基于NS记录分层授权缓解域名权威记录劫持影响的方法技术

技术编号:14172536 阅读:94 留言:0更新日期:2016-12-13 00:28
本发明专利技术公开了一种基于NS记录分层授权缓解域名权威记录劫持影响的方法。本方法为:1)在域名解析服务系统中设置一业务应急权威域名服务器组件;该组件中设有若干业务应急子域名;2)当域名NS记录被劫持,顶级权威域名服务器返回错误NS记录时,启动该组件,将业务权威域名服务器的业务域名解析配置信息存储到该组件;3)对于缓存了域名NS记录的递归服务器向业务权威域名服务器查询业务域名的IP地址信息,业务权威域名服务器将该业务域名的CNAME记录指向该组件中一业务应急子域名,并指定其所在的子域的NS记录为该组件的地址,并将对应CNAME记录和NS记录的TTL设置为设定值返回给递归服务器。本发明专利技术有效提升用户体验。

Method for alleviating the influence of domain name authority record hijacking based on NS record Hierarchical Authorization

The invention discloses a method for alleviating the influence of domain name authority record hijacking effect based on NS record hierarchical authorization. The method is as follows: 1) emergency authority domain name server component is arranged a business in the DNS system; the component is provided with a plurality of business emergency sub domain; 2) when the domain name NS record was hijacked, top authority domain name server returns NS record, start the assembly, the authority of business domain name server DNS service configuration the information is stored into the component; 3) for the IP address information cache recursive server name NS records to authoritative name server domain name query service business, the business domain name server authoritative CNAME records to a business in the assembly emergency sub domain, and specify the subdomain NS record for the assembly the address, and the corresponding CNAME records and NS records TTL set value returned to the recursive server. The invention effectively improves the user experience.

【技术实现步骤摘要】

本专利技术涉及一种基于NS记录分层授权缓解域名权威记录劫持影响的方法,属于计算机网络

技术介绍
域名解析服务是互联网的一项关键基础服务,负责帮助用户实现域名和IP地址间的解析过程。互联网业务的域名解析服务通常需要三类组件的参与,即域名注册商、递归域名服务器、权威域名服务器。如附图1所示,(1)互联网业务在域名注册商处登记业务权威域名服务器的地址信息(即NS记录),域名注册商将该记录信息同步到该业务域名所在的顶级权威域名服务器(例如.com、.net、.cn等等都是顶级域);(2)用户向递归服务器查询业务域名的IP地址;(3)如果递归服务器拥有业务权威域名服务器的NS记录缓存信息,则直接转到(5),否则递归服务器向根权威域名服务器查询,获取该业务域名所在的顶级域名的NS记录;(4)递归服务器向顶级权威域名服务器查询,获取业务域名的NS记录;(5)递归服务器向业务权威域名服务器查询,获取该业务域名的IP地址信息,返回给用户;(6)用户根据获取的IP地址访问该互联网业务。按照现有的域名解析服务过程,顶级权威域名服务器负责接收域名注册商提供的业务域名的NS记录,并提供给递归服务器。如果域名注册商被入侵,将导致业务域名的NS记录被劫持篡改,并同步到顶级权威域名服务器。根据现有的域名注册以及NS记录更新机制,互联网业务域名的所有者无法阻止上述篡改和同步的风险。在劫持期间内,如果递归服务器的NS记录缓存到期,则递归服务器无法从顶级权威域名服务器获取正确的业务域名的NS记录,从而会导致用户访问失败。2010年1月12日百度域名曾经出现上述类型的劫持事件。根据百度官方报道(http://dudns.baidu.com/support/knowledge/Security/),baidu.com的NS记录被劫持,然后导致www.baidu.com无法访问。事件持续时间8小时,是百度成立以来最严重的故障事件,直接经济损失700万人民币。
技术实现思路
针对现有技术中存在的技术问题,本专利技术目的在于提供一种基于NS记录分层授权缓解域名权威记录劫持影响的方法,该方法能够实现在业务域名的NS记录被劫持期间,减少因为递归服务器缓存记录到期导致用户无法访问的影响,从而有效提升用户体验。本专利技术的技术方案为:一种基于NS记录分层授权缓解域名权威记录劫持影响的方法,其步骤为:1)在域名解析服务系统中设置一业务应急权威域名服务器组件;该业务应急权威域名服务器组件中设有若干业务应急子域名;2)当域名NS记录被劫持,顶级权威域名服务器返回错误NS记录时,启动该应急权威域名服务器组件,将业务权威域名服务器的业务域名解析配置信息存储到该业务应急权威域名服务器组件;3)该业务权威域名服务器为每个业务域名CNAME指向该业务应急权威域名服务器组件中的一业务应急子域名,并指定该业务应急子域名所在的子域的NS记录为应急权威域名服务器组件的地址;4)对于缓存了域名NS记录的递归服务器,该递归服务器向业务权威域名服务器查询业务域名的IP地址信息,业务权威域名服务器将该业务域名的CNAME记录指向该业务应急权威域名服务器组件中的一业务应急子域名,并指定该业务应急子域名所在的子域的NS记录为应急权威域名服务器组件的地址,并将该业务域名的CNAME记录和该业务应急子域名所在的子域的NS记录的TTL设置为设定值,然后返回给该递归服务器。进一步的,将业务权威域名服务器的业务域名解析配置信息存储到该业务应急权威域名服务器组件的方法为:将业务权威域名服务器中的业务域名通过CNAME记录转移到该应急权威域名服务器组件,再通过该应急权威域名服务器组件进行业务应急子域名的应急子域分层解析,得到与业务权威域名服务器中相同的业务域名解析配置信息。进一步的,该业务域名权威解析服务的提供方维护该业务应急权威域名服务器组件和该业务权威域名服务器。进一步的,每一业务域指向的业务应急子域名为该业务域名CNAME下的一子域名。进一步的,每一业务域指向的业务应急子域名为设定业务域下的一子域名。进一步的,该递归服务器收到一指定业务域名的IP地址查询请求时,如果已缓存有业务域名到业务应急子域名的CNAME记录以及该业务应急子域的NS记录(即应急权威域名服务器组件的地址),则该递归服务器将在TTL缓存期间内直接向该应急权威域名服务器组件查询业务应急子域名的IP地址,该应急权威域名服务器组件将该业务应急子域名的IP地址返回给该递归服务器。进一步的,所述设定值为比CNAME记录的TTL默认值长的值。进一步的,所述设定值为比NS记录的TTL默认值长的值。本专利技术引入了业务应急权威域名服务器组件;当域名NS记录被劫持时,业务权威域名服务器临时将每一业务域名CNAME指向其对应的一个业务应急子域名,并指定应急子域名的NS记录为应急权威域名服务器组件的地址;业务应急子域名可以是与业务域名在相同域下的特殊子域名,也可以是其他域下的子域名;业务域名的CNAME记录以及业务应急子域名的NS记录均设置较长的TTL,目的在于确保在该TTL过期后,顶级域上的域名NS劫持记录已被清除。在业务域名的NS记录在被劫持,导致上层顶级权威域名服务器返回错误信息期间,传统缓解劫持影响的方法是临时延长业务域名A记录的TTL时长。本专利技术所提供的缓解域名权威记录劫持影响的解析服务方案如附图2所示。和传统的互联网业务的域名解析过程相比,本专利技术新增了一类业务应急权威域名服务器组件,该组件与业务权威域名服务器一起部署,两者均由业务域名权威解析服务的提供方负责维护。业务权威域名服务器为每个业务域名配置了一个特定的业务应急域名(具体见后面实施例),业务应急域名的所有解析配置信息与原始业务域名完全相同,并存储在业务应急权威服务器组件上。当用户向递归服务器查询业务域名的IP地址,由于域名NS记录被劫持,上层顶级权威域名服务器返回错误NS记录时,业务域名权威解析服务的提供方将启动该应急权威域名服务器组件。如果递归服务器缓存了业务域名权威服务器的正确NS记录,递归服务器向业务权威域名服务器查询业务域名的IP地址信息;为了避免该递归服务器后续缓存到期导致受到域名NS劫持的影响,业务权威域名服务器临时设置用户查询的业务域名的CNAME记录,将该业务域名指向一个该域名对应的特定的业务应急子域名,并指定该业务应急子域名的NS记录为应急权威域名服务器组件的地址,上述CNAME记录以及NS记录均设置较长的TTL;业务权威域名服务器将上述CNAME记录以及NS记录返回给递归服务器,递归服务器将自动向应急权威域名服务器组件查询业务应急子域名的IP地址(与之前业务权威域名服务器配置的业务域名IP地址信息完全相同),返回给用户;用户根据获取的IP地址访问该互联网业务。上述方案根据域名NS记录分层授权的原理,将热点业务域名的权威域名服务器转移到TTL较长的应急权威域名服务器组件,并且由于业务应急域名的所有解析配置信息与原始业务域名完全相同,该应急权威域名服务器组件支持原业务权威域名服务器的所有业务域名解析的优化策略。后面会给出相应实施例。在域名NS劫持期间,通过本专利技术的应急权威域名服务器组件实现域名NS记录分层授权方案,能够有效缓解原有递归域名服务器缓存域名本文档来自技高网
...
基于NS记录分层授权缓解域名权威记录劫持影响的方法

【技术保护点】
一种基于NS记录分层授权缓解域名权威记录劫持影响的方法,其步骤为:1)在域名解析服务系统中设置一业务应急权威域名服务器组件;该业务应急权威域名服务器组件中设有若干业务应急子域名;2)当域名NS记录被劫持,顶级权威域名服务器返回错误NS记录时,启动该应急权威域名服务器组件,将业务权威域名服务器的业务域名解析配置信息存储到该业务应急权威域名服务器组件;3)该业务权威域名服务器为每个业务域名CNAME指向该业务应急权威域名服务器组件中的一业务应急子域名,并指定该业务应急子域名所在的子域的NS记录为应急权威域名服务器组件的地址;4)对于缓存了域名NS记录的递归服务器,该递归服务器向业务权威域名服务器查询业务域名的IP地址信息,业务权威域名服务器将该业务域名的CNAME记录指向该业务应急权威域名服务器组件中的一业务应急子域名,并指定该业务应急子域名所在的子域的NS记录为应急权威域名服务器组件的地址,并将该业务域名的CNAME记录和该业务应急子域名所在的子域的NS记录的TTL设置为设定值,然后返回给该递归服务器。

【技术特征摘要】
1.一种基于NS记录分层授权缓解域名权威记录劫持影响的方法,其步骤为:1)在域名解析服务系统中设置一业务应急权威域名服务器组件;该业务应急权威域名服务器组件中设有若干业务应急子域名;2)当域名NS记录被劫持,顶级权威域名服务器返回错误NS记录时,启动该应急权威域名服务器组件,将业务权威域名服务器的业务域名解析配置信息存储到该业务应急权威域名服务器组件;3)该业务权威域名服务器为每个业务域名CNAME指向该业务应急权威域名服务器组件中的一业务应急子域名,并指定该业务应急子域名所在的子域的NS记录为应急权威域名服务器组件的地址;4)对于缓存了域名NS记录的递归服务器,该递归服务器向业务权威域名服务器查询业务域名的IP地址信息,业务权威域名服务器将该业务域名的CNAME记录指向该业务应急权威域名服务器组件中的一业务应急子域名,并指定该业务应急子域名所在的子域的NS记录为应急权威域名服务器组件的地址,并将该业务域名的CNAME记录和该业务应急子域名所在的子域的NS记录的TTL设置为设定值,然后返回给该递归服务器。2.如权利要求1所述的方法,其特征在于,将业务权威域名服务器的业务域名解析配置信息存储到该业务应急权威域名服务器组件的方法为:将业务权威域...

【专利技术属性】
技术研发人员:李晓东潘蓝兰尉迟学彪陈勇
申请(专利权)人:中国互联网络信息中心
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1