WO2015158193A1 - 提供根域名解析服务的方法和系统 - Google Patents

Abstract

本发明提供了一种提供根域名解析服务的方法和系统。其中该提供根域名解析服务的方法包括：获取预定区域内多个域名的DNS解析记录；按照解析记录建立DNS各级节点的授权信息数据库；启动提供根域名解析服务的虚拟根节点，并由虚拟根节点根据授权信息数据库中的数据应答预定区域内的根域名解析请求。利用本发明的技术方案，利用预定区域内的DNS解析记录，建立DNS授权信息数据库，作为提供根域名解析服务的虚拟根节点的数据基础，自动为区域内提供DNS根解析服务，降低了依靠现有DNS系统进行根域名解析时区域内域名解析失败导致的互联网风险。

Description

提供根域名解析服务的方法和系统 技术领域

本发明涉及通信技术领域，尤其涉及提供根域名解析服务的方法和系统。

背景技术

DNS是域名系统(Domain Name System)的缩写，是因特网(Internet)的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。

通常Internet主机域名的一般结构为：主机名.三级域名.二级域名.顶级域名。Internet的顶级域名由Internet网络协会域名注册查询负责网络地址分配的委员会进行登记和管理，并且为Internet的每一台主机分配唯一的IP地址。

图1是现有技术中DNS的层次架构图，现有的DNS架构是一个层次树状结构，这个树状结构称为DNS域名空间，最上面的域名空间被称为“根节点”。从顶级域到某一个子域的路径就构成了一个域名，例如从顶级域.com到它的二级域Microsoft，再到Microsoft的子域departmentA就构成了一个域名departmentA.microsoft.com。

图2是现有技术中DNS的一个域名解析流程图，以访问网易门户地址www.163.com的解析过程为例进行介绍。其流程为：

步骤1，用户电脑向其系统上设置的本地DNS服务器发送解析www.163.com的请求。所谓本地DNS服务器是指一个DNS服务IP地址，可以是从运营商自动获取的，也可以是手动设置的。

步骤2，本地DNS服务器会在自己的空间里查看是否有这个域名的缓存，如果没有，就会向根服务器发送www.163.com的域名解析请求。

步骤3，根服务器接收到本地DNS服务器关于域名的解析请求后，分析请求的域名，返回给本地服务器.com这个域名节点的服务器的IP地址。

步骤4，本地DNS服务器在接到.com顶级域的服务器IP地址后，向.com顶级域发出查询www.163.com的解析请求。

步骤5，.com顶级域服务器在接收到关于www.163.com的解析请求后，返回给本地DNS服务器关于163这个二级域的DNS服务器的IP地址。

步骤6，本地DNS服务器继续向163这个二级域的DNS服务器发起关于www.163.com的解析请求。

步骤7，163这个域的管理服务器管理163.com下的所有的子域名。它的域名空间中有www这个子域名，其对应的IP地址为111.1.53.220，因此163.com域的DNS服务器会返回www.163.com对应的IP地址111.1.53.220给本地DNS服务器。

步骤8，本地DNS服务器接收到163.com这个域服务器关于www.163.com解析结果后，返回给用户对应的IP地址111.1.53.220,同时会将这个结果保留一段时间，以备其他用户的查询。

步骤9，用户电脑在获得www.163.com域名对应的IP地址111.1.53.220后，就开始向111.1.53.220这个IP请求网页内容。到此，DNS的一个完整请求解析流程结束。

DNS根服务器是DNS树型域名空间的“根”，负责TLD(top Level Domain，顶级域名)的解析，对于域名解析起着极其关键的作用。从理论上说，任何形式的标准域名要想被实现解析，按照技术流程，都必须经过全球“层级式”域名解析体系的工作才能完成。

通过以上介绍可以看出：“层级式”域名解析体系第一层就是根服务器，负责管理世界各国的域名信息，在根服务器下面是顶级域名服务器，即相关国家域名管理机构的数据库，如中国的CNNIC，然后再到下一级的域名数据库和ISP(Internet Service Provider，互联网服务提供商)的缓存服务器查询。一个域名必须首先经过根数据库的解析后，才能转到顶级域名服务器进行解析。如果DNS根节点不能访问，那么一切的域名解析都会失败。

然而，全球仅有13台根服务器。目前的分布情况为：主根服务器(A)美国1个；辅根服务器(B至M)美国9个，瑞典、荷兰、日本各1个。在现有技术中如果出现解析系统中屏蔽某个区域的域名，那么它们的IP地址将无法解析出来，这些域名所指向的网站就会从互联 网中消失了。因此现有技术缺乏应对区域内应对根域名解析失败的解决方案。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的提供根域名解析服务的系统及其相应的提供根域名解析服务的方法。

根据本发明的一个方面，提供了一种提供根域名解析服务的方法，包括：获取预定区域内多个域名的DNS解析记录；按照解析记录建立DNS各级节点的授权信息数据库；启动提供根域名解析服务的虚拟根节点，并由虚拟根节点根据授权信息数据库中的数据应答预定区域内的根域名解析请求。

根据本发明的另一个方面，提供了一种提供根域名解析服务的系统，包括数据获取装置，被配置为获取预定区域内多个域名的DNS解析记录；虚拟根节点服务器，被配置为按照解析记录建立DNS各级节点的授权信息数据库，并运行有提供根域名解析服务的虚拟根节点，以根据授权信息数据库中的数据应答预定区域内的根域名解析请求。

根据本发明的又一个方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据上文任一个所述的提供根域名解析服务的方法。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存储了上述的计算机程序。

本发明的有益效果为：

本发明的提供根域名解析服务的方法和系统，利用预定区域内的DNS解析记录，建立DNS授权信息数据库，作为提供根域名解析服务的虚拟根节点的数据基础，自动为区域内提供DNS根解析服务，降低了依靠现有DNS系统进行根域名解析时区域内域名解析失败导致的互联网风险。

进一步地，本发明的提供根域名解析服务的方法及系统中虚拟根节点采用分布式部署，通过anycast模式对外提供服务，能有效降低DNS单点故障和提高防御DNS攻击能力，并可以对虚拟根节点配置访问权限控制，屏蔽DNS的攻击数据，优先保证区域内的本地DNS正 常应答。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是现有技术中DNS的层次架构图；

图2是现有技术中DNS的一个域名解析流程；

图3是根据本发明一个实施例的提供根域名解析服务的系统的架构图；

图4是根据本发明一个实施例的提供根域名解析服务的系统在骨干网出口处抓取数据包以获取数据的示意图；

图5是根据本发明一个实施例的提供根域名解析服务的系统的利用本地DNS服务器进行数据获取的示意图；

图6是根据本发明一个实施例的提供根域名解析服务的系统提供根域名解析服务的示意图；

图7是根据本发明一个实施例的提供根域名解析服务的方法的示意图；

图8示意性地示出了用于执行根据本发明的提供根域名解析服务的方法的计算设备的框图；以及

图9示意性地示出了用于保持或者携带实现根据本发明的提供根域名解析服务的方法的程序代码的存储单元。

具体实施方式

下面结合附图和具体的实施方式对本发明作进一步的描述。

图3是根据本发明一个实施例的提供根域名解析服务的系统100的架构图，该提供根域名解析服务的系统100一般性地可以包括：数 据获取装置110、虚拟根节点服务器120，进一步地可以设置有DNS验证装置130。

在本发明的一个实施例中，数据获取装置110被配置为获取预定区域内多个域名的DNS解析记录。虚拟根节点服务器120，被配置为按照解析记录建立DNS各级节点的授权信息数据库，并运行有提供根域名解析服务的虚拟根节点，以根据授权信息数据库中的数据应答预定区域内的根域名解析请求。DNS验证装置130被配置为判断DNS的解析结果是否正确；虚拟根节点服务器120在DNS验证装置的判断结果为否的情况下，启动提供根域名解析服务的虚拟根节点。

本实施例的根域名解析服务的系统100利用预定区域内的DNS解析记录，建立DNS授权信息数据库，作为提供根域名解析服务的虚拟根节点的数据基础，自动为区域内提供DNS根解析服务，降低了依靠现有DNS系统进行根域名解析时区域内域名解析失败导致的互联网风险。例如可以将中国境内作为上述预定区域，在对所有cn域名解析的过程中，获取所有cn域名的DNS解析记录，建立cn域名的授权信息数据库，从而现有DNS系统拒绝提供cn域名的根解析服务时，或者cn域名的根解析服务出现错误时，由本实施例的根域名解析服务的系统100的虚拟根节点利用备份的数据提供cn域名解析服务。

数据获取装置110可以通过多种方式获取DNS解析记录，例如一种可选方式为在预定区域的骨干网出口处抓取DNS解析数据包；对DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。另一种可选方式为在本地递归DNS进行域名递归解析过程中，获取被解析域名的各级授权服务器的信息；将被解析域名的各级授权服务器的信息保存为域名的DNS解析记录。

在以上第一种方式中，向区域外的根域名解析服务器进行DNS解析请求时，均需要经过本区域的骨干网路由，因此可以在骨干网出口处抓取DNS解析数据包，得到DNS解析记录。

图4是根据本发明一个实施例的提供根域名解析服务的系统100在骨干网出口处抓取数据包以获取数据的示意图。根域名解析服务器可以采用任播(anycast)技术在一定区域内设立镜像站，但是需要依赖于根域名解析服务器。本实施例中可以通过DNS协议本身的逐层解析的过程中或者在骨干网的出口处抓包分析，也能够收集到需要的 DNS解析的授权信息，建立相应完整的DNS层次关系，进而建立完备的虚拟根节点所需的数据。

在以上第二种方式中，用户主机向本地DNS发送DNS解析请求一般均采用递归查询，本地DNS服务器中没有缓存被查询域名的地址时，本地DNS服务器会向其他根域名服务器继续发出查询请求报文，并获取结果，数据获取装置110可以利用在本地递归DNS进行域名递归解析过程中，获取各级DNS授权服务器中的下一级的授权服务器的信息，从而得到各级授权服务器的信息。

图5是根据本发明一个实施例的提供根域名解析服务的系统100的利用本地DNS服务器进行数据获取的示意图。在DNS域名系统的层次关系和分布式结构中，层次空间中每一级节点都存储着下一级的相关节点的授权信息记录。本地DNS在逐层解析的过程中，会访问到域名空间所有因层次的节点，此可以利用本地DNS服务器的递归过程将这些节点信息的授权记录进行保存，根据记录的相互关系，组成一个备份的域名层次空间，建立授权信息数据库。授权数据库对应域名空间的每一级，并且数据信息是实时更新，从而授权信息数据库形成了一个互联网域名层次的镜像。由于数据库拥有全部的授权信息记录，因此可以在根节点甚至是任何一级的域名节点服务器出现故障时，利用该数据库的数据可以实现该级DNS服务器进行授权解析服务。

本地递归DNS服务器(流入运营商提供的DNS和公共DNS)在进行递归时，会获取域名对应的各级授权服务器信息，所以可以在本地DNS递归的过程中，可以将区域内所有域名对应的解析记录镜像出来进行相应备份存储。

虚拟根节点服务器120可以为多个，以分布式形式布置，还被配置为按照域名的类型保存授权信息数据库，并以边界网关协议(Border Gateway Protocol，简称BGP)提供数据服务。边界网关协议(BGP)是运行于TCP上的一种自治系统的路由协议。BGP是用来处理像因特网大小的网络的协议，也能够妥善处理好不相关路由域间的多路连接的协议。多个虚拟根节点服务器120可以共用同一地址，以Anycast形式提供数据服务。Anycast在一个单播地址被分配到多于一个的接口上时，发到该接口的报文被网络路由到由路由协议度量的“最近”的目标接口上。Anycast允许DNS解析请求向多个虚拟根节点服务器120 中的一个结点发送数据包，而这个结点由路由系统选择，对请求方结点透明，从而在一定程序上为源结点提供了更好的服务也减轻了网络负载。

利用在分布式数据库系统的架构，多个虚拟根节点服务器120通过查询分布式数据库获取对应的应答结果，通过开放式最短路径优先协议(Open Shortest Path First，简称OSPF)能实现多机同时工作，提高应答能力。OSPF协议是一个内部网关协议(Interior Gateway Protocol，简称IGP)，用于在单一自治系统(autonomous system，简称AS)内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议(IGP)，运作于自治系统内部。

另外采用分布式形式布置虚拟根节点服务器120不仅可以加快DNS的解析过程，也更加合理地利用了因特网资源，而且通过anycast模式对外提供服务，能降低DNS单点故障和提高防御DNS攻击能力，同时还可以对虚拟根节点配置访问权限控制，屏蔽DNS的攻击数据，当出现解析异常时，优先保证区域内的本地DNS服务器的正常应答。

DNS验证装置130的一种运行流程为：在预定区域的骨干网出口处监听DNS解析报文；判断是否收到DNS解析报文以及DNS解析报文是否预存的结果匹配；若判断结果中任一项为否，确定DNS的解析结果不正确。在根域名解析错误的情况下，由虚拟根节点服务器120提供根域名解析服务的虚拟根节点，完成区域内的根域名解析工作。

根域名解析的结果一般是不会轻易修改，如果当前返回的解析结果与历史记录中预存的结果不匹配，则证明解析出现篡改，需要告警或采取人工干预。另外，如果当某个顶级域的授权无法正常工作或者返回的都为“SERVFAIL”也直接可以判断为解析结果错误。DNS的解析结果不正确的一种处理方法为：解析结果出现篡改后，根据告警信息进行判断，对界面操作点击，系统自动批量切换至虚拟根节点的DNS解析。

以上告警信息可以结合预先采集的非法DNS IP和合法的DNS IP地址白名单列表地址确定，例如预先收集的恶意DNS IP地址列表可以是由安全厂商预先收集的一组非法DNS IP地址，该预先收集的恶意DNS IP地址列表可以为客户端数据库中预先收集的恶意DNS IP地址列表，或者也可以为从网站上下载至客户端数据库中的恶意DNS IP地 址列表。该预先设置的合法的DNS IP地址白名单列表可以预先存储在客户端数据库中，也可以从网站的服务器(例如：云安全服务器)上下载。

在具体实现中，主要的安全等级包括“危险”、“警告”和“安全”，其中，安全等级为“危险”的表示对用户的威胁最大，为“警告”的次之，为“安全”的最弱。界面上提示也可以据此进行。在出现界面告警信息后，可以采用自动或手动的方式启动虚拟根节点，避免非法DNS的解析结果造成的安全风险。

图6是根据本发明一个实施例的提供根域名解析服务的系统100提供根域名解析服务的示意图。当数据获取装置110建立好域名授权信息数据库后，虚拟根节点服务器120可以在数据的基础上启动一个虚拟根节点服务，对外提供根节点一样的解析服务和其他顶级域授权灾备服务。同时在骨干网对区域外的出口处启动监听DNS数据报文，对DNS解析记录的正确性进行监控，一旦发现根节点和其他不可控的域名解析异常情况，在出口处可以将对应的请求包传送到虚拟根节点进行解析应答，防止数据继续到国外服务器而导致被篡改。获取任何域名都需要从根节点开始，如果根节点返回错误，会导致所有域名都解析异常，直接导致整个互联网异常。利用本实施例的提供根域名解析服务的系统100可以有效避免类似的安全风险。

当现有的根域名解析服务器或者对应的其他域名解析出现异常的情况下，虚拟根节点服务器120利用授权信息数据库通过BGP的方式(anycast模式)构建出的虚拟根节点对外提供DNS解析服务。

其他的递归DNS可以通过修改根节点IP指向虚拟根服务IP，或者将所有域名解析转发到虚拟根节点，虚拟根节点根据授权信息数据库提供域名解析服务。其他DNS服务商无法快速修复时，发出DNS解析请求的用户主机可以紧急将用户的DNS修复到能解析的公共DNS上，以保证网络用户能正常使用网络。

以上虚拟根节点服务器120还可以通过判断DNS的解析请求的信息对DNS的解析请求是否恶意进行判断和处理，以防御针对DNS的拒绝服务攻击。例如虚拟根节点服务器120通过使用一个高速缓存，采用缓存存取优化、预更新等各种手段尽量降低了解析时延，实现了DNS请求的高速安全解析。当某一个请求源的流量异常突增时，自动 分析和安全联动措施，对该DNS解析请求源限速。

例如在本实施例中的虚拟根节点服务器120，对本地DNS的发出的DNS解析请求进行域名解析，在虚拟根节点服务器120中设置有DNS攻击的防御装置。该防御装置获取DNS查询请求以及DNS查询请求的请求源的IP地址；按照IP地址在访问记录数据库中查询得出请求源的请求记录信息；判断请求记录信息中在预定周期内的请求次数是否超出了预设阈值；若是，判定请求源进行DNS攻击，并进行防御。防御方法可以使用直接过滤超速的DNS请求，或者结合用户客户端中安装的安全卫士等软件，进行安全防护和提示，例如用户客户端在安全建议显示区域输出提示信息或将DNS服务器地址修改为预设的安全地址，从而提高了虚拟根节点服务器120的安全性。

本发明实施例还提供了一种提供根域名解析服务的方法，该提供根域名解析服务的方法可以由以上实施例介绍的任意一种提供根域名解析服务的系统来执行，实现预定区域内的DNS根域名解析。图7是根据本发明一个实施例的提供根域名解析服务的方法的示意图，该提供根域名解析服务的方法包括：

步骤S702，获取预定区域内多个域名的DNS解析记录；

步骤S704，按照解析记录建立DNS各级节点的授权信息数据库；

步骤S706，启动提供根域名解析服务的虚拟根节点；

步骤S708，由虚拟根节点根据授权信息数据库中的数据应答预定区域内的根域名解析请求。

其中步骤S702的一种可选流程为：在预定区域的骨干网出口处抓取DNS解析数据包；对DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。

步骤S702的另一种可选流程为：在本地递归DNS进行域名递归解析过程中，获取各级DNS授权服务器中的下一级的授权服务器的信息；将获取到的各级授权服务器的信息保存为域名的DNS解析记录。

步骤S704的一种可选流程为：按照域名的类型将解析记录以分布式存储形式保存为授权信息数据库，授权信息数据库以边界网关协议提供数据服务。

在本实施例的一个可选实施例中，在步骤S708之前，还可以判断DNS的解析结果是否正确；如果判断结果为否，则执行步骤S708启动 提供根域名解析服务的虚拟根节点。判断DNS的解析结果是否正确可以通过以下方式实现：在预定区域的骨干网出口处监听DNS解析报文；判断是否收到DNS解析报文以及DNS解析报文是否预存的结果匹配；若判断结果中任一项为否，确定DNS的解析结果不正确。

本实施例中的方案利用预定区域内的DNS解析记录，建立DNS授权信息数据库，作为提供根域名解析服务的虚拟根节点的数据基础，自动为区域内提供DNS根解析服务，降低了依靠现有DNS系统进行根域名解析时区域内域名解析失败导致的互联网风险。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的提供根域名解析服务的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图8示出了可以实现根据本发明的提供根域名解析服务的方法的计算设备。该计算设备传统上包括处理器810和以存储器820形式的计算机程序产品或者计算机可读介质。存储器820可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器820具有用于执行上述方法中的任何方法步骤的程序代码831的存储空间830。例如，用于程序代码的存储空间830可以包括分别用于实现上面的方法中的各种步骤的各个程序代码831。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图9所述的便携式或者固定存储单元。该存储单元可以具有与图8的计算设备中的存储器820类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码831’，即可以由例如诸如810之类的处理器读取的代码，这些代码当由计算设备运行时，导致该计算设备执行上面所描述的方法中的各个步骤。

本文中所称的“一个实施例”、“实施例”或者“一个或者多个 实施例”意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里“在一个实施例中”的词语例子不一定全指同一个实施例。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims (14)

1. 一种提供根域名解析服务的方法，包括：

   获取预定区域内多个域名的DNS解析记录；

   按照所述解析记录建立DNS各级节点的授权信息数据库；

   启动提供根域名解析服务的虚拟根节点，并由所述虚拟根节点根据所述授权信息数据库中的数据应答所述预定区域内的根域名解析请求。
2. 根据权利要求1所述的方法，其中，获取预定区域内多个域名的DNS解析记录包括：

   在所述预定区域的骨干网出口处抓取DNS解析数据包；

   对所述DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
3. 根据权利要求1所述的方法，其中，获取预定区域内多个域名的DNS解析记录包括：

   在本地递归DNS进行域名递归解析过程中，获取各级DNS授权服务器中的下一级的授权服务器的信息；

   将获取到的各级授权服务器的信息保存为所述域名的DNS解析记录。
4. 根据权利要求1至3中任一项所述的方法，其中，按照所述解析记录建立DNS各级节点的授权信息数据库还包括：

   按照域名的类型将所述解析记录以分布式存储形式保存为所述授权信息数据库，所述授权信息数据库以边界网关协议提供数据服务。
5. 根据权利要求1至4中任一项所述的方法，其中，在启动提供根域名解析服务的虚拟根节点之前还包括：

   判断DNS的解析结果是否正确；

   若否，启动提供根域名解析服务的虚拟根节点。
6. 根据权利要求5所述的方法，其中，判断DNS的解析结果是否正确包括：

   在所述预定区域的骨干网出口处监听DNS解析报文；

   判断是否收到DNS解析报文以及所述DNS解析报文是否预存的结果匹配；

   若判断结果中任一项为否，确定所述DNS的解析结果不正确。
7. 一种提供根域名解析服务的系统，包括：

   数据获取装置，被配置为获取预定区域内多个域名的DNS解析记录；

   虚拟根节点服务器，被配置为按照所述解析记录建立DNS各级节点的授权信息数据库，并运行有提供根域名解析服务的虚拟根节点，以根据所述授权信息数据库中的数据应答所述预定区域内的根域名解析请求。
8. 根据权利要求7所述的系统，其中，

   所述数据获取装置，还被配置为在所述预定区域的骨干网出口处抓取DNS解析数据包；对所述DNS解析数据包进行分析得到被解析域名的各级DNS解析记录。
9. 根据权利要求7所述的系统，其中，

   所述数据获取装置，还被配置为在本地递归DNS进行域名递归解析过程中，获取各级DNS授权服务器中的下一级的授权服务器的信息；将获取到的各级授权服务器的信息保存为所述域名的DNS解析记录。
10. 根据权利要求7至9中任一项所述的系统，其中，

    所述虚拟根节点服务器为多个，以分布式形式布置，还被配置为按照域名的类型保存所述授权信息数据库，并以边界网关协议提供数据服务。
11. 根据权利要求7至10中任一项所述的系统，还包括：

    DNS验证装置，被配置为判断DNS的解析结果是否正确；

    所述虚拟根节点服务器，还被配置为在所述DNS验证装置的判断结果为否的情况下，启动提供根域名解析服务的虚拟根节点。
12. 根据权利要求11所述的系统，所述DNS验证装置还被配置为：

    在所述预定区域的骨干网出口处监听DNS解析报文；

    判断是否收到DNS解析报文以及所述DNS解析报文是否预存的结果匹配；

    若判断结果中任一项为否，确定所述DNS的解析结果不正确。
13. 一种计算机程序，包括计算机可读代码，当所述计算机可读代码在计算设备上运行时，导致所述计算设备执行根据权利要求1至6中的任一项所述的提供根域名解析服务的方法。
14. 一种计算机可读介质，其中存储了如权利要求13所述的计算机程序。

Images