[发明专利]一种域名递归服务的预判干预方法

说明书

技术领域

本发明涉及一种域名递归服务的预判干预方法，属于计算机网络技术领域。

背景技术

域名系统及其安全状态：

作为互联网的重要基础设施，域名系统（Domain Name System,DNS）一直为全球互联网的运行提供关键性的基础服务。随着互联网规模爆炸式增长，DNS相关的各种新技术相继出现，如IPv6、多语种域名和DNS安全扩展协议（DNS Security Extension，DNSSEC）等，DNS系统也由此变得越来越庞杂。由于在设计之初对安全性和扩展性考虑欠缺，域名系统在协议、实现和操作上存在着固有的不足与脆弱，进而使其面临着很多安全威胁。其中，数据损坏中的部分威胁（如权威服务器信息的未经授权更改、域名劫持、递归服务器缓存中毒和人为配置错误等）和拒绝服务造成递归服务器的解析状态从安全变得相对危险，使其缓存了域名的错误解析数据或者向客户端返回否定应答。

域名任何类型（如A记录、CNAME记录或NS记录等）的资源记录（集）都可能发生变化，这些变化可能是危险变化，也可能是安全变化。比如域名所有者更换域名应用的网络运营商时，通常会改变A记录中的数据部分里的IP地址，就是一种安全变化；假定我们知道一黑客通过域名劫持修改了域名的A记录数据部分中的IP地址，那么这就是一种危险变化。当域名的某资源记录发生变化时，我们称这个变化为域名记录变化。如果通过一定的手段确定该变化是危险变化，那么我们称之为记录危险变化。特别地，当权威服务器无法正常地响应递归服务器（解析器）时，我们称之为否定异常变化，如名字错误应答和没有数据应答（No Data）等。

权威服务器信息的未经授权更改、域名劫持、递归服务器缓存中毒和人为配置错误都是域名记录的危险变化，都会造成递归服务器缓存了错误的记录数据。解析数据发生变化或者由原来的肯定应答数据变成否定应答数据，都看作是解析数据的变化。

权威服务器的拒绝服务和人工错误配置会造成域名发生否定异常变化。拒绝服务分为针对DNS服务器的攻击和针对网络基础设施的服务器的攻击，当某域名区权威服务器遭到拒绝服务攻击时，如果某递归服务器向该权威服务器查询其管理的区中的资源记录，那么它将面临三种可能的权威服务器表现形式：一是收到该权威服务器发来的服务器失败（Server Failure，Servfail）等类型响应；二是不可达（Unreachable），即从某个权威服务器收不到任何响应；最后，区不可达（Zone Unreachable）。“区不可达”就是当所有服务器出现问题而无法正常应答递归服务器请求时的权威服务器状态。当黑客对部分权威服务器发动攻击而造成其响应缓慢，那么递归服务器会因选择这些服务器做查询请求而延迟获得应答；当黑客对所有权威服务器进行攻击并使它们都无法应答外界请求时，那么递归服务器可能完全无法获得区数据，即该区因此而不可达了。“区不可达”的结果是递归服务器无法正常地回应客户端，并最终导致客户端无法访问域名提供的服务。

虽然递归服务器的缓存机制降低了服务器端的负载和查询延迟，从而提高了递归服务器的性能，但是如果某递归服务器缓存了某个域名，那么在该域名的缓存数据在缓存中处于有效期期间，当该域名的权威服务器因为某种原因而无法正常、正确地响应外界对该域名的任何请求，直到该域名在该缓存中过期也没有恢复，那么当递归服务器再次以递归方式解析此域名时，就可能丢掉了正确数据，而缓存了错误数据或否定数据。其中，如果域名发生危险资源记录变化，那么缓存了错误的数据；如果域名发生了否定异常变化，那么缓存了否定数据。

资源记录危险变化或者否定异常变化既对用户有影响，又对递归服务器有影响。首先，当域名资源记录发生危险变化或否定异常变化时，使用此递归服务器解析服务的DNS应用将被重定向到非目标服务器或根本无法访问任何服务器，这会影响使用这些递归服务器服务用户的上网安全，或者使他们无法上网。其次，某些域名的请求量巨大，其所在权威服务器一旦发生问题，若DNS应用有滥用DNS的故障，那么客户端将发送大量请求给递归服务器。作为在DNS层次树的链条中的一个重要部分，递归服务器可能受到冲击而影响正常的服务。

虽然根据DNS协议分散管理的原则，权威服务器对自己管理的区中的域名负有主要责任。但另一方面，如果用户的DNS应用被重定向到非法网站，那么递归服务器的用户可能遭受损失；如果因为域名权威服务器的问题而无法访问域名应用，那么用户也将可能有损失。因此，本着服务用户、对用户负责的原则和保证递归服务器安全、稳定的考虑，需要对递归服务器做一些安全防护工作，以提高其用户的上网安全和自身的可访问性。