技術領域

本發明涉及域名解析技術，尤其涉及域名系統(DNS，Domain?NameSystem)服務器緩存感染的防御方法。

背景技術

目前，人們通常使用域名(例如www.ABC.com)訪問網絡。而網絡中的實體之間一般通過IP地址進行互相識別。為保證人們通過域名能夠訪問網絡，網絡需要將域名轉換為某個或某些實體的IP地址，一般將這種轉換工作稱為域名解析。域名解析可以由專用的服務器來完成，一般將完成域名解析工作的服務器稱為DNS服務器。

下面結合圖1，簡單介紹域名解析的過程。如圖1所示，客戶端向DNS服務器發出攜帶有域名的請求消息(步驟1)，DNS服務器查找與所述域名對應的名字服務器(NS，Name?Server)的信息，向與所述域名對應的NS發出攜帶有所述域名的請求消息(步驟2)，NS查找與所述域名對應的IP地址，向DNS服務器返回攜帶所述IP地址的響應消息(步驟3)，DNS服務器向客戶端返回攜帶所述IP地址的響應消息(步驟4)。

為了提高解析效率，DNS服務器中一般設置有緩存，用于暫存一些域名與IP地址的對應關系，這樣，當客戶端請求DNS服務器解析某個域名時，如果DNS服務器的緩存中暫存有這個域名與某個IP地址的對應關系，那么DNS服務器直接將與這個域名對應的IP地址返回給客戶端，而無須再向NS請求獲得與這個域名對應的IP地址。

然而，在實際應用中，DNS服務器可能會獲得非法的IP地址，即，獲得并不與域名對應的IP地址，并在緩存中保存域名與非法的IP地址的對應關系，這種現象稱為緩存感染。在緩存感染的情況下，如果客戶端請求DNS服務器解析域名時，DNS服務器就可能將非法的IP地址返回給客戶端，導致客戶端訪問非法IP地址對應的網絡實體。

發明內容

本發明提供DNS服務器緩存感染的防御方法和網絡出口設備，用以避免在DNS服務器緩存感染的情況下，DNS服務器向客戶端提供非法的IP地址，導致客戶端訪問非法IP地址對應的網絡實體。

本發明提供一種DNS服務器緩存感染的防御方法，適用于客戶端與DNS服務器之間設置有網絡出口設備的網絡環境，所述方法包括：網絡出口設備確定需要解析的域名；網絡出口設備向多個DNS服務器請求解析所述域名；網絡出口設備獲得多個DNS服務器返回的與所述域名對應的IP地址；網絡出口設備針對客戶端發出的解析所述域名的請求，將與所述域名對應的IP地址提供給客戶端。

本發明還提供一種網絡出口設備，設置在客戶端與DNS服務器之間，所述網絡出口設備包括：域名確定單元，用于確定需要解析的域名；域名解析請求單元，用于向多個DNS服務器請求解析所述域名；解析結果獲得單元，用于在所述域名解析請求單元向多個DNS服務器請求解析所述域名后，獲得多個DNS服務器返回的與所述域名對應的IP地址；IP地址提供單元，用于針對客戶端發出的解析所述域名的請求，將與所述域名對應的IP地址提供給客戶端。

在本發明中，網絡出口設備向多個DNS服務器請求解析域名，并獲得多個DNS服務器返回的與所述域名對應的IP地址，這種情況下，即使某個或某些DNS服務器緩存感染，網絡出口設備也很容易發現這個現象，從而不會盲目的將某個DNS服務器返回的IP地址提供給客戶端，避免了客戶端訪問非法IP地址對應的網絡實體。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為現有的域名解析方法的示意圖；

圖2為本發明應用的網絡環境示意圖；

圖3為本發明的一種DNS服務器緩存感染的防御方法流程圖；

圖4為本發明的一種網絡出口設備的邏輯結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例?；诒景l明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

為使本領域技術人員清楚的理解本發明，首先對本發明應用的網絡環境和涉及的一些技術要點進行說明。

如圖2所示，在客戶端與DNS服務器之間設置有網絡出口設備。網絡出口設備可以設置在客戶端所在的局域網的出口。