技術(shù)領(lǐng)域

本發(fā)明涉及域名解析技術(shù)領(lǐng)域，尤其涉及一種域名解析方法、裝置及系統(tǒng)。

背景技術(shù)

域名系統(tǒng)(Domain Name System，DNS)是一種分布式層次數(shù)據(jù)庫(kù)系統(tǒng)，主要用于提供域名和IP地址之間的映射，方便用戶訪問(wèn)互聯(lián)網(wǎng)。域名解析基于域名系統(tǒng)產(chǎn)生，是根據(jù)域名獲取相應(yīng)IP地址的過(guò)程。通常執(zhí)行域名解析的主體為DNS裝置(本文中，將DNS裝置定義為域名解析裝置)，例如，DNS服務(wù)器(本文中，將DNS服務(wù)器定義為域名服務(wù)器)是DNS裝置的一種。

通常，在域名解析過(guò)程中，域名系統(tǒng)容易受到安全威脅，例如，DNS劫持，是指網(wǎng)絡(luò)攻擊者篡改域名服務(wù)器中DNS內(nèi)容，或者截獲并篡改DNS通信鏈路中DNS內(nèi)容，使得用戶收到非法IP地址。目前，針對(duì)域名解析過(guò)程中的安全性問(wèn)題，多采用傳統(tǒng)安全技術(shù)進(jìn)行防護(hù)，例如，加固域名服務(wù)器的安全防護(hù)，以及加密域名系統(tǒng)的數(shù)據(jù)傳輸，保證域名解析過(guò)程的安全性。

然而，傳統(tǒng)的安全防護(hù)方法僅能應(yīng)對(duì)已知的安全威脅，對(duì)于未知威脅，例如基于未知漏洞或后門的DNS攻擊，域名系統(tǒng)無(wú)法檢測(cè)到，從而無(wú)法進(jìn)行安全防護(hù)，導(dǎo)致用戶接收到的IP地址存在一定安全風(fēng)險(xiǎn)。

發(fā)明內(nèi)容

本發(fā)明提供了一種域名解析方法、裝置及系統(tǒng)，以解決對(duì)于未知威脅，域名系統(tǒng)無(wú)法檢測(cè)到，從而無(wú)法進(jìn)行安全防護(hù)，導(dǎo)致用戶接收到的IP地址存在一定安全風(fēng)險(xiǎn)的問(wèn)題。

第一方面，本發(fā)明提供了一種域名解析方法，該域名解析方法包括：接收域名解析請(qǐng)求，從所述域名解析請(qǐng)求中提取域名信息；將所述域名解析請(qǐng)求發(fā)送至第一域名服務(wù)器，接收所述第一域名服務(wù)器返回的與所述域名解析請(qǐng)求對(duì)應(yīng)的第一域名解析響應(yīng)，提取所述第一域名解析響應(yīng)包含的第一IP地址集合；調(diào)取存儲(chǔ)的與所述域名信息對(duì)應(yīng)的歷史IP地址集合；將所述第一IP地址集合與所述歷史IP地址集合進(jìn)行第一次匹配，根據(jù)第一次匹配的結(jié)果確定所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果。

進(jìn)一步，根據(jù)第一次匹配的結(jié)果確定所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果的過(guò)程，具體包括：如果所述歷史IP地址集合包含所述第一IP地址集合，將所述第一IP地址集合作為所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果；或，如果所述第一IP地址集合的至少一個(gè)IP地址不包含在所述歷史IP地址集合中，將所述域名解析請(qǐng)求發(fā)送給至少一臺(tái)第二域名服務(wù)器；接收每臺(tái)所述第二域名服務(wù)器返回的與所述域名解析請(qǐng)求對(duì)應(yīng)的第二域名解析響應(yīng)，提取每個(gè)第二域名解析響應(yīng)包含的第二IP地址集合；將所有第二IP地址集合與所述第一IP地址集合進(jìn)行第二次匹配，根據(jù)第二次匹配的結(jié)果確定所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果。

進(jìn)一步，根據(jù)第二次匹配的結(jié)果確定所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果的過(guò)程，具體包括：如果對(duì)于所述第一IP地址集合中的每一個(gè)IP地址，所有第二IP地址集合中預(yù)設(shè)比例的第二IP地址集合均包含該IP地址，將所述第一IP地址集合作為所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果，以及將所述第一IP地址集合更新至所述歷史IP地址集合中；或，如果對(duì)于所述第一IP地址集合中的至少一個(gè)IP地址，所有第二IP地址集合中預(yù)設(shè)比例的第二IP地址集合均不包含該IP地址，將所有所述第二IP地址集合與所述歷史IP地址集合進(jìn)行第三次匹配，根據(jù)第三次匹配的結(jié)果確定所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果。

進(jìn)一步，根據(jù)第三次匹配的結(jié)果確定所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果的過(guò)程，具體包括：如果所述歷史IP地址集合包含所有第二IP地址集合中預(yù)設(shè)比例的所述第二IP地址集合，將所述歷史IP地址集合包含的第二IP地址集合作為所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果；或，如果所有第二IP地址集合中預(yù)設(shè)比例的所述第二IP地址集合不包含在所述歷史IP地址集合中，將所述歷史IP地址集合中不包含的第二IP地址集合作為所述域名解析請(qǐng)求對(duì)應(yīng)的域名解析結(jié)果，以及將所述歷史IP地址集合中不包含的第二IP地址集合更新至所述歷史IP地址集合中。

進(jìn)一步，如果對(duì)于所述第一IP地址集合中的至少一個(gè)IP地址，所有第二IP地址集合中預(yù)設(shè)比例的第二IP地址集合均不包含該IP地址，該域名解析方法還包括：輸出異常警告。