WO2018233312A1

WO2018233312A1 - 一种dns防攻击方法、设备和系统

Info

Publication number: WO2018233312A1
Application number: PCT/CN2018/077553
Authority: WO
Inventors: 陈单江; 李在彬
Original assignee: Wangsu Science and Technology Co Ltd
Current assignee: Wangsu Science and Technology Co Ltd
Priority date: 2017-06-23
Filing date: 2018-02-28
Publication date: 2018-12-27
Anticipated expiration: 2019-12-23
Also published as: CN107222492A; US11044262B2; EP3557841A4; EP3557841A1; US20190394217A1

Abstract

本发明实施例提供了一种DNS防攻击方法，包括：递归服务器接收域名查询请求报文；递归服务器根据域名对应的第一NS记录及第一NS的A记录确定第一权威域名服务器，并向所述第一权威域名服务器发送所述域名查询请求报文；所述递归服务器接收所述第一权威域名服务器返回的所述域名的A记录、第二NS记录及第二NS的A记录，所述第二NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器；所述递归服务器将所述第二NS记录替换所述第一NS记录，并缓存所述第二NS的A记录。可以看出，能够利用第一权威域名服务器返回的第二域名服务器NS记录刷新第一NS记录，从而不再暴露受攻击的权威域名服务器，因此，能够提升域名解析的效率。

Description

一种 DNS防攻击方法、设备和系统技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种 DNS 防攻击方法、设备和系统。背景技术

当前互联网上的网络攻击日益频繁，攻击形式也日益多样，其中针对 DNS ( Domain Name System , 域名系统）服务器的大规模 DDoS ( Distributed Den ial of Service , 分布式拒绝服务）攻击影响尤为严重。

当客户端访问一个域名时，例如访问 aaa. com，会向递归服务器询问 aaa. com 的 A (Address ) 记录，若递归服务器也没有缓存 aaa. com的 A记录，递归服务器会向根域名服务器（.）、顶级域名服务器（. com)、权威域名服务器（aaa. com) 递归查询 aaa. com对应的 A记录，顶级域名服务器（. com)不会直接告诉递归服务器 aaa. com所对应的 A记录，而是将对应的权威域名服务器（aaa. com)的 NS ( Name Server )记录发送给递归服务器， NS记录中记载了可用于解析 aaa. com 的所有权威域名服务器的 NS记录，例如：

aaa. com. 172800 IN NS ns l. aaadns. com.

aaa. com. 172800 IN NS ns2. aaadns. com.

aaa. com. 172800 IN NS ns3. aaadns. com.

aaa. com. 172800 IN NS ns4. aaadns. com.

权威域名服务器的 NS记录的 A记录，例如：

nsl . aaadns. com. 172800 INA 1. 1. 1. 1

ns2. aaadns. com. 172800 INA 2. 2. 2. 2

ns3. aaadns. com. 172800 INA 3. 3. 3. 3 援引加入 (细则 20.6) ns4.aaadns. com. 172800IN A 4.4.4.4

然后，递归服务器选择其中一个权威域名服务器进行访问，如：

aaa. com. 172800 IN NS nsl. aaadns. com.

nsl. aaadns. com. 172800 INA 1.1.1.1

递归服务器向权威域名服务器 1.1.1.1 发起域名访问请求以获取 aaa.com 对应的 A记录，权威域名服务器 1.1.1.1向递归服务器返回 aaa. com对应的 A 记录，以完成一个域名的完整解析。例如： aaa.com. 600 IN A 106.11.61.44

最后客户端根据该域名 aaa. com对应的 IP地址 106.11.61.44进行访问。由于递归服务器后续会将权威域名服务器 1.1.1.1作为 aaa. com同类域名解析的首选服务器。若权威域名服务器 1.1.1.1被攻击，由于 NS的过期时间 (TTL) 一般被顶级域管理机构强制定为 48 小时（nsl.aaadns.com. 172800 IN A 1.1.1.1)，将导致大量域名长时间无法被解析，降低了域名解析的效率。发明内容

本发明实施例提供一种 DNS 防攻击方法、设备和系统，用以解决在权威域名服务器被攻击时如何提升域名解析的效率。

本发明实施例提供了一种 DNS防攻击方法，包括：

递归服务器接收域名査询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；

所述递归服务器根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第一权威域名服务器，并向所述第一权威域名服务器发送所述域名查询请求报文；

所述递归服务器接收所述第一权威域名服务器返回的所述域名的 A记录、第二 NS记录及第二 NS的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器；

2

援引加入 (细则 20.6) 所述递归服务器将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。

可选地，所述递归服务器根据所述域名对应的第一 NS记录及第一 NS的 A 记录确定第一权威域名服务器之前，还包括：

所述递归服务器根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第二权威域名服务器，所述第二权威域名服务器是所述递归服务器中记录的已成功解析所述域名的同类域名的权威域名服务器；

所述递归服务器在未接收到所述第二权威域名服务器返回的消息时，根据所述域名对应的第一 NS记录及第一 NS的 A记录确定所述第一权威域名服务器; 所述第二 NS记录中不包括所述第二权威域名服务器。

可选地，所述递归服务器将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录，包括：

所述递归服务器在确定所述第二 NS记录与所述第一 NS记录不同时，将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。

可选地，所述第一 NS的 A记录和所述第二 NS的 A记录均采用泛域名指向 IP地址的形式；

针对所述第一 NS的 A记录和所述第二 NS的 A记录中的每个 A信息，在 NS 记录中与所述 A信息对应的权威域名服务器落入所述 A信息的匹配范围内。

可选地，第一权威域名服务器接收递归服务器发送的域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；所述第一权威域名服务器是所述递归服务器根据第一 NS记录及第一 NS的 A记录确定的；所述第一权威域名服务器向所述递归服务器发送所述域名的 A记录、第二 NS记录及第二 NS的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器。

可选地，所述第二 NS记录及第二 NS的 A记录通过以下方式得到：所述第一权威域名服务器删除所述第一 NS记录及第一 NS的 A记录中处于

3

援引加入 (细则 20.6) 非正常工作状态的域名服务器的信息；或

所述第一权威域名服务器将新增的解析所述域名的域名服务器的信息替换所述第一 NS记录及第一 NS的 A记录中处于非正常工作状态的域名服务器的信息。

可选地，所述第一权威域名服务器的上层域名服务器配置有所述第二 NS记录及所述第二 NS的 A记录。

相应地，本发明实施例提供了一种递归服务器，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行：递归服务器接收域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；所述递归服务器根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第一权威域名服务器，并向所述第一权威域名服务器发送所述域名查询请求报文；所述递归服务器接收所述第一权威域名服务器返回的所述域名的 A记录、第二 NS记录及第二 NS的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器；所述递归服务器将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。

本发明实施例提供了一种权威域名服务器，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行：第一权威域名服务器接收递归服务器发送的域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；所述第一权威域名服务器是所述递归服务器根据第一 NS记录及第一 NS的 A记录确定的；所述第一权威域名服务器向所述递归服务器发送所述域名的 A记录、第二 NS记录及第二 NS 的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器。

本发明实施例提供了一种计算机存储介质，所述计算机存储介质存储有计

4

援引加入 (细则 20.6) 算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述任一种方法。

本发明实施例提供了一种 DNS 防攻击系统，包括上述递归服务器及上述权威域名服务器。

上述实施例提供一种 DNS 防攻击方法、设备和系统，递归服务器查询未解析过的域名对应的第一 NS记录及第一 NS的 A记录，第一 NS记录中记载着解析该域名的权威域名服务器；递归服务器从中确定第一权威域名服务器；第一权威域名服务器除了返回该域名的 A记录，还会返回第一权威域名服务器中存储的第二 NS记录及第二 NS的 A记录，该第二 NS记录中记载着用于解析该域名且处于正常工作状态的权威域名服务器；递归服务器将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。可以看出，递归服务器利用自身存储的第一 NS记录来确定解析该域名的第一权威域名服务器，然后通过正常工作的第一权威域名服务器返回的第二 NS记录刷新第一 NS记录，从而将受攻击或不能正常工作的权威域名服务器的信息从 NS记录中删除掉，使得被顶级域管理机构强制设置的 TTL值不会对 DNS解析造成长时间的影响，因此，能够提升域名解析的效率。附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍。

图 1为本发明实施例提供的一种 DNS防攻击方法的流程示意图；

图 2为本发明二实施例提供的一种 DNS防攻击方法的流程示意图；图 3为本发明三实施例提供的一种 DNS防攻击方法的流程示意图；图 4为本发明实施例提供的一种递归服务器的结构示意图；

图 5为本发明实施例提供的一种权威域名服务器的结构示意图。

5

援引加入 (细则 20.6) 具体实施方式

为了使本发明的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例一

图 1示例性示出了本发明实施例提供的一种 DNS防攻击方法的流程示意图，如图 1所示，该方法可包括：

S10K 递归服务器接收域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；

递归服务器在接收到域名查询请求报文之后，确定是否未缓存该域名查询请求报文对应的域名的 IP地址信息，若缓存有该域名的 IP地址信息，则直接向客户端反馈该域名对应的 IP地址信息；若没有缓存该域名的 IP地址信息则需要根据该域名对应的 NS记录来确定解析该域名的权威域名服务器。

例如，若客户端想要访问 www. ddd. com，而客户端所配置的递归服务器中缓存了 www. ddd. com所对应的 IP地址，则递归服务器可将 w . ddd. com所对应的 IP 地址发送给客户端；另一种情况是在客户端所配置的递归服务器中未缓存 www. ddd. com所对应的 IP地址时，则通过递归查询或者递归服务器中已经缓存的 ddd. com的 NS记录及该 NS的 A记录获得域名查询请求报文 www. ddd. com所对应的第一 NS记录及第一 NS的 A记录，也即得到负责解析域名 www. ddd. com的权威域名服务器的 NS记录及该 NS的 A记录。

S102、所述递归服务器根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第一权威域名服务器，并向所述第一权威域名服务器发送所述域名查询请求报文；

第一 NS记录中通常记载着多个解析该域名的权威域名服务器，递归服务器可随机的从中选择一个权威域名服务器；通常，若递归服务器之前通过某一个权威域名服务器（如第二权威域名服务器）解析过该域名同类的域名，则递归

6

援引加入 (细则 20.6) 服务器会将第二权威域名服务器作为首选服务器，例如此次解析的域名为 example, aaa. com , 而第二权威域名服务器之前解析过 xxx. aaa. com , 则此次解析 example. aaa. com 时递归服务器会将域名查询请求报文发送给第二权威域名服务器。如果递归服务器未接收到第二权威域名服务器返回的消息时，则递归服务器根据第一 NS记录及第一 NS的 A记录确定另一个权威域名服务器（如第一权威域名月艮务器）来进行域名解析。以 example, aaa. com , xxx. aaa. com为例，两者均是 aaa. com 的二级域名，通常将上下级域名及同级域名归为同类域名，同类域名通常对应同一组权威域名服务器。

S 103、第一权威域名服务器向所述递归服务器返回的所述域名的 A记录、第二 NS记录及第二 NS的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器。

在第一权威域名服务器正常工作时，第一权威域名服务器会返回解析的域名的的 A记录；除此之外，第一权威域名服务器还会返回第二 NS记录及第二 NS 的 A记录；第二 NS记录中记载着正常工作的权威域名服务器，第二 NS记录中的内容可以是各权威域名服务器通过心跳报文等机制互相检测得到的，也可以是根据报警信息更新 NS 记录得到的，也可以是人为设置的等等。以 example, aaa. com为例，各权威域名服务器中初始存储的是 aaa. com在注册时填写的 NS信息，随着 aaa. com对应的各权威域名服务器的状态变化，各权威域名服务器会更新自身存储的 aaa. com对应的 NS记录及 NS的 A记录。以第二权威域名服务器遭受 DDoS攻击为例，此时各其它正常工作的权威域名服务器会将第二权威域名服务器的信息从自身存储的 NS记录中删除，而不是仅修改第二权威域名服务器的 A记录，从而实现刷新 NS记录得到第二 NS记录。第二 NS记录可以是第一 NS记录中记载的处于正常工作状态的权威域名服务器的信息、或还包括新增的第三权威域名服务器。可选的本发明实施例还提供了一种获取第二 NS 记录及第二 NS的 A记录的方式：

所述第一权威域名服务器删除所述第一 NS记录中处于非正常工作状态的域援引加入 (细则 20.6) 名服务器的信息；或

S104、所述递归服务器将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。

由于第二 NS记录中删除了非正常工作的权威域名服务器的信息，递归服务器通过第二 NS记录就可以刷新第一 NS记录，从而将受攻击或不能正常工作的权威域名服务器的信息从 NS记录中删除掉，避免了现有技术中由于顶级域管理机构强制设置的 TTL值而造成对 DNS解析的长时间影响，也避免了仅修改非正常工作的权威域名服务器的 A 记录而导致的递归服务器无法刷新 NS 记录的问题。

在步骤 104中，递归服务器接收的第二 NS记录与第一 NS记录有可能相同，一种实现方式是递归服务器直接根据第二 NS记录进行更新；另一种实现方式为所述递归服务器在确定所述第二 NS记录与所述第一 NS记录不同时，将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。

可选的，第一 NS记录中的 TTL (Time To Live , 过期时间）被顶级域管理机构强制定为 172800秒，即 48小时，且无法更改。本发明实施例由于是在权威域名服务器中得到的第二 NS记录，因此第二 NS记录中的生存时间 TTL值是可以设置的，具体实践中可根据需要设置各权威域名服务器的生存时间 TTL值，其中，所述 TTL< 172800秒。本发明实施例采用权威域名服务器自身设定的 NS 记录，而非采用注册时在顶级域名填写的 NS记录，可以更准确的为客户端提供域名解析服务。实施例二

下面通过一个具体的例子，对第一 NS记录中的各权威域名服务器未遭受到

8

援引加入 (细则 20.6) 攻击时的访问流程进行详细的解释说明。

参见图 2，假设客户端想要访问自己并未缓存的 example, aaa.com站点，并假设此客户端配置的递归服务器的 IP地址为 10.10.10.10，递归服务器上配置的根域名服务器的 IP地址为 20.20.20.20。整个递归名称解析过程如图 2所示 (其中的 Q广 Q5表示发送 DNS查询请求， A广 A5是 DNS查询应答），具体流程如下：

(1) DNS客户端向所配置的递归服务器（IP地址 10.10.10.10) 发出解析 example, aaa. com域名的 DNS请求报文（图中的 Ql)。相当于对递归服务器说"请给我 example, aaa. com所对应的 IP地址"。

(2) 递归服务器收到请求后，先查询本地缓存。假设没有查到该域名对应记录，则递归服务器向所配置的根域名服务器（IP地址 20.20.20.20) 发出解析请求解析 example, aaa. com域名的 DNS请求报文（图中的 Q2)。

(3)根域名服务器收到查询请求后，通过查询得到 .com顶级域名所对应的顶级域名服务器的 IP地址为 30.30.30.30，然后向递归服务器返回一条应答报文（图中的 Al)。相当说 "我不知道 example, aaa. com域名所对应的 IP地址，但我现在告诉你. com域名所对应的顶级域名服务器的 IP地址为 30.30.30.30"。

在实际应用中，根域名服务器除了可查询得到. com所对应的顶级域名服务器的 IP，还可查询得到 .uk所对应的顶级域名服务器的 IP、 .cn所对应的顶级域名服务器的 IP、 . org所对应的顶级域名服务器的 IP等。

(4)递归服务器在收到根域名服务器的 DNS应答报文，得到. com所对应的顶级域名服务器的 IP地址 30.30.30.30后，再次向对应的顶级域名服务器发送一条请求解析 example, aaa. com域名的 DNS请求报文（图中的 Q3)。

(5) .com顶级域名服务器在收到 DNS请求报文后，先查询自己的缓存，假设也没有该域名的记录，则查询 aaa.com 所对应的二级域名服务器，然后也向递归服务器返回一条 DNS 应答报文（图中的 A3)。相当于说 "我不知道 example, aaa. com域名所对应的 IP地址，但我现在告诉你 aaa. com域名所对应

9

援引加入 (细则 20.6) 的权威域名服务器地址为 40. 40. 40. 40 "。

( 6 )递归服务器在收到. com顶级域名服务器的 DNS应答报文，得到 aaa. com 所对应的权威域名服务器的 IP地址 40. 40. 40. 40后，再次向对应的权威域名服务器发送一条请求解析 example, aaa. com域名的 DNS请求报文（图中的 Q4)。

( 7 ) aaa. com权威域名服务器在收到 DNS请求报文后，也先查自己的缓存，假设也没有该域名的记录，则将 example. aaa. com在顶级域注册时所填写的第一 NS记录发送给递归服务器，进一步假设 example, aaa. com在顶级域注册时所填写的第一 NS记录，如下：

aaa. com. 172800 IN NS nsl. aaa. com

aaa. com. 172800 IN NS ns2. aaa. com

aaa. com. 172800 IN NS ns3. aaa. com

aaa. com. 172800 IN NS ns4. aaa. com

aaa. com. 172800 IN NS ns5. aaa. com

第一 NS的 A记录，如下：

nsl. aaa. com 172800 IN A 1. 1. 1. 1

ns2. aaa. com 172800 IN A 2. 2. 2. 2

ns3. aaa. com 172800 IN A 3. 3. 3. 3

ns4. aaa. com 172800 IN A 4. 4. 4. 4

ns5. aaa. com 172800 IN A 5. 5. 5. 5

所述第一 NS 记录也预先存储在各权威域名服务器中，即在 IP 地址为 1. 1. 1. 1的权威域名服务器中存储有上述第一 NS记录； IP地址为 2. 2. 2. 2的权威域名服务器中也存储有上述第一 NS记录； IP地址为 3. 3. 3. 3的权威域名服务器中也存储有上述第一 NS记录； IP地址为 4. 4. 4. 4的权威域名服务器中也存储有上述第一 NS记录； IP地址为 5. 5. 5. 5的权威域名服务器中也存储有上述第一 NS记录。

( 8 )递归服务器在收到 aaa. com权威域名服务器所返回的第一 NS记录后，

10

援引加入 (细则 20.6) 可根据第一 NS记录，访问第一 NS记录中任意一个权威域名服务器。例如，访问 IP地址为 1. 1. 1. 1的权威域名服务器 nsl。

( 9 ) 递归服务器通过 IP地址为 L 1. 1. 1的权威域名服务器 nsl可获取到 example, aaa. com 对应的 IP 地址，假设在权威域名服务器 nsl 中 example, aaa. com所对应的 IP地址为 8. 8. 8. 8，则权威域名服务器 nsl将自己本身预先存储的上述第二 NS记录及第二 NS的 A记录（由于未检测到受攻击或非正常工作状态的权威域名服务器，故依然是第一 NS 记录）以及 example, aaa. com所对应的 IP地址为 8. 8. 8. 8一起发送给递归服务器。

( 10 ) 递归服务器在接收到权威域名服务器 ns l 返回的 example. aaa. com 所对应的 IP地址为 8. 8. 8. 8后，将 example, aaa. com所对应的 IP地址为 8. 8. 8. 8 返回

给客户端（图中的 A5 )。

实施例三

在权威域名服务器遭受到攻击的情况下，可通过删除受到攻击的权威域名服务器的方式以尽快恢复正常的解析。

基于上述实施例二的基础上，下面通过一个具体的例子，对第一 NS记录中各权威域名服务器遭受到攻击时的访问流程进行详细的解释说明。

假设检测到第一 NS记录中的 IP地址为 1. 1. 1. 1的权威域名服务器 nsl遭受到攻击，因此，其它正常服务的权威域名服务器（ns2、 ns3、 ns4、 ns5 ) 修改自身存储的 NS记录中，将 IP地址为 1. 1. 1. 1的权威域名服务器 ns l进行删除，得到第二 NS记录，如下：

com. 172800 IN NS ns2. 3,3,3,, com

3,3,3,, com. 172800 IN NS ns3. com

com. 172800 IN NS ns4. com

3,3,3,, com. 172800 IN NS ns5. com

可选的，权威域名服务器（ns l、 ns2、 ns3、 ns4、 ns5 ) 的上层域名服务器

11

援引加入 (细则 20.6) 也对自身存储的 NS记录进行更新，从而确保通过上层域名服务器来获取 NS记录和对应的 A记录的准确性。如客户端 1通过递归服务器 1进行 example, aaa. com 域名解析，在针对 aaa. com.的权威域名服务器的 NS记录（由 ns l、 ns2、 ns3、 ns4、 ns5变更为 ns2、 ns3、 ns4、 ns5)发生变化时， ns2、 ns3、 ns4、 ns5对应的权威域名服务器和递归服务器 1上对应的 NS记录已更新，即目前正常工作的权威域名服务器为 ns2、 ns3、 ns4、 ns5。此时，客户端 2 通过递归服务器 2 进行 example, aaa. com域名解析，如果上层域名服务器的 NS记录没有更新，则递归服务器 2得到的 NS记录中依然会包括处于非正常工作状态的 nsl。故本发明实施例也提供了一种更新上层域名服务器的方式，从而确保递归服务器获得有效的 NS记录。

对于 NS记录对应的 A记录，可以进行修改，即删除 ns l的 A信息，也可以不做修改。在不删除时，由于 NS记录中己没有 ns l，故 A记录中即便有 ns l的 A信息也没有影响，在生命周期到达时会自动清除。可选的，第二 NS记录对应的 A记录为：

ns2. aaa. com 172800 IN A 2. 2. 2. 2

ns3. aaa. com 172800 IN A 3. 3. 3. 3

ns4. aaa. com 172800 IN A 4. 4. 4. 4

ns5. aaa. com 172800 IN A 5. 5. 5. 5

如图 3所示：

( 1 )假设 DNS客户端第一次访问 examplel . aaa. com站点， DNS客户端向所配置的递归服务器（IP地址 10. 10. 10. 10 ) 发出解析 examplel. aaa. com域名查询请求报文（图中的 Ql )。相当于对递归服务器说 "请给我 examplel. aaa. com 所对应的 IP地址"。

( 2 ) 递归服务器收到请求后，先查询本地缓存。由于递归服务器之前为客户端返回过 example. aaa. com 的域名解析结果，故递归服务器会根据缓存中的第一 NS记录确定此次解析的权威域名服务器；其中，上一次域名解析是 ns l权

12

援引加入 (细则 20.6) 威域名服务器完成的，所以递归服务器向 IP地址为 1.1.1.1的 nsl权威域名服务器发出解析请求（图中的 Q2);

(3) nsl权威域名服务器由于受到了攻击，处于非正常工作状态，无法为递归服务器提供服务，递归服务器在等待一段时间后不会收到 nsl 反馈的解析结果（图中 Al)。所以递归服务器会根据第一 NS记录重新确定一个权威域名服务器，若再次选择的权威域名服务器依然处于非正常工作状态，则递归服务器会再次选取，直至选取到可提供解析服务的权威域名服务器；

(4)假设递归服务器选取了 ns2，则向 IP地址为 2.2.2.2的 ns2发送域名查询请求消息（图中的 Q3);

(5) ns2处于正常工作状态，对域名查询请求消息中的 examplel.aaa.com 进行域名解析，得到对应的 IP地址，假设 examplel. aaa. com所对应的 IP地址为 9.9.9.9，则 ns2将 examplel. aaa. com所对应的 IP地址为 9.9.9.9发送给递归服务器并将自己本身存储的上述第二 NS记录以及第二 NS记录对应的 A记录发送给递归服务器（图中的 A2)。

(6) 递归服务器在接收到权威域名服务器 ns2返回的第二 NS记录后，判断第二 NS记录是否与第一 NS记录相同，若发现第二 NS记录与第一 NS记录不相同，则用第二 NS记录替换第一 NS记录。

此时，第一 NS记录，如下：

com. 172800 IN NS nsl. aaa. com

3,3,3,, com. 172800 IN NS ns2. aaa. com

3,3,3,, com. 172800 IN NS ns3. aaa. com

com. 172800 IN NS ns4. aaa. com

3,3,3,, com. 172800 IN NS ns5. aaa. com

而第二 NS记录如下：

aaa. com. 172800 IN NS ns2. aaa. com

aaa. com. 172800 IN NS ns3. aaa. com 援引加入 (细则 20.6) aaa. com. 172800 IN NS ns4. aaa. com

aaa. com. 172800 IN NS ns5. aaa. com

可以看出，第二 NS记录与第一 NS记录不相同，因此，用第二 NS记录替换第一 NS记录。当其它同类域名如 XXX. aaa. com再次向递归服务器请求解析时，由于递归服务器、权威服务器及权威服务器的上层域名服务器中缓存的被攻击的 nsl的 NS记录已经被删除，故 XXX. aaa. com不会被引导到被攻击的 nsl上，而是由第二 NS记录中能够正常服务的 ns2、 ns3、 ns4、 ns5负责解析，及时消除了被攻击的 nsl对域名解析的影响。

( 7 )递归服务器将接收到 ns2返回的 examplel. aaa. com所对应的 IP地址 9. 9. 9. 9返回给所述 DNS客户端（如图中的 A4 )。实施例四

在权威域名服务器遭受到攻击的情况下，为了保证业务不受影响，还可通过增加权威域名服务器替换掉被攻击的权威域名服务器的方式预防攻击。

基于上述实施例三的基础上，假设检测到第一 NS 记录中的 IP 地址为 1. 1. 1. 1的权威域名服务器 nsl遭受到攻击，因此，将各权威域名服务器中的第一 NS记录中 IP地址为 1. 1. 1. 1的权威域名服务器 ns l进行删除，同时为了保证业务的正常开展，在域名解析系统中新增一台权威域名服务器 ns6，因而各权威域名服务器及权威域名服务器的上层域名服务器需要更新自身存储的 NS 记录，即将第一 NS记录中删除 ns l的信息并增加 ns6的信息。

具体的，可通过写入如下代码实现增加 IP地址为 6. 6. 6. 6的权威域名服务器 ns6₀

aaa. com 600 IN NS ns6. aaa. com

ns6. aaa. com 7200 IN A 6. 6. 6. 6

在权威域名服务器删除 nsl增加 ns6之后，各正常工作的权威域名服务器现在存储的 NS记录为第二 NS记录，如下：

14

援引加入 (细则 20.6) com. 172800 IN NS ns2. com

3,3,3,, com. 172800 IN NS ns3. com

com. 172800 IN NS ns4. com

com. 172800 IN NS ns5. 3,3,9,. com

com. 7200 IN NS ns6. com

第二 NS记录对应的 A记录为:

ns6. 3,9,9,. com 7200 IN A 6. 6. 6. 6

ns2. 3,9,3,. com 172800 IN A 2. 2. 2. 2

ns3. 3,9,3,. com 172800 IN A 3. 3. 3. 3

ns4. 3,9,3,. com 172800 IN A 4. 4. 4. 4

ns5. 9,9,3,. com 172800 IN A 5. 5. 5. 5

可以看出在第二 NS记录中新增的 ns6的信息由于不是顶级域名服务器配置的，故其生命周期可以自设定，从而进一步使得递归服务器中的 NS记录的更新期更灵活，也缩短了其更新时长。

同样的，当其它同类域名如 xxx. aaa. com再次向递归服务器请求解析时，由于递归服务器、权威服务器及权威服务器的上层域名服务器（例如顶级域名服务器）中缓存的被攻击的 nsl 的 NS 记录己经能正常服务的 ns6 替换，故 XXX . aaa. com不会被引导到被攻击的 nsl上，而是由第二 NS记录中能够正常服务的 ns2、 ns3、 ns4、 ns5、 n6负责解析，及时消除了被攻击的 nsl对域名解析的影响。

实施例五

基于上述各个实施例，若存在新增的权威域名服务器替换非正常工作的权威域名服务器时，对 NS记录的更新会涉及两次对权威域名服务器名称的更改，如将第一 NS记录中非正常工作状态的 nsl的信息替换为 ns6，需要将第一 NS中的 nsl的两条记录中 nsl (见如下示例中括号内为更改后的）更改为 ns6: aaa. com. 172800 IN NS nsl ( ns6 ) . aaa. com

15

援引加入 (细则 20.6) nsl ( ns6 ) . aaa. com 172800 IN A 1. 1. 1. 1

为了减少修改量及配置量，可选的， NS的 A记录采用泛域名指向 IP地址的形式，因为泛域名的匹配范围比较大，以 *. ns l. aaa. com为例， 1. nsl . aaa. com、 2. nsl. aaa. com , 3. ns l . aaa. com等等都落入 nsl. aaa. com 的匹酉己范围内。故针对 A记录中的每个 A信息，只要确保在 NS记录中与所述 A信息对应的权威域名服务器落入所述 A信息的匹配范围内，则在进行修改时，可以对 A记录中的权威域名服务器不进行修改。在新增第三权威域名服务器替换第二权威域名服务器时，在 NS记录中将第二权威域名服务器修改为第三权威域名服务器，在对应的 NS的 A记录中将泛域名对应的 IP地址修改为第三权威域名服务器的 IP地址。

下面通过一个具体的例子，对利用泛域名能够减少修改量及配置量进行详细的解释说明。

例如，在顶级域名服务器注册的第一 NS记录，如下：

aaa. com 172800 IN NS 1. ns l. com

aaa. com 172800 IN NS 1. ns2. 3,3,3,. com

aaa. com 172800 IN NS 1. ns3. com

aaa. com 172800 IN NS 1. ns4. com

aaa. com 172800 IN NS 1. ns5. com

第一 NS的 A记录，如下

1. ns l. aaa. com 172800 IN A 1. 1. 1. 1

1. ns2. aaa. com 172800 IN A 2. 2. 2. 2

1. ns3. aaa. com 172800 IN A 3. 3. 3. 3

1. ns4. aaa. com 172800 IN A 4. 4. 4. 4

1. ns5. aaa. com 172800 IN A 5. 5. 5. 5

而在权威域名服务器上配置的第一 NS记录，如下:

aaa. com 7200 IN NS 1. nsl. aaa. com

16

援引加入 (细则 20.6) 9,3,9,. com 7200 IN NS 1. ns2. 9,9,9,. com

9,9,9,. com 7200 IN NS 1. ns3. 9,9,3,. com

9,3,9,. com 7200 IN NS 1. ns4. 9,9,3,. com

9,3,9,. com 7200 IN NS 1. ns5. 9,9,3,. com

第一 NS的 A 记录:

ns l. 3,3,9,. com 7200 IN A 1. 1. 1. 1

. ns2. 9,9,9,. com 7200 IN A 2. 2. 2. 2

ns3. 9,9,9,. com 7200 IN A 3. 3. 3. 3

ns4. 3,3,9,. com 7200 IN A 4. 4. 4. 4

ns5. 9,3,9,. com 7200 IN A 5. 5. 5. 5

在权威域名服务器 nsl 受到攻击的情况下，需要新增一个权威域名服务器替换 nsl，因此，需要分别修改权威域名服务器及权威域名服务器的上层域名服务器（顶级域名服务器）上配置的第一 NS 记录，只需要将 " 1. nsl. aaa. com " 修改为 " 2. ns l. aaa. com "或 " 3. nsl. aaa. com " 或 " 4. nsl. aaa. com "等，同时，将 nsl. aaa. com 7200 IN A 1. 1. 1. 1 " 中的 IP地址 " 1. 1. 1. 1 "修改为 " 6. 6. 6. 6，，即可， " 2. nsl. aaa. com，，、 " 3. nsl. aaa. com " 、 "4. nsl. aaa. com " 都会落入泛域名 *. nsl. aaa. com的解析范围。可以看出，在本发明实施例中，将 NS记录中权威域名服务器变为原权威域名服务器的下级域名形式，在 A记录中将权威域名服务器变为原权威域名服务器的下级域名的泛域名形式，因此，能够减少修改工作量及域名配置量，从而提升权威域名服务器的工作效率，进而提升域名解析效率。

根据以上内容可以看出，本发明实施例能够利用第一权威域名服务器返回的第二 NS记录刷新第一 NS记录，其中第二 NS记录中记载着能正常服务的权威域名服务器的记录，从而不再暴露受攻击的权威域名服务器，使得域名解析请求均被引导到第二 NS记录的能正常服务的权威域名服务器来解析，减少受攻击的域名服务器对域名解析的影响，因此，能够提升域名解析的效率。此外，第

17

援引加入 (细则 20.6) 二 NS记录中的 TTL值还能够刷新第一 NS记录中的 TTL值，从而使得目前顶级域管理机构强制设置的 172800的 TTL值不对 DNS解析造成长时间的影响。

基于相同的技术构思，本发明实施例还提供了一种递归服务器，如图 4 所示，包括：

存储器 401，用于存储程序指令；

处理器 402，用于调用所述存储器中存储的程序指令，按照获得的程序执行: 接收域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第一权威域名服务器，并向所述第一权威域名服务器发送所述域名查询请求报文；接收所述第一权威域名服务器返回的所述域名的 A记录、第二 NS记录及第二 NS 的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器；将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录的方法步骤。

处理器 402，还用于按照获得的程序执行：根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第二权威域名服务器，所述第二权威域名服务器是所述递归服务器中记录的已成功解析所述域名的同类域名的权威域名服务器；在未接收到所述第二权威域名服务器返回的消息时，根据所述域名对应的第一 NS 记录及第一 NS的 A记录确定所述第一权威域名服务器；所述第二 NS记录中不包括所述第二权威域名服务器。

本发明实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行前述方法中递归服务器所实施的步骤。

本发明实施例还提供了一种权威域名服务器，如图 5所示，包括：存储器 501，用于存储程序指令；

处理器 502，用于调用所述存储器中存储的程序指令，按照获得的程序执行: 接收递归服务器发送的域名查询请求报文，所述域名查询请求报文中携带有所

18

援引加入 (细则 20.6) 述递归服务器中未缓存的域名；所述第一权威域名服务器是所述递归服务器根据第一 NS记录及第一 NS的 A记录确定的；向所述递归服务器发送所述域名的 A 记录、第二 NS记录及第二 NS的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器的步骤。

所述处理器 502，还用于按照获得的程序执行：删除所述第一 NS记录及第一 NS的 A记录中处于非正常工作状态的域名服务器的信息；或，将新增的解析所述域名的域名服务器的信息替换所述第一 NS记录及第一 NS的 A记录中处于非正常工作状态的域名服务器的信息。

本发明实施例还提供了一种计算机存储介质，计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行前述实施例中的权威域名服务器所执行的方法步骤。

本发明实施例还提供了一种 DNS 防攻击系统，包括如执行前述实施例步骤的递归服务器及执行前述实施例步骤的权威域名服务器。

本领域内的技术人员应明白，本发明的实施例可提供为方法、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、 CD-R0M、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 / 或方框图中的每一流程和 I或方框、以及流程图和 I或方框图中的流程和 I或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备

19

援引加入 (细则 20.6) 以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

20

援引加入 (细则 20.6) 一种 DNS防攻击方法、设备和系统技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种 DNS防攻击方法、设备禾口系统。背景技术

当前互联网上的网络攻击日益频繁，攻击形式也日益多样，其中针对 DNS (Domain Name System,域名系统）服务器的大规模 DDoS (Distributed Denial of Service, 分布式拒绝服务）攻击影响尤为严重。

当客户端访问一个域名时，例如访问 aaa.com，会向递归服务器询问 aaa.com 的 A (Address) 记录，若递归服务器也没有缓存 aaa.com的 A记录，递归服务器会向根域名服务器 0、顶级域名服务器 (.com)、权威域名服务器 (aaa.com)递归查询 aaa.com对应的 A记录，顶级域名服务器 (.com)不会直接告诉递归服务器 aaa.com所对应的 A记录，而是将对应的权威域名服务器aaa.com)的 NS (Name Server) 记录发送给递归服务器， NS记录中记载了可用于解析 aaa.com的所有权威域名服务器的 NS记录，例如：

aaa.com. 172800 IN NS nsl .aaadns.com.

aaa.com. 172800 IN NS ns2.aaadns.com.

aaa.com. 172800 IN NS ns3.aaadns.com.

aaa.com. 172800 IN NS ns4.aaadns.com.

权威域名服务器的 NS记录的 A记录，例如：

nsl .aaadns.com. 172800 IN A 1.1.1.1

ns2.aaadns.com. 172800 IN A 2.2.2.2

ns3.aaadns.com. 172800 IN A 3.3.3.3

ns4.aaadns.com. 172800IN A 4.4.4.4 然后，递归服务器选择其中一个权威域名服务器进行访问，如：

aaa.com. 172800 IN NS nsl .aaadns.com.

nsl .aaadns.com. 172800 IN A 1.1.1.1

递归服务器向权威域名服务器 1.1丄1发起域名访问请求以获取 aaa.com对应的 A记录，权威域名服务器 1.1丄 1向递归服务器返回 aaa.com对应的 A记录，以完成一个域名的完整解析。例如： aaa.com. 600 IN A 106.11.61.44 最后客户端根据该域名 aaa.com对应的 IP地址 106.11.61.44进行访问。

由于递归服务器后续会将权威域名服务器 1.1.1.1作为 aaa.com同类域名解析的首选服务器。若权威域名服务器 1.1丄 1被攻击，由于 NS的过期时间 (TTL) 一般被顶级域管理机构强制定为 48 小时（nsl .aaadns.com. 172800 IN A 1.1.1.1 ) , 将导致大量域名长时间无法被解析，降低了域名解析的效率。发明内容

本发明实施例提供一种 DNS防攻击方法、设备和系统，用以解决在权威域名服务器被攻击时如何提升域名解析的效率。

【此部分内容与权利要求基本一致，待审核通过后，由代理人进行补充】上述实施例提供一种 DNS防攻击方法、设备和系统，递归服务器查询未解析过的域名对应的第一 NS记录及第一 NS的 A记录，第一 NS记录中记载着解析该域名的权威域名服务器；递归服务器从中确定第一权威域名服务器；第一权威域名服务器除了返回该域名的 A记录，还会返回第一权威域名服务器中存储的第二 NS记录及第二 NS的 A记录，该第二 NS记录中记载着用于解析该域名且处于正常工作状态的权威域名服务器；递归服务器将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。可以看出，递归服务器利用自身存储的第一 NS记录来确定解析该域名的第一权威域名服务器，然后通过正常工作的第一权威域名服务器返回的第二 NS记录刷新第一 NS记录，从而将受攻击或不能正常工作的权威域名服务器的信息从 NS记录中删除掉，使得被顶级域管理机构强制设置的 TTL值不会对 DNS解析造成长时间的影响，因此，能够提升域名解析的效率。附图说明

图 1为本发明实施例提供的一种 DNS防攻击方法的流程示意图；图 2为本发明二实施例提供的一种 DNS防攻击方法的流程示意图；图 3为本发明三实施例提供的一种 DNS防攻击方法的流程示意图；图 4为本发明实施例提供的一种递归服务器的结构示意图；

具体实施方式

实施例一

图 1 示例性示出了本发明实施例提供的一种 DNS 防攻击方法的流程示意图，如图 1所示，该方法可包括：

S101、递归服务器接收域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；

例如，若客户端想要访问 www.ddd.com，而客户端所配置的递归服务器中缓存了 www.ddd.com所对应的 IP地址，则递归服务器可将 www.ddd.com所对应的 IP地址发送给客户端；另一种情况是在客户端所配置的递归服务器中未缓存 www.ddd.com所对应的 IP地址时，则通过递归查询或者递归服务器中已经缓存的 ddd.com的 NS记录及该 NS的 A记录获得域名查询请求报文 www.ddd.com 所对应的第一 NS记录及第一 NS的 A记录，也即得到负责解析域名 www.ddd.com 的权威域名服务器的 NS记录及该 NS的 A记录。

5102、所述递归服务器根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第一权威域名服务器，并向所述第一权威域名服务器发送所述域名查询请求报文；

第一 NS记录中通常记载着多个解析该域名的权威域名服务器，递归服务器可随机的从中选择一个权威域名服务器；通常，若递归服务器之前通过某一个权威域名服务器（如第二权威域名服务器）解析过该域名同类的域名，则递归服务器会将第二权威域名服务器作为首选服务器，例如此次解析的域名为 example.aaa.com, 而第二权威域名服务器之前解析过 xxx.aaa.com，则此次解析 example.aaa.com 时递归服务器会将域名查询请求报文发送给第二权威域名服务器。如果递归服务器未接收到第二权威域名服务器返回的消息时，则递归服务器根据第一 NS记录及第一 NS的 A记录确定另一个权威域名服务器（如第一权威域名服务器）来进行域名解析。以 example.aaa.com、 xxx.aaa.com为例，两者均是 aaa.com的二级域名，通常将上下级域名及同级域名归为同类域名，同类域名通常对应同一组权威域名服务器。

5103、第一权威域名服务器向所述递归服务器返回的所述域名的 A记录、第二 NS记录及第二 NS的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器。

在第一权威域名服务器正常工作时，第一权威域名服务器会返回解析的域名的的 A记录；除此之外，第一权威域名服务器还会返回第二 NS记录及第二 NS的 A记录；第二 NS记录中记载着正常工作的权威域名服务器，第二 NS记录中的内容可以是各权威域名服务器通过心跳报文等机制互相检测得到的，也可以是根据报警信息更新 NS 记录得到的，也可以是人为设置的等等。以 example.aaa.com为例，各权威域名服务器中初始存储的是 aaa.com在注册时填写的 NS信息，随着 aaa.com对应的各权威域名服务器的状态变化，各权威域名服务器会更新自身存储的 aaa.com对应的 NS记录及 NS的 A记录。以第二权威域名服务器遭受 DDoS攻击为例，此时各其它正常工作的权威域名服务器会将第二权威域名服务器的信息从自身存储的 NS记录中删除，而不是仅修改第二权威域名服务器的 A记录，从而实现刷新 NS记录得到第二 NS记录。第二 NS记录可以是第一 NS记录中记载的处于正常工作状态的权威域名服务器的信息、或还包括新增的第三权威域名服务器。可选的本发明实施例还提供了一种获取第二 NS记录及第二 NS的 A记录的方式：

所述第一权威域名服务器删除所述第一 NS 记录中处于非正常工作状态的域名服务器的信息；或

由于第二 NS记录中删除了非正常工作的权威域名服务器的信息，递归服务器通过第二 NS记录就可以刷新第一 NS记录，从而将受攻击或不能正常工作的权威域名服务器的信息从 NS记录中删除掉，避免了现有技术中由于顶级域管理机构强制设置的 TTL值而造成对 DNS解析的长时间影响，也避免了仅修改非正常工作的权威域名服务器的 A记录而导致的递归服务器无法刷新 NS记录的问题。在步骤 104中，递归服务器接收的第二 NS记录与第一 NS记录有可能相同，一种实现方式是递归服务器直接根据第二 NS记录进行更新；另一种实现方式为所述递归服务器在确定所述第二 NS记录与所述第一 NS记录不同时，将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。

可选的，第一 NS记录中的 TTL (Time To Live, 过期时间）被顶级域管理机构强制定为 172800秒，即 48小时，且无法更改。本发明实施例由于是在权威域名服务器中得到的第二 NS记录，因此第二 NS记录中的生存时间 TTL值是可以设置的，具体实践中可根据需要设置各权威域名服务器的生存时间 TTL值，其中，所述 TTL< 172800秒。本发明实施例采用权威域名服务器自身设定的 NS 记录，而非采用注册时在顶级域名填写的 NS记录，可以更准确的为客户端提供域名解析服务。实施例二

下面通过一个具体的例子，对第一 NS记录中的各权威域名服务器未遭受到攻击时的访问流程进行详细的解释说明。

参见图 2，假设客户端想要访问自己并未缓存的 example.aaa.com站点，并假设此客户端配置的递归服务器的 IP地址为 10.10.10.10，递归服务器上配置的根域名服务器的 IP地址为 20.20.20.20。整个递归名称解析过程如图 2所示（其中的 Q1 Q5表示发送 DNS查询请求， A1 A5是 DNS查询应答），具体流程如下：

( 1 ) DNS客户端向所配置的递归服务器（IP地址 10.10.10.10) 发出解析 example.aaa.com域名的 DNS请求报文（图中的 Q1 )。相当于对递归服务器说"请给我 example.aaa.com所对应的 IP地址"。

(2) 递归服务器收到请求后，先查询本地缓存。假设没有查到该域名对应记录，则递归服务器向所配置的根域名服务器（IP地址 20.20.20.20) 发出解析请求解析 example.aaa.com域名的 DNS请求报文（图中的 Q2 )。 ( 3 )根域名服务器收到查询请求后，通过查询得到 .com顶级域名所对应的顶级域名服务器的 IP地址为 30.30.30.30，然后向递归服务器返回一条应答报文

(图中的 Al )。相当说 "我不知道 example.aaa.com域名所对应的 IP地址，但我现在告诉你 .com域名所对应的顶级域名服务器的 IP地址为 30.30.30.30"。

在实际应用中，根域名服务器除了可查询得到 .com所对应的顶级域名服务器的 IP，还可查询得到 .uk所对应的顶级域名服务器的 IP、 .cn所对应的顶级域名服务器的 IP、 .org所对应的顶级域名服务器的 IP等。

(4 ) 递归服务器在收到根域名服务器的 DNS应答报文，得到. com所对应的顶级域名服务器的 IP地址 30.30.30.30后，再次向对应的顶级域名服务器发送一条请求解析 example.aaa.com域名的 DNS请求报文（图中的 Q3 )。

( 5 ) .com顶级域名服务器在收到 DNS请求报文后，先查询自己的缓存，假设也没有该域名的记录，则查询 aaa.com所对应的二级域名服务器，然后也向递归服务器返回一条 DNS 应答报文（图中的 A3 )。相当于说 "我不知道 example.aaa.com域名所对应的 IP地址，但我现在告诉你 aaa.com域名所对应的权威域名服务器地址为 40.40.40.40"。

(6 )递归服务器在收到. com顶级域名服务器的 DNS应答报文，得到 aaa.com 所对应的权威域名服务器的 IP地址 40.40.40.40后，再次向对应的权威域名服务器发送一条请求解析 example.aaa.com域名的 DNS请求报文（图中的 Q4 )。

(7 ) aaa.com权威域名服务器在收到 DNS请求报文后，也先查自己的缓存，假设也没有该域名的记录，则将 example.aaa.com在顶级域注册时所填写的第一 NS记录发送给递归服务器，进一步假设 example.aaa.com在顶级域注册时所填写的第一 NS记录，如下：

aaa.com. 172800 IN NS nsl .aaa.com

aaa.com. 172800 IN NS ns2.aaa.com

aaa.com. 172800 IN NS ns3.aaa.com

aaa.com. 172800 IN NS ns4.aaa.com

aaa.com. 172800 IN NS ns5.aaa.com 第一 NS的 A记录，如下

nsl .aaa.com 172800 IN A 1.1.1.1

ns2.aaa.com 172800 IN A 2.2.2.2

ns3.aaa.com 172800 IN A 3.3.3.3

ns4.aaa.com 172800 IN A 4.4.4.4

ns5.aaa.com 172800 IN A 5.5.5.5

所述第一 NS记录也预先存储在各权威域名服务器中，即在 IP地址为 1.1.1.1 的权威域名服务器中存储有上述第一 NS记录； IP地址为 2.2.2.2的权威域名服务器中也存储有上述第一 NS记录； IP地址为 3.3.3.3的权威域名服务器中也存储有上述第一 NS记录； IP地址为 4.4.4.4的权威域名服务器中也存储有上述第一 NS记录； IP地址为 5.5.5.5的权威域名服务器中也存储有上述第一 NS记录。

( 8 )递归服务器在收到 aaa.com权威域名服务器所返回的第一 NS记录后，可根据第一 NS记录，访问第一 NS记录中任意一个权威域名服务器。例如，访问 IP地址为 1丄 1.1的权威域名服务器 nsl。

( 9 ) 递归服务器通过 IP地址为 1.1丄 1 的权威域名服务器 nsl 可获取到 example.aaa.com对应的 IP地址，假设在权威域名月艮务器 nsl中 example.aaa.com 所对应的 IP地址为 8.8.8.8，则权威域名服务器 nsl将自己本身预先存储的上述第二 NS记录及第二 NS的 A记录（由于未检测到受攻击或非正常工作状态的权威域名服务器，故依然是第一 NS记录）以及 example.aaa.com所对应的 IP地址为 8.8.8.8—起发送给递归服务器。

( 10 ) 递归服务器在接收到权威域名服务器 nsl返回的 example.aaa.com所对应的 IP地址为 8.8.8.8后，将 example.aaa.com所对应的 IP地址为 8.8.8.8返回给客户端（图中的 A5 )。

实施例三

假设检测到第一 NS记录中的 IP地址为 1.1.1.1的权威域名服务器 nsl遭受到攻击，因此，其它正常服务的权威域名服务器（ns2、 ns3、 ns4、 ns5 ) 修改自身存储的 NS记录中，将 IP地址为 1.1丄 1的权威域名服务器 nsl进行删除，得二 NS记录，如下：

aaa.com. 172800 IN NS ns2.aaa.com

aaa.com. 172800 IN NS ns3.aaa.com

aaa.com. 172800 IN NS ns4.aaa.com

aaa.com. 172800 IN NS ns5.aaa.com

可选的，权威域名服务器 (nsl、 ns2、 ns3、 ns4、 ns5 ) 的上层域名服务器也对自身存储的 NS记录进行更新，从而确保通过上层域名服务器来获取 NS记录和对应的 A记录的准确性。如客户端 1通过递归服务器 1进行 example.aaa.com 域名解析,在针对 aaa.com.的权威域名服务器的 NS记录 (：由 nsl、 ns2、 ns3、 ns4、 ns5变更为 ns2、 ns3、 ns4、 ns5)发生变化时， ns2、 ns3、 ns4、 ns5对应的权威域名服务器和递归服务器 1上对应的 NS记录已更新，即目前正常工作的权威域名服务器为 ns2、 ns3、 ns4、 ns5。此时，客户端 2 通过递归服务器 2 进行 example.aaa.com域名解析，如果上层域名服务器的 NS记录没有更新，则递归服务器 2得到的 NS记录中依然会包括处于非正常工作状态的 nsl。故本发明实施例也提供了一种更新上层域名服务器的方式，从而确保递归服务器获得有效的 NS记录。

对于 NS记录对应的 A记录，可以进行修改，即删除 nsl的 A信息，也可以不做修改。在不删除时，由于 NS记录中已没有 nsl，故 A记录中即便有 nsl 的 A信息也没有影响，在生命周期到达时会自动清除。可选的，第二 NS记录对应的 A记录为：

ns2.aaa.com 172800 IN A 2.2.2.2

ns3.aaa.com 172800 IN A 3.3.3.3

ns4.aaa.com 172800 IN A 4.4.4.4 ns5.aaa.com 172800 IN A 5.5.5.5

如图 3所示：

( 1 ) 假设 DNS客户端第一次访问 examplel .aaa.com站点， DNS客户端向所配置的递归服务器（IP地址 10.10.10.10 ) 发出解析 examplel .aaa.com域名查询请求报文（图中的 Ql )。相当于对递归服务器说"请给我 examplel .aaa.com所对应的 IP地址"。

(2 ) 递归服务器收到请求后，先查询本地缓存。由于递归服务器之前为客户端返回过 example.aaa.com的域名解析结果，故递归服务器会根据缓存中的第一 NS记录确定此次解析的权威域名服务器；其中，上一次域名解析是 nsl权威域名服务器完成的，所以递归服务器向 IP地址为 1.1.1.1的 nsl权威域名服务器发出解析请求（图中的 Q2 );

( 3 ) nsl 权威域名服务器由于受到了攻击，处于非正常工作状态，无法为递归服务器提供服务，递归服务器在等待一段时间后不会收到 nsl反馈的解析结果（图中 Al )。所以递归服务器会根据第一 NS记录重新确定一个权威域名服务器，若再次选择的权威域名服务器依然处于非正常工作状态，则递归服务器会再次选取，直至选取到可提供解析服务的权威域名服务器；

(4 )假设递归服务器选取了 ns2，则向 IP地址为 2.2.2.2的 ns2发送域名查询请求消息（图中的 Q3 );

( 5 ) ns2 处于正常工作状态，对域名查询请求消息中的 examplel .aaa.com 进行域名解析，得到对应的 IP地址，假设 examplel .aaa.com所对应的 IP地址为 9.9.9.9，则 ns2将 examplel .aaa.com所对应的 IP地址为 9.9.9.9发送给递归服务器并将自己本身存储的上述第二 NS记录以及第二 NS记录对应的 A记录发送给递归服务器（图中的 A2)。

(6 ) 递归服务器在接收到权威域名服务器 ns2返回的第二 NS记录后，判断第二 NS记录是否与第一 NS记录相同，若发现第二 NS记录与第一 NS记录不相同，则用第二 NS记录替换第一 NS记录。此时，第一 NS记录，如下：

aaa.com. 172800 IN NS nsl .aaa.com

aaa.com. 172800 IN NS ns2.aaa.com

aaa.com. 172800 IN NS ns3.aaa.com

aaa.com. 172800 IN NS ns4.aaa.com

aaa.com. 172800 IN NS ns5.aaa.com

而第二 NS记录如下：

aaa.com. 172800 IN NS ns2.aaa.com

aaa.com. 172800 IN NS ns3.aaa.com

aaa.com. 172800 IN NS ns4.aaa.com

aaa.com. 172800 IN NS ns5.aaa.com

可以看出，第二 NS记录与第一 NS记录不相同，因此，用第二 NS记录替换第一 NS记录。当其它同类域名如 _xxx._aaa._com再次向递归服务器请求解析时，由于递归服务器、权威服务器及权威服务器的上层域名服务器中缓存的被攻击的 nsl的 NS记录已经被删除，故 xxx.aaa.com不会被引导到被攻击的 nsl上，而是由第二 NS记录中能够正常服务的 ns2、 ns3、 ns4、 ns5负责解析，及时消除了被攻击的 nsl对域名解析的影响。

(7 ) 递归服务器将接收到 ns2返回的 examplel .aaa.com所对应的 IP地址 9.9.9.9返回给所述 DNS客户端（如图中的 A4)。实施例四

基于上述实施例三的基础上，假设检测到第一 NS记录中的 IP地址为 1.1.1.1 的权威域名服务器 nsl遭受到攻击，因此，将各权威域名服务器中的第一 NS记录中 IP地址为 1丄 1.1的权威域名服务器 nsl进行删除，同时为了保证业务的正常开展，在域名解析系统中新增一台权威域名服务器 ns6，因而各权威域名服务器及权威域名服务器的上层域名服务器需要更新自身存储的 NS记录，即将第一 NS记录中删除 nsl的信息并增加 ns6的信息。

具体的，可通过写入如下代码实现增加 IP地址为 6.6.6.6的权威域名服务器 ns6。

aaa.com 600 IN NS ns6.aaa.com

ns6.aaa.com 7200 IN A 6.6.6.6

aaa.com. 172800 IN NS ns2.aaa.com

aaa.com. 172800 IN NS ns3.aaa.com

aaa.com. 172800 IN NS ns4.aaa.com

aaa.com. 172800 IN NS ns5.aaa.com

aaa.com. 7200 IN NS ns6.aaa.com

第二 NS记录对应的 A记录为:

ns6.aaa.com 7200 IN A 6.6.6.6

ns2.aaa.com 172800 IN A 2.2.2.2

ns3.aaa.com 172800 IN A 3.3.3.3

ns4.aaa.com 172800 IN A 4.4.4.4

ns5.aaa.com 172800 IN A 5.5.5.5

同样的，当其它同类域名如 xxx.aaa.com再次向递归服务器请求解析时，由于递归服务器、权威服务器及权威服务器的上层域名服务器（例如顶级域名服务器）中缓存的被攻击的 nsl 的 NS 记录已经能正常服务的 ns6 替换，故 xxx.aaa.com不会被引导到被攻击的 nsl上，而是由第二 NS记录中能够正常服务的 ns2、 ns3、 ns4、 ns5、 n6负责解析，及时消除了被攻击的 nsl对域名解析的影响。

实施例五

基于上述各个实施例，若存在新增的权威域名服务器替换非正常工作的权威域名服务器时，对 NS记录的更新会涉及两次对权威域名服务器名称的更改，如将第一 NS记录中非正常工作状态的 nsl 的信息替换为 ns6，需要将第一 NS 中的 nsl的两条记录中 nsl (见如下示例中括号内为更改后的）更改为 ns6: aaa.com. 172800 IN NS nsl (ns6) .aaa.com

nsl (ns6) .aaa.com 172800 IN A 1.1.1.1

为了减少修改量及配置量，可选的， NS的 A记录采用泛域名指向 IP地址的形式，因为泛域名的匹配范围比较大，以 *.nsl .aaa.com为例， 1. nsl . aaa.com、 2. nsl . aaa.com、 3. nsl . aaa.com等等者 β落入 *. nsl . aaa.com的匹酉己范围内。古女针对 A 记录中的每个 A信息，只要确保在 NS记录中与所述 A信息对应的权威域名服务器落入所述 A信息的匹配范围内，则在进行修改时，可以对 A记录中的权威域名服务器不进行修改。在新增第三权威域名服务器替换第二权威域名服务器时，在 NS记录中将第二权威域名服务器修改为第三权威域名服务器，在对应的 NS的 A记录中将泛域名对应的 IP地址修改为第三权威域名服务器的 IP地址。

例如，在顶级域名服务器注册的第一 NS记录，如下：

aaa.com 172800 IN NS Lnsl .aaa.com

aaa.com 172800 IN NS 1. ns2.aaa.com

aaa.com 172800 IN NS 1. ns3.aaa.com

aaa.com 172800 IN NS 1. ns4.aaa.com

aaa.com 172800 IN NS 1. ns5.aaa.com

第一 NS的 A记录，如下：

Lnsl .aaa.com 172800 IN A 1.1.1.1

1.ns2.aaa.com 172800 IN A 2.2.2.2 1.ns3.aaa.com 172800 IN A 3.3.3.3

1.ns4.aaa.com 172800 IN A 4.4.4.4

1.ns5.aaa.com 172800 IN A 5.5.5.5

而在权威域名服务器上配置的第一 NS记录，如下：

aaa.com 7200 IN NS 1 .nsl.aaa.com

aaa.com 7200 IN NS 1 .ns2.aaa.com

aaa.com 7200 IN NS 1 .ns3.aaa.com

aaa.com 7200 IN NS 1 .ns4.aaa.com

aaa.com 7200 IN NS 1 .ns5.aaa.com

第一 NS的 A记录：

*. nsl.aaa.com 7200 IN A 1.1.1.1

*. ns2.aaa.com 7200 IN A 2.2.2.2

*. ns3.aaa.com 7200 IN A 3.3.3.3

*. ns4.aaa.com 7200 IN A 4.4.4.4

*. ns5.aaa.com 7200 IN A 5.5.5.5 在权威域名服务器 nsl受到攻击的情况下，需要新增一个权威域名服务器替换 nsl，因此，需要分别修改权威域名服务器及权威域名服务器的上层域名服务器（顶级域名服务器）上配置的第一 NS记录，只需要将 "1. nsl. aaa.com"修改为 " 2. nsl. aaa.com " 或 " 3. nsl. aaa.com" 或 " 4.nsl. aaa.com"等，同时，将 "*. nsl. aaa.com 7200 IN Al.1.1.1" 中的 IP地址 " 1.1.1.1"修改为 "6.6.6.6" 即可， "2.nsl. aaa.com"、 "3. nsl. aaa.com" 、 "4.nsl. aaa.com" 都会落入泛域名 *. nsl. aaa.com的解析范围。可以看出，在本发明实施例中，将 NS记录中权威域名服务器变为原权威域名服务器的下级域名形式，在 A记录中将权威域名服务器变为原权威域名服务器的下级域名的泛域名形式，因此，能够减少修改工作量及域名配置量，从而提升权威域名服务器的工作效率，进而提升域名解析效率。

根据以上内容可以看出，本发明实施例能够利用第一权威域名服务器返回的第二 NS记录刷新第一 NS记录，其中第二 NS记录中记载着能正常服务的权威域名服务器的记录，从而不再暴露受攻击的权威域名服务器，使得域名解析请求均被引导到第二 NS记录的能正常服务的权威域名服务器来解析，减少受攻击的域名服务器对域名解析的影响，因此，能够提升域名解析的效率。此外，第二 NS记录中的 TTL值还能够刷新第一 NS记录中的 TTL值，从而使得目前顶级域管理机构强制设置的 172800的 TTL值不对 DNS解析造成长时间的影响。基于相同的技术构思，本发明实施例还提供了一种递归服务器，如图 4所示，包括：

存储器 401，用于存储程序指令；

处理器 402，还用于按照获得的程序执行：根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第二权威域名服务器，所述第二权威域名服务器是所述递归服务器中记录的已成功解析所述域名的同类域名的权威域名服务器；在未接收到所述第二权威域名服务器返回的消息时，根据所述域名对应的第一 NS记录及第一 NS的 A记录确定所述第一权威域名服务器；所述第二 NS记录中不包括所述第二权威域名服务器。

本发明实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行前述方法中本发明实施例还提供了一种权威域名服务器，如图 5所示，包括：存储器 501，用于存储程序指令；

处理器 502，用于调用所述存储器中存储的程序指令，按照获得的程序执行: 接收递归服务器发送的域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；所述第一权威域名服务器是所述递归服务器根据第一 NS记录及第一 NS的 A记录确定的；向所述递归服务器发送所述域名的 A记录、第二 NS记录及第二 NS的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器的步骤。

本发明实施例还提供了一种计算机存储介质，计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行前述实施例中的权威域名服务器所执行的方法步骤。本发明实施例还提供了一种 DNS防攻击系统，包括如执行前述实施例步骤的递归服务器及执行前述实施例步骤的权威域名服务器。本领域内的技术人员应明白，本发明的实施例可提供为方法、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、 CD-ROM, 光学存储器等）上实施的计算机程序产品的形式。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

Claims

权利要求书

1、一种 DNS防攻击方法，其特征在于，包括：

递归服务器接收域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；

所述递归服务器将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录。

2、如权利要求 1所述的方法，其特征在于，所述递归服务器根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第一权威域名服务器之前，还包括：所述递归服务器根据所述域名对应的第一 NS记录及第一 NS的 A记录确定第二权威域名服务器，所述第二权威域名服务器是所述递归服务器中记录的已成功解析所述域名的同类域名的权威域名服务器；

所述递归服务器在未接收到所述第二权威域名服务器返回的消息时，根据所述域名对应的第一 NS记录及第一 NS的 A记录确定所述第一权威域名服务器；所述第二 NS记录中不包括所述第二权威域名服务器。

3、如权利要求 1 所述的方法，其特征在于，所述递归服务器将所述第二 NS记录替换所述第一 NS记录，并缓存所述第二 NS的 A记录，包括：

4、如权利要求 1~3任一项所述的方法，其特征在于，所述第一 NS的 A记录和所述第二 NS的 A记录均采用泛域名指向 IP地址的形式；

针对所述第一 NS的 A记录和所述第二 NS的 A记录中的每个 A信息，在 NS记录中与所述 A信息对应的权威域名服务器落入所述 A信息的匹配范围内。

5、一种 DNS防攻击方法，其特征在于，包括：

第一权威域名服务器接收递归服务器发送的域名查询请求报文，所述域名查询请求报文中携带有所述递归服务器中未缓存的域名；所述第一权威域名服务器是所述递归服务器根据第一 NS记录及第一 NS的 A记录确定的；

所述第一权威域名服务器向所述递归服务器发送所述域名的 A记录、第二 NS记录及第二 NS的 A记录，所述第二 NS记录中记载着用于解析所述域名且处于正常工作状态的权威域名服务器。

6、如权利要求 5所述的方法，其特征在于，所述第二 NS记录及第二 NS 的 A记录通过以下方式得到：

所述第一权威域名服务器删除所述第一 NS记录及第一 NS的 A记录中处于非正常工作状态的域名服务器的信息；或

7、如权利要求 5所述的方法，其特征在于，所述第一权威域名服务器的上层域名服务器配置有所述第二 NS记录及所述第二 NS的 A记录。

8、一种递归服务器，其特征在于，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求 1至 4任一项所述的方法。

9、一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行权利要求 1至 4任一项所述的方法。

10、一种权威域名服务器，其特征在于，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求 5至 7任一项所述的方法。

11、一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行权利要求 5 至 7 任一项所述的方法。

12、一种 DNS防攻击系统，包括如权利要求 8所述的递归服务器及如权利要求 10所述的权威域名服务器。