本發(fā)明實施例涉及網(wǎng)絡安全技術領域，尤其涉及一種dns防攻擊方法、設備和系統(tǒng)。

背景技術：

當前互聯(lián)網(wǎng)上的網(wǎng)絡攻擊日益頻繁，攻擊形式也日益多樣，其中針對dns(domainnamesystem，域名系統(tǒng))服務器的大規(guī)模ddos(distributeddenialofservice，分布式拒絕服務)攻擊影響尤為嚴重。

當客戶端訪問一個域名時，例如訪問aaa.com，會向遞歸服務器詢問aaa.com的a(address)記錄，若遞歸服務器也沒有緩存aaa.com的a記錄，遞歸服務器會向根域名服務器(.)、頂級域名服務器(.com)、權威域名服務器(aaa.com)遞歸查詢aaa.com對應的a記錄，頂級域名服務器(.com)不會直接告訴遞歸服務器aaa.com所對應的a記錄，而是將對應的權威域名服務器(aaa.com)的ns(nameserver)記錄發(fā)送給遞歸服務器，ns記錄中記載了可用于解析aaa.com的所有權威域名服務器的ns記錄，例如:

aaa.com.172800innsns1.aaadns.com.

aaa.com.172800innsns2.aaadns.com.

aaa.com.172800innsns3.aaadns.com.

aaa.com.172800innsns4.aaadns.com.

權威域名服務器的ns記錄的a記錄，例如：

ns1.aaadns.com.172800ina1.1.1.1

ns2.aaadns.com.172800ina2.2.2.2

ns3.aaadns.com.172800ina3.3.3.3

ns4.aaadns.com.172800ina4.4.4.4

然后，遞歸服務器選擇其中一個權威域名服務器進行訪問，如：

aaa.com.172800innsns1.aaadns.com.

ns1.aaadns.com.172800ina1.1.1.1

遞歸服務器向權威域名服務器1.1.1.1發(fā)起域名訪問請求以獲取aaa.com對應的a記錄，權威域名服務器1.1.1.1向遞歸服務器返回aaa.com對應的a記錄，以完成一個域名的完整解析。例如：aaa.com.600ina106.11.61.44

最后客戶端根據(jù)該域名aaa.com對應的ip地址106.11.61.44進行訪問。

由于遞歸服務器后續(xù)會將權威域名服務器1.1.1.1作為aaa.com同類域名解析的首選服務器。若權威域名服務器1.1.1.1被攻擊，由于ns的過期時間(ttl)一般被頂級域管理機構強制定為48小時(ns1.aaadns.com.172800ina1.1.1.1)，將導致大量域名長時間無法被解析，降低了域名解析的效率。

技術實現(xiàn)要素：

本發(fā)明實施例提供一種dns防攻擊方法、設備和系統(tǒng)，用以解決在權威域名服務器被攻擊時如何提升域名解析的效率。

本發(fā)明實施例提供了一種dns防攻擊方法，包括：

遞歸服務器接收域名查詢請求報文，所述域名查詢請求報文中攜帶有所述遞歸服務器中未緩存的域名；

所述遞歸服務器根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定第一權威域名服務器，并向所述第一權威域名服務器發(fā)送所述域名查詢請求報文；

所述遞歸服務器接收所述第一權威域名服務器返回的所述域名的a記錄、第二ns記錄及第二ns的a記錄，所述第二ns記錄中記載著用于解析所述域名且處于正常工作狀態(tài)的權威域名服務器；

所述遞歸服務器將所述第二ns記錄替換所述第一ns記錄，并緩存所述第二ns的a記錄。

可選地，所述遞歸服務器根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定第一權威域名服務器之前，還包括：

所述遞歸服務器根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定第二權威域名服務器，所述第二權威域名服務器是所述遞歸服務器中記錄的已成功解析所述域名的同類域名的權威域名服務器；

所述遞歸服務器在未接收到所述第二權威域名服務器返回的消息時，根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定所述第一權威域名服務器；所述第二ns記錄中不包括所述第二權威域名服務器。

可選地，所述遞歸服務器將所述第二ns記錄替換所述第一ns記錄，并緩存所述第二ns的a記錄，包括：

所述遞歸服務器在確定所述第二ns記錄與所述第一ns記錄不同時，將所述第二ns記錄替換所述第一ns記錄，并緩存所述第二ns的a記錄。

可選地，所述第一ns的a記錄和所述第二ns的a記錄均采用泛域名指向ip地址的形式；

針對所述第一ns的a記錄和所述第二ns的a記錄中的每個a信息，在ns記錄中與所述a信息對應的權威域名服務器落入所述a信息的匹配范圍內(nèi)。

可選地，第一權威域名服務器接收遞歸服務器發(fā)送的域名查詢請求報文，所述域名查詢請求報文中攜帶有所述遞歸服務器中未緩存的域名；所述第一權威域名服務器是所述遞歸服務器根據(jù)第一ns記錄及第一ns的a記錄確定的；

所述第一權威域名服務器向所述遞歸服務器發(fā)送所述域名的a記錄、第二ns記錄及第二ns的a記錄，所述第二ns記錄中記載著用于解析所述域名且處于正常工作狀態(tài)的權威域名服務器。

可選地，所述第二ns記錄及第二ns的a記錄通過以下方式得到：

所述第一權威域名服務器刪除所述第一ns記錄及第一ns的a記錄中處于非正常工作狀態(tài)的域名服務器的信息；或

所述第一權威域名服務器將新增的解析所述域名的域名服務器的信息替換所述第一ns記錄及第一ns的a記錄中處于非正常工作狀態(tài)的域名服務器的信息。

可選地，所述第一權威域名服務器的上層域名服務器配置有所述第二ns記錄及所述第二ns的a記錄。

相應地，本發(fā)明實施例提供了一種遞歸服務器，包括：

存儲器，用于存儲程序指令；

處理器，用于調用所述存儲器中存儲的程序指令，按照獲得的程序執(zhí)行：遞歸服務器接收域名查詢請求報文，所述域名查詢請求報文中攜帶有所述遞歸服務器中未緩存的域名；所述遞歸服務器根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定第一權威域名服務器，并向所述第一權威域名服務器發(fā)送所述域名查詢請求報文；所述遞歸服務器接收所述第一權威域名服務器返回的所述域名的a記錄、第二ns記錄及第二ns的a記錄，所述第二ns記錄中記載著用于解析所述域名且處于正常工作狀態(tài)的權威域名服務器；所述遞歸服務器將所述第二ns記錄替換所述第一ns記錄，并緩存所述第二ns的a記錄。

本發(fā)明實施例提供了一種權威域名服務器，包括：

存儲器，用于存儲程序指令；

處理器，用于調用所述存儲器中存儲的程序指令，按照獲得的程序執(zhí)行：第一權威域名服務器接收遞歸服務器發(fā)送的域名查詢請求報文，所述域名查詢請求報文中攜帶有所述遞歸服務器中未緩存的域名；所述第一權威域名服務器是所述遞歸服務器根據(jù)第一ns記錄及第一ns的a記錄確定的；所述第一權威域名服務器向所述遞歸服務器發(fā)送所述域名的a記錄、第二ns記錄及第二ns的a記錄，所述第二ns記錄中記載著用于解析所述域名且處于正常工作狀態(tài)的權威域名服務器。

本發(fā)明實施例提供了一種計算機存儲介質，所述計算機存儲介質存儲有計算機可執(zhí)行指令，所述計算機可執(zhí)行指令用于使所述計算機執(zhí)行上述任一種方法。

本發(fā)明實施例提供了一種dns防攻擊系統(tǒng)，包括上述遞歸服務器及上述權威域名服務器。

上述實施例提供一種dns防攻擊方法、設備和系統(tǒng)，遞歸服務器查詢未解析過的域名對應的第一ns記錄及第一ns的a記錄，第一ns記錄中記載著解析該域名的權威域名服務器；遞歸服務器從中確定第一權威域名服務器；第一權威域名服務器除了返回該域名的a記錄，還會返回第一權威域名服務器中存儲的第二ns記錄及第二ns的a記錄，該第二ns記錄中記載著用于解析該域名且處于正常工作狀態(tài)的權威域名服務器；遞歸服務器將所述第二ns記錄替換所述第一ns記錄，并緩存所述第二ns的a記錄。可以看出，遞歸服務器利用自身存儲的第一ns記錄來確定解析該域名的第一權威域名服務器，然后通過正常工作的第一權威域名服務器返回的第二ns記錄刷新第一ns記錄，從而將受攻擊或不能正常工作的權威域名服務器的信息從ns記錄中刪除掉，使得被頂級域管理機構強制設置的ttl值不會對dns解析造成長時間的影響，因此，能夠提升域名解析的效率。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡要介紹。

圖1為本發(fā)明實施例提供的一種dns防攻擊方法的流程示意圖；

圖2為本發(fā)明二實施例提供的一種dns防攻擊方法的流程示意圖；

圖3為本發(fā)明三實施例提供的一種dns防攻擊方法的流程示意圖；

圖4為本發(fā)明實施例提供的一種遞歸服務器的結構示意圖；

圖5為本發(fā)明實施例提供的一種權威域名服務器的結構示意圖。

具體實施方式

為了使本發(fā)明的目的、技術方案及有益效果更加清楚明白，以下結合附圖及實施例，對本發(fā)明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

實施例一

圖1示例性示出了本發(fā)明實施例提供的一種dns防攻擊方法的流程示意圖，如圖1所示，該方法可包括：

s101、遞歸服務器接收域名查詢請求報文，所述域名查詢請求報文中攜帶有所述遞歸服務器中未緩存的域名；

遞歸服務器在接收到域名查詢請求報文之后，確定是否未緩存該域名查詢請求報文對應的域名的ip地址信息，若緩存有該域名的ip地址信息，則直接向客戶端反饋該域名對應的ip地址信息；若沒有緩存該域名的ip地址信息則需要根據(jù)該域名對應的ns記錄來確定解析該域名的權威域名服務器。

例如，若客戶端想要訪問www.ddd.com，而客戶端所配置的遞歸服務器中緩存了www.ddd.com所對應的ip地址，則遞歸服務器可將www.ddd.com所對應的ip地址發(fā)送給客戶端；另一種情況是在客戶端所配置的遞歸服務器中未緩存www.ddd.com所對應的ip地址時，則通過遞歸查詢或者遞歸服務器中已經(jīng)緩存的ddd.com的ns記錄及該ns的a記錄獲得域名查詢請求報文www.ddd.com所對應的第一ns記錄及第一ns的a記錄，也即得到負責解析域名www.ddd.com的權威域名服務器的ns記錄及該ns的a記錄。

s102、所述遞歸服務器根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定第一權威域名服務器，并向所述第一權威域名服務器發(fā)送所述域名查詢請求報文；

第一ns記錄中通常記載著多個解析該域名的權威域名服務器，遞歸服務器可隨機的從中選擇一個權威域名服務器；通常，若遞歸服務器之前通過某一個權威域名服務器(如第二權威域名服務器)解析過該域名同類的域名，則遞歸服務器會將第二權威域名服務器作為首選服務器，例如此次解析的域名為example.aaa.com，而第二權威域名服務器之前解析過xxx.aaa.com，則此次解析example.aaa.com時遞歸服務器會將域名查詢請求報文發(fā)送給第二權威域名服務器。如果遞歸服務器未接收到第二權威域名服務器返回的消息時，則遞歸服務器根據(jù)第一ns記錄及第一ns的a記錄確定另一個權威域名服務器(如第一權威域名服務器)來進行域名解析。以example.aaa.com、xxx.aaa.com為例，兩者均是aaa.com的二級域名，通常將上下級域名及同級域名歸為同類域名，同類域名通常對應同一組權威域名服務器。

s103、第一權威域名服務器向所述遞歸服務器返回的所述域名的a記錄、第二ns記錄及第二ns的a記錄，所述第二ns記錄中記載著用于解析所述域名且處于正常工作狀態(tài)的權威域名服務器。

在第一權威域名服務器正常工作時，第一權威域名服務器會返回解析的域名的的a記錄；除此之外，第一權威域名服務器還會返回第二ns記錄及第二ns的a記錄；第二ns記錄中記載著正常工作的權威域名服務器，第二ns記錄中的內(nèi)容可以是各權威域名服務器通過心跳報文等機制互相檢測得到的，也可以是根據(jù)報警信息更新ns記錄得到的，也可以是人為設置的等等。以example.aaa.com為例，各權威域名服務器中初始存儲的是aaa.com在注冊時填寫的ns信息，隨著aaa.com對應的各權威域名服務器的狀態(tài)變化，各權威域名服務器會更新自身存儲的aaa.com對應的ns記錄及ns的a記錄。以第二權威域名服務器遭受ddos攻擊為例，此時各其它正常工作的權威域名服務器會將第二權威域名服務器的信息從自身存儲的ns記錄中刪除，而不是僅修改第二權威域名服務器的a記錄，從而實現(xiàn)刷新ns記錄得到第二ns記錄。第二ns記錄可以是第一ns記錄中記載的處于正常工作狀態(tài)的權威域名服務器的信息、或還包括新增的第三權威域名服務器?？蛇x的本發(fā)明實施例還提供了一種獲取第二ns記錄及第二ns的a記錄的方式：

所述第一權威域名服務器刪除所述第一ns記錄中處于非正常工作狀態(tài)的域名服務器的信息；或

所述第一權威域名服務器將新增的解析所述域名的域名服務器的信息替換所述第一ns記錄及第一ns的a記錄中處于非正常工作狀態(tài)的域名服務器的信息。

s104、所述遞歸服務器將所述第二ns記錄替換所述第一ns記錄，并緩存所述第二ns的a記錄。

由于第二ns記錄中刪除了非正常工作的權威域名服務器的信息，遞歸服務器通過第二ns記錄就可以刷新第一ns記錄，從而將受攻擊或不能正常工作的權威域名服務器的信息從ns記錄中刪除掉，避免了現(xiàn)有技術中由于頂級域管理機構強制設置的ttl值而造成對dns解析的長時間影響，也避免了僅修改非正常工作的權威域名服務器的a記錄而導致的遞歸服務器無法刷新ns記錄的問題。

在步驟104中，遞歸服務器接收的第二ns記錄與第一ns記錄有可能相同，一種實現(xiàn)方式是遞歸服務器直接根據(jù)第二ns記錄進行更新；另一種實現(xiàn)方式為所述遞歸服務器在確定所述第二ns記錄與所述第一ns記錄不同時，將所述第二ns記錄替換所述第一ns記錄，并緩存所述第二ns的a記錄。

可選的，第一ns記錄中的ttl(timetolive，過期時間)被頂級域管理機構強制定為172800秒，即48小時，且無法更改。本發(fā)明實施例由于是在權威域名服務器中得到的第二ns記錄，因此第二ns記錄中的生存時間ttl值是可以設置的，具體實踐中可根據(jù)需要設置各權威域名服務器的生存時間ttl值，其中，所述ttl＜172800秒。本發(fā)明實施例采用權威域名服務器自身設定的ns記錄，而非采用注冊時在頂級域名填寫的ns記錄，可以更準確的為客戶端提供域名解析服務。

實施例二

下面通過一個具體的例子，對第一ns記錄中的各權威域名服務器未遭受到攻擊時的訪問流程進行詳細的解釋說明。

參見圖2，假設客戶端想要訪問自己并未緩存的example.aaa.com站點，并假設此客戶端配置的遞歸服務器的ip地址為10.10.10.10，遞歸服務器上配置的根域名服務器的ip地址為20.20.20.20。整個遞歸名稱解析過程如圖2所示(其中的q1～q5表示發(fā)送dns查詢請求，a1～a5是dns查詢應答)，具體流程如下：

(1)dns客戶端向所配置的遞歸服務器(ip地址10.10.10.10)發(fā)出解析example.aaa.com域名的dns請求報文(圖中的q1)。相當于對遞歸服務器說“請給我example.aaa.com所對應的ip地址”。

(2)遞歸服務器收到請求后，先查詢本地緩存。假設沒有查到該域名對應記錄，則遞歸服務器向所配置的根域名服務器(ip地址20.20.20.20)發(fā)出解析請求解析example.aaa.com域名的dns請求報文(圖中的q2)。

(3)根域名服務器收到查詢請求后，通過查詢得到.com頂級域名所對應的頂級域名服務器的ip地址為30.30.30.30，然后向遞歸服務器返回一條應答報文(圖中的a1)。相當說“我不知道example.aaa.com域名所對應的ip地址，但我現(xiàn)在告訴你.com域名所對應的頂級域名服務器的ip地址為30.30.30.30”。

在實際應用中，根域名服務器除了可查詢得到.com所對應的頂級域名服務器的ip，還可查詢得到.uk所對應的頂級域名服務器的ip、.cn所對應的頂級域名服務器的ip、.org所對應的頂級域名服務器的ip等。

(4)遞歸服務器在收到根域名服務器的dns應答報文，得到.com所對應的頂級域名服務器的ip地址30.30.30.30后，再次向對應的頂級域名服務器發(fā)送一條請求解析example.aaa.com域名的dns請求報文(圖中的q3)。

(5).com頂級域名服務器在收到dns請求報文后，先查詢自己的緩存，假設也沒有該域名的記錄，則查詢aaa.com所對應的二級域名服務器，然后也向遞歸服務器返回一條dns應答報文(圖中的a3)。相當于說“我不知道example.aaa.com域名所對應的ip地址，但我現(xiàn)在告訴你aaa.com域名所對應的權威域名服務器地址為40.40.40.40”。

(6)遞歸服務器在收到.com頂級域名服務器的dns應答報文，得到aaa.com所對應的權威域名服務器的ip地址40.40.40.40后，再次向對應的權威域名服務器發(fā)送一條請求解析example.aaa.com域名的dns請求報文(圖中的q4)。

(7)aaa.com權威域名服務器在收到dns請求報文后，也先查自己的緩存，假設也沒有該域名的記錄，則將example.aaa.com在頂級域注冊時所填寫的第一ns記錄發(fā)送給遞歸服務器，進一步假設example.aaa.com在頂級域注冊時所填寫的第一ns記錄，如下：

第一ns的a記錄，如下：

所述第一ns記錄也預先存儲在各權威域名服務器中，即在ip地址為1.1.1.1的權威域名服務器中存儲有上述第一ns記錄；ip地址為2.2.2.2的權威域名服務器中也存儲有上述第一ns記錄；ip地址為3.3.3.3的權威域名服務器中也存儲有上述第一ns記錄；ip地址為4.4.4.4的權威域名服務器中也存儲有上述第一ns記錄；ip地址為5.5.5.5的權威域名服務器中也存儲有上述第一ns記錄。

(8)遞歸服務器在收到aaa.com權威域名服務器所返回的第一ns記錄后，可根據(jù)第一ns記錄，訪問第一ns記錄中任意一個權威域名服務器。例如，訪問ip地址為1.1.1.1的權威域名服務器ns1。

(9)遞歸服務器通過ip地址為1.1.1.1的權威域名服務器ns1可獲取到example.aaa.com對應的ip地址，假設在權威域名服務器ns1中example.aaa.com所對應的ip地址為8.8.8.8，則權威域名服務器ns1將自己本身預先存儲的上述第二ns記錄及第二ns的a記錄(由于未檢測到受攻擊或非正常工作狀態(tài)的權威域名服務器，故依然是第一ns記錄)以及example.aaa.com所對應的ip地址為8.8.8.8一起發(fā)送給遞歸服務器。

(10)遞歸服務器在接收到權威域名服務器ns1返回的example.aaa.com所對應的ip地址為8.8.8.8后，將example.aaa.com所對應的ip地址為8.8.8.8返回給客戶端(圖中的a5)。

實施例三

在權威域名服務器遭受到攻擊的情況下，可通過刪除受到攻擊的權威域名服務器的方式以盡快恢復正常的解析。

基于上述實施例二的基礎上，下面通過一個具體的例子，對第一ns記錄中各權威域名服務器遭受到攻擊時的訪問流程進行詳細的解釋說明。

假設檢測到第一ns記錄中的ip地址為1.1.1.1的權威域名服務器ns1遭受到攻擊，因此，其它正常服務的權威域名服務器(ns2、ns3、ns4、ns5)修改自身存儲的ns記錄中，將ip地址為1.1.1.1的權威域名服務器ns1進行刪除，得到第二ns記錄，如下：

可選的，權威域名服務器(ns1、ns2、ns3、ns4、ns5)的上層域名服務器也對自身存儲的ns記錄進行更新，從而確保通過上層域名服務器來獲取ns記錄和對應的a記錄的準確性。如客戶端1通過遞歸服務器1進行example.aaa.com域名解析,在針對aaa.com.的權威域名服務器的ns記錄(由ns1、ns2、ns3、ns4、ns5變更為ns2、ns3、ns4、ns5)發(fā)生變化時,ns2、ns3、ns4、ns5對應的權威域名服務器和遞歸服務器1上對應的ns記錄已更新，即目前正常工作的權威域名服務器為ns2、ns3、ns4、ns5。此時，客戶端2通過遞歸服務器2進行example.aaa.com域名解析，如果上層域名服務器的ns記錄沒有更新，則遞歸服務器2得到的ns記錄中依然會包括處于非正常工作狀態(tài)的ns1。故本發(fā)明實施例也提供了一種更新上層域名服務器的方式，從而確保遞歸服務器獲得有效的ns記錄。

對于ns記錄對應的a記錄，可以進行修改，即刪除ns1的a信息，也可以不做修改。在不刪除時，由于ns記錄中已沒有ns1，故a記錄中即便有ns1的a信息也沒有影響，在生命周期到達時會自動清除?？蛇x的，第二ns記錄對應的a記錄為：

如圖3所示：

(1)假設dns客戶端第一次訪問example1.aaa.com站點，dns客戶端向所配置的遞歸服務器(ip地址10.10.10.10)發(fā)出解析example1.aaa.com域名查詢請求報文(圖中的q1)。相當于對遞歸服務器說“請給我example1.aaa.com所對應的ip地址”。

(2)遞歸服務器收到請求后，先查詢本地緩存。由于遞歸服務器之前為客戶端返回過example.aaa.com的域名解析結果，故遞歸服務器會根據(jù)緩存中的第一ns記錄確定此次解析的權威域名服務器；其中，上一次域名解析是ns1權威域名服務器完成的，所以遞歸服務器向ip地址為1.1.1.1的ns1權威域名服務器發(fā)出解析請求(圖中的q2)；

(3)ns1權威域名服務器由于受到了攻擊，處于非正常工作狀態(tài)，無法為遞歸服務器提供服務，遞歸服務器在等待一段時間后不會收到ns1反饋的解析結果(圖中a1)。所以遞歸服務器會根據(jù)第一ns記錄重新確定一個權威域名服務器，若再次選擇的權威域名服務器依然處于非正常工作狀態(tài)，則遞歸服務器會再次選取，直至選取到可提供解析服務的權威域名服務器；

(4)假設遞歸服務器選取了ns2，則向ip地址為2.2.2.2的ns2發(fā)送域名查詢請求消息(圖中的q3)；

(5)ns2處于正常工作狀態(tài)，對域名查詢請求消息中的example1.aaa.com進行域名解析，得到對應的ip地址，假設example1.aaa.com所對應的ip地址為9.9.9.9，則ns2將example1.aaa.com所對應的ip地址為9.9.9.9發(fā)送給遞歸服務器并將自己本身存儲的上述第二ns記錄以及第二ns記錄對應的a記錄發(fā)送給遞歸服務器(圖中的a2)。

(6)遞歸服務器在接收到權威域名服務器ns2返回的第二ns記錄后，判斷第二ns記錄是否與第一ns記錄相同，若發(fā)現(xiàn)第二ns記錄與第一ns記錄不相同，則用第二ns記錄替換第一ns記錄。

此時，第一ns記錄，如下：

而第二ns記錄如下：

可以看出，第二ns記錄與第一ns記錄不相同，因此，用第二ns記錄替換第一ns記錄。當其它同類域名如xxx.aaa.com再次向遞歸服務器請求解析時，由于遞歸服務器、權威服務器及權威服務器的上層域名服務器中緩存的被攻擊的ns1的ns記錄已經(jīng)被刪除，故xxx.aaa.com不會被引導到被攻擊的ns1上，而是由第二ns記錄中能夠正常服務的ns2、ns3、ns4、ns5負責解析，及時消除了被攻擊的ns1對域名解析的影響。

(7)遞歸服務器將接收到ns2返回的example1.aaa.com所對應的ip地址9.9.9.9返回給所述dns客戶端(如圖中的a4)。

實施例四

在權威域名服務器遭受到攻擊的情況下，為了保證業(yè)務不受影響，還可通過增加權威域名服務器替換掉被攻擊的權威域名服務器的方式預防攻擊。

基于上述實施例三的基礎上，假設檢測到第一ns記錄中的ip地址為1.1.1.1的權威域名服務器ns1遭受到攻擊，因此，將各權威域名服務器中的第一ns記錄中ip地址為1.1.1.1的權威域名服務器ns1進行刪除，同時為了保證業(yè)務的正常開展，在域名解析系統(tǒng)中新增一臺權威域名服務器ns6，因而各權威域名服務器及權威域名服務器的上層域名服務器需要更新自身存儲的ns記錄，即將第一ns記錄中刪除ns1的信息并增加ns6的信息。

具體的，可通過寫入如下代碼實現(xiàn)增加ip地址為6.6.6.6的權威域名服務器ns6。

在權威域名服務器刪除ns1增加ns6之后，各正常工作的權威域名服務器現(xiàn)在存儲的ns記錄為第二ns記錄，如下：

第二ns記錄對應的a記錄為：

可以看出在第二ns記錄中新增的ns6的信息由于不是頂級域名服務器配置的，故其生命周期可以自設定，從而進一步使得遞歸服務器中的ns記錄的更新期更靈活，也縮短了其更新時長。

同樣的，當其它同類域名如xxx.aaa.com再次向遞歸服務器請求解析時，由于遞歸服務器、權威服務器及權威服務器的上層域名服務器(例如頂級域名服務器)中緩存的被攻擊的ns1的ns記錄已經(jīng)能正常服務的ns6替換，故xxx.aaa.com不會被引導到被攻擊的ns1上，而是由第二ns記錄中能夠正常服務的ns2、ns3、ns4、ns5、n6負責解析，及時消除了被攻擊的ns1對域名解析的影響。

實施例五

基于上述各個實施例，若存在新增的權威域名服務器替換非正常工作的權威域名服務器時，對ns記錄的更新會涉及兩次對權威域名服務器名稱的更改，如將第一ns記錄中非正常工作狀態(tài)的ns1的信息替換為ns6，需要將第一ns中的ns1的兩條記錄中ns1(見如下示例中括號內(nèi)為更改后的)更改為ns6：

為了減少修改量及配置量，可選的，ns的a記錄采用泛域名指向ip地址的形式，因為泛域名的匹配范圍比較大，以*.ns1.aaa.com為例，1.ns1.aaa.com、2.ns1.aaa.com、3.ns1.aaa.com等等都落入*.ns1.aaa.com的匹配范圍內(nèi)。故針對a記錄中的每個a信息，只要確保在ns記錄中與所述a信息對應的權威域名服務器落入所述a信息的匹配范圍內(nèi)，則在進行修改時，可以對a記錄中的權威域名服務器不進行修改。在新增第三權威域名服務器替換第二權威域名服務器時，在ns記錄中將第二權威域名服務器修改為第三權威域名服務器，在對應的ns的a記錄中將泛域名對應的ip地址修改為第三權威域名服務器的ip地址。

下面通過一個具體的例子，對利用泛域名能夠減少修改量及配置量進行詳細的解釋說明。

例如，在頂級域名服務器注冊的第一ns記錄，如下：

第一ns的a記錄，如下：

而在權威域名服務器上配置的第一ns記錄，如下：

第一ns的a記錄：

在權威域名服務器ns1受到攻擊的情況下，需要新增一個權威域名服務器替換ns1，因此，需要分別修改權威域名服務器及權威域名服務器的上層域名服務器(頂級域名服務器)上配置的第一ns記錄，只需要將“1.ns1.aaa.com”修改為“2.ns1.aaa.com”或“3.ns1.aaa.com”或“4.ns1.aaa.com”等，同時，將“*.ns1.aaa.com7200ina1.1.1.1”中的ip地址“1.1.1.1”修改為“6.6.6.6”即可，“2.ns1.aaa.com”、“3.ns1.aaa.com”、“4.ns1.aaa.com”都會落入泛域名*.ns1.aaa.com的解析范圍?？梢钥闯觯诒景l(fā)明實施例中，將ns記錄中權威域名服務器變?yōu)樵瓩嗤蛎掌鞯南录売蛎问?，在a記錄中將權威域名服務器變?yōu)樵瓩嗤蛎掌鞯南录売蛎姆河蛎问?，因此，能夠減少修改工作量及域名配置量，從而提升權威域名服務器的工作效率，進而提升域名解析效率。

根據(jù)以上內(nèi)容可以看出，本發(fā)明實施例能夠利用第一權威域名服務器返回的第二ns記錄刷新第一ns記錄，其中第二ns記錄中記載著能正常服務的權威域名服務器的記錄，從而不再暴露受攻擊的權威域名服務器，使得域名解析請求均被引導到第二ns記錄的能正常服務的權威域名服務器來解析，減少受攻擊的域名服務器對域名解析的影響，因此，能夠提升域名解析的效率。此外，第二ns記錄中的ttl值還能夠刷新第一ns記錄中的ttl值，從而使得目前頂級域管理機構強制設置的172800的ttl值不對dns解析造成長時間的影響。

基于相同的技術構思，本發(fā)明實施例還提供了一種遞歸服務器，如圖4所示，包括：

存儲器401，用于存儲程序指令；

處理器402，用于調用所述存儲器中存儲的程序指令，按照獲得的程序執(zhí)行：接收域名查詢請求報文，所述域名查詢請求報文中攜帶有所述遞歸服務器中未緩存的域名；根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定第一權威域名服務器，并向所述第一權威域名服務器發(fā)送所述域名查詢請求報文；接收所述第一權威域名服務器返回的所述域名的a記錄、第二ns記錄及第二ns的a記錄，所述第二ns記錄中記載著用于解析所述域名且處于正常工作狀態(tài)的權威域名服務器；將所述第二ns記錄替換所述第一ns記錄，并緩存所述第二ns的a記錄的方法步驟。

處理器402，還用于按照獲得的程序執(zhí)行：根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定第二權威域名服務器，所述第二權威域名服務器是所述遞歸服務器中記錄的已成功解析所述域名的同類域名的權威域名服務器；在未接收到所述第二權威域名服務器返回的消息時，根據(jù)所述域名對應的第一ns記錄及第一ns的a記錄確定所述第一權威域名服務器；所述第二ns記錄中不包括所述第二權威域名服務器。

本發(fā)明實施例還提供了一種計算機存儲介質，所述計算機存儲介質存儲有計算機可執(zhí)行指令，所述計算機可執(zhí)行指令用于使所述計算機執(zhí)行前述方法中遞歸服務器所實施的步驟。

本發(fā)明實施例還提供了一種權威域名服務器，如圖5所示，包括：

存儲器501，用于存儲程序指令；

處理器502，用于調用所述存儲器中存儲的程序指令，按照獲得的程序執(zhí)行：接收遞歸服務器發(fā)送的域名查詢請求報文，所述域名查詢請求報文中攜帶有所述遞歸服務器中未緩存的域名；所述第一權威域名服務器是所述遞歸服務器根據(jù)第一ns記錄及第一ns的a記錄確定的；向所述遞歸服務器發(fā)送所述域名的a記錄、第二ns記錄及第二ns的a記錄，所述第二ns記錄中記載著用于解析所述域名且處于正常工作狀態(tài)的權威域名服務器的步驟。

所述處理器502，還用于按照獲得的程序執(zhí)行：刪除所述第一ns記錄及第一ns的a記錄中處于非正常工作狀態(tài)的域名服務器的信息；或，將新增的解析所述域名的域名服務器的信息替換所述第一ns記錄及第一ns的a記錄中處于非正常工作狀態(tài)的域名服務器的信息。

本發(fā)明實施例還提供了一種計算機存儲介質，計算機存儲介質存儲有計算機可執(zhí)行指令，所述計算機可執(zhí)行指令用于使所述計算機執(zhí)行前述實施例中的權威域名服務器所執(zhí)行的方法步驟。

本發(fā)明實施例還提供了一種dns防攻擊系統(tǒng)，包括如執(zhí)行前述實施例步驟的遞歸服務器及執(zhí)行前述實施例步驟的權威域名服務器。

本領域內(nèi)的技術人員應明白，本發(fā)明的實施例可提供為方法、或計算機程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上，使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實施例，但本領域內(nèi)的技術人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動和變型在內(nèi)。