技術領域

本發明涉及IP(Internet?Protocol，互聯網協議)網絡領域，尤其涉及一種IP網絡中的域名解析方法、DNS(Domain?Name?Service，域名服務)服務器及系統。

背景技術

在IP(Internet?Protocol，互聯網協議)網絡中，DNS(Domain?Name?Service，域名服務)的主要功能是將易于人們記憶的域名(Domain?Name)與網絡可識別的IP地址作轉換。域名和IP地址之間的轉換稱為域名解析，執行域名解析的網絡主機可以稱為DNS服務器。

現有技術中，DNS提供三種域名解析方式：本地查詢、緩存查詢和迭代查詢。如果某ISP(Internet?Service?Provider，互聯網服務提供商)的接入用戶在瀏覽器中輸入某網站域名，則接入用戶發起域名解析請求，其中攜帶該網站域名；該ISP的DNS服務器，一般稱為本地DNS服務器接收到該域名解析請求，首先執行本地查詢，在本地域名數據庫中查詢該網站域名對應的IP地址，本地域名數據庫中存儲了歸屬本DNS服務器解析的本地域名和IP地址的對應關系，如果該網站域名是本地域名，則本地DNS服務器直接將查詢到的IP地址返回給接入用戶；如果該網站域名不是本地域名，本地DNS服務器接著執行緩存查詢，在本DNS服務器的緩存中查詢解析記錄(緩存中一般以解析記錄的形式保存最近一段時間內通過迭代查詢方式解析過的非本地域名及其對應的IP地址)，如果在緩存中有該網站域名相關的解析記錄，則本地DNS服務器直接將查詢到的IP地址返回給接入用戶；如果在緩存中沒有該網站域名相關的解析記錄，本地DNS服務器最后執行迭代查詢，通過迭代查詢獲取攜帶該網站域名對應的IP地址的DNS響應報文。

以查詢網站域名“www.aaa.com.cn”為例，說明迭代查詢的域名解析過程，假設本地DNS服務器在本地域名數據庫和緩存中未查詢到www.aaa.com.cn對應的IP地址，則進一步包括如下迭代查詢過程：

步驟1、本地DNS服務器向自身的根域DNS服務器發起該域名解析請求；

步驟2、若根域DNS服務器無法解析，則向本地DNS服務器返回管理cn域的DNS服務器的IP地址；

步驟3、本地DNS服務器向管理cn域的DNS服務器發起該域名解析請求；

步驟4、若管理cn域的DNS服務器無法解析，則向本地DNS服務器返回管理com.cn域的DNS服務器的IP地址；

步驟5、本地DNS服務器向管理com.cn域的DNS服務器發起該域名解析請求；

步驟6、若管理com.cn域的DNS服務器無法解析，則向本地DNS服務器返回aaa網站的DNS服務器的IP地址；

步驟7、本地DNS服務器從aaa網站的DNS服務器處獲取攜帶該網站域名的IP地址的DNS響應報文，并將該DNS響應報文返回給接入用戶，接入用戶從該DNS響應報文中獲取該網站域名的IP地址。

目前，DNS域名解析協議規定采用UDP53號端口和TCP53號端口進行域名解析的查詢和響應報文的返回，首先，接入用戶基于UDP方式采用UDP53號端口發起域名解析的查詢，當與查詢的網站域名對應的IP地址較多，使得基于UDP的DNS響應報文無法攜帶全部對應的IP地址時，則僅攜帶部分IP地址，基于UDP協議的特性，UDP報文最大為512字節，則此時返回512字節的基于UDP的DNS響應報文，并將DNS響應報文中“標識”部分的截斷標志TC位設置為1，也將該DNS響應報文稱作被截斷的基于UDP的DNS響應報文，DNS服務器將該DNS響應報文返回給接入用戶后，接入用戶根據該DNS響應報文中TC位為1，確定本次基于UDP方式的域名解析請求失敗，重新基于TCP方式發起域名解析請求。

然而，重新基于TCP方式發起域名解析請求，且基于TCP方式對超長報文的切片和重組，均將會增加域名解析的時間，降低系統的域名解析效率；且相比UDP方式，在網絡環境較惡劣時，基于TCP方式的域名解析的成功率較低，可能會導致用戶最終無法成功實現本次域名解析，進而無法訪問ICP資源。

并且，DNS服務器作為整個網絡中的重要服務器，非常容易受到網絡攻擊，網絡攻擊以承載協議亦可分為UDP方式攻擊和TCP方式攻擊，尤其以TCP方式的目的在于消耗資源的DDOS攻擊最普遍，例如：

SYN-Flood攻擊是最為經典的拒絕服務攻擊，它利用了TCP協議實現上的一個缺陷，通過向網絡服務所在端口發送大量的偽造源地址的攻擊報文，就可能造成目標服務器中的半開連接隊列被占滿，從而阻止其他合法用戶進行訪問。