[发明专利]域名解析方法及域名服务器集群管理系统

说明书

本发明提供一种基于共识的域名解析方法及域名服务器集群管理系统，域名解析方法包括以下步骤：在收到来自客户端的域名解析请求时，先判断域名解析请求为重点域名解析请求还是非重点域名解析请求，再对非重点域名解析请求进行随机抽取；对重点域名解析请求与抽取中的非重点域名解析请求实施共识解析方法；对未抽取中的非重点域名解析请求实施非共识解析方法；通过节点的解析行为实施节点的上下线。根据本发明，在无需添加DNSSEC安全扩展的情况下，解决了因域名劫持、DNS缓存投毒或数据更新不及时等导致域名服务器出现异常解析或解析失败的技术问题，还可以基于解析流量，在对解析节点内的域名缓存进行更新，实时降低缓存数据中毒威胁。

技术领域

本发明涉及一种基于共识的域名解析方法及域名服务器集群管理系统。

背景技术

DNS(Domain Name System，域名系统)是一种以层次结构分布的命名系统，在互联网中负责提供域名和IP地址相互映射的服务。在此服务中，通过注册的域名能够访问到该域名所对应IP地址的过程称为域名解析，需要由DNS服务器(即递归服务器)来完成。因此，DNS服务器的解析质量和安全状况直接关系到网络通信的安全保障。

鉴于域名系统的重要性和较强的开放性，使其不断遭受多种安全威胁。常见的DNS攻击包括DNS缓存投毒、DNS劫持等。DNS缓存投毒也称为“DNS欺骗”，攻击者试图利用DNS系统中存在的漏洞向DNS缓存中输入错误信息。DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。这类DNS攻击都是通过解析失效或提供虚假的DNS响应的手段，以达到拒绝服务或将流量从合法服务器引导至虚假服务器等目的。

然而，传统DNS服务器的设计存在缺陷。传统DNS服务器只负责提供域名解析服务，而不会对解析结果的真实性进行保障。攻击者可以通过攻击DNS服务器，使之产生错误、恶意、无效应答，以完成其更深层次的攻击目的。因此如何保障DNS服务器域名解析结果准确性以及维护DNS服务器集群健康成为着重考虑的互联网安全问题。

由于DNS服务器中毒、DNS服务器被域名劫持、DNS服务器被缓存投毒等问题，都会导致客户端收到恶意解析响应。现在常规的解决方法是实施加密和身份验证的安全方法DNSSEC(DNS Security Extensions，域名系统安全扩展)。DNSSEC是由IETF提供的一系列DNS安全认证的机制，可对DNS进行身份验证。然后DNS解析器使用签名来验证DNS响应,确保记录未被篡改。此外,它还提供从TLD到域权威区域的信任链,确保整个DNS解析过程是安全的。然而，事实上DNSSEC的采用起来非常缓慢，尽管它于2009年就部署在第一个根名称服务器上，但是根据亚太网络信息中心提供的信息，全球DNSSEC验证目前为15.8％。虽然在一些国家，DNSSEC的采用率超过80％，但世界地图仍然主要来自验证解析器低于10％的地区，许多欧洲国家就是这种情况。在美国，目前的采用率超过23％。

另一方面，缓存数据更新不及时也可能导致DNS服务器给出异常响应。通常情况下，DNS服务器会存储域名记录的TTL值,来表明该条解析域名记录在DNS网络服务器上缓存文件時间，以防止缓存无效的域名记录。然而，可能存在域名记录在权威服务器上被修改，但由于递归服务器原有域名记录的TTL值未过期，修改不能及时同步到递归服务器上，从而导致递归服务器解析不生效的情况发生。

由此可见，能否基于现有技术中的不足，提供一种改进的域名解析方法，解决在不添加DNSSEC安全扩展的情况下域名服务器出现异常解析或解析失败的技术问题，成为本领域技术人员亟待解决的技术难题。

发明内容

发明所要解决的课题