本发明涉及互联网技术领域,尤其是涉及一种提升dns安全及性能的方法。
背景技术:
随着社会的发展,互联网用户快速增长带动了互联网经济的蓬勃发展,移动互联网、电子商务、网络视频、品牌网络广告、网上招聘、网络游戏等在极短的时间得到快速发展并积累了众多用户,成为了人们生活中不可或缺的一部分。
dns是计算机域名系统(domainnamesystem或domainnameservice)的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应ip地址,并具有将域名转换为ip地址功能的服务器。dns按功能(角色)分为权威dns、递归dns、转发dns,其中权威dns是经过上一级授权对域名进行解析的服务器,同时它可以把解析授权转授给其他人,如com顶级服务器可以授权abc.com的权威服务器为ns.abc.com,同时ns.abc.com还可以把授权转授给ns.ddd.com,这样ns.ddd.com就成了abc.com实际上的权威服务器了。平时我们解析域名的结果都源自权威dns,公众对网站域名的访问也是通过dns解析来实现的。
dns权威服务器现状:
传统dns权威服务器,为了防止出现单点故障,一般部署使用多台,同时在使用全国用统一的dns集群。使用dns集群的好处是当其中的某一个dns权威服务器出现故障时可由集群中的其他服务器替代其工作。这在一定程度上可以降低单点故障的发生。当有dns解析请求过来时,dns权威服务器集群根据相应的集群机制对域名进行解析。
现有技术的缺点:
1.覆盖点少,对没有覆盖的区域解析效果不好。通常来说dns服务器的数量是有限的,授权dns服务器不能充分覆盖全国各个区域。这样造的后果就是没有被覆盖的区域其解析效果将大受影响。比如新疆某个地区没有被授权dns服务覆盖,当该地区的用户需要进行dns解析时,需要通过青海或者更远地区的授权dns服务器解析,这样的解析效果肯定不如通过新疆本地区的授权dns服务器解析效果好。
2.节点数量少,容易被攻击者集中攻击。受限于a记录所对应的ip地址数目的影响,权威dns服务器的数目受到一定的限制。当攻击者发起对权威dns服务的攻击时,其攻击力度及攻击范围更容易集中,比如攻击者同时攻击10台服务器与同时攻击100台服务器比较,无疑10台服务器所遭受的压力将更大。因此在目前的情况下,权威dns服务器所面临的被恶意攻破的风险将更大。
技术实现要素:
本发明的目的在于提供一种基于域名的按比例分配流量的方法,以解决上述背景技术中提出的问题和缺陷。
为实现上述目的,本发明提供如下技术方案:
一种提升dns安全及性能的方法,通过dnsview功能,根据不同的区域由不同的dns授权服务器进行解析域名,并返回相对应的ip地址,实现就近解析、负载均衡,避免集中到某一台或者某几台授权dns服务器进行解析的情况的发生。
作为上述技术方案的进一步,域名的解析过程具体为,
q1:用户通过域名解析器向本地域名服务器发出某一域名解析请求,本地域名服务器通过递归或者迭代的方式向dns系统请求域名的ip地址,并最终通过网站即dns授权服务器返回网站的ip地址;
q2:用户获取到网站的ip地址后,即实现对网站内容的访问,以实现提高用户的访问速度;
q3:对于大型网站,预先在不同的地区以及运营商部署网站内容,即架设网站的节点,这些节点用于缓存网站的内容,再通过dnsview功能提高用户的访问速度:当dns系统接收到本地域名服务器的解析请求以后,通过dnsview功能,dns系统中配有ip地址库,当有用户ip地址访问时,根据ip地址库进行匹配,首先判断访问者的ip地址属于哪个区域以及哪个运营商,再由dns授权服务器将源站在当地的ip地址返回给访问者,根据http协议的规定,由离用户最近的节点将网站内容提供给访问者,以最大限度地避免跨地区跨运营商的访问,从而提高用户的访问速度。
现有方案只是地对授权dns服务器做负载均衡处理,并没有对访问者的来源做分析和判断,这样就不能对解析请求做有效合理的分配,从而也就不能实现对有限的授权dns服务器解析资源进行充分有效地利用。而与现有技术相比,本发明提高权威服务器的覆盖范围,对全国不同地区而言,都可以就近解析出权威服务器节点,提升服务性能;因为dns权威分散,这样就有效低扩大了dns权威服务器的防范面积,从而可以有效的防御dns攻击,增加了dns权威的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为一种提升dns安全及性能的方法的步骤流程示意图。
图2为一种提升dns安全及性能的方法的实施例1的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明实施例根据cdn技术的特点,用户通过域名解析器向本地域名服务器发出abc.com域名解析请求。本地域名服务器(localdns)通过递归或者迭代的方式向dns系统请求域名的ip地址,并最终通过网站dns(授权dns)返回网站的ip地址,用户获取到网站的ip地址以后即可实现对网站内容的访问。而对于一些大型的网站,会在不同的地区以及运营商部署网站内容,这时候就可以通过dnsview提高用户的访问速度。当dns系统接收到localdns的解析请求以后,dnsview会首先判断访问者的ip地址属于哪个区域以及哪个运营商。比如,如果访问者的ip地址属于河南联通的,授权dns就将源站在河南联通的ip地址返回给访问者;如果访问者的ip地址属于北京电信的,授权dns就将源站在北京电信的ip地址返回给访问者,这样就可以最大限度地避免跨地区跨运营商的访问,从而提高用户的访问速度。
在不同的地区以及运营商部署网站内容,即架设网站的节点,这些节点用于缓存网站的内容,如新闻、图片、视频等内容。
dns系统中都配有非常强大的ip地址库,每个ip地址有其独特的属性,如属于哪个运营商,联通还是电信;来自哪个地区,如北京、上海或其他地方。这样当有用户ip地址过来访问时,就可以根据ip地址库进行匹配,从而判断ip属于哪个地区及哪个运营商。
以上所述仅为本发明的较佳实施方式作了详细说明,但是本发明并不限于上述实施方式,保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内,本发明实施例还可以在不脱离本专利宗旨的前提下做出各种变化。因此,本发明的保护范围应该以权利要求的保护范围为准。