一種抵抗DNS攻擊的方法及裝置制造方法及圖紙

本發明專利技術涉及網絡安全技術領域，尤其涉及一種抵抗域名解析系統DNS攻擊的方法及裝置，用以解決現有技術中存在的容易影響大部分用戶正常上網的技術問題，包括：在接收終端發送的DNS查詢請求后，根據域名的優先級和服務器組的對應關系，確定DNS查詢請求需要查詢的域名的優先級對應的服務器組，然后將DNS查詢請求轉發至確定的服務器組進行遞歸查詢。從而可以實現將DNS查詢分散到多個服務器組，由于DNS攻擊只是針對少量域名進行攻擊，即只有少量服務器遭受攻擊，因而可以保證大多數服務器組上的用戶的DNS請求可以正常地響應，從而可以保證大部分用戶正常上網。

Method and device for resisting DNS attack

The present invention relates to the technical field of network security, particularly relates to a method and a device against the domain name system of DNS attacks, including to solve the technical problems existing in the prior art, the majority of users easily affect the normal Internet: in the receiving terminal to send the DNS request, according to the corresponding relationship between the priority and the domain name server group. Determine the DNS server group query request corresponding to the priority need to query the domain name, then the server group DNS query requests are forwarded to determine the recursive query. Which can achieve the DNS query is distributed to multiple server group, because the DNS just for small domain attacks, that only a small amount of server attacks, so that it can ensure the majority of users on the server group DNS requests can be normally response, which can guarantee the normal Internet users most.

【技術實現步驟摘要】
一種抵抗DNS攻擊的方法及裝置
本專利技術涉及網絡安全
，尤其涉及一種抵抗DNS攻擊的方法及裝置。
技術介紹
DNS(DomainNameSystem，域名解析系統)是互聯網架構中的最基礎、最核心的一項服務，它的作用是實現域名和IP(InternetProtocol，網絡之間互連的協議)地址相互映射，使上網者能方便的訪問互聯網，而不用去記憶枯燥繁瑣的IP數字串，為眾多網絡應用提供根本性支撐。由于DNS系統天生的公開性、脆弱性等特點，使其成為攻擊者首選的攻擊目標，其中DNS遞歸攻擊最難防范。所謂遞歸攻擊，即通過隨機構造大量域名解析請求，讓DNS持續進行迭代查詢，迅速地耗盡DNS的遞歸資源，從而使得DNS的可用性降低或完全喪失。由于域名服務器的緩存應答能力現在一般都很高，而遞歸能力卻相對較低，通過發起遞歸攻擊，較傳統的流量型DNSDDoS(DistributedDenialofService，分布式拒絕服務)攻擊而言，具有操作成本較低，攻擊效果好的特征，所以遞歸攻擊日益成為黑客青睞的DNS攻擊手段，且呈愈演愈烈之勢。如何為DNS服務器提供有效的拒絕服務攻擊的防御，是全世界DNS系統面臨的技術難題。現有的抵御DNS遞歸攻擊的防護技術包括如下：為保證遞歸DNS能夠正常遞歸，不因為DNS請求量過高而過載，可對每秒的遞歸查詢請求總量進行控制，超過閥值的請求直接丟棄。現有的技術存在如下問題：雖然可以防止DNS遞歸資源不被耗盡，但大多數用戶的正常DNS解析請求流量隨攻擊流量一起被丟棄而誤傷，實際效果等同于斷網。綜上所述，現有技術抵御DNS遞歸攻擊的方法存在容易影響大部分用戶正常上網的技術問題。
技術實現思路
本專利技術提供一種抵抗DNS攻擊的方法及裝置，用以解決現有技術中存在的容易影響大部分用戶正常上網的技術問題。一方面，本專利技術實施例提供一種抵抗DNS攻擊的方法，包括：接收終端發送的DNS查詢請求；根據域名的優先級和服務器組的對應關系，確定所述DNS查詢請求需要查詢的域名的優先級對應的服務器組，其中服務器組有多個，服務器組之間在物理上相互獨立，每個服務器組中包括至少一個服務器；將所述DNS查詢請求轉發至確定的服務器組進行遞歸查詢。可選地，根據下列方法確定域名的優先級：根據設定時長內所有一級域名分別對應的每秒查詢數QPS，將所有域名劃分為多個優先級。可選地，根據設定時長內所有一級域名分別對應的每秒查詢數QPS，將所有域名劃分為多個優先級，包括：確定設定時長內所有一級域名分別對應的每秒查詢數QPS；將對應的QPS排名前M的一級域名以及包含該一級域名的所有域名，確定為高優先級域名，M為正整數；將除高優先級域名之外的所有域名，確定為低優先級域名。可選地，確定所述DNS查詢請求需要查詢的域名的優先級對應的服務器組之后，還包括：若所述域名為高優先級域名，且所述域名對應的一級域名的當前QPS大于第一閾值，則發送告警信息；若所述域名為低優先級域名，且所述域名對應的一級域名的當前QPS大于第二閾值，則丟棄所述DNS查詢請求。可選地，根據下列方式確定所述第一閾值：將QPS值最大的高優先級域名對應的峰值QPS，作為所述第一閾值；根據下列方式確定所述第二閾值：將QPS值最小的高優先級域名對應的峰值QPS，作為所述第二閾值。另一方面，本專利技術實施例提供的一種抵抗DNS攻擊的裝置，包括：接收單元，用于接收終端發送的DNS查詢請求；確定單元，用于根據域名的優先級和服務器組的對應關系，確定所述DNS查詢請求需要查詢的域名的優先級對應的服務器組，其中服務器組有多個，服務器組之間在物理上相互獨立，每個服務器組中包括至少一個服務器；轉發單元，用于將所述DNS查詢請求轉發至確定的服務器組進行遞歸查詢。可選地，所述確定單元，還用于：根據下列方法確定域名的優先級：根據設定時長內所有一級域名分別對應的每秒查詢數QPS，將所有域名劃分為多個優先級。可選地，所述確定單元，還用于：確定設定時長內所有一級域名分別對應的每秒查詢數QPS；將對應的QPS排名前M的一級域名以及包含該一級域名的所有域名，確定為高優先級域名，M為正整數；將除高優先級域名之外的所有域名，確定為低優先級域名。可選地，所述確定單元，還用于：確定所述DNS查詢請求需要查詢的域名的優先級對應的服務器組之后，若所述域名為高優先級域名，且所述域名對應的一級域名的當前QPS大于第一閾值，則發送告警信息；若所述域名為低優先級域名，且所述域名對應的一級域名的當前QPS大于第二閾值，則丟棄所述DNS查詢請求。可選地，所述確定單元，還用于：根據下列方式確定所述第一閾值：將QPS值最大的高優先級域名對應的峰值QPS，作為所述第一閾值；根據下列方式確定所述第二閾值：將QPS值最小的高優先級域名對應的峰值QPS，作為所述第二閾值。本專利技術實施例提供的方法，在接收終端發送的DNS查詢請求后，根據域名的優先級和服務器組的對應關系，確定DNS查詢請求需要查詢的域名的優先級對應的服務器組，然后將DNS查詢請求轉發至確定的服務器組進行遞歸查詢。從而可以實現將DNS查詢分散到多個服務器組，由于DNS攻擊只是針對少量域名進行攻擊，即只有少量服務器遭受攻擊，因而可以保證大多數服務器組上的用戶的DNS請求可以正常地響應，從而可以保證大部分用戶正常上網。附圖說明為了更清楚地說明本專利技術實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡要介紹，顯而易見地，下面描述中的附圖僅僅是本專利技術的一些實施例，對于本領域的普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。圖1為本專利技術實施例所適用的系統架構圖；圖2為本專利技術實施例提供的抵抗DNS攻擊的方法流程圖；圖3為本專利技術實施例提供的抵抗DNS攻擊的方法詳細流程圖；圖4為本專利技術實施例提供的抵抗DNS攻擊的裝置示意圖。具體實施方式為了使本專利技術的目的、技術方案和優點更加清楚，下面將結合附圖對本專利技術作進一步地詳細描述，顯然，所描述的實施例僅僅是本專利技術一部份實施例，而不是全部的實施例。基于本專利技術中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其它實施例，都屬于本專利技術保護的范圍。如圖1所示，為本專利技術實施例所適用的系統架構圖，包括終端，高速緩存服務器，多個服務器組，迭代查詢服務器組，其中迭代查詢服務器組中包含根域服務器，com域服務器，cn域服務器，以及多個授權DNS。終端發起DNS查詢請求，高速緩存服務器接收到DNS查詢請求后，若本地緩存有查詢結果，則直接返回查詢結果給終端，若本地緩存沒有查詢結果，則將DNS請求根據域名的優先級，轉發至某個服務器組，相應的服務器組接收到DNS查詢請求后，將該DNS查詢請求轉發至迭代查詢服務器組，例如要查詢的域名是123.qq.com，則首先通過迭代查詢服務器組中的根域服務器根據接收到的域名查詢請求對應的域名123.qq.com，返回一個地址給相應的服務器組，然后該服務器組根據這個地址去請求com域服務器，com域服務器查詢到返回一個地址給相應的服務器組，服務器組根據收到的地址查找相應的授權DNS服務器并將查詢結果返回給高速緩存服務器，高速緩存服務器將查詢結果返回給終端，同時高速緩存服務器將查詢結果進行緩存，終端在接收本文檔來自技高網...

【技術保護點】
一種抵抗域名解析系統DNS攻擊的方法，其特征在于，包括：接收終端發送的DNS查詢請求；根據域名的優先級和服務器組的對應關系，確定所述DNS查詢請求需要查詢的域名的優先級對應的服務器組，其中服務器組有多個，服務器組之間在物理上相互獨立，每個服務器組中包括至少一個服務器；將所述DNS查詢請求轉發至確定的服務器組進行遞歸查詢。

【技術特征摘要】
1.一種抵抗域名解析系統DNS攻擊的方法，其特征在于，包括：接收終端發送的DNS查詢請求；根據域名的優先級和服務器組的對應關系，確定所述DNS查詢請求需要查詢的域名的優先級對應的服務器組，其中服務器組有多個，服務器組之間在物理上相互獨立，每個服務器組中包括至少一個服務器；將所述DNS查詢請求轉發至確定的服務器組進行遞歸查詢。2.如權利要求1所述的方法，其特征在于，根據下列方法確定域名的優先級：根據設定時長內所有一級域名分別對應的每秒查詢數QPS，將所有域名劃分為多個優先級。3.如權利要求2所述的方法，其特征在于，根據設定時長內所有一級域名分別對應的每秒查詢數QPS，將所有域名劃分為多個優先級，包括：確定設定時長內所有一級域名分別對應的每秒查詢數QPS；將對應的QPS排名前M的一級域名以及包含該一級域名的所有域名，確定為高優先級域名，M為正整數；將除高優先級域名之外的所有域名，確定為低優先級域名。4.如權利要求3所述的方法，其特征在于，確定所述DNS查詢請求需要查詢的域名的優先級對應的服務器組之后，還包括：若所述域名為高優先級域名，且所述域名對應的一級域名的當前QPS大于第一閾值，則發送告警信息；若所述域名為低優先級域名，且所述域名對應的一級域名的當前QPS大于第二閾值，則丟棄所述DNS查詢請求。5.如權利要求4所述的方法，其特征在于，根據下列方式確定所述第一閾值：將QPS值最大的高優先級域名對應的峰值QPS，作為所述第一閾值；根據下列方式確定所述第二閾值：將QPS值最小的高優先級域名對應的峰值QPS，作為所述第二閾值。6.一種抵抗域名解...

【專利技術屬性】
技術研發人員：巫俊峰，韓峰，
申請(專利權)人：中國移動通信集團江蘇有限公司，亞信科技成都有限公司，
類型：發明
國別省市：江蘇,32