技術領域

本發明涉及互聯網應用領域，特別是涉及一種DNS安全系統，以及應用該DNS安全系統進行故障處理的方法。

背景技術

DNS是域名系統（Domain?Name?System）的縮寫，是因特網（Internet）一項核心服務，它作為可以將域名和IP地址相互映射的一個分布式數據庫，能夠使人更方便的訪問互聯網，而不用去記住能夠被機器直接讀取的IP數串。

Internet主機域名的一般結構為：主機名.三級域名.二級域名.頂級域名。Internet的頂級域名由Internet網絡協會域名注冊查詢負責網絡地址分配的委員會進行登記和管理，它還為Internet的每一臺主機分配唯一的IP地址。

圖1示出了根據背景技術的整體DNS架構的示意圖。是一個如下圖所示的層次樹狀結構，這個樹狀結構稱為DNS域名空間，最上面的域名空間被稱為”根節點”。參見圖1，整個DNS架構形成域名層次空間，從頂級域到某一個子域的路徑就構成了一個域名，例如從頂級域.com到它的二級域microsoft，再到microsoft的子域departmentA就構成了一個域名departmentA.microsoft.com。

其中，DNS根服務器是DNS樹型域名空間的“根”，負責DNS的解析，對于域名解析起著極其關鍵的作用。從理論上說，任何形式的標準域名要想被實現解析，按照技術流程，都必須經過全球“層級式”域名解析體系的工作才能完成。

“層級式”域名解析體系第一層就是根服務器，負責管理世界各國的域名信息，在根服務器下面是頂級域名服務器，即相關國家域名管理機構的數據庫，如中國的CNNIC，然后再到下一級的域名數據庫和ISP（Internet?Service?Provider，因特網服務供應商）的緩存服務器查詢。一個域名必須首先經過根數據庫的解析后，才能轉到頂級域名服務器進行解析。如果DNS根節點不能訪問，那么一切的域名解析都會失敗。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的DNS安全系統和相應的故障處理的方法。

基于本發明的一個方面，本發明實施例提供了一種DNS安全系統，包括：

至少一個客戶端，配置為發起DNS請求；

根節點，配置為對所述DNS請求提供授權信息；

授權信息數據庫，配置為存儲指定區域的所有DNS請求及對應的授權信息；

虛擬根節點，配置為當所述根節點出現DNS解析故障時，從所述授權信息數據庫中調用相應授權信息，為對應客戶端提供解析服務。

可選地，所述授權信息包括存儲訪問量超過訪問閾值的DNS解析記錄，和/或，重要域名的DNS解析記錄。

可選地，所述授權信息數據庫，還配置為根據所述授權信息的相互關系，組成域名層次空間。

可選地，所述授權信息數據庫為互聯網域名層次的鏡像。

可選地，所述虛擬根節點還配置為：采用分布式部署，通過BGP方式對所述客戶端提供DNS解析服務。

可選地，所述BGP方式包括anycast模式。

可選地，所述虛擬根節點還配置為：在骨干網對所述指定區域的臨界區域出口處進行DNS數據報文的監聽，以確定是否出現DNS解析故障。

可選地，所述系統還包括：

至少一個遞歸DNS，配置為在所述根節點出現DNS解析故障時，將本地保存的根節點地址修改為指向所述虛擬根節點的地址；或者，將本地的域名解析發送至所述虛擬根節點。

基于本發明的另一個方面，本發明實施例還提供了一種應用上述任一項所述的DNS安全系統進行故障處理的方法，包括：

獲取指定區域的所有DNS請求及對應的授權信息并存儲，生成授權信息數據庫；

判斷根節點是否出現DNS解析故障；

若是，啟動虛擬根節點，利用所述虛擬根節點調用所述授權信息數據庫中存儲的授權信息，對客戶端提供DNS解析服務。

可選地，所述授權信息包括存儲訪問量超過訪問閾值的DNS解析記錄，和/或，重要域名的DNS解析記錄。

可選地，所述授權信息數據庫根據所述授權信息的相互關系形成域名層次空間。

可選地，所述授權信息數據庫為互聯網域名層次的鏡像。

可選地，利用所述虛擬根節點對客戶端提供DNS解析服務，包括：所述虛擬根節點采用分布式部署，通過BGP方式對所述客戶端提供DNS解析服務。

可選地，所述BGP方式包括anycast模式。