一种基于域名解析系统的域名部署方法及装置与流程
本发明涉及网络安全技术领域,尤其涉及一种基于域名解析系统的域名部署方法及装置。
背景技术:
在网络安全技术领域中,为了提高域名解析的可用性,通常会为一个域名同时配置多个独有的域名解析服务器,如此,当该域名对应的某一域名解析服务器被攻击导致该域名解析服务不可用时,本地域名服务器还可以向其它备用的域名解析服务器发送解析请求,由其它备用的域名解析服务器提供解析服务。
然而,虽然上述方式能够提高域名的防攻击效果,但是当域名没有受到攻击时,该域名对应的多个域名解析服务器中存在较多的域名解析服务器处于不工作状态,从而导致域名解析的资源利用率较低,资源浪费较为严重。
综上,目前亟需一种基于域名解析系统的域名部署方法,用以解决现有技术中的域名部署方法所存在的资源利用率较低的技术问题。
技术实现要素:
本发明提供一种基于域名解析系统的域名部署方法及装置,用以解决现有技术中的域名部署方法所存在的资源利用率较低的技术问题。
第一方面,本发明提供的一种基于域名解析系统的域名部署方法,所述方法包括:
为所述域名解析系统中的任一域名部署所述域名对应的私有域名解析服务器,以及为所述域名解析系统中的两个或两个以上的域名部署共用域名解析服务器;其中,为域名部署域名解析服务器,包括:将所述域名的域名授权信息授权给所述域名解析服务器。
本发明中,通过为域名部署私有域名解析服务器和共有域名解析服务器来保证域名解析的可用性,可以无需为每个域名配置多个私有域名解析服务器,从而能够降低资源占用量,提高资源的利用效率;且,本发明不仅为每个域名部署独有的私有域名解析服务器,还为两个或两个以上的域名部署共有域名解析服务器,如此,即使某一域名在短时间内遭受到大量攻击导致该域名的共有域名解析服务器上各个域名的域名解析服务均不可用,由于部署有每个域名的私有域名解析服务器,因此其它域名还可以通过私有域名解析服务器进行域名解析服务,从而某个域名的攻击不会影响其它域名的解析效果,防攻击效果较好。
在一种可能的实现方式中,所述域名解析系统中还设置有中心管理设备和至少一个防攻击服务器;所述方法还包括:所述中心管理设备接收第一域名解析服务器上报的攻击识别信息,若根据所述攻击识别信息确定所述第一域名解析服务器被攻击,则将所述第一域名解析服务器上的域名授权信息变更给所述至少一个防攻击服务器。
在该种实现方式中,通过第一域名解析服务器自动上报攻击识别信息,并基于攻击识别信息对第一域名解析服务器进行攻击预判,能够及时识别攻击,且在预判第一域名解析服务器被攻击时,通过变更第一域名解析服务器上的域名授权信息给防攻击服务器,能够在快速隔离被攻击的第一域名解析服务器的同时,由防攻击服务器继续提供域名解析服务,从而提高域名解析服务的可用性。
在一种可能的实现方式中,所述至少一个防攻击服务器包括第一防攻击服务器和预设的共有域名解析服务器;所述中心管理设备将所述第一域名解析服务器上的域名授权信息变更给所述至少一个防攻击服务器,包括:所述中心管理设备若确定所述第一域名解析服务器为共用域名解析服务器,则将所述第一域名解析服务器上被攻击域名对应的域名授权信息变更给所述第一防攻击服务器,同时将所述第一域名解析服务器上其它域名对应的域名授权信息变更给所述预设的共用域名解析服务器。
在上述实现方式中,在共用域名解析服务器上的某一域名被攻击时,利用本地dns服务器会重试的机制,使其它域名的私有域名服务器能够继续提供解析,保证了各个域名的可用性;且,通过同时变更未被攻击域名的域名授权信息,能够保证各个域名的解析效率。
在一种可能的实现方式中,所述至少一个防攻击服务器还包括第二防攻击服务器;所述方法还包括:所述中心管理设备确定所述被攻击域名的私有域名解析服务器;所述中心管理设备将所述私有域名解析服务器上被攻击域名对应的域名授权信息变更给所述第二防攻击服务器。
在上述实现方式中,在共用域名解析服务器上的某一域名被攻击时,通过同时变更未受攻击的私有域名解析服务器上的域名授权信息,能够解决攻击者同时对该域名发起大量攻击而导致的私有域名解析服务器也被攻击的问题,保证私有域名解析服务器上域名的可用性,提高防攻击的能力。
在一种可能的实现方式中,所述至少一个防攻击服务器包括第一防攻击服务器;所述中心管理设备将所述第一域名解析服务器上的域名授权信息变更给所述至少一个防攻击服务器,包括:所述中心管理设备若确定所述第一域名解析服务器为所述被攻击域名的私有域名解析服务器,则将所述第一域名解析服务器上被攻击域名对应的域名授权信息变更给所述第一防攻击服务器。
在上述实现方式中,通过设置第一防攻击服务器来接收被攻击域名的域名授权信息,而不为每个域名设置备用的域名解析服务器,可以减少域名解析服务器的部署数量,提高资源的利用效率。
在一种可能的实现方式中,所述至少一个防攻击服务器还包括第二防攻击服务器和预设的共有域名解析服务器;所述中心管理设备还确定所述被攻击域名的共有域名解析服务器;所述中心管理设备将所述共有域名解析服务器上被攻击域名对应的域名授权信息变更给所述第二防攻击服务器,同时将所述共有域名解析服务器上其它域名对应的域名授权信息变更给所述预设的共有域名解析服务器。
在上述实现方式中,当某一域名的私有域名解析服务器被攻击时,通过同时变更该域名的共有域名解析服务器上的全部域名授权信息,能够解决攻击者同时对该域名发起大量攻击而导致的共有域名解析服务器同时被攻击的问题,提前变更已被攻击的域名所在的全部域名解析服务器上的域名解析信息,保证各个域名的可用性,提高防攻击的能力。
在一种可能的实现方式中,所述中心管理设备将所述第一域名解析服务器上的域名授权信息变更给所述至少一个防攻击服务器之后,若确定所述第一域名解析服务器上的攻击解除,则将所述防攻击服务器上的域名授权信息变更回所述第一域名解析服务器。
在上述实现方式中,通过在确定第一域名解析服务器上的攻击解除后迁回原有的域名授权信息,能够避免域名授权信息长期占用防攻击服务器,降低系统性能损耗,提高资源的利用效率。
在一种可能的实现方式中,所述攻击识别信息由所述第一域名解析服务器通过如下方式生成:获取所述第一域名解析服务器上各个域名在当前时段内的访问次数,根据所述访问次数,确定所述第一域名解析服务器上的被攻击域名,根据所述被攻击域名的标识生成所述攻击识别信息;或者,所述攻击识别信息包括所述第一域名解析服务器上的各个域名在当前时段内的访问次数,所述攻击识别信息用于所述中心管理设备确定所述第一域名解析服务器是否被攻击。
在上述实现方式中,攻击预判过程可以由第一域名解析服务器来执行,也可以由中心管理设备来执行,用户可以根据实际场景需要设置对应的执行方,从而灵活性较好;且,通过使用第一域名解析服务器执行攻击判断过程,而不使用中心管理设备进行攻击判断,能够降低中心管理设备的工作压力,并将攻击判断过程和域名变更过程进行解耦,以避免攻击判断过程对域名变更过程的正常执行产生干扰,提高域名变更的准确性和及时性。
在一种可能的实现方式中,所述第一域名解析服务器通过如下方式确定所述第一域名解析服务器上的被攻击域名:针对于所述第一域名解析服务器上的任一域名,根据所述域名在当前时段的访问次数和上一时段的访问次数确定访问次数增量,若所述访问次数增量大于第一预设阈值,则确定所述域名为被攻击域名,若所述访问次数增量小于或等于所述第一预设阈值,则确定所述域名不为被攻击域名。
在上述实现方式中,通过以域名为基本单元进行攻击判断,能够判断出第一域名解析服务器上的每个域名是否被攻击,提高攻击判断结果的准确性和全面性。
在一种可能的实现方式中,所述第一域名解析服务器通过如下方式确定所述第一域名解析服务器上的被攻击域名,包括:统计所述第一域名解析服务器上的各个域名在当前时段的访问总次数;若所述访问总次数大于第二预设阈值,则确定所述第一域名解析服务器被攻击,根据所述各个域名的访问次数确定被攻击域名;若所述访问总次数小于或等于所述第二预设阈值,则确定所述第一域名解析服务器未被攻击,所述各个域名中不存在被攻击域名。
在上述实现方式中,通过以总访问次数为单元先对第一域名解析进行攻击判断,并在确定第一域名解析服务器被攻击时再对识别被攻击的域名,能够在第一域名解析服务器未被攻击时避免识别各个域名,节省不必要的操作,降低资源损耗,提高攻击判断的效率。
第二方面,本发明提供的一种基于域名解析系统的域名部署装置,所述装置包括:
私有域名解析部署模块,用于为所述域名解析系统中的任一域名部署所述域名对应的私有域名解析服务器;
共有域名解析部署模块,用于为所述域名解析系统中的两个或两个以上的域名部署共用域名解析服务器;
其中,所述私有域名解析部署模块或所述共有域名解析部署模块通过如下方式将域名部署给域名解析服务器:将所述域名的域名授权信息授权给所述域名解析服务器。
在一种可能的实现方式中,所述域名解析系统中还设置有中心管理设备和至少一个防攻击服务器;所述中心管理设备包括:
收发模块,用于接收第一域名解析服务器上报的攻击识别信息;
域名授权变更模块,用于若根据所述攻击识别信息确定所述第一域名解析服务器被攻击,则将所述第一域名解析服务器上的域名授权信息变更给所述至少一个防攻击服务器。
在一种可能的实现方式中,所述至少一个防攻击服务器包括第一防攻击服务器和预设的共有域名解析服务器;所述域名授权变更模块具体用于:若确定所述第一域名解析服务器为共用域名解析服务器,则将所述第一域名解析服务器上被攻击域名对应的域名授权信息变更给所述第一防攻击服务器,同时将所述第一域名解析服务器上其它域名对应的域名授权信息变更给所述预设的共用域名解析服务器。
在一种可能的实现方式中,所述至少一个防攻击服务器还包括第二防攻击服务器;所述域名授权变更模块还用于:确定所述被攻击域名的私有域名解析服务器,将所述私有域名解析服务器上被攻击域名对应的域名授权信息变更给所述第二防攻击服务器。
在一种可能的实现方式中,所述至少一个防攻击服务器包括第一防攻击服务器;所述域名授权变更模块具体用于:若确定所述第一域名解析服务器为所述被攻击域名的私有域名解析服务器,则将所述第一域名解析服务器上被攻击域名对应的域名授权信息变更给所述第一防攻击服务器。
在一种可能的实现方式中,所述至少一个防攻击服务器还包括第二防攻击服务器和预设的共有域名解析服务器;所述域名授权变更模块还用于:确定所述被攻击域名的共有域名解析服务器,将所述共有域名解析服务器上被攻击域名对应的域名授权信息变更给所述第二防攻击服务器,同时将所述共有域名解析服务器上其它域名对应的域名授权信息变更给所述预设的共有域名解析服务器。
在一种可能的实现方式中,所述域名授权变更模块将所述第一域名解析服务器上的域名授权信息变更给第一防攻击服务器之后,还用于:若确定所述第一域名解析服务器上的攻击解除,则将所述防攻击服务器上的域名授权信息变更回所述第一域名解析服务器。
在一种可能的实现方式中,所述攻击识别信息由所述第一域名解析服务器生成,所述第一域名解析服务器包括:
获取模块,用于获取所述第一域名解析服务器上各个域名在当前时段内的访问次数;
确定模块,用于根据所述访问次数,确定所述第一域名解析服务器上的被攻击域名;
生成模块,用于根据所述被攻击域名的标识生成所述攻击识别信息;
或者,所述攻击识别信息包括所述第一域名解析服务器上的各个域名在当前时段内的访问次数;所述中心管理设备还包括攻击识别模块,所述攻击识别模块用于:
根据所述攻击识别信息确定所述第一域名解析服务器是否被攻击。
在一种可能的实现方式中,所述确定模块具体用于:针对于所述第一域名解析服务器上的任一域名,根据所述域名在当前时段的访问次数和上一时段的访问次数确定访问次数增量,若所述访问次数增量大于第一预设阈值,则确定所述域名为被攻击域名,若所述访问次数增量小于或等于所述第一预设阈值,则确定所述域名不为被攻击域名。
在一种可能的实现方式中,所述确定模块具体用于:统计所述第一域名解析服务器上的各个域名在当前时段的访问总次数,若所述访问总次数大于第二预设阈值,则确定所述第一域名解析服务器被攻击,根据所述各个域名的访问次数确定被攻击域名;若所述访问总次数小于或等于所述第二预设阈值,则确定所述第一域名解析服务器未被攻击,所述各个域名中不存在被攻击域名。
第三方面,本发明实施例提供的一种计算设备,包括至少一个处理器以及至少一个存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述第一方面任意所述的防攻击方法。
第四方面,本发明实施例提供的一种计算机可读存储介质,其存储有可由计算设备执行的计算机程序,当所述程序在所述计算设备上运行时,使得所述计算设备执行上述第一方面任意所述的防攻击方法。
本发明的这些实现方式或其他实现方式在以下实施例的描述中会更加简明易懂。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种域名解析系统的部署架构示意图;
图2为本发明实施例提供的一种域名解析系统的系统架构示意图;
图3为本发明实施例提供的一种防攻击方法对应的流程示意图;
图4为本发明实施例提供的一种域名解析的流程示意图;
图5为本发明实施例提供的一种防攻击方法对应的整体流程示意图;
图6为本发明实施例提供的一种防攻击方法对应的交互流程示意图;
图7为本发明实施例提供的一种基于域名解析系统的部署装置的结构示意图;
图8为本发明实施例提供的一种中心管理设备的结构示意图;
图9为本发明实施例提供的一种域名解析服务器的结构示意图;
图10为本发明实施例提供的一种计算设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种域名解析系统的部署架构示意图,如图1所示,在部署时,可以为域名解析系统中的每个域名部署对应的私有域名解析服务器,还可以为域名解析系统中的两个或两个以上的域名部署对应的共有域名解析服务器,以保证每个域名都部署有对应的私有域名解析服务器和共有域名解析服务器。其中,为域名部署域名解析服务器,具体可以是指:将该域名的域名授权信息配置给域名解析服务器。如此,针对于域名解析系统中的任一域名来说,该域名的域名授权信息可以同时被配置给该域名对应的共有域名解析服务器和该域名对应的私有域名解析服务器。
举例来说,如图1所示,域名解析服务器111为域名test1的私有域名解析服务器,域名解析服务器112为域名test2的私有域名解析服务器,域名解析服务器113为域名test3的私有域名解析服务器;域名解析服务器121为域名test1和域名test2的共有域名解析服务器,域名解析服务器122为域名test2和域名test3的共有域名解析服务器。如此,域名注册节点110可以将域名test1的域名授权信息同时配置给私有域名解析服务器111和共有域名解析服务器121,将域名test2的域名授权信息同时配置给私有域名解析服务器112、共有域名解析服务器121和共有域名解析服务器122,将域名test3的域名授权信息同时配置给私有域名解析服务器113和共有域名解析服务器122。
现有技术通常为每个域名配置多个私有域名解析服务器,以提高域名对应的防攻击能力,而本发明实施例不仅为每个域名部署有独有的私有域名解析服务器,还为两个或两个以上的域名部署共有域名解析服务器,如此,即使某一域名在短时间内遭受到大量攻击导致该域名的共有域名解析服务器上的各个域名的域名解析服务均不可用,由于部署有每个域名的私有域名解析服务器,因此其它域名还可以通过私有域名解析服务器进行域名解析服务,从而某个域名的攻击不会影响其它域名,防攻击的效果较好;且,本申请通过为域名部署私有域名解析服务器和共有域名解析服务器来保证域名解析的可用性,而无需为每个域名服务器配置多个私有域名解析服务器,因此相比于现有技术来说,本申请在保证防攻击效果的同时,还可以降低资源占用量,提高资源的利用效率。
需要说明的是,图1仅是一种示例性的说明,并不构成对本方案的限定,具体实施中,每个域名也可以同时部署有多个私有域名解析服务器,且各个域名也可以同时部署有多个共有域名解析服务器,具体不作限定。
基于图1所示意的部署架构,图2为本发明实施例提供的一种域名解析系统的系统架构示意图,如图2所示,该系统中还可以设置有中心管理设备200和至少一个防攻击服务器,比如防攻击服务器131。其中,中心管理设备200可以与任一域名解析服务器连接,还可以与防攻击服务器连接,比如可以通过有线方式连接,也可以通过无线方式连接,具体不作限定。
本发明实施例中,防攻击服务器可以为私有域名解析服务器,但未配置对应的域名,后续能够根据域名注册节点110的指令配置一个域名对应的域名授权信息;或者,防攻击服务器也可以为预设的共有域名解析服务器,也未配置对应的各个域名,后续能够根据域名注册节点110的指令同时配置多个域名对应的域名授权信息,具体不作限定。
作为一种示例,各个域名解析服务器和防攻击服务器还可以与客户端300连接,当客户端300存在域名解析需求时,客户端300可以向对应的域名解析服务器发送域名解析请求,并在域名解析请求中携带待解析的域名。相应地,域名解析服务器接收到域名解析请求后,可以查询内部存储的域名与国际互联协议(internetprotocol,ip)地址的对应关系,得到待解析的域名对应的ip地址,并发送给客户端300,以便于客户端300使用该ip地址访问对应的服务器。
需要说明的是,图2所示的中心管理设备200和防攻击服务器仅为一种示例性的说明,并不构成对本方案的限定;具体实施中,中心管理设备200可以为单一的中心管理服务器,也可以为按照集群部署的多个中心管理服务器,还可以为中心管理服务器中的进程,相应地,防攻击服务器可以为防攻击服务器单机形式存在,也可以以防攻击服务器集群的形式存在,具体不作限定。
基于图2所示意的系统架构,图3为本发明实施例提供的一种防攻击方法对应的流程示意图,该方法适用于中心管理设备200,该方法包括:
步骤301,接收第一域名解析服务器上报的攻击识别信息。
此处,第一域名解析服务器可以为中心管理设备200连接的任一域名解析服务器,比如可以为私有域名解析服务器111、私有域名解析服务器112或私有域名解析服务器113,也可以为共有域名解析服务器121或共有域名解析服务器122,具体不作限定。
具体实施中,攻击识别信息可以存在如下两种可能:
可能一:攻击识别信息用于指示第一域名解析服务器是否被攻击。
本发明实施例中,第一域名解析服务器中可以部署有攻击识别组件,攻击识别组件嵌套在第一域名解析服务器中,能够实时探测第一域名解析服务器上的域名解析情况;且,攻击识别组件还可以使用设定攻击规则对域名解析情况进行分析,以确定第一域名解析服务器是否被攻击。若确定第一域名解析服务器被攻击,则可以生成攻击识别信息并上报给中心管理设备200,其中,攻击识别信息中携带有被攻击域名的标识,若确定第一域名解析服务器未被攻击,则可以不作处理。
在一个示例中,设定攻击规则包括单域名的请求增量小于或等于第一预设阈值。具体实施中,针对于任一域名,攻击识别组件可以先统计第一域名解析服务器在当前时段内接收到的对该域名进行解析的访问请求的数量,然后再根据该数量与上一时段的数量计算得到该域名的请求增量,若请求增量大于第一预设阈值,则可以确定第一域名解析服务器中的该域名已被攻击,若请求增量小于或等于第一预设阈值,则可以确定第一域名解析服务器中的该域名未被攻击。
在该示例中,通过以域名为基本单元进行攻击判断,能够判断出第一域名解析服务器上的每个域名是否被攻击,提高攻击判断结果的准确性和全面性。
在另一个示例中,设定攻击规则还包括各域名的请求总数量小于或等于第二预设阈值,具体实施中,攻击识别组件可以先统计第一域名解析服务器在当前时段内接收到的对各个域名进行解析的访问请求的请求总数量,然后比较请求总数量与第二预设阈值,若请求总数量大于第二预设阈值,则可以确定第一域名解析服务器已被攻击,如此,可以再基于各个域名的访问请求数量对各个域名进行攻击识别操作;若请求总数量小于或等于第二预设阈值,则可以确定第一域名解析服务器未被攻击,因此可以不对各个域名进行攻击识别操作。
在该示例中,通过以总访问次数为单元先对第一域名解析进行攻击判断,并在确定第一域名解析服务器被攻击时再对识别被攻击的域名,能够在第一域名解析服务器未被攻击时避免识别各个域名,节省不必要的操作,降低资源损耗,提高攻击判断的效率。
在又一个示例中,设定攻击规则还包括单域名的请求数量小于或等于第三预设阈值,具体实施中,针对于任一域名,攻击识别组件可以先统计第一域名解析服务器在当前时段内接收到的对该域名进行解析的访问请求的请求数量,然后比较请求数量与第三预设阈值,若请求数量大于第三预设阈值,则可以确定第一域名解析服务器中的该域名已被攻击,若请求数量小于或等于第三预设阈值,则可以确定第一域名解析服务器中的该域名未被攻击。
在上述示例中,各个预设阈值(即第一预设阈值、第二预设阈值和第三预设阈值)可以由本领域技术人员根据经验进行设置,也可以由用户根据实际业务需要进行设置,具体不作限定。
可选地,各个预设阈值可以基于第一域名解析服务器的服务能力进行设置,比如可以设置为第一域名解析服务器的服务能力的上限值,也可以设置为略小于第一域名解析服务器的服务能力的上限值,以提高防误报的能力,提高攻击判断的准确性。以第二预设阈值为例,由于第一域名解析服务器的服务能力可以基于第一域名解析服务器在历史时段内接收到的请求总数量来确定,因此第二预设阈值可以设置为略小于历史时段内接收到的最大请求总数量。
需要说明的是,本发明实施例中,设定攻击规则可以包括上述任意一种或任意多种;且,攻击识别组件还可以支持用户根据实际业务需求修改已有的规则,或者自定义新的规则,以不断更新设定攻击规则,提高攻击检测的准确性。
具体实施中,若确定第一域名解析服务器被攻击,则第一域名解析服务器还可以从部署的各个域名中确定出被攻击域名,然后根据被攻击域名生成攻击识别信息。其中,攻击识别信息中可以携带有第一域名解析服务器的标识和被攻击域名的标识。通过在攻击识别信息中携带被攻击域名的标识,能够便于中心管理设备确定出第一域名解析服务器中的被攻击域名,提高对各个域名的域名授权信息进行分配的准确性和灵活性。
作为一个示例,攻击识别信息中除了携带有被攻击域名的标识之外,还可以携带有请求总数量和/或被攻击域名的请求增量。如此,当中心管理设备200接收到攻击识别信息后,还可以先根据请求总数量和/或被攻击域名的请求增量对被攻击域名进行二次攻击判断,以避免在第一域名解析服务器判断失误的情况下对未受攻击的域名进行隔离,提高防攻击的准确性。
在该种可能方式中,通过使用域名解析服务器执行攻击判断过程,而不使用中心管理设备进行攻击判断,能够降低中心管理设备的工作压力,将攻击判断过程和域名变更过程进行解耦,以避免攻击判断过程对域名变更过程的正常执行产生干扰,提高域名变更的准确性和及时性。
可能二:攻击识别信息用于指示第一域名解析服务器在当前时段内对各个域名的解析情况。
本发明实施例中,第一域名解析服务器上报的攻击识别信息中可以包括第一域名解析服务器在当前时段内接收到的对每个域名进行解析的访问请求的请求数量,其中,第一域名解析服务器可以仅负责对一个域名进行解析,也可以同时负责对多个(即两个或两个以上)域名进行解析。比如,当前时段的时长为10分钟时,由于域名解析服务器121负责对域名test1和域名test2进行解析,因此域名解析服务器121上报的攻击识别信息中可以包括域名解析服务器121在这10分钟的时段内接收到的对域名test1进行解析的访问请求的请求数量和域名解析服务器121在这10分钟的时段内接收到的对域名test2进行解析的访问请求的请求数量。
具体实施中,攻击识别信息可以由第一域名解析服务器按照固定周期或实时上报给中心管理设备200,也可以先由中心管理设备200向第一域名解析服务器发送获取请求,再由第一域名解析服务器接收到获取请求后上报攻击识别信息,不作限定。
在该种可能方式中,通过使用中心管理设备执行攻击判断过程,能够统一对各个域名解析服务器进行攻击判断,避免域名解析服务器的造假行为,提高攻击判断的准确性。
步骤302,根据所述攻击识别信息,确定所述第一域名解析服务器是否被攻击。
具体实施中,若采用上述可能方式一执行攻击判断,则中心管理设备200接收到攻击识别信息后,可以直接根据攻击识别信息中被攻击的域名解析服务器的标识和被攻击域名的标识确定被攻击的域名解析服务器和被攻击域名。相应地,若采用上述可能方式二执行攻击判断,则中心管理设备200接收到攻击识别信息后,可以先使用设定攻击规则对攻击识别信息进行分析,以确定第一域名解析服务器是否已被攻击,并在确定第一域名解析服务器被攻击后,从第一域名解析服务器部署的各个域名中确定出被攻击域名。
步骤303,若确定所述第一域名解析服务器被攻击,则将所述第一域名解析服务器上的域名授权信息变更给防攻击服务器。
本申请实施例中,域名注册节点110由互联网名称与数字地址分配机构(theinternetcorporationforassignednamesandnumbers,icann)或国家代码顶级域名(countrycodetop-leveldomains,cctld)域名注册局进行设置,能够在指定的域名注册数据库中管理各个域名,还可以管理各个域名的域名授权信息,比如获取域名解析服务器上某一域名的域名授权信息,或者将某一域名授权信息配置给域名解析服务器,或者将某一域名授权信息从域名解析服务器上解除,等等。
具体实施中,中心管理设备200若确定第一域名解析服务器被攻击,则可以向域名注册节点110发送域名变更请求,并在域名变更请求中携带第一域名解析服务器的标识和防攻击服务器的标识,域名变更请求用于指示域名注册节点110对第一域名解析服务器上的域名授权信息进行变更。如此,当域名注册节点110接收到域名变更请求后,可以通过修改域名配置信息将第一域名解析服务器上的域名授权信息变更给防攻击服务器,比如可以先获取第一域名解析服务器上的域名授权信息,再将该域名授权信息配置给防攻击服务器,最后将该域名授权信息从第一域名解析服务器上解除,从而实现对域名授权信息的变更。
举例来说,若域名注册节点110中存储的原域名配置信息为:
test1.comnsns1.test1.com
ns1.test1.cominaips1
tosec.orgnsns1.tosec.org
ns1.tosec.orginaipsv1
则根据原域名配置信息可知,域名test1的域名授权信息依次经由根域名服务器.com、顶级域名服务器test1.com和一级域名服务器ns1.test1.com被授权给第一域名解析服务器ips1,且原域名配置信息中还配置有防攻击服务器ipsv1,防攻击服务器ipsv1依次经由根域名服务器.org、顶级域名服务器tosec.org和一级域名服务器ns1.tosec.org寻迹得到。
具体实施中,第一域名解析服务器ips1若检测到当前时段内域名test1的访问请求的请求增量超过第一预设阈值,则可以确定域名test1被攻击,因此,第一域名解析服务器ips1可以向中心管理设备200上报攻击识别信息,并在攻击识别信息中携带第一域名解析服务器ips1的标识和被攻击域名test1的标识。相应地,中心管理设备200接收到第一域名解析服务器ips1发送的攻击识别信息后,确定第一域名解析服务器ips1上的域名test1被攻击,因此可以通过调度域名注册节点110对原域名配置信息进行修改,以将域名test1的域名授权信息变更给防攻击服务器ipsv1。
其中,修改的方式可以为将域名test1对应的原一级域名服务器ns1.test1.com调度为防攻击服务器ipsv1对应的一级域名服务器ns1.tosec.org,如此,修改后的域名配置信息可以为:
test1.comnsns1.tosec.org
ns1.test1.cominaips1
tosec.orgnsns1.tosec.org
ns1.tosec.orginaipsv1
根据修改后的域名配置信息可知,存储域名test1的域名授权信息的原域名解析服务器ips1被隔离,且域名test1的域名授权信息经由顶级域名服务器tosec.org和一级域名服务器ns1.tosec.org被授权给防攻击服务器ipsv1。如此,通过在预先判断出域名解析服务器ips1被攻击时将域名解析服务器ips1上的域名授权信息变更给防攻击服务器ipsv1,使得防攻击服务器ipsv1能够继续提供对域名test1的域名解析服务器,从而域名解析服务的可用性较好,防攻击能力较强。
本发明实施例中,第一域名解析服务器可以为私有域名解析服务器,也可以为共有域名解析服务器,若第一域名解析服务器为共用域名解析服务器,则中兴管理设备200除了可以将第一域名解析服务器上被攻击域名对应的域名授权信息变更给第一防攻击服务器之外,还可以将第一域名解析服务器上其它域名对应的域名授权信息变更给预设的共用域名解析服务器。如此,在共用域名解析服务器上的某一域名被攻击时,利用本地dns服务器会重试的机制,使其它域名的私有域名服务器能够正常提供解析,保证了各个域名的可用性;且,通过同时变更未被攻击的域名的域名授权信息,能够保证各个域名的解析效率。
示例性地,中心管理设备200还可以再确定被攻击域名的私有域名解析服务器,并将私有域名解析服务器上被攻击域名对应的域名授权信息变更给第二防攻击服务器。如此,在共用域名解析服务器上的某一域名被攻击时,通过同时变更未受攻击的私有域名解析服务器上的域名授权信息,能够解决攻击者同时对该域名发起大量攻击而导致的私有域名解析服务器也被攻击的问题,保证私有域名解析服务器上域名的可用性,提高防攻击的能力。
或者,若确定第一域名解析服务器为被攻击域名的私有域名解析服务器,则中心管理设备200可以将第一域名解析服务器上被攻击域名对应的域名授权信息变更给第一防攻击服务器。如此,通过设置第一防攻击服务器来接收被攻击域名的域名授权信息,而不为每个域名设置备用的域名解析服务器,可以减少域名解析服务器的部署数量,提高资源的利用效率。
示例性地,中心管理设备200还可以再确定被攻击域名的共有域名解析服务器,并将共有域名解析服务器上被攻击域名对应的域名授权信息变更给第二防攻击服务器,以及将共有域名解析服务器上其它域名对应的域名授权信息变更给预设的共有域名解析服务器。如此,当某一域名的私有域名解析服务器被攻击时,通过同时变更该域名的共有域名解析服务器上的全部域名授权信息,能够解决攻击者同时对该域名发起大量攻击而导致的共有域名解析服务器同时被攻击的问题,提前变更已被攻击的域名所在的全部域名解析服务器上的域名解析信息,保证各个域名的可用性,提高防攻击的能力。
基于上述内容,图4为本发明实施例提供的一种防攻击方法的对应的整体流程示意图,该方法适用于中心管理设备200,该方法包括:
步骤401,接收第一域名解析服务器上报的攻击识别信息。
步骤402,根据攻击识别信息确定第一域名解析服务器是否被攻击,若是,则执行步骤403,若否,则周期性执行步骤401。
步骤403,判断第一域名解析服务器是否为被攻击域名的私有域名解析服务器,若是,则执行步骤404,若否,则执行步骤407。
步骤404,将第一域名解析服务器上被攻击域名对应的域名授权信息变更给第一防攻击服务器。
步骤405,确定被攻击域名的共有域名解析服务器。
步骤406,将共有域名解析服务器上被攻击域名对应的域名授权信息变更给第二防攻击服务器,同时将共有域名解析服务器上其它域名对应的域名授权信息变更给预设的共用域名解析服务器。
步骤407,确定第一域名解析服务器是否为被攻击域名的共有域名解析服务器,若是,则执行步骤408,若否,则执行步骤411。
步骤408,将第一域名解析服务器上被攻击域名对应的域名授权信息变更给第一防攻击服务器,同时将第一域名解析服务器上其它域名对应的域名授权信息变更给预设的共有域名解析服务器。
步骤409,确定被攻击域名的私有域名解析服务器。
步骤410,将私有域名解析服务器上被攻击域名对应的域名授权信息变更给第二防攻击服务器。
步骤411,出现系统错误,进行告警。
为了便于理解,下面列举一个具体的示例,在该示例中,域名注册节点110中存储的原域名配置信息为:
test1.comnsns1.test1.com
ns1.test1.cominaips1
test1.comnsdns5.tosec.org
test2.comnsns1.test2.com
ns1.test2.cominaips2
test2.comnsdns5.tosec.org
……
testn.comnsns1.testn.com
ns1.testn.cominaipsn
testn.comnsdns5.tosec.org
tosec.orgnsns1.tosec.org
tosec.orgnsns2.tosec.org
ns1.tosec.orginaipsv1
ns2.tosec.orginaipsv2
dns5.tosec.orgnsdns5.tosec1.org
dns5.tosec1.orginaipsc1
dns5.tosec2.orginaipsc2
则根据原域名配置信息可知,针对于任一域名(比如域名test1),域名test1的域名授权信息依次经由根域名服务器.com、顶级域名服务器test1.com和一级域名服务器ns1.test1.com被授权给私有域名解析服务器ips1和共有域名服务器dns5.tosec.org,且经由共有域名服务器dns5.tosec.org和域名服务器dns5.tosec1.org被授权给共用域名解析服务器ipsc1。且,原域名配置信息中还配置有防攻击服务器ipsv1、防攻击服务器ipsv2和预设的共用域名解析服务器ipsc2,防攻击服务器ipsv1依次经由根域名服务器.org、顶级域名服务器tosec.org和一级域名服务器ns1.tosec.org寻迹得到,防攻击服务器ipsv2依次经由根域名服务器.org、顶级域名服务器tosec.org和一级域名服务器ns2.tosec.org寻迹得到。
具体实施中,中心管理设备200接收到第一域名解析服务器发送的攻击识别信息后,可以先确定第一域名解析服务器为被攻击域名的私有域名解析服务器还是共有域名解析服务器,再通过调度域名注册节点110对原域名配置信息进行修改,执行对应的变更操作。比如,当被攻击域名为test1时,若第一域名解析服务器为ips1,第一域名解析服务器ips1为被攻击域名test1的私有域名解析服务器,因此中心管理设备200可以直接将第一域名解析服务器ips1上被攻击域名test1对应的域名授权信息变更给第一防攻击服务器ipsv1,或者还可以将被攻击域名test1的共有域名解析服务器ipsc1上被攻击域名test1对应的域名授权信息变更给第二防攻击服务器ipsv2,同时将共有域名解析服务器ipsc1上其它域名test1对应的域名授权信息变更给预设的共有域名解析服务器ipsc2。
相应地,若第一域名解析服务器为ipsc1,第一域名解析服务器ipsc1为被攻击域名test1的共有域名解析服务器,因此中心管理设备200可以将第一域名解析服务器ipsc1上被攻击域名test1对应的域名授权信息变更给第一防攻击服务器ipsv1,同时将共有域名解析服务器ipsc1上其它域名test1对应的域名授权信息变更给预设的共有域名解析服务器ipsc2,或者还可以将被攻击域名test1的私有域名解析服务器ips1上被攻击域名test1对应的域名授权信息变更给第二防攻击服务器ipsv2。
以第一域名解析服务器为ipsc1为例,可以通过调度域名注册节点110对原域名配置信息进行修改,修改的方式可以为将域名test1对应的原一级域名服务器ns1.test1.com调度为防攻击服务器ipsv1对应的一级域名服务器ns1.tosec.org,同时将域名test1对应的共有域名服务器dns5.tosec.org调度为防攻击服务器ipsv2对应的一级域名服务器ns2.tosec.org,或者还可以将其它域名对应的共有域名服务器dns5.tosec1.org调度为预设的共用域名解析服务器ipsc2对应的一级域名服务器dns5.tosec2.org。
如此,修改后的域名配置信息可以为:
test1.comnsns1.tosec.org
test1.comnsns2.tosec.org
ns1.test1.cominaips1
test1.comnsdns5.tosec.org
test2.comnsns1.test2.com
ns1.test2.cominaips2
test2.comnsdns5.tosec.org
……
testn.comnsns1.testn.com
ns1.testn.cominaipsn
testn.comnsdns5.tosec.org
tosec.orgnsns1.tosec.org
tosec.orgnsns2.tosec.org
ns1.tosec.orginaipsv1
ns2.tosec.orginaipsv2
dns5.tosec.orgnsdns5.tosec2.org
dns5.tosec1.orginaipsc1
dns5.tosec2.orginaipsc2
根据修改后的域名配置信息可知,存储域名test1的域名授权信息的原私有域名解析服务器ips1被隔离,且原私有域名解析服务器ips1上域名test1的域名授权信息经由顶级域名服务器test1.com和一级域名服务器ns1.tosec.org被授权给防攻击服务器ipsv1;相应地,存储域名test1的域名授权信息的原共有域名解析服务器ipsc1被隔离,且原共有域名解析服务器ipsc1上域名test1的域名授权信息经由顶级域名服务器test2.com-testn.com和一级域名服务器dns5.tosec.org、二级域名服务器dns5.tosec2.org被授权给预设的共有域名解析服务器ipsc2,原共有域名解析服务器ipsc1上其它域名test2-testn的域名授权信息经由顶级域名服务器test1.com和一级域名服务器ns2.tosec.org被授权给防攻击服务器ipsv2。
如此,通过在预先判断出共有域名解析服务器ipsc1被攻击时对共有域名解析服务器ipsc1和私有域名解析服务器ips1上的全部域名授权信息进行变更,使得域名解析系统能够继续对各个域名提供较好的域名解析服务,且域名解析服务的可用空间足够,防攻击能力较强。
基于修改后的配置信息,图5为本发明实施例提供的一种域名解析的流程示意图,如图5所示,该流程包括:
步骤501,客户端300向本地域名服务器发送域名解析请求,域名解析请求中携带有域名test1的标识。
步骤502,本地域名服务器接收到域名解析请求后,查询本地缓存,若本地缓存中存在域名test1对应的域名解析系统(domainnamesystem,dns)记录,则直接向客户端300返回查询结果,并在查询结果中携带域名test1对应的dns记录;若本地缓存中不存在域名test1对应的dns记录,则向根域名服务器发送域名解析请求。
如图5所示,在该示例中,本地缓存中不存在域名test1对应的dns记录,因此本地域名服务器可以向根域名服务器.com发送域名解析请求,域名解析请求中携带有域名test1的标识。
步骤503,根域名服务器.com中记录有域名test1对应的各个顶级域名服务器的地址,因此,根域名服务器.com在接收到域名解析请求后,会向本地域名服务器返回域名test1对应的顶级域名服务器test1.com的ip地址。
步骤504,本地域名服务器接收到顶级域名服务器test1.com的ip地址后,通过该ip地址向顶级域名服务器test1.com发送域名解析请求,域名解析请求中携带有域名test1的标识。
步骤505,顶级域名服务器test1.com接收到域名解析请求后,先查询其本地缓存,若本地缓存中存在域名test1对应的dns记录,则向本地域名服务器返回查询结果,以经由本地域名服务器返回给客户端300,查询结果中携带有域名test1对应的dns记录;相应地,若本地缓存中不存在域名test1对应的dns记录,则向本地域名服务器返回下一级域名服务器的ip地址。
如图5所示,在该示例中,顶级域名服务器test1.com的本地缓存中不存在域名test1对应的dns记录,因此顶级域名服务器test1.com向本地域名服务器发送下一级域名服务器ns1.tosec.org的ip地址。
步骤506,本地域名服务器接收到下一级域名服务器ns1.tosec.org的ip地址后,通过该ip地址向下一级域名服务器ns1.tosec.org发送域名解析请求,域名解析请求中携带有域名test1的标识。
步骤507,下一级域名服务器ns1.tosec.org接收到域名解析请求后,先查询其本地缓存,若本地缓存中存在域名test1对应的dns记录,则向本地域名服务器返回查询结果,以经由本地域名服务器返回给客户端300,查询结果中携带有域名test1对应的dns记录;相应地,若本地缓存中不存在域名test1对应的dns记录,则向本地域名服务器返回下一级域名服务器的ip地址。
如图5所示,在该示例中,下一级域名服务器ns1.tosec.org的本地缓存中不存在域名test1对应的dns记录,因此下一级域名服务器ns1.tosec.org向本地域名服务器发送防攻击服务器ipsv1的ip地址。
步骤508,本地域名服务器接收到防攻击服务器ipsv1的ip地址后,通过该ip地址向ipsv1发送域名解析请求,域名解析请求中携带有域名test1的标识。
步骤509,防攻击服务器ipsv1中存储有域名test1对应的dns记录(即域名test1的域名授权信息),当接收到本地域名服务器发送的域名解析请求后,由于本地缓存中存储有域名test1对应的dns记录,因此防攻击服务器ipsv1可以查询域名test1对应的dns记录确定出域名test1对应的各个服务器,然后选取距离最近的服务器,将最近的服务器的ip地址返回给本地域名服务器。
步骤510,本地域名服务器将域名解析结果发送给客户端300,域名解析结果中携带有最近的服务器的ip地址。
且,本地域名服务器还会将域名test1对应的最近的服务器的ip地址存储在本地缓存中,以便于下次接收到访问域名test1的请求后,直接从本地缓存中获取域名test1对应的最近的服务器的ip地址。
步骤511,客户端300接收到域名解析结果后,向域名test1对应的最近的服务器的ip地址发送数据请求。
本发明实施例中,通过第一域名解析服务器自动上报攻击识别信息,并基于攻击识别信息对第一域名解析服务器进行攻击预判,能够及时识别攻击,且在预判第一域名解析服务器被攻击时,通过变更第一域名解析服务器上的域名授权信息给防攻击服务器,能够在快速隔离被攻击的第一域名解析服务器的同时,由防攻击服务器继续提供域名解析服务,从而提高域名解析服务的可用性。
图6为本发明实施例提供的一种防攻击方法对应的整体交互流程示意图,该方法包括:
步骤601,第一域名解析服务器获取当前时段内各个域名的访问数量。
步骤602,第一域名解析服务器使用预设攻击规则对各个域名的访问数量进行分析,确定第一域名解析服务器在当前时段是否被攻击,若否,则执行步骤603,若是,则执行步骤604。
步骤603,不作处理。
步骤604,第一域名解析服务器向中心管理设备发送攻击识别信息,攻击识别信息中携带有被攻击域名的标识。
步骤605,中心管理设备根据被攻击域名和第一域名解析服务器,生成变更指令;变更指令用于指示将第一域名解析服务器上被攻击域名对应的域名授权信息变更给第一防攻击服务器。
步骤606,中心管理设备向域名注册节点发送变更指令。
步骤607,域名注册节点接收变更指令后,修改域名配置信息,修改后的域名配置信息用于将第一域名解析服务器上被攻击域名对应的域名授权信息变更给第一防攻击服务器。
在一个示例中,变更指令还用于指示:若第一域名解析服务器为被攻击域名的共有域名解析服务器,则指示域名注册节点还将第一域名解析服务器上其它域名对应的域名授权信息变更给预设的共有域名解析服务器,同时将被攻击域名的私有域名解析服务器上被攻击域名对应的域名授权信息变更给第二防攻击服务器;若第一域名解析服务器为被攻击域名的私有域名解析服务器,则指示域名注册节点还将被攻击域名的共有域名解析服务器上被攻击域名对应的域名授权信息变更给第二防攻击服务器,同时将被攻击域名的共有域名解析服务器上其它域名对应的域名授权信息变更给预设的共有域名解析服务器。
本发明的上述实施例中,中心管理设备接收第一域名解析服务器上报的攻击识别信息,根据所述攻击识别信息,确定所述第一域名解析服务器是否被攻击,若确定所述第一域名解析服务器被攻击,则将所述第一域名解析服务器上的域名授权信息变更给防攻击服务器。本发明实施例中,通过第一域名解析服务器自动上报攻击识别信息,并基于攻击识别信息对第一域名解析服务器进行攻击预判,能够及时识别攻击,且在预判第一域名解析服务器被攻击时,通过变更第一域名解析服务器上的域名授权信息给防攻击服务器,能够在快速隔离被攻击的第一域名解析服务器的同时,由防攻击服务器继续提供域名解析服务,从而提高域名解析服务的可用性。
针对上述方法流程,本发明实施例还提供一种防攻击装置,该装置的具体内容可以参照上述方法实施。
图7为本发明实施例提供的一种基于域名解析系统的域名部署装置的结构示意图,包括:
私有域名解析部署模块701,用于为所述域名解析系统中的任一域名部署所述域名对应的私有域名解析服务器;
共有域名解析部署模块702,用于为所述域名解析系统中的两个或两个以上的域名部署共用域名解析服务器;
其中,所述私有域名解析部署模块701或所述共有域名解析部署模块702通过如下方式将域名部署给域名解析服务器:将所述域名的域名授权信息授权给所述域名解析服务器。
在一种可能的实现方式中,所述域名解析系统中还设置有中心管理设备和至少一个防攻击服务器;图8为本发明实施例提供的一种中心管理设备的结构示意图,所述中心管理设备包括:
收发模块801,用于接收第一域名解析服务器上报的攻击识别信息;
域名授权变更模块802,用于若根据所述攻击识别信息确定所述第一域名解析服务器被攻击,则将所述第一域名解析服务器上的域名授权信息变更给所述至少一个防攻击服务器。
在一种可能的实现方式中,所述至少一个防攻击服务器包括第一防攻击服务器和预设的共有域名解析服务器;
所述域名授权变更模块802具体用于:
若确定所述第一域名解析服务器为共用域名解析服务器,则将所述第一域名解析服务器上被攻击域名对应的域名授权信息变更给所述第一防攻击服务器,同时将所述第一域名解析服务器上其它域名对应的域名授权信息变更给所述预设的共用域名解析服务器。
在一种可能的实现方式中,所述至少一个防攻击服务器还包括第二防攻击服务器;
所述域名授权变更模块802还用于:
确定所述被攻击域名的私有域名解析服务器,将所述私有域名解析服务器上被攻击域名对应的域名授权信息变更给所述第二防攻击服务器。
在一种可能的实现方式中,所述至少一个防攻击服务器包括第一防攻击服务器;
所述域名授权变更模块802具体用于:
若确定所述第一域名解析服务器为所述被攻击域名的私有域名解析服务器,则将所述第一域名解析服务器上被攻击域名对应的域名授权信息变更给所述第一防攻击服务器。
在一种可能的实现方式中,所述至少一个防攻击服务器还包括第二防攻击服务器和预设的共有域名解析服务器;
所述域名授权变更模块802还用于:
确定所述被攻击域名的共有域名解析服务器,将所述共有域名解析服务器上被攻击域名对应的域名授权信息变更给所述第二防攻击服务器,同时将所述共有域名解析服务器上其它域名对应的域名授权信息变更给所述预设的共有域名解析服务器。
在一种可能的实现方式中,所述域名授权变更模块802将所述第一域名解析服务器上的域名授权信息变更给第一防攻击服务器之后,还用于:
若确定所述第一域名解析服务器上的攻击解除,则将所述防攻击服务器上的域名授权信息变更回所述第一域名解析服务器。
在一种可能的实现方式中,所述攻击识别信息由所述第一域名解析服务器生成,图9为本发明实施例提供的一种中心管理设备的结构示意图,所述第一域名解析服务器包括:
获取模块901,用于获取所述第一域名解析服务器上各个域名在当前时段内的访问次数;
确定模块902,用于根据所述访问次数,确定所述第一域名解析服务器上的被攻击域名;
生成模块903,用于根据所述被攻击域名的标识生成所述攻击识别信息;
或者,所述攻击识别信息包括所述第一域名解析服务器上的各个域名在当前时段内的访问次数;
所述中心管理设备还包括攻击识别模块803,所述攻击识别模块803用于:
根据所述攻击识别信息确定所述第一域名解析服务器是否被攻击。
在一种可能的实现方式中,所述确定模块902具体用于:
针对于所述第一域名解析服务器上的任一域名,根据所述域名在当前时段的访问次数和上一时段的访问次数确定访问次数增量,若所述访问次数增量大于第一预设阈值,则确定所述域名为被攻击域名,若所述访问次数增量小于或等于所述第一预设阈值,则确定所述域名不为被攻击域名。
在一种可能的实现方式中,所述确定模块902具体用于:
统计所述第一域名解析服务器上的各个域名在当前时段的访问总次数,若所述访问总次数大于第二预设阈值,则确定所述第一域名解析服务器被攻击,根据所述各个域名的访问次数确定被攻击域名;若所述访问总次数小于或等于所述第二预设阈值,则确定所述第一域名解析服务器未被攻击,所述各个域名中不存在被攻击域名。
从上述内容可以看出:本发明的上述实施例中,为所述域名解析系统中的任一域名部署所述域名对应的私有域名解析服务器,以及为所述域名解析系统中的两个或两个以上的域名部署共用域名解析服务器;其中,为域名部署域名解析服务器,包括:将所述域名的域名授权信息授权给所述域名解析服务器。本发明中,通过为域名部署私有域名解析服务器和共有域名解析服务器来保证域名解析的可用性,可以无需为每个域名配置多个私有域名解析服务器,从而能够降低资源占用量,提高资源的利用效率;且,本发明不仅为每个域名部署独有的私有域名解析服务器,还为两个或两个以上的域名部署共有域名解析服务器,如此,即使某一域名在短时间内遭受到大量攻击导致该域名的共有域名解析服务器上各个域名的域名解析服务均不可用,由于部署有每个域名的私有域名解析服务器,因此其它域名还可以通过私有域名解析服务器进行域名解析服务,从而某个域名的攻击不会影响其它域名的解析效果,防攻击效果较好。
基于同一发明构思,本发明实施例还提供了一种计算设备,如图10所示,包括至少一个处理器1001,以及与至少一个处理器连接的存储器1002,本发明实施例中不限定处理器1001与存储器1002之间的具体连接介质,图10中处理器1001和存储器1002之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本发明实施例中,存储器1002存储有可被至少一个处理器1001执行的指令,至少一个处理器1001通过执行存储器1002存储的指令,可以执行前述的基于域名解析系统的部署方法中所包括的步骤。
其中,处理器1001是计算设备的控制中心,可以利用各种接口和线路连接计算设备的各个部分,通过运行或执行存储在存储器1002内的指令以及调用存储在存储器1002内的数据,从而实现数据处理。可选的,处理器1001可包括一个或多个处理单元,处理器1001可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理下发指令。可以理解的是,上述调制解调处理器也可以不集成到处理器1001中。在一些实施例中,处理器1001和存储器1002可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器1001可以是通用处理器,例如中央处理器(cpu)、数字信号处理器、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合基于域名解析系统的部署实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器1002作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1002可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(randomaccessmemory,ram)、静态随机访问存储器(staticrandomaccessmemory,sram)、可编程只读存储器(programmablereadonlymemory,prom)、只读存储器(readonlymemory,rom)、带电可擦除可编程只读存储器(electricallyerasableprogrammableread-onlymemory,eeprom)、磁性存储器、磁盘、光盘等等。存储器1002是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本发明实施例中的存储器1002还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基于同一发明构思,本发明实施例还提供了一种计算机可读存储介质,其存储有可由计算设备执行的计算机程序,当所述程序在所述计算设备上运行时,使得所述计算设备执行上述任意所述的防攻击方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!