[实用新型]一种提高域名系统安全和性能的系统

说明书

技术领域

本实用新型涉及网络安全技术领域，尤其涉及一种提高域名系统安全和性能的方法和系统。 

背景技术

每天都有数亿的用户访问Internet上的内容和应用，同时有海量的数据在Internet上进行传输，所有这一切，都需要域名系统(Domain Name System，DNS)所提供的服务和支持。 

对于每个用户而言，一个有意义的域名(或称为主机名)，比如www.example.com是易记易用的，也是他们访问Internet所必须的；而另一方面，对于Internet上的计算机而言，通信时实际使用的是一个IP地址，比如208.77.188.166。 

在Internet上，完成从域名到IP地址转换的，就是域名系统DNS；在DNS的服务器中会维护域名到IP地址映射关系的记录，当DNS服务器收到来自客户端的域名查询请求时，DNS服务器查找相应的记录，将IP地址作为响应返回给客户端，这个过程一般也称为“域名解析”。Internet上的用户和应用无时无刻不在使用DNS所提供的服务和能力。 

然而，目前针对DNS的攻击比较普遍，常见的攻击方式有两种：一种称为分布式拒绝服务攻击(Distributed Deny of Service，DDoS)，另一种称为域名劫持。拒绝服务攻击(Deny of Service，DoS)的机制在于，产生大量的服务请求，增大服务器的工作负载，使得服务器无法响应正常用户或者应用的请求，甚至使服务器瘫痪，完全停止服务。为了进一步提高拒绝服务攻击的危害程度，攻击者常常操控分布在Internet上的多台计算机(比如购买“僵尸网络”或者“肉鸡”)同时进行攻击，这种多点攻击的方式通常称为分布式拒绝服务攻击，即DDoS。与域名系统相关的DDoS的案例之一就是在2009年发生的，对于某电信运营商DNS系统的DDoS攻击，造成了大范围的用户无法正常访问网络，产生了巨大的经济损失和恶劣的社会影响。 

域名劫持是另外一种针对DNS的攻击方式，攻击者会修改DNS服务器中的记录，使其对应到错误的IP地址。比如，攻击者将www.example.com所对应的IP地址篡改为111.222.33.44，那么当用户访问www.example.com时，会去访问111.222.33.44；从而无法访问原本在208.77.188.166提供的服务。域名劫持的案例之一就是在2010年针对某著名网 络搜索引擎发生的攻击，使全球用户在长达10多个小时内无法使用其搜索服务；产生了巨大的直接经济损失和间接经济损失。 

可以预见，无论是针对DNS系统的DDoS攻击，还是域名劫持，如果发生在电子商务网站，或者网上银行，以及政府、运营商等其他重要的门户网站，以及电子邮件服务器，将导致难以估计的损失，后果更加不堪设想。因此需要切实有效的方法和系统提高DNS系统的安全性。 

现有技术中，针对DDoS攻击的常用方法就是对流量进行过滤；其局限在于：如何区分哪些流量是正常合法的哪些是非法的(攻击目的)是非常困难的事情。比如，由于目前Internet上IP地址的缺乏(IPv4)，很多用户是通过网络地址转换设备(Network Address Translation，NAT)连接上网的，那么这些用户所产生的流量从外部看来，都是来自相同的源IP地址；因此无法简单地通过判断流量的源IP地址区分正常流量和不正常的流量；另一方面，分布式的服务拒绝攻击从源IP的角度看来，更接近于正常用户产生的流量，因而目前只能通过行为分析等方法进行处理，复杂度高，准确度差而对于域名劫持，除了由管理员人工介入的加强监管等措施，缺乏有效的防范技术。而且这些人工干预往往都是事后的，一般是接到大量用户投诉服务不可用时才发现并开始处理，而那时严重危害已经发生，损失已经造成并且不断增加，而恢复和补救也要花费更大的代价。 

从历史数据中可以看到，近年来，针对DNS的攻击有不断增长的趋势，现有技术缺乏有效的DNS系统安全手段。 

实用新型内容

为此，本实用新型设计了一种提高域名系统安全和性能的方法和系统，即一种域名系统，其特征在于包括：具有对外呈现一个DNS的IP地址；负载均衡器，用于将来自Internet的DNS解析请求分发到各个节点上，由各个节点分担整体的流量；一组成员构成的对等工作组，该工作组包括成员节点1，节点2，……，节点K，在组内主要进行通信协调者选举和更新DNS记录、一致性仲裁。