本發明提供一種基于共識的域名解析方法及域名服務器集群管理系統，域名解析方法包括以下步驟：在收到來自客戶端的域名解析請求時，先判斷域名解析請求為重點域名解析請求還是非重點域名解析請求，再對非重點域名解析請求進行隨機抽??；對重點域名解析請求與抽取中的非重點域名解析請求實施共識解析方法；對未抽取中的非重點域名解析請求實施非共識解析方法；通過節點的解析行為實施節點的上下線。根據本發明，在無需添加DNSSEC安全擴展的情況下，解決了因域名劫持、DNS緩存投毒或數據更新不及時等導致域名服務器出現異常解析或解析失敗的技術問題，還可以基于解析流量，在對解析節點內的域名緩存進行更新，實時降低緩存數據中毒威脅。

技術領域

本發明涉及一種基于共識的域名解析方法及域名服務器集群管理系統。

背景技術

DNS(Domain?Name?System，域名系統)是一種以層次結構分布的命名系統，在互聯網中負責提供域名和IP地址相互映射的服務。在此服務中，通過注冊的域名能夠訪問到該域名所對應IP地址的過程稱為域名解析，需要由DNS服務器(即遞歸服務器)來完成。因此，DNS服務器的解析質量和安全狀況直接關系到網絡通信的安全保障。

鑒于域名系統的重要性和較強的開放性，使其不斷遭受多種安全威脅。常見的DNS攻擊包括DNS緩存投毒、DNS劫持等。DNS緩存投毒也稱為“DNS欺騙”，攻擊者試圖利用DNS系統中存在的漏洞向DNS緩存中輸入錯誤信息。DNS劫持又稱域名劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應，其效果就是對特定的網絡不能訪問或訪問的是假網址。這類DNS攻擊都是通過解析失效或提供虛假的DNS響應的手段，以達到拒絕服務或將流量從合法服務器引導至虛假服務器等目的。

然而，傳統DNS服務器的設計存在缺陷。傳統DNS服務器只負責提供域名解析服務，而不會對解析結果的真實性進行保障。攻擊者可以通過攻擊DNS服務器，使之產生錯誤、惡意、無效應答，以完成其更深層次的攻擊目的。因此如何保障DNS服務器域名解析結果準確性以及維護DNS服務器集群健康成為著重考慮的互聯網安全問題。

由于DNS服務器中毒、DNS服務器被域名劫持、DNS服務器被緩存投毒等問題，都會導致客戶端收到惡意解析響應?，F在常規的解決方法是實施加密和身份驗證的安全方法DNSSEC(DNS?Security?Extensions，域名系統安全擴展)。DNSSEC是由IETF提供的一系列DNS安全認證的機制，可對DNS進行身份驗證。然后DNS解析器使用簽名來驗證DNS響應,確保記錄未被篡改。此外,它還提供從TLD到域權威區域的信任鏈,確保整個DNS解析過程是安全的。然而，事實上DNSSEC的采用起來非常緩慢，盡管它于2009年就部署在第一個根名稱服務器上，但是根據亞太網絡信息中心提供的信息，全球DNSSEC驗證目前為15.8％。雖然在一些國家，DNSSEC的采用率超過80％，但世界地圖仍然主要來自驗證解析器低于10％的地區，許多歐洲國家就是這種情況。在美國，目前的采用率超過23％。

另一方面，緩存數據更新不及時也可能導致DNS服務器給出異常響應。通常情況下，DNS服務器會存儲域名記錄的TTL值,來表明該條解析域名記錄在DNS網絡服務器上緩存文件時間，以防止緩存無效的域名記錄。然而，可能存在域名記錄在權威服務器上被修改，但由于遞歸服務器原有域名記錄的TTL值未過期，修改不能及時同步到遞歸服務器上，從而導致遞歸服務器解析不生效的情況發生。

由此可見，能否基于現有技術中的不足，提供一種改進的域名解析方法，解決在不添加DNSSEC安全擴展的情況下域名服務器出現異常解析或解析失敗的技術問題，成為本領域技術人員亟待解決的技術難題。

發明內容

發明所要解決的課題