CN110636006B - 域名查询方法和系统、路由节点、控制节点和防护节点 - Google Patents
域名查询方法和系统、路由节点、控制节点和防护节点 Download PDFInfo
- Publication number
- CN110636006B CN110636006B CN201810657097.1A CN201810657097A CN110636006B CN 110636006 B CN110636006 B CN 110636006B CN 201810657097 A CN201810657097 A CN 201810657097A CN 110636006 B CN110636006 B CN 110636006B
- Authority
- CN
- China
- Prior art keywords
- domain name
- query
- node
- recursive
- control node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种域名查询方法和系统、路由节点、控制节点和防护节点。该方法包括:控制节点接收路由节点发送的递归服务器发起的递归查询请求;控制节点根据根服务器的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制,以便路由节点将重要域名的查询请求路由至根服务器,跟服务器将重要域名的查询结果返回给路由节点。本发明可以提高域名系统的可靠性,并降低攻击对根服务器的影响,使得根服务器尽快恢复服务。
Description
技术领域
本发明涉及数据通信领域,特别涉及一种域名查询方法和系统、路由节点、控制节点和防护节点。
背景技术
DNS(Domain Name System,域名系统)是Internet的一项核心服务,从静态角度,DNS可以理解为一个分布式数据库。数据库的管理员负责授权给他的那部分数据的维护。该数据是对某些主机相关信息的记录,如主机名、别名、IP地址、email路由等。对一主机的一条记录信息称为“资源记录(resource record)”。从动态角度,DNS可以理解为对主机信息的查询和应答。该查询应答采用典型的CS(Client/Service,客户/服务器)模型。客户端发起DNS请求,查询某主机的信息。服务器收到该请求后产生应答,返回给客户。通常,客户端发起请求的程序叫做解析器(resolver),服务器端作应答的程序叫做名字服务器(nameserver)。
发明内容
申请人发现:进入21世纪后,宽带和无线数据业务的普及带来了用户数的爆发性增长,加上用户上网时长的延长、网页第三方链接的增多和大量客户端软件自动发送DNS请求,都导致了DNS请求量大幅提高。
域名是互联网访问的入口,而DNS作为关于域名的一种公开服务,历来是被攻击的对象。特别是运营商的DNS系统,一旦被攻倒,将造成最大范围的网络瘫痪。所以,性能和安全,是当今DNS服务系统面临的两大突出问题。
鉴于以上技术问题,本发明提供了一种域名查询方法和系统、路由节点、控制节点和防护节点,可以保证域名系统的可靠性,提升用户感知。
根据本发明的一个方面,提供一种域名查询方法,包括:
路由节点将递归服务器发起的递归查询请求路由至控制节点,以便控制节点根据根服务器的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制;
路由节点将重要域名的查询请求路由至根服务器;
路由节点接收跟服务器返回的重要域名的查询结果。
在本发明的一些实施例中,所述域名查询方法还包括:
路由节点将重要域名的查询结果路由至控制节点,以便控制节点判断重要域名的查询结果是否正常,并在重要域名的查询结果正常的情况下,将所述重要域名的查询结果返回给递归服务器。
根据本发明的另一方面,提供一种域名查询方法,包括:
控制节点接收路由节点发送的递归服务器发起的递归查询请求;
控制节点根据根服务器的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制,以便路由节点将重要域名的查询请求路由至根服务器,跟服务器将重要域名的查询结果返回给路由节点。
在本发明的一些实施例中,所述域名查询方法还包括:
控制节点接收路由节点转发的重要域名的查询结果;
控制节点判断重要域名的查询结果是否正常;
若重要域名的查询结果正常,则控制节点将所述重要域名的查询结果返回给递归服务器。
在本发明的一些实施例中,所述域名查询方法还包括:
若重要域名的查询结果不正常,则控制节点从预定标准域名记录中确定所述重要域名的标准查询结果,并将所述重要域名的标准查询结果返回给递归服务器。
在本发明的一些实施例中,所述域名查询方法还包括:
控制节点将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点,以便防护节点过滤掉攻击请求,将非攻击正常请求转发给控制节点;
控制节点从预定标准域名记录中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器。
在本发明的一些实施例中,所述控制节点根据根服务器的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点包括:
控制节点根据根服务器的限速情况,确定递归查询请求中重要域名的查询请求;
控制节点将递归查询请求中重要域名的查询请求转发回路由节点。
根据本发明的另一方面,提供一种域名查询方法,包括:
防护节点接收控制节点转发的递归查询请求中除重要域名外其它域名的查询请求,其中,路由节点将递归服务器发起的递归查询请求路由至控制节点,控制节点根据根服务器的限速情况,将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点;
防护节点过滤掉所述其它域名的查询请求中的攻击请求;
防护节点将非攻击查询请求转发给控制节点,以便控制节点从预定标准域名记录中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器。
根据本发明的另一方面,提供一种路由节点,包括:
第一路由模块,用于将递归服务器发起的递归查询请求路由至控制节点,以便控制节点根据根服务器的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制;
第二路由模块,用于将重要域名的查询请求路由至根服务器;
查询结果接收模块,用于接收跟服务器返回的重要域名的查询结果。
在本发明的一些实施例中,所述路由节点还包括:
第三路由模块,用于将重要域名的查询结果路由至控制节点,以便控制节点判断重要域名的查询结果是否正常,并在重要域名的查询结果正常的情况下,将所述重要域名的查询结果返回给递归服务器。
根据本发明的另一方面,提供一种路由节点,包括:
路由节点存储器,用于存储指令;
路由节点处理器,用于执行所述指令,使得所述路由节点执行实现如上述任一实施例所述的域名查询方法的操作。
根据本发明的另一方面,提供一种控制节点,包括:
查询请求接收模块,用于接收路由节点发送的递归服务器发起的递归查询请求;
查询请求转发模块,根据根服务器的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制,以便路由节点将重要域名的查询请求路由至根服务器,跟服务器将重要域名的查询结果返回给路由节点。
在本发明的一些实施例中,所述控制节点用于执行实现如上述任一实施例所述的域名查询方法的操作。
根据本发明的另一方面,提供一种控制节点,包括:
控制节点存储器,用于存储指令;
控制节点处理器,用于执行所述指令,使得所述控制节点执行实现如上述任一实施例所述的域名查询方法的操作。
根据本发明的另一方面,提供一种防护节点,包括:
域名请求接收模块,用于接收控制节点转发的递归查询请求中除重要域名外其它域名的查询请求,其中,路由节点将递归服务器发起的递归查询请求路由至控制节点,控制节点根据根服务器的限速情况,将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点;
攻击请求过滤模块,用于过滤掉所述其它域名的查询请求中的攻击请求;
正常请求返回模块,用于将非攻击查询请求转发给控制节点,以便控制节点从预定标准域名记录中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器。
根据本发明的另一方面,提供一种防护节点,包括:
防护节点存储器,用于存储指令;
防护节点处理器,用于执行所述指令,使得所述防护节点执行实现如上述任一实施例所述的域名查询方法的操作。
根据本发明的另一方面,提供一种域名查询系统,包括如上述任一实施例所述的路由节点、以及如上述任一实施例所述的控制节点。
在本发明的一些实施例中,所述域名查询系统还包括如上述任一实施例所述的防护节点。
根据本发明的另一方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例所述的域名查询方法。
本发明可以提高域名系统的可靠性,并降低攻击对根服务器的影响,使得根服务器尽快恢复服务。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明域名查询系统一些实施例的示意图。
图2为本发明域名查询系统另一些实施例的示意图。
图3为本发明域名查询方法一些实施例的示意图。
图4为本发明域名查询方法又一些实施例的示意图。
图5为本发明路由节点一些实施例的示意图。
图6为本发明路由节点另一些实施例的示意图。
图7为本发明域名查询方法再一些实施例的示意图。
图8为本发明控制节点一些实施例的示意图。
图9为本发明控制节点另一些实施例的示意图。
图10为本发明域名查询方法另一些实施例的示意图。
图11为本发明防护节点一些实施例的示意图。
图12为本发明防护节点一些实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
申请人发现:域名系统作是互联网最重要的基础服务,近年来却屡遭安全攻击,经常造成网络长时间瘫痪。
为了提高安全性,根DNS服务器建立了自我保护机制。当递归DNS服务器被恶意攻击,进而引发根DNS服务器的请求流量异常激增时,根DNS服务器将采用限速的方式进行自保。这种限速方式,虽然可以抵御恶意攻击避免自身瘫痪,但也导致一些正常域名请求均被屏蔽而不能被解析,大大降低用户体验,甚至导致用户无法互联网;递归服务器向根DNS服务器的请求失败,将重复请求,进一步恶化攻击造成的影响,加剧根服务器的压力。然而,相关技术解决方案都是应急方案,无法从解决该问题。
基于以上技术问题,本发明提供了一种域名查询方法和系统,下面结合附图进行具体描述。
图1为本发明域名查询系统一些实施例的示意图。如图1所示,所述域名查询系统可以包括递归服务器100、路由节点200、控制节点300和根服务器400,其中:
根服务器400,用于在递归服务器100被恶意攻击的情况下,根服务器开启限速机制。
路由节点200,用于将递归服务器发起的递归查询请求路由至控制节点。
控制节点300,用于根据根服务器400的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点200,以便路由节点200将重要域名的查询请求路由至根服务器400。
跟服务器400,用于将重要域名的查询结果返回给路由节点200。
基于本发明上述实施例提供的域名查询系统,弥补递归服务器受到攻击时应急方法的不足,通过减少对根服务器的查询,只将重要域名的查询请求在根服务器进行查询,从而兼顾了域名解析服务的可靠性和对根服务器的保护作用。
图2为本发明域名查询系统另一些实施例的示意图。与图1实施例相比,图2实施例的域名查询系统还可以包括防护节点500,其中:
控制节点300,还可以用于将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点500。
防护节点500,用于过滤掉所述查询请求中的攻击请求,将非攻击查询请求转发给控制节点,以便控制节点从预定标准域名记录(权威域名记录)中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器。
本发明上述实施例,提供了一种提高域名系统可靠性的域名查询系统。针对相关技术根服务器的服务机制,即当请求流量异常激增时,开启限速导致正常域名请求也被屏蔽,无法提供服务的缺陷,提出了基于递归服务器的递归查询智能路由控制及权威域名数据动态更新机制,基于根服务器应答情况,将少部分重要、真实域名的递归查询发送到根服务器,同时将其它大部分递归请求牵引至防护节点进行进一步的分析处理,从而保证了域名系统在受到攻击时仍然可以对外提供重要域名的解析服务,提高了域名系统的可靠性,并降低了攻击对根服务器的影响,使得根服务器可以尽快恢复服务。
图2实施例还给出了本发明域名查询方法一些实施例的示意图。图3为本发明域名查询方法一些实施例的示意图。优选的,图2和图3实施例可由本发明域名查询系统执行。如图2和图3所示,该方法包括以下步骤:
步骤1、递归服务器100向根服务器400发起递归查询。
步骤2、由路由节点200的PBR(Policy Based Routing,策略路由)策略,牵引到控制节点。
步骤3、控制节点300。
步骤3A、基于根服务器400限速情况,自适应将重要域名的请求转发回路由节点200,以便路由节点将重要域名的查询请求路由至根服务器;之后执行步骤4。
在本发明的一些实施例中,步骤3A可以包括:
步骤3A1,基于递归服务器与根服务器之间上下行流量变化趋势和数值的分析,控制节点300判断根服务器是否开启限速机制。
步骤3A2,控制节点300根据根服务器400的限速情况,通过查询预先存储的重要域名列表,确定递归查询请求中重要域名的查询请求。
步骤3A3,控制节点300将递归查询请求中重要域名的查询请求转发回路由节点200,以便路由节点将重要域名的查询请求路由至根服务器;之后执行步骤4。
步骤3B、控制节点300将非重要域名或无法处理的域名递归查询转发至防护节点;之后执行步骤6。
步骤4、根服务器400将重要域名的查询结果返回给路由节点。
步骤5、路由节点将重要域名的查询结果路由至控制节点,控制节点300获取所述重要域名的查询结果;控制节点判断重要域名的查询结果是否正常。
步骤5A、若重要域名的查询结果正常,则控制节点通过路由节点将所述重要域名的查询结果返回给递归服务器100。
步骤5B、若重要域名的查询结果不正常,则控制节点通过路由节点返回自身维护的权威域名记录(标准域名记录)。
在本发明的一些实施例中,步骤5B可以包括:若重要域名的查询结果不正常,则控制节点从预先存储的标准域名记录中确定所述重要域名的标准查询结果,并将所述重要域名的标准查询结果返回给递归服务器。
步骤6、防护节点500过滤掉攻击请求,将非攻击正常请求转发给控制节点300。
步骤7、控制节点300通过路由节点向递归服务器100返回自身维护的权威域名记录(标准域名记录)。
在本发明的一些实施例中,步骤7可以包括:控制节点从预先存储的标准域名记录中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器。
在本发明的一些实施例中,所述权威域名记录可以进行动态更新。
本发明上述实施例通过权威域名数据的动态更新和安全分析,可以针对部分解析成功率或解析时延较差的域名进行特殊处理,从而进一步提升了用户体验。
本发明上述实施例弥补了递归服务器受到攻击时应急方法的不足,通过减少对根服务器的查询,兼顾了域名解析服务的可靠性和对根服务器的保护作用。
本发明上述实施例在网络中部署控制节点与防护节点。当递归服务器被恶意攻击时,根服务器开启限速机制。路由节点将查询报文牵引至控制节点,控制节点基于递归服务器与根服务器之间上下行流量变化趋势和数值的分析,触发基于递归查询的智能路由控制机制,将少部分重要域名的递归查询发送到根服务器,而将其它大部分递归请求牵引至防护节点进行分析处理。防护节点通过流量清洗过滤非攻击正常请求返回给控制节点,由控制节点根据维护的权威域名记录进行解析,从而减少了对根服务器的请求。
本发明上述实施例一方面保证在攻击情况下域名系统仍然可以对外提供重要或部分域名的解析服务,另一方面可以同时减少对根服务器的影响,使得根服务器尽快恢复服务。
本发明上述实施例的控制节点也可针对部分解析成功率或解析时延较差的域名进行特殊处理,从而进一步提升了用户体验。
本发明上述实施例采用基于递归服务器的递归查询智能路由控制及权威域名数据动态更新机制,提高了系统可靠性。
图4为本发明域名查询方法又一些实施例的示意图。优选的,本实施例可由本发明路由节点执行。如图4所示,所述域名查询方法可以包括:
步骤41,路由节点200将递归服务器100发起的递归查询请求路由至控制节点300,以便控制节点300根据根服务器400的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点200,其中,递归服务器100被恶意攻击的情况下,根服务器400开启限速机制。
步骤42,路由节点200将重要域名的查询请求路由至根服务器400。
步骤43,路由节点200接收跟服务器返回的重要域名的查询结果。
在本发明的一些实施例中,所述域名查询方法还可以包括:路由节点200将重要域名的查询结果路由至控制节点300,以便控制节点300判断重要域名的查询结果是否正常,并在重要域名的查询结果正常的情况下,将所述重要域名的查询结果返回给递归服务器100。
基于本发明上述实施例提供的域名查询方法,可以弥补递归服务器受到攻击时应急方法的不足,通过减少对根服务器的查询,只将重要域名的查询请求在根服务器进行查询,从而兼顾了域名解析服务的可靠性和对根服务器的保护作用。
图5为本发明路由节点一些实施例的示意图。如图5所示,本发明路由节点(例如图1-图3任一实施例的路由节点200)可以包括第一路由模块210、第二路由模块220和查询结果接收模块230,其中:
第一路由模块210,用于将递归服务器100发起的递归查询请求路由至控制节点300,以便控制节点300根据根服务器400的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点200,其中,递归服务器100被恶意攻击的情况下,根服务器400开启限速机制。
第二路由模块220,用于将重要域名的查询请求路由至根服务器400。
查询结果接收模块230,用于接收跟服务器返回的重要域名的查询结果。
在本发明的一些实施例中,如图5所示,所述路由节点200还可以包括第三路由模块240,其中:
第三路由模块240,用于将重要域名的查询结果路由至控制节点300,以便控制节点300判断重要域名的查询结果是否正常,并在重要域名的查询结果正常的情况下,将所述重要域名的查询结果返回给递归服务器100。
基于本发明上述实施例提供的路由节点,通过与控制节点和防护节点配合,可以弥补递归服务器受到攻击时应急方法的不足,通过减少对根服务器的查询,只将重要域名的查询请求在根服务器进行查询,从而兼顾了域名解析服务的可靠性和对根服务器的保护作用。
图6为本发明路由节点另一些实施例的示意图。如图6所示,本发明路由节点(例如图1-图3任一实施例的路由节点200)可以包括路由节点存储器280和路由节点处理器290,其中:
路由节点存储器280,用于存储指令。
路由节点处理器290,用于执行所述指令,使得所述路由节点200执行实现如上述任一实施例(例如图4实施例)所述的域名查询方法的操作。
图7为本发明域名查询方法再一些实施例的示意图。优选的,本实施例可由本发明控制节点执行。如图7所示,所述域名查询方法可以包括:
步骤71,控制节点300接收路由节点200发送的递归服务器100发起的递归查询请求。
步骤72,控制节点300根据根服务器400的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点200,其中,递归服务器100被恶意攻击的情况下,根服务器400开启限速机制,以便路由节点200将重要域名的查询请求路由至根服务器400,跟服务器将重要域名的查询结果返回给路由节点200。
在本发明的一些实施例中,步骤72可以包括:
步骤721,控制节点300根据根服务器400的限速情况,确定递归查询请求中重要域名的查询请求;
步骤722,控制节点300将递归查询请求中重要域名的查询请求转发回路由节点200。
基于本发明上述实施例提供的域名查询方法,可以弥补递归服务器受到攻击时应急方法的不足,通过减少对根服务器的查询,只将重要域名的查询请求在根服务器进行查询,从而兼顾了域名解析服务的可靠性和对根服务器的保护作用。
在本发明的一些实施例中,所述域名查询方法还可以包括:
步骤73,控制节点300接收路由节点200转发的重要域名的查询结果。
步骤74,控制节点300判断重要域名的查询结果是否正常。
步骤75,若重要域名的查询结果正常,则控制节点300将所述重要域名的查询结果返回给递归服务器100。
在本发明的一些实施例中,所述域名查询方法还可以包括:
步骤76,若重要域名的查询结果不正常,则控制节点300从预定标准域名记录中确定所述重要域名的标准查询结果,并将所述重要域名的标准查询结果返回给递归服务器100。
在本发明的一些实施例中,所述域名查询方法还可以包括:
步骤77,控制节点300将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点500,以便防护节点500过滤掉攻击请求,将非攻击正常请求转发给控制节点300。
步骤78,控制节点300从预定标准域名记录中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器100。
本发明上述实施例一方面保证在攻击情况下域名系统仍然可以对外提供重要或部分域名的解析服务,另一方面可以同时减少对根服务器的影响,使得根服务器尽快恢复服务。
本发明上述实施例采用基于递归服务器的递归查询智能路由控制及权威域名数据动态更新机制,提高了系统可靠性。
图8为本发明控制节点一些实施例的示意图。如图8所示,本发明控制节点(例如图1-图3任一实施例的控制节点300)可以包括查询请求接收模块310和查询请求转发模块320,其中:
查询请求接收模块310,用于接收路由节点200发送的递归服务器100发起的递归查询请求。
查询请求转发模块320,根据根服务器400的限速情况,将递归查询请求中重要域名的查询请求转发回路由节点200,其中,递归服务器100被恶意攻击的情况下,根服务器400开启限速机制,以便路由节点200将重要域名的查询请求路由至根服务器400,跟服务器将重要域名的查询结果返回给路由节点200。
在本发明的一些实施例中,所述控制节点300可以用于执行实现如上述任一实施例(例如图7实施例)所述的域名查询方法的操作。
图9为本发明控制节点另一些实施例的示意图。如图9所示,本发明控制节点(例如图1-图3任一实施例的控制节点300)可以包括控制节点存储器380和控制节点处理器390,其中:
控制节点存储器380,用于存储指令。
控制节点处理器390,用于执行所述指令,使得所述控制节点300执行实现如上述任一实施例(例如图7实施例)所述的域名查询方法的操作。
基于本发明上述实施例提供的控制节点,通过与路由节点和防护节点配合,可以弥补递归服务器受到攻击时应急方法的不足,通过减少对根服务器的查询,只将重要域名的查询请求在根服务器进行查询,从而兼顾了域名解析服务的可靠性和对根服务器的保护作用。
图10为本发明域名查询方法另一些实施例的示意图。优选的,本实施例可由本发明控制节点执行。如图10所示,所述域名查询方法可以包括:
步骤101,防护节点500接收控制节点300转发的递归查询请求中除重要域名外其它域名的查询请求,其中,路由节点200将递归服务器100发起的递归查询请求路由至控制节点300,控制节点300根据根服务器400的限速情况,将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点500。
步骤102,防护节点500过滤掉所述其它域名的查询请求中的攻击请求。
步骤103,防护节点500将非攻击查询请求转发给控制节点300,以便控制节点300从预定标准域名记录中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器100。
基于本发明上述实施例提供的域名查询方法,可以弥补递归服务器受到攻击时应急方法的不足,通过减少对根服务器的查询,只将重要域名的查询请求在根服务器进行查询,从而兼顾了域名解析服务的可靠性和对根服务器的保护作用。
本发明上述实施例采用基于递归服务器的递归查询智能路由控制及权威域名数据动态更新机制,提高了系统可靠性。
图11为本发明防护节点一些实施例的示意图。如图11所示,本发明防护节点(例如图1-图3任一实施例的防护节点500)可以包括域名请求接收模块510、攻击请求过滤模块520和正常请求返回模块530,其中:
域名请求接收模块510,用于接收控制节点300转发的递归查询请求中除重要域名外其它域名的查询请求,其中,路由节点200将递归服务器100发起的递归查询请求路由至控制节点300,控制节点300根据根服务器400的限速情况,将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点500。
攻击请求过滤模块520,用于过滤掉所述其它域名的查询请求中的攻击请求。
正常请求返回模块530,用于将非攻击查询请求转发给控制节点300,以便控制节点300从预定标准域名记录中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器100。
图12为本发明防护节点一些实施例的示意图。如图12所示,本发明防护节点(例如图1-图3任一实施例的防护节点500)可以包括防护节点存储器580和防护节点处理器590,其中:
防护节点存储器580,用于存储指令。
防护节点处理器590,用于执行所述指令,使得所述防护节点500执行实现如上述任一实施例(例如图10实施例)所述的域名查询方法的操作。
基于本发明上述实施例提供的防护节点,通过与路由节点和控制节点配合,一方面保证在攻击情况下域名系统仍然可以对外提供重要或部分域名的解析服务,另一方面可以同时减少对根服务器的影响,使得根服务器尽快恢复服务。
本发明上述实施例采用基于递归服务器的递归查询智能路由控制及权威域名数据动态更新机制,提高了系统可靠性。
根据本发明的另一方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例(图2-图4、图7、图10中任一实施例)所述的域名查询方法。
基于本发明上述实施例提供的计算机可读存储介质,弥补递归服务器受到攻击时应急方法的不足,通过减少对根服务器的查询,只将重要域名的查询请求在根服务器进行查询,从而兼顾了域名解析服务的可靠性和对根服务器的保护作用。
上面所描述的路由节点200、控制节点300和防护节点500可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (18)
1.一种域名查询方法,其特征在于,包括:
路由节点将递归服务器发起的递归查询请求路由至控制节点,以便控制节点根据根服务器的限速情况,通过查询预先存储的重要域名列表,确定递归查询请求中重要域名的查询请求,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制;
路由节点将重要域名的查询请求路由至根服务器;
路由节点接收根服务器返回的重要域名的查询结果。
2.根据权利要求1所述的域名查询方法,其特征在于,还包括:
路由节点将重要域名的查询结果路由至控制节点,以便控制节点判断重要域名的查询结果是否正常,并在重要域名的查询结果正常的情况下,将所述重要域名的查询结果返回给递归服务器。
3.一种域名查询方法,其特征在于,包括:
控制节点接收路由节点发送的递归服务器发起的递归查询请求;
控制节点根据根服务器的限速情况,通过查询预先存储的重要域名列表,确定递归查询请求中重要域名的查询请求,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制,以便路由节点将重要域名的查询请求路由至根服务器,根服务器将重要域名的查询结果返回给路由节点。
4.根据权利要求3所述的域名查询方法,其特征在于,还包括:
控制节点接收路由节点转发的重要域名的查询结果;
控制节点判断重要域名的查询结果是否正常;
若重要域名的查询结果正常,则控制节点将所述重要域名的查询结果返回给递归服务器。
5.根据权利要求4所述的域名查询方法,其特征在于,还包括:
若重要域名的查询结果不正常,则控制节点从预定标准域名记录中确定所述重要域名的标准查询结果,并将所述重要域名的标准查询结果返回给递归服务器。
6.根据权利要求3-5中任一项所述的域名查询方法,其特征在于,还包括:
控制节点将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点,以便防护节点过滤掉攻击请求,将非攻击正常请求转发给控制节点;
控制节点从预定标准域名记录中确定所述非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器。
7.一种域名查询方法,其特征在于,包括:
防护节点接收控制节点转发的递归查询请求中除重要域名外其它域名的查询请求,其中,路由节点将递归服务器发起的递归查询请求路由至控制节点,控制节点根据根服务器的限速情况,通过查询预先存储的重要域名列表,确定递归查询请求中重要域名的查询请求,将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点;
防护节点过滤掉所述其它域名的查询请求中的攻击请求;
防护节点将非攻击查询请求转发给控制节点,以便控制节点从预定标准域名记录中确定非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器。
8.一种路由节点,其特征在于,包括:
第一路由模块,用于将递归服务器发起的递归查询请求路由至控制节点,以便控制节点根据根服务器的限速情况,通过查询预先存储的重要域名列表,确定递归查询请求中重要域名的查询请求,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制;
第二路由模块,用于将重要域名的查询请求路由至根服务器;
查询结果接收模块,用于接收根服务器返回的重要域名的查询结果。
9.根据权利要求8所述的路由节点,其特征在于,还包括:
第三路由模块,用于将重要域名的查询结果路由至控制节点,以便控制节点判断重要域名的查询结果是否正常,并在重要域名的查询结果正常的情况下,将所述重要域名的查询结果返回给递归服务器。
10.一种路由节点,其特征在于,包括:
路由节点存储器,用于存储指令;
路由节点处理器,用于执行所述指令,使得所述路由节点执行实现如权利要求1或2所述的域名查询方法的操作。
11.一种控制节点,其特征在于,包括:
查询请求接收模块,用于接收路由节点发送的递归服务器发起的递归查询请求;
查询请求转发模块,根据根服务器的限速情况,通过查询预先存储的重要域名列表,确定递归查询请求中重要域名的查询请求,将递归查询请求中重要域名的查询请求转发回路由节点,其中,递归服务器被恶意攻击的情况下,根服务器开启限速机制,以便路由节点将重要域名的查询请求路由至根服务器,根服务器将重要域名的查询结果返回给路由节点。
12.根据权利要求11所述的控制节点,其特征在于,所述控制节点用于执行实现如权利要求3-6中任一项所述的域名查询方法的操作。
13.一种控制节点,其特征在于,包括:
控制节点存储器,用于存储指令;
控制节点处理器,用于执行所述指令,使得所述控制节点执行实现如权利要求3-6中任一项所述的域名查询方法的操作。
14.一种防护节点,其特征在于,包括:
域名请求接收模块,用于接收控制节点转发的递归查询请求中除重要域名外其它域名的查询请求,其中,路由节点将递归服务器发起的递归查询请求路由至控制节点,控制节点根据根服务器的限速情况,通过查询预先存储的重要域名列表,确定递归查询请求中重要域名的查询请求,将递归查询请求中除重要域名外其它域名的查询请求转发给防护节点;
攻击请求过滤模块,用于过滤掉所述其它域名的查询请求中的攻击请求;
正常请求返回模块,用于将非攻击查询请求转发给控制节点,以便控制节点从预定标准域名记录中确定非攻击正常请求的标准查询结果,并将所述非攻击正常请求的标准查询结果返回给递归服务器。
15.一种防护节点,其特征在于,包括:
防护节点存储器,用于存储指令;
防护节点处理器,用于执行所述指令,使得所述防护节点执行实现如权利要求7所述的域名查询方法的操作。
16.一种域名查询系统,其特征在于,包括如权利要求8-10中任一项所述的路由节点、以及如权利要求11-13中任一项所述的控制节点。
17.根据权利要求16所述的域名查询系统,其特征在于,还包括如权利要求14或15所述的防护节点。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1-7中任一项所述的域名查询方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810657097.1A CN110636006B (zh) | 2018-06-25 | 2018-06-25 | 域名查询方法和系统、路由节点、控制节点和防护节点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810657097.1A CN110636006B (zh) | 2018-06-25 | 2018-06-25 | 域名查询方法和系统、路由节点、控制节点和防护节点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110636006A CN110636006A (zh) | 2019-12-31 |
| CN110636006B true CN110636006B (zh) | 2021-11-02 |
Family
ID=68967416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810657097.1A Active CN110636006B (zh) | 2018-06-25 | 2018-06-25 | 域名查询方法和系统、路由节点、控制节点和防护节点 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636006B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN102868669A (zh) * | 2011-07-08 | 2013-01-09 | 上海寰雷信息技术有限公司 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
| CN102882892A (zh) * | 2012-10-26 | 2013-01-16 | 杭州迪普科技有限公司 | 一种保护dns服务器的方法及装置 |
| CN104144165A (zh) * | 2014-08-11 | 2014-11-12 | 互联网域名系统北京市工程研究中心有限公司 | 一种抗dns死域攻击的缓存方法及系统 |
| CN105245630A (zh) * | 2015-09-25 | 2016-01-13 | 互联网域名系统北京市工程研究中心有限公司 | 识别和防御dns servfail攻击的方法及装置 |
| CN105391818A (zh) * | 2015-11-26 | 2016-03-09 | 中国互联网络信息中心 | 一种基于递归服务器的权威域名应急解析系统及方法 |
| CN105872125A (zh) * | 2016-03-30 | 2016-08-17 | 中国联合网络通信集团有限公司 | 一种域名解析的方法及装置 |
| CN107222492A (zh) * | 2017-06-23 | 2017-09-29 | 网宿科技股份有限公司 | 一种dns防攻击方法、设备和系统 |
| CN108111548A (zh) * | 2018-03-08 | 2018-06-01 | 华东师范大学 | 一种域名系统攻击检测方法、装置及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4287456B2 (ja) * | 2006-10-26 | 2009-07-01 | 株式会社東芝 | サービス不能攻撃を防止するサーバ装置、方法およびプログラム |
| CN103957286B (zh) * | 2014-04-18 | 2016-04-06 | 北京奇虎科技有限公司 | Dns安全系统及其故障处理方法 |
-
2018
- 2018-06-25 CN CN201810657097.1A patent/CN110636006B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN102868669A (zh) * | 2011-07-08 | 2013-01-09 | 上海寰雷信息技术有限公司 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
| CN102882892A (zh) * | 2012-10-26 | 2013-01-16 | 杭州迪普科技有限公司 | 一种保护dns服务器的方法及装置 |
| CN104144165A (zh) * | 2014-08-11 | 2014-11-12 | 互联网域名系统北京市工程研究中心有限公司 | 一种抗dns死域攻击的缓存方法及系统 |
| CN105245630A (zh) * | 2015-09-25 | 2016-01-13 | 互联网域名系统北京市工程研究中心有限公司 | 识别和防御dns servfail攻击的方法及装置 |
| CN105391818A (zh) * | 2015-11-26 | 2016-03-09 | 中国互联网络信息中心 | 一种基于递归服务器的权威域名应急解析系统及方法 |
| CN105872125A (zh) * | 2016-03-30 | 2016-08-17 | 中国联合网络通信集团有限公司 | 一种域名解析的方法及装置 |
| CN107222492A (zh) * | 2017-06-23 | 2017-09-29 | 网宿科技股份有限公司 | 一种dns防攻击方法、设备和系统 |
| CN108111548A (zh) * | 2018-03-08 | 2018-06-01 | 华东师范大学 | 一种域名系统攻击检测方法、装置及系统 |
Non-Patent Citations (2)
| Title |
|---|
| "Mitigating DDos towards Top Level Domain name service";LanlanPan等;《IEEE》;20161210;全文 * |
| "基于转发和控制分离的DNS新型架构研究";曹维华等;《广东通信技术》;20151130;第35卷(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110636006A (zh) | 2019-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10979485B2 (en) | Mechanism for distinguishing between content to be served through first or second delivery channels | |
| US9628442B2 (en) | DNS snooping to create IP address-based trust database used to select deep packet inspection and storage of IP packets | |
| US9917887B2 (en) | Methods for content inlining and devices thereof | |
| US9736260B2 (en) | Redirecting from a cloud service to a third party website to save costs without sacrificing security | |
| WO2018121331A1 (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN108881515B (zh) | 域名解析方法、装置及网络设备 | |
| US10171299B2 (en) | Method and apparatus for configuring proxy server | |
| US20120297478A1 (en) | Method and system for preventing dns cache poisoning | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| US20160182681A1 (en) | Page redirection method, routing device, terminal device and system | |
| US11671405B2 (en) | Dynamic filter generation and distribution within computer networks | |
| CN113452780B (zh) | 针对客户端的访问请求处理方法、装置、设备及介质 | |
| CN112272212B (zh) | 一种文件传输方法及装置 | |
| CN104008331A (zh) | 一种恶意网站的访问方法、装置和系统 | |
| US20190007327A1 (en) | Automatic rule generation for flow management in software defined networking networks | |
| US8214898B2 (en) | ICAP processing of partial content to identify security issues | |
| CN108924061B (zh) | 一种应用识别及管理方法、系统及相关装置 | |
| US20190068635A1 (en) | Data processing method, apparatus, and system | |
| CN110636006B (zh) | 域名查询方法和系统、路由节点、控制节点和防护节点 | |
| JP5202370B2 (ja) | ゲートウェイ装置およびアクセス制御方法 | |
| US11658995B1 (en) | Methods for dynamically mitigating network attacks and devices thereof | |
| JP2008250597A (ja) | コンピュータシステム | |
| US10594657B1 (en) | Methods for parameterized sub-policy evaluation for fine grain access control during a session and devices thereof | |
| Cisco | Configuring Services | |
| WO2017155514A1 (en) | Action based on advertisement indicator in network packet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |