提供根域名解析服務(wù)的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種提供根域名解析服務(wù)的方法和系統(tǒng)。其中該提供根域名解析服務(wù)的方法包括:獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄�;按照解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù);啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)���,并由虛擬根節(jié)點(diǎn)根據(jù)授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求�。利用本發(fā)明的技術(shù)方案�����,利用預(yù)定區(qū)域內(nèi)的DNS解析記錄�����,建立DNS授權(quán)信息數(shù)據(jù)庫(kù)�,作為提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)的數(shù)據(jù)基礎(chǔ),自動(dòng)為區(qū)域內(nèi)提供DNS根解析服務(wù)���,降低了依靠現(xiàn)有DNS系統(tǒng)進(jìn)行根域名解析時(shí)區(qū)域內(nèi)域名解析失敗導(dǎo)致的互聯(lián)網(wǎng)風(fēng)險(xiǎn)��。
【專利說(shuō)明】提供根域名解析服務(wù)的方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】���,特別是涉及提供根域名解析服務(wù)的方法和系統(tǒng)。
【背景技術(shù)】
[0002]DNS是域名系統(tǒng)(Domain Name System)的縮寫(xiě)��,是因特網(wǎng)(Internet)的一項(xiàng)核心服務(wù),它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)�,能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng),而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串�。
[0003]通常Internet主機(jī)域名的一般結(jié)構(gòu)為:主機(jī)名.三級(jí)域名.二級(jí)域名.頂級(jí)域名。Internet的頂級(jí)域名由Internet網(wǎng)絡(luò)協(xié)會(huì)域名注冊(cè)查詢負(fù)責(zé)網(wǎng)絡(luò)地址分配的委員會(huì)進(jìn)行登記和管理�����,并且為Internet的每一臺(tái)主機(jī)分配唯一的IP地址�。
[0004]圖1是現(xiàn)有技術(shù)中DNS的層次架構(gòu)圖,現(xiàn)有的DNS架構(gòu)是一個(gè)層次樹(shù)狀結(jié)構(gòu)�����,這個(gè)樹(shù)狀結(jié)構(gòu)稱為DNS域名空間�����,最上面的域名空間被稱為“根節(jié)點(diǎn)”���。從頂級(jí)域到某一個(gè)子域的路徑就構(gòu)成了一個(gè)域名,例如從頂級(jí)域.com到它的二級(jí)域Microsoft,再到Microsoft的子域 departmentA 就構(gòu)成了一個(gè)域名 departmentA.microsoft.com�����。
[0005]圖2是現(xiàn)有技術(shù)中DNS的一個(gè)域名解析流程圖,以訪問(wèn)網(wǎng)易門(mén)戶地址www.163.com的解析過(guò)程為例進(jìn)行介紹����。其流程為:
[0006]步驟I,用戶電腦向其系統(tǒng)上設(shè)置的本地DNS服務(wù)器發(fā)送解析www.163.com的請(qǐng)求。所謂本地DNS服務(wù)器是指一個(gè)DNS服務(wù)IP地址���,可以是從運(yùn)營(yíng)商自動(dòng)獲取的�����,也可以是手動(dòng)設(shè)置的�。
[0007]步驟2�,本地DNS服務(wù)器會(huì)在自己的空間里查看是否有這個(gè)域名的緩存,如果沒(méi)有����,就會(huì)向根服務(wù)器發(fā)送WWW.163.com的域名解析請(qǐng)求。
[0008]步驟3�,根服務(wù)器接收到本地DNS服務(wù)器關(guān)于域名的解析請(qǐng)求后,分析請(qǐng)求的域名��,返回給本地服務(wù)器.com這個(gè)域名節(jié)點(diǎn)的服務(wù)器的IP地址�����。
[0009]步驟4:本地DNS服務(wù)器在接到.com頂級(jí)域的服務(wù)器IP地址后,向.com頂級(jí)域發(fā)出查詢www.163.com的解析請(qǐng)求�����。
[0010]步驟5,.com頂級(jí)域服務(wù)器在接收到關(guān)于WWW.163.com的解析請(qǐng)求后,返回給本地DNS服務(wù)器關(guān)于163這個(gè)二級(jí)域的DNS服務(wù)器的IP地址����。
[0011]步驟6,本地DNS服務(wù)器繼續(xù)向163這個(gè)二級(jí)域的DNS服務(wù)器發(fā)起關(guān)于www.163.com的解析請(qǐng)求。
[0012]步驟7����,163這個(gè)域的管理服務(wù)器管理163.com下的所有的子域名。它的域名空間中有WWW這個(gè)子域名���,其對(duì)應(yīng)的IP地址為111.1.53.220��,因此163.com域的DNS服務(wù)器會(huì)返回www.163.com對(duì)應(yīng)的IP地址111.1.53.220給本地DNS服務(wù)器�����。
[0013]步驟8,本地DNS服務(wù)器接收到163.com這個(gè)域服務(wù)器關(guān)于www.163.com解析結(jié)果后,返回給用戶對(duì)應(yīng)的IP地址111.1.53.220��,同時(shí)會(huì)將這個(gè)結(jié)果保留一段時(shí)間���,以備其他用戶的查詢�����。
[0014]步驟9�,用戶電腦在獲得www.163.com域名對(duì)應(yīng)的IP地址111.1.53.220后,就開(kāi)始向111.1.53.220這個(gè)IP請(qǐng)求網(wǎng)頁(yè)內(nèi)容�。到此,DNS的一個(gè)完整請(qǐng)求解析流程結(jié)束�����。
[0015]DNS根服務(wù)器是DNS樹(shù)型域名空間的“根”����,負(fù)責(zé)TLD (top Level Domain,頂級(jí)域名)的解析�����,對(duì)于域名解析起著極其關(guān)鍵的作用����。從理論上說(shuō),任何形式的標(biāo)準(zhǔn)域名要想被實(shí)現(xiàn)解析��,按照技術(shù)流程,都必須經(jīng)過(guò)全球“層級(jí)式”域名解析體系的工作才能完成��。
[0016]通過(guò)以上介紹可以看出:“層級(jí)式”域名解析體系第一層就是根服務(wù)器����,負(fù)責(zé)管理世界各國(guó)的域名信息,在根服務(wù)器下面是頂級(jí)域名服務(wù)器��,即相關(guān)國(guó)家域名管理機(jī)構(gòu)的數(shù)據(jù)庫(kù)��,如中國(guó)的CNNIC,然后再到下一級(jí)的域名數(shù)據(jù)庫(kù)和ISP(Internet Service Provider,互聯(lián)網(wǎng)服務(wù)提供商)的緩存服務(wù)器查詢���。一個(gè)域名必須首先經(jīng)過(guò)根數(shù)據(jù)庫(kù)的解析后��,才能轉(zhuǎn)到頂級(jí)域名服務(wù)器進(jìn)行解析����。如果DNS根節(jié)點(diǎn)不能訪問(wèn)���,那么一切的域名解析都會(huì)失敗��。
[0017]然而,全球僅有13臺(tái)根服務(wù)器�����。目前的分布情況為:主根服務(wù)器(A)美國(guó)I個(gè);輔根服務(wù)器(B至M)美國(guó)9個(gè)�����,瑞典�、荷蘭、日本各I個(gè)��。在現(xiàn)有技術(shù)中如果出現(xiàn)解析系統(tǒng)中屏蔽某個(gè)區(qū)域的域名��,那么它們的IP地址將無(wú)法解析出來(lái)���,這些域名所指向的網(wǎng)站就會(huì)從互聯(lián)網(wǎng)中消失了��。因此現(xiàn)有技術(shù)缺乏應(yīng)對(duì)區(qū)域內(nèi)應(yīng)對(duì)根域名解析失敗的解決方案�。
【發(fā)明內(nèi)容】
[0018]鑒于上述問(wèn)題����,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的提供根域名解析服務(wù)的系統(tǒng)及其相應(yīng)的提供根域名解析服務(wù)的方法。
[0019]本發(fā)明一個(gè)目的是要提高區(qū)域內(nèi)根域名解析服務(wù)的可靠性����。
[0020]本發(fā)明一個(gè)進(jìn)一步的目的是自動(dòng)監(jiān)控根域名解析結(jié)果�����,防止出現(xiàn)域名結(jié)果被篡改����。
[0021]依據(jù)本發(fā)明的一個(gè)方面�,提供了一種提供根域名解析服務(wù)的方法。該提供根域名解析服務(wù)的方法包括:獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄��;按照解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)��;啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)��,并由虛擬根節(jié)點(diǎn)根據(jù)授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求�����。
[0022]可選地�����,獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄包括:在預(yù)定區(qū)域的骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包����;對(duì)DNS解析數(shù)據(jù)包進(jìn)行分析得到被解析域名的各級(jí)DNS解析記錄�。
[0023]可選地�����,獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄包括:在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中��,獲取各級(jí)DNS授權(quán)服務(wù)器中的下一級(jí)的授權(quán)服務(wù)器的信息�����;將獲取到的各級(jí)授權(quán)服務(wù)器的信息保存為域名的DNS解析記錄�����。
[0024]可選地��,按照解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)還包括:按照域名的類型將解析記錄以分布式存儲(chǔ)形式保存為授權(quán)信息數(shù)據(jù)庫(kù)����,授權(quán)信息數(shù)據(jù)庫(kù)以邊界網(wǎng)關(guān)協(xié)議提供數(shù)據(jù)服務(wù)����。
[0025]可選地,在啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)之前還包括:判斷DNS的解析結(jié)果是否正確;若否����,啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)。
[0026]可選地�����,判斷DNS的解析結(jié)果是否正確包括:判斷是否收到DNS解析報(bào)文以及DNS解析報(bào)文是否預(yù)存的結(jié)果匹配�����;若判斷結(jié)果中任一項(xiàng)為否�����,確定DNS的解析結(jié)果不正確����。
[0027]根據(jù)本發(fā)明的一個(gè)方面,提供了一種提供根域名解析服務(wù)的系統(tǒng)��。該提供根域名解析服務(wù)的系統(tǒng)包括:數(shù)據(jù)獲取裝置�,被配置為獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄;虛擬根節(jié)點(diǎn)服務(wù)器�����,被配置為按照解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù),并運(yùn)行有提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)��,以根據(jù)授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求�����。
[0028]可選地���,數(shù)據(jù)獲取裝置,還被配置為在預(yù)定區(qū)域的骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包����;對(duì)DNS解析數(shù)據(jù)包進(jìn)行分析得到被解析域名的各級(jí)DNS解析記錄。
[0029]可選地�,數(shù)據(jù)獲取裝置,還被配置為在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中���,獲取被解析域名的各級(jí)授權(quán)服務(wù)器的信息��;將被解析域名的各級(jí)授權(quán)服務(wù)器的信息保存為域名的DNS解析記錄����。
[0030]可選地,虛擬根節(jié)點(diǎn)服務(wù)器為多個(gè)��,以分布式形式布置���,還被配置為按照域名的類型保存授權(quán)信息數(shù)據(jù)庫(kù)�����,并以邊界網(wǎng)關(guān)協(xié)議提供數(shù)據(jù)服務(wù)�����。
[0031]可選地�����,上述提供根域名解析服務(wù)的系統(tǒng)還包括:DNS驗(yàn)證裝置�,被配置為判斷DNS的解析結(jié)果是否正確����;虛擬根節(jié)點(diǎn)服務(wù)器,還被配置為在DNS驗(yàn)證裝置的判斷結(jié)果為否的情況下�,啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)。
[0032]可選地�,DNS驗(yàn)證裝置還被配置為:判斷是否收到DNS解析報(bào)文以及所述DNS解析報(bào)文是否預(yù)存的結(jié)果匹配�;若判斷結(jié)果中任一項(xiàng)為否�����,確定DNS的解析結(jié)果不正確�����。
[0033]本發(fā)明的提供根域名解析服務(wù)的方法和系統(tǒng)��,利用預(yù)定區(qū)域內(nèi)的DNS解析記錄�,建立DNS授權(quán)信息數(shù)據(jù)庫(kù)����,作為提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)的數(shù)據(jù)基礎(chǔ),自動(dòng)為區(qū)域內(nèi)提供DNS根解析服務(wù)�����,降低了依靠現(xiàn)有DNS系統(tǒng)進(jìn)行根域名解析時(shí)區(qū)域內(nèi)域名解析失敗導(dǎo)致的互聯(lián)網(wǎng)風(fēng)險(xiǎn)����。
[0034]進(jìn)一步地,本發(fā)明的提供根域名解析服務(wù)的方法及系統(tǒng)中虛擬根節(jié)點(diǎn)采用分布式部署���,通過(guò)anycast模式對(duì)外提供服務(wù)�����,能有效降低DNS單點(diǎn)故障和提高防御DNS攻擊能力�����,并可以對(duì)虛擬根節(jié)點(diǎn)配置訪問(wèn)權(quán)限控制����,屏蔽DNS的攻擊數(shù)據(jù),優(yōu)先保證區(qū)域內(nèi)的本地DNS正常應(yīng)答。
[0035]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述�,為了能夠更清楚了解本發(fā)明的技術(shù)手段���,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施����,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂�����,以下特舉本發(fā)明的【具體實(shí)施方式】��。
[0036]根據(jù)下文結(jié)合附圖對(duì)本發(fā)明具體實(shí)施例的詳細(xì)描述��,本領(lǐng)域技術(shù)人員將會(huì)更加明了本發(fā)明的上述以及其他目的、優(yōu)點(diǎn)和特征����。
【專利附圖】
【附圖說(shuō)明】
[0037]通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述���,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了����。附圖僅用于示出優(yōu)選實(shí)施方式的目的��,而并不認(rèn)為是對(duì)本發(fā)明的限制��。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件��。在附圖中:
[0038]圖1是現(xiàn)有技術(shù)中DNS的層次架構(gòu)圖�����;
[0039]圖2是現(xiàn)有技術(shù)中DNS的一個(gè)域名解析流程��;
[0040]圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)的架構(gòu)圖;
[0041]圖4是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)在骨干網(wǎng)出口處抓取數(shù)據(jù)包以獲取數(shù)據(jù)的示意圖�����;
[0042]圖5是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)的利用本地DNS服務(wù)器進(jìn)行數(shù)據(jù)獲取的示意圖���;
[0043]圖6是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)提供根域名解析服務(wù)的不意圖��;以及
[0044]圖7是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的方法的示意圖��。
【具體實(shí)施方式】
[0045]在此提供的算法和顯示不與任何特定計(jì)算機(jī)��、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)�。各種通用系統(tǒng)也可以與基于在此的示教一起使用����。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的��。此外�����,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言����。應(yīng)當(dāng)明白�,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容��,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式�。
[0046]圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)100的架構(gòu)圖��,該提供根域名解析服務(wù)的系統(tǒng)100 —般性地可以包括:數(shù)據(jù)獲取裝置110�����、虛擬根節(jié)點(diǎn)服務(wù)器120����,進(jìn)一步地可以設(shè)置有DNS驗(yàn)證裝置130。
[0047]在本發(fā)明的一個(gè)實(shí)施例中���,數(shù)據(jù)獲取裝置110被配置為獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄�。虛擬根節(jié)點(diǎn)服務(wù)器120���,被配置為按照解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)���,并運(yùn)行有提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)���,以根據(jù)授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求。DNS驗(yàn)證裝置130被配置為判斷DNS的解析結(jié)果是否正確����;虛擬根節(jié)點(diǎn)服務(wù)器120在DNS驗(yàn)證裝置的判斷結(jié)果為否的情況下,啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)��。
[0048]本實(shí)施例的根域名解析服務(wù)的系統(tǒng)100利用預(yù)定區(qū)域內(nèi)的DNS解析記錄�,建立DNS授權(quán)信息數(shù)據(jù)庫(kù),作為提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)的數(shù)據(jù)基礎(chǔ)�����,自動(dòng)為區(qū)域內(nèi)提供DNS根解析服務(wù)���,降低了依靠現(xiàn)有DNS系統(tǒng)進(jìn)行根域名解析時(shí)區(qū)域內(nèi)域名解析失敗導(dǎo)致的互聯(lián)網(wǎng)風(fēng)險(xiǎn)�����。例如可以將中國(guó)境內(nèi)作為上述預(yù)定區(qū)域����,在對(duì)所有cn域名解析的過(guò)程中��,獲取所有cn域名的DNS解析記錄,建立cn域名的授權(quán)信息數(shù)據(jù)庫(kù)�,從而現(xiàn)有DNS系統(tǒng)拒絕提供cn域名的根解析服務(wù)時(shí),或者cn域名的根解析服務(wù)出現(xiàn)錯(cuò)誤時(shí)����,由本實(shí)施例的根域名解析服務(wù)的系統(tǒng)100的虛擬根節(jié)點(diǎn)利用備份的數(shù)據(jù)提供cn域名解析服務(wù)。
[0049]數(shù)據(jù)獲取裝置110可以通過(guò)多種方式獲取DNS解析記錄,例如一種可選方式為在預(yù)定區(qū)域的骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包;對(duì)DNS解析數(shù)據(jù)包進(jìn)行分析得到被解析域名的各級(jí)DNS解析記錄����。另一種可選方式為在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中,獲取被解析域名的各級(jí)授權(quán)服務(wù)器的信息����;將被解析域名的各級(jí)授權(quán)服務(wù)器的信息保存為域名的DNS解析記錄。
[0050]在以上第一種方式中����,向區(qū)域外的根域名解析服務(wù)器進(jìn)行DNS解析請(qǐng)求時(shí),均需要經(jīng)過(guò)本區(qū)域的骨干網(wǎng)路由�,因此可以在骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包,得到DNS解析記錄���。
[0051]圖4是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)100在骨干網(wǎng)出口處抓取數(shù)據(jù)包以獲取數(shù)據(jù)的示意圖�����。根域名解析服務(wù)器可以采用任播(anycast)技術(shù)在一定區(qū)域內(nèi)設(shè)立鏡像站�����,但是需要依賴于根域名解析服務(wù)器����。本實(shí)施例中可以通過(guò)DNS協(xié)議本身的逐層解析的過(guò)程中或者在骨干網(wǎng)的出口處抓包分析,也能夠收集到需要的DNS解析的授權(quán)信息��,建立相應(yīng)完整的DNS層次關(guān)系��,進(jìn)而建立完備的虛擬根節(jié)點(diǎn)所需的數(shù)據(jù)���。
[0052]在以上第二種方式中����,用戶主機(jī)向本地DNS發(fā)送DNS解析請(qǐng)求一般均采用遞歸查詢����,本地DNS服務(wù)器中沒(méi)有緩存被查詢域名的地址時(shí),本地DNS服務(wù)器會(huì)向其他根域名服務(wù)器繼續(xù)發(fā)出查詢請(qǐng)求報(bào)文,并獲取結(jié)果��,數(shù)據(jù)獲取裝置110可以利用在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中����,獲取各級(jí)DNS授權(quán)服務(wù)器中的下一級(jí)的授權(quán)服務(wù)器的信息,從而得到各級(jí)授權(quán)服務(wù)器的信息����。
[0053]圖5是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)100的利用本地DNS服務(wù)器進(jìn)行數(shù)據(jù)獲取的示意圖。在DNS域名系統(tǒng)的層次關(guān)系和分布式結(jié)構(gòu)中���,層次空間中每一級(jí)節(jié)點(diǎn)都存儲(chǔ)著下一級(jí)的相關(guān)節(jié)點(diǎn)的授權(quán)信息記錄�����。本地DNS在逐層解析的過(guò)程中,會(huì)訪問(wèn)到域名空間所有因?qū)哟蔚墓?jié)點(diǎn)�����,此可以利用本地DNS服務(wù)器的遞歸過(guò)程將這些節(jié)點(diǎn)信息的授權(quán)記錄進(jìn)行保存��,根據(jù)記錄的相互關(guān)系���,組成一個(gè)備份的域名層次空間��,建立授權(quán)信息數(shù)據(jù)庫(kù)����。授權(quán)數(shù)據(jù)庫(kù)對(duì)應(yīng)域名空間的每一級(jí),并且數(shù)據(jù)信息是實(shí)時(shí)更新�����,從而授權(quán)信息數(shù)據(jù)庫(kù)形成了一個(gè)互聯(lián)網(wǎng)域名層次的鏡像����。由于數(shù)據(jù)庫(kù)擁有全部的授權(quán)信息記錄,因此可以在根節(jié)點(diǎn)甚至是任何一級(jí)的域名節(jié)點(diǎn)服務(wù)器出現(xiàn)故障時(shí)�,利用該數(shù)據(jù)庫(kù)的數(shù)據(jù)可以實(shí)現(xiàn)該級(jí)DNS服務(wù)器進(jìn)行授權(quán)解析服務(wù)。
[0054]本地遞歸DNS服務(wù)器(流入運(yùn)營(yíng)商提供的DNS和公共DNS)在進(jìn)行遞歸時(shí)���,會(huì)獲取域名對(duì)應(yīng)的各級(jí)授權(quán)服務(wù)器信息�����,所以可以在本地DNS遞歸的過(guò)程中��,可以將區(qū)域內(nèi)所有域名對(duì)應(yīng)的解析記錄鏡像出來(lái)進(jìn)行相應(yīng)備份存儲(chǔ)�。
[0055]虛擬根節(jié)點(diǎn)服務(wù)器120可以為多個(gè),以分布式形式布置���,還被配置為按照域名的類型保存授權(quán)信息數(shù)據(jù)庫(kù)�,并以邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol,簡(jiǎn)稱BGP)提供數(shù)據(jù)服務(wù)��。邊界網(wǎng)關(guān)協(xié)議(BGP)是運(yùn)行于TCP上的一種自治系統(tǒng)的路由協(xié)議�。BGP是用來(lái)處理像因特網(wǎng)大小的網(wǎng)絡(luò)的協(xié)議,也能夠妥善處理好不相關(guān)路由域間的多路連接的協(xié)議��。多個(gè)虛擬根節(jié)點(diǎn)服務(wù)器120可以共用同一地址����,以Anycast形式提供數(shù)據(jù)服務(wù)。Anycast在一個(gè)單播地址被分配到多于一個(gè)的接口上時(shí)�����,發(fā)到該接口的報(bào)文被網(wǎng)絡(luò)路由到由路由協(xié)議度量的“最近”的目標(biāo)接口上�。Anycast允許DNS解析請(qǐng)求向多個(gè)虛擬根節(jié)點(diǎn)服務(wù)器120中的一個(gè)結(jié)點(diǎn)發(fā)送數(shù)據(jù)包��,而這個(gè)結(jié)點(diǎn)由路由系統(tǒng)選擇�,對(duì)請(qǐng)求方結(jié)點(diǎn)透明,從而在一定程序上為源結(jié)點(diǎn)提供了更好的服務(wù)也減輕了網(wǎng)絡(luò)負(fù)載�����。
[0056]利用在分布式數(shù)據(jù)庫(kù)系統(tǒng)的架構(gòu),多個(gè)虛擬根節(jié)點(diǎn)服務(wù)器120通過(guò)查詢分布式數(shù)據(jù)庫(kù)獲取對(duì)應(yīng)的應(yīng)答結(jié)果���,通過(guò)開(kāi)放式最短路徑優(yōu)先協(xié)議(Open Shortest Path First,簡(jiǎn)稱0SPF)能實(shí)現(xiàn)多機(jī)同時(shí)工作��,提高應(yīng)答能力�。OSPF協(xié)議是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGateway Protocol,簡(jiǎn)稱IGP),用于在單一自治系統(tǒng)(autonomous system,簡(jiǎn)稱AS)內(nèi)決策路由�����。是對(duì)鏈路狀態(tài)路由協(xié)議的一種實(shí)現(xiàn)�,隸屬內(nèi)部網(wǎng)關(guān)協(xié)議(IGP ),運(yùn)作于自治系統(tǒng)內(nèi)部����。
[0057]另外采用分布式形式布置虛擬根節(jié)點(diǎn)服務(wù)器120不僅可以加快DNS的解析過(guò)程,也更加合理地利用了因特網(wǎng)資源�����,而且通過(guò)anycast模式對(duì)外提供服務(wù)��,能降低DNS單點(diǎn)故障和提高防御DNS攻擊能力���,同時(shí)還可以對(duì)虛擬根節(jié)點(diǎn)配置訪問(wèn)權(quán)限控制����,屏蔽DNS的攻擊數(shù)據(jù),當(dāng)出現(xiàn)解析異常時(shí)����,優(yōu)先保證區(qū)域內(nèi)的本地DNS服務(wù)器的正常應(yīng)答。
[0058]DNS驗(yàn)證裝置130的一種運(yùn)行流程為:在預(yù)定區(qū)域的骨干網(wǎng)出口處監(jiān)聽(tīng)DNS解析報(bào)文�;判斷是否收到DNS解析報(bào)文以及DNS解析報(bào)文是否預(yù)存的結(jié)果匹配;若判斷結(jié)果中任一項(xiàng)為否�����,確定DNS的解析結(jié)果不正確��。在根域名解析錯(cuò)誤的情況下����,由虛擬根節(jié)點(diǎn)服務(wù)器120提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn),完成區(qū)域內(nèi)的根域名解析工作�����。
[0059]根域名解析的結(jié)果一般是不會(huì)輕易修改�,如果當(dāng)前返回的解析結(jié)果與歷史記錄中預(yù)存的結(jié)果不匹配,則證明解析出現(xiàn)篡改�,需要告警或采取人工干預(yù)。另外����,如果當(dāng)某個(gè)頂級(jí)域的授權(quán)無(wú)法正常工作或者返回的都為“SERVFAIL”也直接可以判斷為解析結(jié)果錯(cuò)誤。DNS的解析結(jié)果不正確的一種處理方法為:解析結(jié)果出現(xiàn)篡改后�,根據(jù)告警信息進(jìn)行判斷,對(duì)界面操作點(diǎn)擊����,系統(tǒng)自動(dòng)批量切換至虛擬根節(jié)點(diǎn)的DNS解析。
[0060]以上告警信息可以結(jié)合預(yù)先采集的非法DNS IP和合法的DNS IP地址白名單列表地址確定�,例如預(yù)先收集的惡意DNS IP地址列表可以是由安全廠商預(yù)先收集的一組非法DNS IP地址,該預(yù)先收集的惡意DNS IP地址列表可以為客戶端數(shù)據(jù)庫(kù)中預(yù)先收集的惡意DNS IP地址列表����,或者也可以為從網(wǎng)站上下載至客戶端數(shù)據(jù)庫(kù)中的惡意DNS IP地址列表。該預(yù)先設(shè)置的合法的DNS IP地址白名單列表可以預(yù)先存儲(chǔ)在客戶端數(shù)據(jù)庫(kù)中����,也可以從網(wǎng)站的服務(wù)器(例如:云安全服務(wù)器)上下載;
[0061]在具體實(shí)現(xiàn)中�,主要的安全等級(jí)包括“危險(xiǎn)”、“警告”和“安全”����,其中���,安全等級(jí)為“危險(xiǎn)”的表示對(duì)用戶的威脅最大,為“警告”的次之����,為“安全”的最弱。界面上提示也可以據(jù)此進(jìn)行�。在出現(xiàn)界面告警信息后,可以采用自動(dòng)或手動(dòng)的方式啟動(dòng)虛擬根節(jié)點(diǎn)���,避免非法DNS的解析結(jié)果造成的安全風(fēng)險(xiǎn)��。
[0062]圖6是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)100提供根域名解析服務(wù)的示意圖��。當(dāng)數(shù)據(jù)獲取裝置110建立好域名授權(quán)信息數(shù)據(jù)庫(kù)后��,虛擬根節(jié)點(diǎn)服務(wù)器120可以在數(shù)據(jù)的基礎(chǔ)上啟動(dòng)一個(gè)虛擬根節(jié)點(diǎn)服務(wù)����,對(duì)外提供根節(jié)點(diǎn)一樣的解析服務(wù)和其他頂級(jí)域授權(quán)災(zāi)備服務(wù)�����。同時(shí)在骨干網(wǎng)對(duì)區(qū)域外的出口處啟動(dòng)監(jiān)聽(tīng)DNS數(shù)據(jù)報(bào)文�,對(duì)DNS解析記錄的正確性進(jìn)行監(jiān)控,一旦發(fā)現(xiàn)根節(jié)點(diǎn)和其他不可控的域名解析異常情況�,在出口處可以將對(duì)應(yīng)的請(qǐng)求包傳送到虛擬根節(jié)點(diǎn)進(jìn)行解析應(yīng)答,防止數(shù)據(jù)繼續(xù)到國(guó)外服務(wù)器而導(dǎo)致被篡改��。獲取任何域名都需要從根節(jié)點(diǎn)開(kāi)始����,如果根節(jié)點(diǎn)返回錯(cuò)誤,會(huì)導(dǎo)致所有域名都解析異常�,直接導(dǎo)致整個(gè)互聯(lián)網(wǎng)異常。利用本實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)100可以有效避免類似的安全風(fēng)險(xiǎn)���。
[0063]當(dāng)現(xiàn)有的根域名解析服務(wù)器或者對(duì)應(yīng)的其他域名解析出現(xiàn)異常的情況下�����,虛擬根節(jié)點(diǎn)服務(wù)器120利用授權(quán)信息數(shù)據(jù)庫(kù)通過(guò)BGP的方式(anycast模式)構(gòu)建出的虛擬根節(jié)點(diǎn)對(duì)外提供DNS解析服務(wù)����。
[0064]其他的遞歸DNS可以通過(guò)修改根節(jié)點(diǎn)IP指向虛擬根服務(wù)IP�,或者將所有域名解析轉(zhuǎn)發(fā)到虛擬根節(jié)點(diǎn),虛擬根節(jié)點(diǎn)根據(jù)授權(quán)信息數(shù)據(jù)庫(kù)提供域名解析服務(wù)����。其他DNS服務(wù)商無(wú)法快速修復(fù)時(shí)���,發(fā)出DNS解析請(qǐng)求的用戶主機(jī)可以緊急將用戶的DNS修復(fù)到能解析的公共DNS上,以保證網(wǎng)絡(luò)用戶能正常使用網(wǎng)絡(luò)��。
[0065]以上虛擬根節(jié)點(diǎn)服務(wù)器120還可以通過(guò)判斷DNS的解析請(qǐng)求的信息對(duì)DNS的解析請(qǐng)求是否惡意進(jìn)行判斷和處理�,以防御針對(duì)DNS的拒絕服務(wù)攻擊。例如虛擬根節(jié)點(diǎn)服務(wù)器120通過(guò)使用一個(gè)高速緩存����,采用緩存存取優(yōu)化、預(yù)更新等各種手段盡量降低了解析時(shí)延�,實(shí)現(xiàn)了 DNS請(qǐng)求的高速安全解析。當(dāng)某一個(gè)請(qǐng)求源的流量異常突增時(shí)��,自動(dòng)分析和安全聯(lián)動(dòng)措施�����,對(duì)該DNS解析請(qǐng)求源限速����。
[0066]例如在本實(shí)施例中的虛擬根節(jié)點(diǎn)服務(wù)器120,對(duì)本地DNS的發(fā)出的DNS解析請(qǐng)求進(jìn)行域名解析,在虛擬根節(jié)點(diǎn)服務(wù)器120中設(shè)置有DNS攻擊的防御裝置�����。該防御裝置獲取DNS查詢請(qǐng)求以及DNS查詢請(qǐng)求的請(qǐng)求源的IP地址����;按照IP地址在訪問(wèn)記錄數(shù)據(jù)庫(kù)中查詢得出請(qǐng)求源的請(qǐng)求記錄信息�����;判斷請(qǐng)求記錄信息中在預(yù)定周期內(nèi)的請(qǐng)求次數(shù)是否超出了預(yù)設(shè)閾值���;若是�����,判定請(qǐng)求源進(jìn)行DNS攻擊����,并進(jìn)行防御����。防御方法可以使用直接過(guò)濾超速的DNS請(qǐng)求,或者結(jié)合用戶客戶端中安裝的安全衛(wèi)士等軟件,進(jìn)行安全防護(hù)和提示�,例如用戶客戶端在安全建議顯示區(qū)域輸出提示信息或?qū)NS服務(wù)器地址修改為預(yù)設(shè)的安全地址。提高了虛擬根節(jié)點(diǎn)服務(wù)器120的安全性�。
[0067]本發(fā)明實(shí)施例還提供了一種提供根域名解析服務(wù)的方法,該提供根域名解析服務(wù)的方法可以由以上實(shí)施例介紹的任意一種提供根域名解析服務(wù)的系統(tǒng)來(lái)執(zhí)行�����,實(shí)現(xiàn)預(yù)定區(qū)域內(nèi)的DNS根域名解析�����。圖7是根據(jù)本發(fā)明一個(gè)實(shí)施例的提供根域名解析服務(wù)的方法的示意圖����,該提供根域名解析服務(wù)的方法包括:
[0068]步驟S702,獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄��;
[0069]步驟S704,按照解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)�����;
[0070]步驟S706����,啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)��;
[0071]步驟S708�����,由虛擬根節(jié)點(diǎn)根據(jù)授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求���。
[0072]其中步驟S702的一種可選流程為:在預(yù)定區(qū)域的骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包;對(duì)DNS解析數(shù)據(jù)包進(jìn)行分析得到被解析域名的各級(jí)DNS解析記錄�����。
[0073]步驟S702的另一種可選流程為:在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中�����,獲取各級(jí)DNS授權(quán)服務(wù)器中的下一級(jí)的授權(quán)服務(wù)器的信息�;將獲取到的各級(jí)授權(quán)服務(wù)器的信息保存為域名的DNS解析記錄�����。
[0074]步驟S704的一種可選流程為:按照域名的類型將解析記錄以分布式存儲(chǔ)形式保存為授權(quán)信息數(shù)據(jù)庫(kù)�����,授權(quán)信息數(shù)據(jù)庫(kù)以邊界網(wǎng)關(guān)協(xié)議提供數(shù)據(jù)服務(wù)。
[0075]在本實(shí)施例的一個(gè)可選實(shí)施例中�����,在步驟S708之前��,還可以判斷DNS的解析結(jié)果是否正確����;如果判斷結(jié)果為否,則執(zhí)行步驟S708啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)����。判斷DNS的解析結(jié)果是否正確可以通過(guò)以下方式實(shí)現(xiàn):在預(yù)定區(qū)域的骨干網(wǎng)出口處監(jiān)聽(tīng)DNS解析報(bào)文;判斷是否收到DNS解析報(bào)文以及DNS解析報(bào)文是否預(yù)存的結(jié)果匹配�;若判斷結(jié)果中任一項(xiàng)為否,確定DNS的解析結(jié)果不正確�����。
[0076]本實(shí)施例中的方案利用預(yù)定區(qū)域內(nèi)的DNS解析記錄�����,建立DNS授權(quán)信息數(shù)據(jù)庫(kù)�����,作為提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)的數(shù)據(jù)基礎(chǔ),自動(dòng)為區(qū)域內(nèi)提供DNS根解析服務(wù)���,降低了依靠現(xiàn)有DNS系統(tǒng)進(jìn)行根域名解析時(shí)區(qū)域內(nèi)域名解析失敗導(dǎo)致的互聯(lián)網(wǎng)風(fēng)險(xiǎn)���。
[0077]在此處所提供的說(shuō)明書(shū)中,說(shuō)明了大量具體細(xì)節(jié)�����。然而�,能夠理解,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐��。在一些實(shí)例中�����,并未詳細(xì)示出公知的方法��、結(jié)構(gòu)和技術(shù)���,以便不模糊對(duì)本說(shuō)明書(shū)的理解����。
[0078]類似地����,應(yīng)當(dāng)理解,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)���,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中���,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖���、或者對(duì)其的描述中����。然而�,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō)�,如下面的權(quán)利要求書(shū)所反映的那樣,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征��。因此�����,遵循【具體實(shí)施方式】的權(quán)利要求書(shū)由此明確地并入該【具體實(shí)施方式】,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例����。
[0079]本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中���?��?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件���。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合����。除非另外明確陳述�����,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同���、等同或相似目的的替代特征來(lái)代替����。
[0080]此外���,本領(lǐng)域的技術(shù)人員能夠理解���,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例��。例如���,在權(quán)利要求書(shū)中�����,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用�����。
[0081 ] 本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)�,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)���。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�����,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP )來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的提供根域名解析服務(wù)的系統(tǒng)中的一些或者全部部件的一些或者全部功能�����。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)�����。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上��,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式���。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到�����,或者在載體信號(hào)上提供�,或者以任何其他形式提供���。
[0082]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制��,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例�����。在權(quán)利要求中�����,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制�����。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟����。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件�����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中���,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)���。單詞第一、第二�、以及第三等的使用不表示任何順序?�?蓪⑦@些單詞解釋為名稱�����。
[0083]至此�����,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識(shí)到��,雖然本文已詳盡示出和描述了本發(fā)明的多個(gè)示例性實(shí)施例����,但是,在不脫離本發(fā)明精神和范圍的情況下���,仍可根據(jù)本發(fā)明公開(kāi)的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改����。因此���,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改����。
[0084]本發(fā)明的實(shí)施例提供了 Al.—種提供根域名解析服務(wù)的方法���,包括:
[0085]獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄�;
[0086]按照所述解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)�����;
[0087]啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)���,并由所述虛擬根節(jié)點(diǎn)根據(jù)所述授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答所述預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求����。
[0088]A2.根據(jù)Al所述的方法�,其中�,獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄包括:[0089]在所述預(yù)定區(qū)域的骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包�����;
[0090]對(duì)所述DNS解析數(shù)據(jù)包進(jìn)行分析得到被解析域名的各級(jí)DNS解析記錄��。
[0091]A3.根據(jù)Al所述的方法��,其中�����,獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄包括:
[0092]在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中�,獲取各級(jí)DNS授權(quán)服務(wù)器中的下一級(jí)的授權(quán)服務(wù)器的信息;
[0093]將獲取到的各級(jí)授權(quán)服務(wù)器的信息保存為所述域名的DNS解析記錄����。
[0094]A4.根據(jù)Al至A3中任一項(xiàng)所述的方法,其中���,按照所述解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)還包括:
[0095]按照域名的類型將所述解析記錄以分布式存儲(chǔ)形式保存為所述授權(quán)信息數(shù)據(jù)庫(kù)���,所述授權(quán)信息數(shù)據(jù)庫(kù)以邊界網(wǎng)關(guān)協(xié)議提供數(shù)據(jù)服務(wù)。
[0096]A5.根據(jù)Al至A4中任一項(xiàng)所述的方法����,其中�,在啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)之前還包括:
[0097]判斷DNS的解析結(jié)果是否正確�����;
[0098]若否�,啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)����。
[0099]A6.根據(jù)A5所述的方法,其中�����,判斷DNS的解析結(jié)果是否正確包括:
[0100]在所述預(yù)定區(qū)域的骨干網(wǎng)出口處監(jiān)聽(tīng)DNS解析報(bào)文����;
[0101]判斷是否收到DNS解析報(bào)文以及所述DNS解析報(bào)文是否預(yù)存的結(jié)果匹配;
[0102]若判斷結(jié)果中任一項(xiàng)為否,確定所述DNS的解析結(jié)果不正確�。
[0103]本發(fā)明的實(shí)施例還提供了 B7.—種提供根域名解析服務(wù)的系統(tǒng),包括:
[0104]數(shù)據(jù)獲取裝置�����,被配置為獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄;
[0105]虛擬根節(jié)點(diǎn)服務(wù)器���,被配置為按照所述解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)�����,并運(yùn)行有提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)����,以根據(jù)所述授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答所述預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求��。
[0106]B8.根據(jù)B7所述的系統(tǒng)�,其中,
[0107]所述數(shù)據(jù)獲取裝置�,還被配置為在所述預(yù)定區(qū)域的骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包;對(duì)所述DNS解析數(shù)據(jù)包進(jìn)行分析得到被解析域名的各級(jí)DNS解析記錄�����。
[0108]B9.根據(jù)B7所述的系統(tǒng)���,其中��,
[0109]所述數(shù)據(jù)獲取裝置�����,還被配置為在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中�����,獲取各級(jí)DNS授權(quán)服務(wù)器中的下一級(jí)的授權(quán)服務(wù)器的信息��;將獲取到的各級(jí)授權(quán)服務(wù)器的信息保存為所述域名的DNS解析記錄���。
[0110]B10.根據(jù)B7至B9中任一項(xiàng)所述的系統(tǒng),其中��,
[0111]所述虛擬根節(jié)點(diǎn)服務(wù)器為多個(gè)�����,以分布式形式布置�����,還被配置為按照域名的類型保存所述授權(quán)信息數(shù)據(jù)庫(kù)�,并以邊界網(wǎng)關(guān)協(xié)議提供數(shù)據(jù)服務(wù)。
[0112]Bll.根據(jù)B7至BlO中任一項(xiàng)所述的系統(tǒng)�,還包括:
[0113]DNS驗(yàn)證裝置�,被配置為判斷DNS的解析結(jié)果是否正確���;
[0114]所述虛擬根節(jié)點(diǎn)服務(wù)器�����,還被配置為在所述DNS驗(yàn)證裝置的判斷結(jié)果為否的情況下����,啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)��。
[0115]B12.根據(jù)Bll中任一項(xiàng)所述的系統(tǒng)�,所述DNS驗(yàn)證裝置還被配置為:
[0116]在所述預(yù)定區(qū)域的骨干網(wǎng)出口處監(jiān)聽(tīng)DNS解析報(bào)文;[0117]判斷是否收到DNS解析報(bào)文以及所述DNS解析報(bào)文是否預(yù)存的結(jié)果匹配���;
[0118]若判斷結(jié)果中任一項(xiàng)為否�,確定所述DNS的解析結(jié)果不正確�。
【權(quán)利要求】
1.一種提供根域名解析服務(wù)的方法,包括: 獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄���; 按照所述解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)��; 啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)�����,并由所述虛擬根節(jié)點(diǎn)根據(jù)所述授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答所述預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求��。
2.根據(jù)權(quán)利要求1所述的方法�,其中,獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄包括: 在所述預(yù)定區(qū)域的骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包�����; 對(duì)所述DNS解析數(shù)據(jù)包進(jìn)行分析得到被解析域名的各級(jí)DNS解析記錄�����。
3.根據(jù)權(quán)利要求1所述的方法����,其中���,獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄包括: 在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中�,獲取各級(jí)DNS授權(quán)服務(wù)器中的下一級(jí)的授權(quán)服務(wù)器的信息�����; 將獲取到的各級(jí)授權(quán)服務(wù)器的信息保存為所述域名的DNS解析記錄。
4.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法�����,其中����,按照所述解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)還包括: 按照域名的類型將所述解析記錄以分布式存儲(chǔ)形式保存為所述授權(quán)信息數(shù)據(jù)庫(kù),所述授權(quán)信息數(shù)據(jù)庫(kù)以邊界網(wǎng)關(guān)協(xié)議提供數(shù)據(jù)服務(wù)�。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法,其中�����,在啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)之前還包括: 判斷DNS的解析結(jié)果是否正確����; 若否,啟動(dòng)提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)�。
6.根據(jù)權(quán)利要求5所述的方法,其中���,判斷DNS的解析結(jié)果是否正確包括: 在所述預(yù)定區(qū)域的骨干網(wǎng)出口處監(jiān)聽(tīng)DNS解析報(bào)文�; 判斷是否收到DNS解析報(bào)文以及所述DNS解析報(bào)文是否預(yù)存的結(jié)果匹配; 若判斷結(jié)果中任一項(xiàng)為否��,確定所述DNS的解析結(jié)果不正確�����。
7.一種提供根域名解析服務(wù)的系統(tǒng)�����,包括: 數(shù)據(jù)獲取裝置���,被配置為獲取預(yù)定區(qū)域內(nèi)多個(gè)域名的DNS解析記錄����; 虛擬根節(jié)點(diǎn)服務(wù)器���,被配置為按照所述解析記錄建立DNS各級(jí)節(jié)點(diǎn)的授權(quán)信息數(shù)據(jù)庫(kù)���,并運(yùn)行有提供根域名解析服務(wù)的虛擬根節(jié)點(diǎn)��,以根據(jù)所述授權(quán)信息數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)答所述預(yù)定區(qū)域內(nèi)的根域名解析請(qǐng)求��。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其中���, 所述數(shù)據(jù)獲取裝置���,還被配置為在所述預(yù)定區(qū)域的骨干網(wǎng)出口處抓取DNS解析數(shù)據(jù)包;對(duì)所述DNS解析數(shù)據(jù)包進(jìn)行分析得到被解析域名的各級(jí)DNS解析記錄�。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其中�, 所述數(shù)據(jù)獲取裝置,還被配置為在本地遞歸DNS進(jìn)行域名遞歸解析過(guò)程中�����,獲取各級(jí)DNS授權(quán)服務(wù)器中的下一級(jí)的授權(quán)服務(wù)器的信息���;將獲取到的各級(jí)授權(quán)服務(wù)器的信息保存為所述域名的DNS解析記錄��。
10.根據(jù)權(quán)利要求7至9中任一項(xiàng)所述的系統(tǒng)��,其中�, 所述虛擬根節(jié)點(diǎn)服務(wù)器為多個(gè)��,以分布式形式布置�,還被配置為按照域名的類型保存所述授權(quán)信息數(shù)據(jù)庫(kù)���,并以邊界網(wǎng)關(guān)協(xié)議提供數(shù)據(jù)服務(wù)。
【文檔編號(hào)】H04L29/12GK103957285SQ201410158694
【公開(kāi)日】2014年7月30日 申請(qǐng)日期:2014年4月18日 優(yōu)先權(quán)日:2014年4月18日
【發(fā)明者】濮燦 申請(qǐng)人:上海聚流軟件科技有限公司