,从而实现数据采集、分析、递归解析、安全监控一体化服务。
Description
技术领域
本发明涉及计算机技术技术领域,具体为一种区域数据传输方法、自循环域名解析系统及方法。
背景技术
域名系统(DNS)为Internet上的主机分配域名地址和IP地址。当用户输入域名,域名系统将提供域名地址转为IP地址的服务。根域名服务器是域名系统的基础,是架构因特网必备的设施。中国用户在访问带有“.com”等后缀的国外网站时,大多仍需要经过国外的根、顶级域名服务器进行解析。攻击整个因特网最有力、最直接,也是最致命的方法就是攻击根域名服务器。以下列举了部分国内遭遇DNS攻击的案例:
2010年1月12日上午,百度被自称是伊朗网军的黑客组织入侵,域名baidu.com的WHOIS传输协议被无故更改,权威DNS服务器被更换至雅虎属下的两个域名服务器。该故障导致网民无法正常登陆百度网站达8小时之久,给造成百度直接损失超过700万元人民币。
2013年8月25日,“.cn”域名解析节点受到拒绝服务攻击。根据DNSPod的监控显示,CN的根域授权DNS全线故障,所有CN域名均无法解析。
2014年1月21日下午,大陆境内所有的通用顶级域(.com/.net/.org等)遭到DNS劫持/污染,所有域名被指向到一个位于美国的IP地址。
全球13个根服务器都在国外,一旦受到外国的制约、攻击,我国互联网存在瘫痪的风险。对于这一类问题的预防我们显得非常被动,而目前扩容根域名服务器合作难度大,被攻击、劫持等问题引发的DNS解析大面积瘫痪无法响应等问题将无法控制。
发明内容
针对背景技术中的不足,本发明提供了自循环域名解析系统,从国外根服务器获取最新的根域、顶级域索引数据,并采用增量区域传输不断更新,以及抓包技术不断补充,承担国内“根服务器”的作用,一旦国外发生故障,该系统可与运营商localDNS对接,拥有DNS根域、顶级域及大量二级域递归信息, 无论是平时还是应急状态均可以满足用户递归服务需求。
本发明提供一种自循环域名解析系统,所述系统包括基础数据采集层和平台服务层,所述基础数据采集层遵循DNS协议,通过区域传输方式同步国际根、顶级域数据,镜像复制运营商和国际出口流量数据完成数据采集;所述平台服务层通过大数据分析技术获取全量二级域名递归的NS记录,省去国内用户出国递归的过程。
进一步的,所述基础数据采集层包括部署在国际出口的DNS服务器以及旁挂在省级运营商DNS服务器;所述平台服务层包括至少两台DNS服务器,分别为主服务器和备用服务器,所述主服务器与国外根、顶级域源服务器保持连接。
上述域名系统基于以下区域数据传输方法进行数据传输,该方法通过系统主服务器与国外根、顶级域服务器即源服务器之间的区域传输获取递归信息。
进一步的,所述方法包括以下步骤:
步骤一,主服务器向源服务器发出查询Start Of Authority SOA查询的请求;
步骤二,源服务器应答SOA查询请求,向主服务器提供SOA查询的资源记录;
步骤三,主服务器向源服务器发送区域传输请求,首次发送全量传输请求,以后发送增量传输请求;
步骤四,源服务器作出响应,并将此区域完全或者增量区域信息传送到主服务器。
进一步的,在步骤二中,所述源服务器传输内容中还包括源服务器中的SOA配置信息。
进一步的,所述SOA配置的参数包括有:
区域文件的修订号,所述主服务器的完整域名,刷新间隔,重试间隔,过期间隔最小TTL。
更进一步的,所述方法还包括以下步骤实现对所述区域信息的续订:
步骤五,根据SOA配置情况,当刷新间隔到期时,主服务器再次使用SOA查询来请求从源服务器续订区域信息;
步骤六,源服务器应答SOA记录的查询,主服务器检查响应中的SOA记录的序列号。
基于上述系统及传输方法,本发明提供一种自循环域名解析方法,所述方法采用高性能服务器通过DNS协议同步国际根、顶级域数据,镜像复制运营商和国际出口流量数据完成数据采集;在域名解析查询时,先在运营商的本地服务器进行查询响应,若未有缓存记录,再通过系统中的高性能服务器与根、顶级域服务器之间的区域传输以及DNS流量信息提取的递归记录结果进行搜索查询响应用户请求,省去国内用户出国递归的过程。
所述方法具体包括以下步骤:
第一步,用户向运营商的本地服务器发起域名解析请求,运营商本地服务器查找缓存,是否有这个完整域名映射关系;如果有,直接返回其对应的IP地址结果,完成域名解析;如果没有相应的域名映射关系,向上递归至自循环域名解析系统中的主服务器,所述主服务器收到请求后,查询数据索引库中是否存在该域名的二级域名NS记录地址;
第二步,如果在本地配置区域资源中,则根据所述二级域名NS记录地址,继续向权威域名服务器递归获取该域名IP地址,返回给运营商本地服务器,运营商本地服务器将映射结果返回给客户机并同时缓存,完成域名解析过程;
第三步,如果不在本地配置区域资源中,自循环域名解析系统将请求发至根、顶级域服务器即源服务器,所述源服务器收到请求通过迭代查询,将二级域名的NS记录发送给自循环域名解析系统主服务器;
第四步,所述主服务器存储该NS记录并继续递归,向负责所述存储具体域名的权威域名服务器查询,最终找到用户请求的域名对应的地址,将最终的地址返回给运营商本地服务器,运营商本地服务器将结果返回给客户机并同时缓存,完成域名解析过程。本发明提供的区域数据传输方法、自循环域名解析系统及方法,主要存在如下优点:
整个自循环域名解析系统同步了国际根、顶级域服务器中信息索引关系,并采用自主研发的高性能的DNS服务器,实现了DNS服务性能的大幅提升,可支撑我国高负荷的DNS请求量。系统具有以下优势:
1、全面支持增量区域传输
系统与根、顶级域服务器采用区域传输,其中区域传输包括两种方式:全量与增量。全量传输请求经常导致全区域传输。如果区域文件很大的话,它需要花费很多的时间并占用一定的带宽资源。当新的DNS服务器添加到网络,并且配置为现有区域的新的辅助服务器时,初始传送实行全量区域传输,以便获得和复制区域的一份完整的资源记录副本。后期更新实行增量区域传输,只有当复制主DNS服务器的序列号比申请同步复制的DNS服务器对应区域的序列号大,则传送的内容仅由区域中每个递增版本的资源记录的改动组成。
2、采用DPDK技术和NFV技术,解析服务性能效果显著
域名自循环系统采用软硬件分离的架构,基于Intel DPDK相关技术,完成DNS流量采集。系统通过使用高性能分流设备以及负载均衡技术,完成数据包的深度解析并按照请求和响应消息进行一一对应后输出数据文件。系统单套性能实现650万QPS的巨大突破,是主流互联网域名系统的近30倍。
3、多策略应答,针对不同IP地址区域分布请求给予最优地址响应
设置地域响应策略,策略是针对不同区域用户给出不同的域地址响应。通过DNS请求报文加上用户IP地址能够更客观更精准地选择域服务器地址,从而向就近域服务器递归,缩短了递归解析时间。
4、自循环一体化服务,避免过度依赖国外解析服务
系统包括数据采集、分析、解析和安全监控等一体化服务。其中数据采集通过与国外根域名同步、镜像国际出口、运营商DNS及第三方权威DNS(如阿里)等的数据。分析建立在实际业务运营的基础上展开多维度数据融合分析。递归服务是本系统的核心功能,支持高并发量的服务体量,并避免了国内需要出国递归请求的问题。安全监控则是解析稳定性和安全性的保障。当国外解析发生故障,系统能够自行运转,快速响应用户请求,为国内用户提供全方位的递归解析安全服务。
附图说明
图1为本发明自循环域名解析系统的功能架构图;
图2为本发明自循环域名解析系统结构示意图;
图3为本发明中区域传输机制示意图;
图4为自循环域名解析方法流程图。
具体实施方式
本发明提供一种区域数据传输方法、自循环域名解析系统及方法,为使本发明的目的、思路更加清楚,明确,参照实例对本发明进一步详细说明。应当理解,此处所描述的具体实施仅用以解释本发明,并不用于限定本发明。
本发明提供一种自循环域名解析系统,所述系统包括基础数据采集层和平台服务层,所述基础数据采集层通过DNS协议同步国际根、顶级域数据,镜像复制运营商和国际出口流量数据完成数据采集;所述平台服务层通过与根、顶级域服务器之间的区域传输获取递归信息,省去国内用户出国递归的过程。
方案将通过DNS协议同步国际根数据、自主采集分析生成数据等手段完成国际根数据采集和完善,包含国际根、顶级域、国外权威DNS的解析数据。系统能够全天候不间断提供递归查询服务,也可以仅用于应急情况将DNS递归请求引导至该系统进行响应。
自循环域名解析系统保持与国外根服务器、权威服务器等数据同步,最大限度拥有最全的关系索引信息。域地址递归可根据划分不同地区IP地址段,采用不同策略,以达到用户解析最快响应。自循环域名解析系统功能架构图见图1,包括基础数据采集层和平台服务层。
进一步的,所述基础数据采集层包括部署在国际出口的DNS服务器以及旁挂在省级运营商DNS服务器;所述平台服务层包括至少两台DNS服务器,分别为主服务器和备用服务器,所述主服务器国外根、顶级域源服务器保持连接。
实施例1
一、基础数据采集层
基础数据采集层主要实现对DNS数据流量的采集功能。数据来源细分为三种渠道:一是与国外根域名系统保持同步;二是设备部署国际出口采集该出口流量;三是旁挂在省级运营商DNS服务器部署,采集用户请求数据。其中第一种方式采用全量与增量区域传输机制。第二种和第三种采用镜像复制方式采集。
1、根、顶级域数据获取
该部分是基于DNS的相关协议,通过区域传输机制,将国际根、顶级域数据进行完整的复制,为平台服务层实现根、顶级数据的递归解析服务提供支撑。当新的 DNS 服务器添加到网络,并且配置为现有区域的新的辅助服务器时,首次将执行该区域的完全初始传输,以便获得和复制区域的一份完整的资源记录副本。在区域更改后如果区域请求更新,系统服务支持“增量区域传输”。增量区域传输原理如下:
(1)通过增量区域传输时,首先确定区域的复制版本和主服务器区域之间的差异。
(2)如果该区域识别为与每个区域的启动授权机构SOA资源记录中序列号字段所指示的版本相同,则不进行任何传送。
如果主区域中区域的序列号比申请辅助服务器中的大,则传输的内容仅由区域中每个递增版本的资源记录的改动组成。为了使增量查询成功并发送更改的内容,此区域的主 DNS 服务器必须保留递增区域变化的历史记录,以便在应答这些查询时使用。实际上,递增传输过程在网络上需要更少的通讯量,而且区域传输完成得更快。
2、非根域信息通过DNS流量实时采集
DNS流量采集基于DPDK技术实现对DNS数据的高速全量采集,使用高性能分流设备以及负载均衡技术,完成数据包的深度解析并按照请求和响应消息进行一一对应后输出数据文件。
DNS流量采集是对区域传输的补充。在国际出口以及三大运营商全国32个省份部署节点,采集DNS流量,为获取更全的解析信息、大数据监控提供基础数据。
二、平台服务层
1、域名递归服务
(1)递归解析:假设用户想获取www.xxx.com的IP地址。如果本地DNS服务器区域文件没有缓存导致解析失效,则本地DNS服务器将递归至本系统服务器查询。本系统分析根域名、顶级域名索引数据及DNS流量数据,存储二级域名的NS记录,因此本功能可以省略原本出国进行根域名、顶级域名迭代查询获取NS记录的过程,在本系统内部直接查询到NS解析结果记录,实现自循环。本模块收到请求后将会在索引区域按照根域—顶级域—二级域层层查询。并依据二级域对应NS地址向权威域名服务器发起递归请求,找到该子域www.xxx.com主机对应的IP地址。
(2)白名单功能:白名单中罗列了已知安全备案的域字段与IP地址对应关系信息。白名单功能开启后,用户递归解析请求一旦域字段与白名单的域字段匹配成功,系统将直接返回域服务器的IP递归结果;若不在白名单中,则不作任何处理,也不向国外寻求递归结果。当国外服务器发生攻击或停止服务,启动安全模式即该开启此功能。白名单能够为用户访问提供安全上网环境。
(3)策略控制:策略的制定将根据用户的IP在递归解析过程中给出最佳域服务器响应地址。配置策略包括域字段、用户IP字段区间范围、域服务器IP字段等关键信息。
2、域名核心数据同步配置
核心数据主要包括根域名、顶级域名信息。同步机制采用区域传输机制。区域传输主要配置参数如下:
(1)序列号:序列号代表了此区域文件的修订号。当区域中任何资源记录被修改或者点击了增量按钮时,此序列号会自动增加。在配置了区域复制时,辅助DNS服务器会间歇的查询主服务器上DNS区域的序列号,如果主服务器上DNS区域的序列号大于自己的序列号,则辅助DNS服务器向主服务器发起区域复制。
(2)主服务器:主服务器包含了此DNS区域的主DNS服务器的完整域名,此名字必须使用“.”结尾。
(3)刷新间隔: 此参数定义了辅助DNS服务器查询主服务器以进行区域更新前等待的时间。当刷新时间到期时,辅助DNS服务器从主服务器上获取主DNS区域的SOA记录,然后和本地辅助DNS区域的SOA记录相比较,如果值不相同则进行区域传输。默认情况下,刷新间隔为15分钟。
(4)重试间隔:此参数定义了当区域复制失败时,辅助DNS服务器进行重试前需要等待的时间间隔,默认情况下为10分钟。
(5)过期时间:此参数定义了当辅助DNS服务器无法联系主服务器时,还可以使用此辅助DNS区域答复DNS客户端请求的时间。当到达此时间限制时,辅助DNS服务器会认为此辅助DNS区域不可信。默认情况下为1天。
(6)最小TTL:此参数定义了应用到此DNS区域中所有资源记录的生存时间(TTL),默认情况下为1小时。此TTL只是和资源记录在非权威的DNS服务器上进行缓存时的生存时间,当TTL过期时,缓存此资源记录的DNS服务器将丢弃此记录的缓存。
3、DNS数据多维度分析
(1)四大基础库数据建立:综合DNS日志、工信部备案、IP地址库和采集的HTTP流量信息汇总形成四大基础数据库。
域名库:全国的域名信息、域名归属网站、归属公司、备案状态以及域名的解析IP地址列表信息,并定期更新。
IP地址库:全国IP地址的归属地域、归属运营商、IP地址的服务类型、备案状况,并实现对IP地址的反查功能,了解IP服务的域名以及域名的备案情况。
网站库:全国网站信息库,包含网站、网站类型、归属公司、网站包含域名个数、未备案的个数并能详细查看该网站包含的每个域名的信息及备案情况情况。
ICP库:统计全国的ICP的基本信息,ICP下级查看该ICP包含的网站、网站类型,域名、备案信息。
在以上四个基础库基础上,根据具体的业务需要,开展多维度的数据分析:
(2)流量流向分析:对于用户访问内容包括域名、IP地址、内容进行分类分析,了解用户访问热点内容,为最佳路径调度提供依据。
域名角度分析:从域名请求次数、成功次数、各大运营商请求分布图了解域名的请求解析状况,为域名访问异常突增、突降等提供告警提醒。
公司角度分析:掌握内容提供商旗下网站分布、备案情况。
接入类型分析:按照接入方式,了解宽带、移动端等域名请求与解析情况。
区域分布分析:按照区域划分,了解该区域访问及响应情况,并为ACL策略制定以及调度优化效果提供参考。
(3)解析错误分析:针对解析错误的数据进行汇总分析,排查故障原因。
4、DNS安全管控
(1)网站备案:基于工信部已有的备案信息,通过爬虫对每个网站的首页元素进行爬取,和备案信息进行比对,输出比对结果,发现备案信息和实际网站不符合的现象,实施管控和变更,提高互联网基础资源信息的准确性。
(2)重点网站异常:
特征库学习:通过网页爬虫爬取重点网站首页的特征元素,形成重点网站的特征元素库,且特征库是在持续学习并更新的。
网站异常监控:依据网站的特征元素库,定期拨测对比,判断网站是否存在恶意代码、劫持、内容篡改等情况,监控重点网站的信息安全事件,实现重点网站在重大活动期间的保障工作。针对热门网站,及时发现域名劫持、网站篡改或者恶意代码植入等问题。
(3)不良信息监测:主要包括文本监测、图片监测、视频监测。基于URL信息通过人工智能的深度学习技术对图片、文字、视频等特征库进行深入学习,提取对应的指纹库,并持续更新,实现互联网不良信息的监测。
5、同步接口
提供同步接口,通过该接口分发实现自循环域名解析系统主备服务器数据同步。同步数据包含根域、顶级域等域名递归记录关系,以此提高系统服务抗风险能力。
作为一种优选,所述主服务器和所述备用服务器的配置标准为: 2U/至强18核CPU*2/RAID卡/X710 2*SPF+万兆接口+4*千兆电口/300G SSD硬盘*2 raid1+1T SAS*6raid5/内存160G 1600M ECC/IPMI远程控制卡/双电源。
实施例2
两台高性能DNS服务器安装自循环域名解析系统,一台提供日常递归解析服务,一台备用。两台设备通过接口保持数据同步一致,一台为主服务器,另一台为备用服务器,三大运营商localDNS与自循环域名解析系统主服务器建立连接。同时,自循环域名解析系统主服务器与国外根、顶级域源服务器保持连接。自循环域名解析系统服务器将通过DNS协议同步国际根、顶级域数据、镜像复制运营商和国际出口流量数据等手段完成数据采集。整体部署结构图见图2。
自循环域名解析系统服务器主要通过与根、顶级域服务器之间的区域传输获取递归信息,可以省去国内用户出国递归的过程。区域传输流程图示见图3,主服务器指的是域名解析自循环系统的服务器,即本发明。源服务器指的是国外根域名、顶级域名服务器。区域传输机制说明如下:
进一步的,所述方法包括以下步骤:
步骤一,主服务器向源服务器发出查询Start Of Authority SOA查询的请求;
步骤二,源服务器应答SOA查询请求,向主服务器提供SOA查询的资源记录;
步骤三,主服务器向源服务器发送区域传输请求,首次发送全量传输请求,以后发送增量传输请求;
步骤四,源服务器作出响应,并将此区域完全或者增量区域信息传送到主服务器。
进一步的,在步骤二中,所述源服务器传输内容中还包括源服务器中的SOA配置信息。
进一步的,所述SOA配置的参数包括有:
区域文件的修订号,所述主服务器的完整域名,刷新间隔,重试间隔,过期间隔最小TTL。
进一步的,所述方法还包括以下步骤实现对所述区域信息的续订:
步骤五,根据SOA配置情况,当刷新间隔到期时,辅助服务器再次使用SOA查询来请求从主服务器续订区域信息;
步骤六,主服务器应答SOA记录的查询,辅助服务器检查响应中的SOA记录的序列号。
在整个解析系统的基础上,本发明还提供自循环域名解析方法,所述方法采用高性能服务器通过DNS协议同步国际根、顶级域数据,镜像复制运营商和国际出口流量数据完成数据采集;在SOA查询时,先在运营商的本地服务器进行查询响应,再通过系统中的高性能服务器与根、顶级域服务器之间的区域传输获取递归信息,省去国内用户出国递归的过程。
具体的说,所述方法具体包括以下步骤:
第一步,用户向运营商的本地服务器发起完整域名请求,运营商本地服务器查找缓存,是否有该域名映射关系;如果有,直接返回,完成域名解析;如果没有相应的域名映射关系,向上递归至自循环域名解析系统中的主服务器,所述主服务器收到请求后,查询数据索引库中是否存在该域名对应二级域名相关地址记录;
第二步,如果在本地配置区域资源中,则根据所述二级域名的记录结果继续递归查询域名对应的地址,将最终域名对应的地址返回给运营商本地服务器,运营商本地服务器将结果返回给客户机并同时缓存,完成域名解析过程;
第三步,如果不在本地配置区域资源中,自循环域名解析系统将请求发至根、顶级域服务器即源服务器,所述源服务器收到请求后判断所述域名的一级域名授权管理服务器,并返回一个负责所述一级域名的顶级域名服务器地址;
第四步,所述负责该一级域名的顶级域名服务器收到请求后,则查找所述二级域名授权管理服务器地址,将该二级域名地址返回给自循环域名解析系统主服务器;
第五步,所述主服务器继续递归,重复第二步,向负责所述二级域名域名的服务器查询子域,最终找到用户及所请求的域名对应的地址,将最终的地址返回给运营商本地服务器,运营商本地服务器将结果返回给客户机并同时缓存,完成域名解析过程。
实施例3
当用户发起域名解析请求,若对应的运营商localDNS有相关记录则返回解析结果;若没有则递归至自循环域名解析系统,具体解析流程如图4所示,比如:用户输入www.qq.com,解析过程如下:
1)用户在浏览器中输入www.qq.com域名,向运营商localDNS发起请求。运营商localDNS服务器查找缓存,是否有这个域名映射关系。
2)如果有,直接返回,完成域名解析。
3)如果没有相应的域名映射关系,向上递归至自循环域名解析系统服务器,该服务器收到请求后,查询数据索引库中是否存在二级域(qq.com)NS地址记录。
4)如果在本地配置区域资源中,则根据二级域(qq.com)的NS记录结果继续递归查询www.qq.com域名对应的地址,4-1说明:将最终域名对应的地址返回给运营商localDNS,
4-2说明:运营商localDNS将结果返回给客户机并同时缓存,完成域名解析过程。
5)如果不在本地配置区域资源中,自循环域名解析系统将请求发至国外13台根DNS,根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理,并会返回一个负责该.com顶级域名服务器的一个IP。这台负责.com域的服务器收到请求后,如果自己无法解析,它就会找一个管理qq.com域的下一级DNS服务器地址,将该二级域地址返回给自循环域名解析系统服务器。
6)服务器存储该二级域名的NS记录信息,继续递归请求,向负责qq.com相关的权威服务器查询子域,最终找到www.qq.com对应的域名地址。将最终域名对应的地址返回给运营商localDNS,运营商localDNS将结果返回给客户机并同时缓存,完成域名解析过程。
自循环域名解析系统将通过数据采集、学习与分析,不断扩大区域资源,使得用户请求资源均在其数据库范围内,大大降低对国际根、顶级域查询的依赖。当国外根、顶级域发生故障,该系统可以独立自主运作,提供递归查询服务,快速响应用户请求。
自循环域名解析系统通过区域传输与抓包技术获取全量索引数据,与运营商对接,为国内广大用户提供域名递归服务。一旦国外根域名服务器发生故障,该系统可以作为应急平台,根据根域、顶级域索引和二级域、子域的授权解析数据,实现用户请求无需出国即可获取递归结果,有效规避国外根域恶性DDos攻击、劫持等带来的安全威胁以及潜在的经济损失。自循环域名解析系统拥有庞大的解析数据并采用机器学习技术进行数据分析与安全监控,从而实现数据采集、分析、递归解析、安全监控一体化服务。
本专利具体应用途径很多,以上所述仅为本专利的优选实施方案,并非因此限制本专利的实施方式及保护范围,对于本领域技术人员而言,在本专利原理的前提下作出等同替换和显而易见变化所得到的方案,均应当包含在专利的保护范围内。
Claims (9)
1.自循环域名解析系统,其特征在于,所述系统包括基础数据采集层和平台服务层,所述基础数据采集层遵循DNS协议,通过区域传输方式同步国际根、顶级域数据,镜像复制运营商和国际出口流量数据完成数据采集;所述平台服务层通过大数据分析技术获取全量二级域名递归的NS记录,省去国内用户出国递归的过程。
2.根据权利要求1所述的自循环域名解析系统,其特征在于,所述基础数据采集层包括部署在国际出口的DNS服务器以及旁挂在省级运营商DNS服务器;所述平台服务层包括至少两台DNS服务器,分别为主服务器和备用服务器,所述主服务器与国外根、顶级域源服务器保持连接。
3.区域数据传输方法,其特征在于,该方法通过系统主服务器与国外根、顶级域服务器即源服务器之间的区域传输获取递归信息。
4.根据权利要求3所述的区域数据传输方法,其特征在于,所述方法包括以下步骤:
步骤一,主服务器向源服务器发出查询Start Of Authority SOA查询的请求;
步骤二,源服务器应答SOA查询请求,向主服务器提供SOA查询的资源记录;
步骤三,主服务器向源服务器发送区域传输请求,首次发送全量传输请求,以后发送增量传输请求;
步骤四,源服务器作出响应,并将此区域完全或者增量区域信息传送到主服务器。
5.根据权利要求4所述的区域数据传输方法,其特征在于,在步骤二中,所述源服务器传输内容中还包括源服务器中的SOA配置信息。
6.根据权利要求5所述的区域数据传输方法,其特征在于,所述SOA配置的参数包括有:
区域文件的修订号,所述主服务器的完整域名,刷新间隔,重试间隔,过期间隔最小TTL。
7.根据权利要求6所述的区域数据传输方法,其特征在于,所述方法还包括以下步骤实现对所述区域信息的续订:
步骤五,根据SOA配置情况,当刷新间隔到期时,主服务器再次使用SOA查询来请求从源服务器续订区域信息;
步骤六,源服务器应答SOA记录的查询,主服务器检查响应中的SOA记录的序列号。
8.自循环域名解析方法,其特征在于,所述方法采用高性能服务器通过DNS协议同步国际根、顶级域数据,镜像复制运营商和国际出口流量数据完成数据采集;在域名解析查询时,先在运营商的本地服务器进行查询响应,若未有缓存记录,再通过系统中的高性能服务器与根、顶级域服务器之间的区域传输以及DNS流量信息提取的递归记录结果进行搜索查询响应用户请求,省去国内用户出国递归的过程。
9.根据权利要求8所述的自循环域名解析方法,其特征在于,所述方法具体包括以下步骤:
第一步,用户向运营商的本地服务器发起域名解析请求,运营商本地服务器查找缓存,是否有这个完整域名映射关系;如果有,直接返回其对应的IP地址结果,完成域名解析;如果没有相应的域名映射关系,向上递归至自循环域名解析系统中的主服务器,所述主服务器收到请求后,查询数据索引库中是否存在该域名的二级域名NS记录地址;
第二步,如果在本地配置区域资源中,则根据所述二级域名NS记录地址,继续向权威域名服务器递归获取该域名IP地址,返回给运营商本地服务器,运营商本地服务器将映射结果返回给客户机并同时缓存,完成域名解析过程;
第三步,如果不在本地配置区域资源中,自循环域名解析系统将请求发至根、顶级域服务器即源服务器,所述源服务器收到请求通过迭代查询,将二级域名的NS记录发送给自循环域名解析系统主服务器;
第四步,所述主服务器存储该NS记录并继续递归,向负责所述存储具体域名的权威域名服务器查询,最终找到用户请求的域名对应的地址,将最终的地址返回给运营商本地服务器,运营商本地服务器将结果返回给客户机并同时缓存,完成域名解析过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810268964.2A CN108449444B (zh) | 2018-03-29 | 2018-03-29 | 区域数据传输方法、自循环域名解析系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810268964.2A CN108449444B (zh) | 2018-03-29 | 2018-03-29 | 区域数据传输方法、自循环域名解析系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108449444A true CN108449444A (zh) | 2018-08-24 |
| CN108449444B CN108449444B (zh) | 2021-06-18 |
Family
ID=63197448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810268964.2A Active CN108449444B (zh) | 2018-03-29 | 2018-03-29 | 区域数据传输方法、自循环域名解析系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108449444B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495604A (zh) * | 2018-12-20 | 2019-03-19 | 互联网域名系统北京市工程研究中心有限公司 | 一种泛根域名解析的方法 |
| CN109842554A (zh) * | 2019-01-23 | 2019-06-04 | 生迪智慧科技有限公司 | 设备服务的路由方法、装置、设备及存储介质 |
| CN110049133A (zh) * | 2019-04-22 | 2019-07-23 | 中国互联网络信息中心 | 一种dns区文件全量下发的方法和装置 |
| CN110049049A (zh) * | 2019-04-22 | 2019-07-23 | 中国互联网络信息中心 | 一种dns区数据校验的方法和装置 |
| CN111107179A (zh) * | 2019-12-30 | 2020-05-05 | 北京信息科技大学 | 一种去中心化域名服务方法、数据采集方法和系统 |
| CN111107081A (zh) * | 2019-12-17 | 2020-05-05 | 互联网域名系统北京市工程研究中心有限公司 | 基于dpdk的多进程dns服务方法和系统 |
| CN111404885A (zh) * | 2020-03-03 | 2020-07-10 | 清华大学 | IPv6域名解析方法及系统 |
| CN111614783A (zh) * | 2020-05-29 | 2020-09-01 | 北京邮电大学 | 域名解析应急响应方法及系统 |
| WO2020258991A1 (zh) * | 2019-06-28 | 2020-12-30 | 深圳前海微众银行股份有限公司 | 安全组策略管理方法、装置、设备及计算机可读存储介质 |
| CN112565478A (zh) * | 2020-10-21 | 2021-03-26 | 奇安信科技集团股份有限公司 | 域名线索备份方法、装置、系统、计算机设备和介质 |
| CN113542040A (zh) * | 2021-09-16 | 2021-10-22 | 中国信息通信研究院 | 时长指示方法、装置及电子设备 |
| CN114465926A (zh) * | 2022-04-12 | 2022-05-10 | 鹏城实验室 | 递归服务器监测方法、装置、设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1505032A (zh) * | 2002-12-04 | 2004-06-16 | 上海乐金广电电子有限公司 | 利用国际互联网的光盘播放方法 |
| US20080189355A1 (en) * | 2007-02-07 | 2008-08-07 | Microsoft Corporation | Per-Application Remote Volume Control |
| CN101668050A (zh) * | 2008-09-07 | 2010-03-10 | 赵捷 | 域名解析方法及系统 |
| US20130163453A1 (en) * | 2011-12-27 | 2013-06-27 | Xintian E. Lin | Presence sensor with ultrasound and radio |
| CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
| CN105391818A (zh) * | 2015-11-26 | 2016-03-09 | 中国互联网络信息中心 | 一种基于递归服务器的权威域名应急解析系统及方法 |
| CN106161674A (zh) * | 2016-07-25 | 2016-11-23 | 宁圣金融信息服务(上海)有限公司 | 一种区块链域名解析装置 |
| CN106973028A (zh) * | 2016-01-13 | 2017-07-21 | 云南标源科技有限公司 | 一种Android云终端 |
| CN107231454A (zh) * | 2017-07-06 | 2017-10-03 | 深圳互联先锋科技有限公司 | 域名大批量异步查询的方法及装置 |
-
2018
- 2018-03-29 CN CN201810268964.2A patent/CN108449444B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1505032A (zh) * | 2002-12-04 | 2004-06-16 | 上海乐金广电电子有限公司 | 利用国际互联网的光盘播放方法 |
| US20080189355A1 (en) * | 2007-02-07 | 2008-08-07 | Microsoft Corporation | Per-Application Remote Volume Control |
| CN101668050A (zh) * | 2008-09-07 | 2010-03-10 | 赵捷 | 域名解析方法及系统 |
| US20130163453A1 (en) * | 2011-12-27 | 2013-06-27 | Xintian E. Lin | Presence sensor with ultrasound and radio |
| CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
| CN105391818A (zh) * | 2015-11-26 | 2016-03-09 | 中国互联网络信息中心 | 一种基于递归服务器的权威域名应急解析系统及方法 |
| CN106973028A (zh) * | 2016-01-13 | 2017-07-21 | 云南标源科技有限公司 | 一种Android云终端 |
| CN106161674A (zh) * | 2016-07-25 | 2016-11-23 | 宁圣金融信息服务(上海)有限公司 | 一种区块链域名解析装置 |
| CN107231454A (zh) * | 2017-07-06 | 2017-10-03 | 深圳互联先锋科技有限公司 | 域名大批量异步查询的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 曹蓟光: "互联网域名系统管理新机制的研究", 《电信网络技术》 * |
| 苏嘉,李原,王一雯,金桦: "全球根域名系统布局环境分析和中国应对策略", 《电视技术》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495604A (zh) * | 2018-12-20 | 2019-03-19 | 互联网域名系统北京市工程研究中心有限公司 | 一种泛根域名解析的方法 |
| CN109495604B (zh) * | 2018-12-20 | 2021-09-21 | 互联网域名系统北京市工程研究中心有限公司 | 一种泛根域名解析的方法 |
| CN109842554A (zh) * | 2019-01-23 | 2019-06-04 | 生迪智慧科技有限公司 | 设备服务的路由方法、装置、设备及存储介质 |
| CN110049133A (zh) * | 2019-04-22 | 2019-07-23 | 中国互联网络信息中心 | 一种dns区文件全量下发的方法和装置 |
| CN110049049A (zh) * | 2019-04-22 | 2019-07-23 | 中国互联网络信息中心 | 一种dns区数据校验的方法和装置 |
| CN110049133B (zh) * | 2019-04-22 | 2021-10-22 | 中国互联网络信息中心 | 一种dns区文件全量下发的方法和装置 |
| WO2020258991A1 (zh) * | 2019-06-28 | 2020-12-30 | 深圳前海微众银行股份有限公司 | 安全组策略管理方法、装置、设备及计算机可读存储介质 |
| CN111107081A (zh) * | 2019-12-17 | 2020-05-05 | 互联网域名系统北京市工程研究中心有限公司 | 基于dpdk的多进程dns服务方法和系统 |
| CN111107081B (zh) * | 2019-12-17 | 2022-01-11 | 深圳网基科技有限公司 | 基于dpdk的多进程dns服务方法和系统 |
| CN111107179A (zh) * | 2019-12-30 | 2020-05-05 | 北京信息科技大学 | 一种去中心化域名服务方法、数据采集方法和系统 |
| CN111404885A (zh) * | 2020-03-03 | 2020-07-10 | 清华大学 | IPv6域名解析方法及系统 |
| CN111404885B (zh) * | 2020-03-03 | 2021-02-09 | 清华大学 | IPv6域名解析方法及系统 |
| CN111614783A (zh) * | 2020-05-29 | 2020-09-01 | 北京邮电大学 | 域名解析应急响应方法及系统 |
| CN112565478A (zh) * | 2020-10-21 | 2021-03-26 | 奇安信科技集团股份有限公司 | 域名线索备份方法、装置、系统、计算机设备和介质 |
| CN113542040A (zh) * | 2021-09-16 | 2021-10-22 | 中国信息通信研究院 | 时长指示方法、装置及电子设备 |
| CN114465926A (zh) * | 2022-04-12 | 2022-05-10 | 鹏城实验室 | 递归服务器监测方法、装置、设备及存储介质 |
| CN114465926B (zh) * | 2022-04-12 | 2022-07-01 | 鹏城实验室 | 递归服务器监测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108449444B (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108449444A (zh) | 区域数据传输方法、自循环域名解析系统及方法 | |
| CN103744802B (zh) | Sql注入攻击的识别方法及装置 | |
| RU2417417C2 (ru) | Идентификация в реальном времени модели ресурса и категоризация ресурса для содействия в защите компьютерной сети | |
| US10187275B2 (en) | Monitoring network traffic by using event log information | |
| CN103581363B (zh) | 对恶意域名和非法访问的控制方法及装置 | |
| US7890626B1 (en) | High availability cluster server for enterprise data management | |
| US7640235B2 (en) | System and method for correlating between HTTP requests and SQL queries | |
| AU2009222468B2 (en) | Segregating anonymous access to dynamic content on a web server, with cached logons | |
| CN101815105B (zh) | 带智能缓存的域名解析服务系统及其服务方法 | |
| US6772214B1 (en) | System and method for filtering of web-based content stored on a proxy cache server | |
| US6182142B1 (en) | Distributed access management of information resources | |
| US7770204B2 (en) | Techniques for securing electronic identities | |
| US7165182B2 (en) | Multiple password policies in a directory server system | |
| CN104063756A (zh) | 远程用电信息控制系统 | |
| CN103888490A (zh) | 一种全自动的web客户端人机识别的方法 | |
| WO2006101310A1 (en) | Local domain name service system and method for providing service using domain name service system | |
| CN112600868B (zh) | 域名解析方法、域名解析装置及电子设备 | |
| JP5415390B2 (ja) | フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム | |
| US20180145983A1 (en) | Distributed data storage system using a common manifest for storing and accessing versions of an object | |
| CN101755434A (zh) | 移动用户数据系统 | |
| US7917636B2 (en) | System and method for detecting unused accounts in a distributed directory service | |
| US10931688B2 (en) | Malicious website discovery using web analytics identifiers | |
| US20030088648A1 (en) | Supporting access control checks in a directory server using a chaining backend method | |
| US20040122916A1 (en) | Establishment of network connections | |
| RU2477573C2 (ru) | Записи вариантов в сетевых репозиториях данных |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |