[发明专利]域名解析的方法及装置

说明书

本发明公开一种域名解析的方法及装置，该方法包括：配置能够解析待解析域名的超文本传输协议域名解析服务器HTTPDNS的地址的地址列表；从所述地址列表中确定目标HTTPDNS的地址；向所述目标HTTPDNS的地址发起包括待解析的域名的HTTP请求，以获取到所述目标HTTPDNS返回的解析结果，本发明实施例通过确定的目标HTTPDNS进行域名解析，基于HTTP现有的安全机制，有效防止了域名劫持，提高了域名解析的安全性和效率。

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种域名解析的方法及装置。

背景技术

域名是为了方便记忆而专门建立的一套地址转换系统，要访问一台互联网上的服务器，最终还必须通过IP地址来实现，域名解析(Domain name resolution，DNS)就是将域名重新转换为IP地址的过程。一个域名对应一个IP地址，一个IP地址可以对应多个域名；所以多个域名可以同时被解析到一个IP地址。域名解析需要由专门的域名解析服务器(DNS)来完成。

域名解析通常作为一次网络连接的先导，将便于人们记忆的计算机名称解析成适合计算机处理的网络地址，几乎所有需要网络连接的应用都需要解析域名。

域名系统的本质是一个以域名为索引，存储域名对应主机信息的数据库，每个域名由字符标签(label)和点号(.)间隔组成，全体域名构成了域名空间，这个域名空间可以看作是一颗由域名标签逆向生成的树。树的根节点是长度为0的空标签。节点所代表的域名是从节点本身开始，沿路径向上并由点号分隔路径上各个标签生成的字符串。

目前，当应用过程需要将一个主机域名映射为IP地址时，就调用域名解析函数，解析函数将待转换的域名放在DNS请求中，以UDP报文方式发给本地域名服务器(Local DNS)。本地的域名服务器查到域名后，将对应的IP地址放在应答报文中返回。同时域名服务器还必须具有连向其他服务器的信息以支持不能解析时的转发。若域名服务器不能回答该请求，则此域名服务器就暂成为DNS中的另一个客户，向根域名服务器发出请求解析，根域名服务器一定能找到下面的所有二级域名的域名服务器，这样以此类推，一直向下解析，直到查询到所请求的域名。

在实现本发明的过程中，发明人发现现有技术中的域名解析方案至少存在以下技术问题：

(1)域名劫持

攻击者在用户在访问正常服务时，通过影响该服务的DNS解析结果将服务恶意引向其他地址，用户正常访问服务时，却被引向了广告页面或者钓鱼网站等。域名解析作为互联网访问的第一跳，劫持的价值最大。同时，DNS协议缺乏安全保护，劫持的代价很小。比如进行动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)欺骗，在终端接入网络时，使得终端上的DNS地址配置为“黑色DNS”的IP，随心所欲的控制域名解析结果；还有攻击者在局域网中通过地址解析协议(Address Resolution Protocol，ARP)欺骗伪装成出口网关，当局域网内正常用户访问外网服务时，截取DNS请求，返回欺骗性的解析结果；或者更直接的侵入网络监听，当发现有特定DNS请求时，迅速回复该DNS请求的欺骗性应答，这对于UDP基础上的明文传输代价并不高，在攻击者距离用户比真实DNS更近时有很高成功率。另外，当前国内骨干网间结算的方式甚至使有的运营商为了保证流量本网转发，直接修改Local DNS上的解析结果。

(2)智能解析不精准