技術領域

本發明實施例涉及通信技術領域，特別涉及一種查詢請求報文處理方法、裝置及系統。

背景技術

域名系統(Domain?Name?System，DNS)是一種以層次結構分布的命名系統。在如互聯網Internet之類的傳輸控制協議/網間協議(TransmissionControl?Protocol/Internet?Protocol，TCP/IP)網絡中，使用DNS名字來定位計算機，如果在應用程序中輸入DNS名，就可以由DNS服務器中的數據庫提供包括IP地址在內的與名稱相關的信息。

客戶端和域名服務器(DNS服務器)之間一般是使用用戶數據報協議(UserDatagram?Protocol，UDP)傳輸報文，在UDP傳輸方式下，客戶端存在重傳機制，在沒有收到服務器的響應報文后會重復向DNS服務器發送報文。由于UDP方式不采用建立連接方式進行通信，也沒有連接握手等機制，因此DNS服務器容易在網絡上遭受攻擊?，F有技術中一般通過在DNS服務器和客戶端之間設置防火墻進行安全防護，例如通過預先建立的攻擊特征庫，對訪問DNS服務器的報文進行單包或多包特征匹配來進行防范，允許正常報文通過，并過濾掉攻擊報文。

發明人在實現本發明的過程中發現，可能由于特殊原因，或是攻擊，或者網絡故障，會出現針對同一DNS服務器的大規模正常的、真實客戶機的DNS爆發式請求，所述的正常的真實客戶機的DNS請求為真實客戶機發起的、并且是查詢實際域名的DNS請求，在這些情況下，可能導致該DNS服務器堵塞，工作穩定性降低，甚至造成DNS服務器癱瘓，引發大規模的網絡故障，導致網絡服務質量下降。

發明內容

本發明實施例提供一種查詢請求報文處理方法、裝置及系統，能夠提高DNS服務器的工作穩定性，增強DNS系統中的網絡安全防護性能。

本發明實施例提供一種查詢請求報文處理方法，包括：

接收符合域名系統格式的查詢請求報文；

驗證所述查詢請求報文是否來源于真實的客戶機；

若驗證獲知所述查詢請求報文來源于真實的客戶機，則獲取對應于所述查詢請求報文請求訪問的域名服務器的訪問統計信息；

根據所述訪問統計信息和閾值對所述查詢請求報文進行處理，所述閾值用于標識允許同時訪問所述域名服務器的最大次數。

本發明實施例提供一種查詢請求報文處理裝置，包括：

接收模塊，用于接收符合域名系統格式的查詢請求報文；

驗證模塊，用于驗證所述查詢請求報文是否來源于真實的客戶機；

獲取模塊，用于若通過所述驗證模塊驗證獲知所述查詢請求報文來源于真實的客戶機，則獲取對應于所述查詢請求報文請求訪問的域名服務器的訪問統計信息；

處理模塊，用于根據所述訪問統計信息和閾值對所述查詢請求報文進行處理，所述閾值用于標識允許同時訪問所述域名服務器的最大次數。

本發明實施例提供一種查詢請求報文處理系統，包括用于發送查詢請求報文的客戶機，以及對應于所述查詢請求報文請求訪問的域名服務器，還包括上述的查詢請求報文處理裝置。

本發明實施例提供的查詢請求報文處理方法、裝置及系統中，查詢請求報文處理裝置例如網關在接收到符合域名系統格式的查詢請求報文后，通過驗證獲知所述查詢請求報文是否來源于真實的客戶機，再根據預設的閾值來限制真實客戶機同時訪問DNS服務器的最大次數，防止因同時出現大規模DNS請求而造成DNS服務器發生堵塞甚至癱瘓，提高了DNS服務器的工作穩定性，保障網絡服務質量，增強了DNS系統中的網絡安全防護性能。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明查詢請求報文處理方法實施例一流程圖；

圖2為本發明實施例中DNS協議定義的報文格式示意圖；

圖3為本發明實施例中DNS協議定義的報文中標志字段格式的示意圖；

圖4為本發明實施例中DNS協議定義的“QUESTION”部分格式示意圖；

圖5為本發明實施例中DNS協議定義的DNS資源記錄部分格式示意圖；

圖6為本發明查詢請求報文處理方法實施例二流程圖；

圖7為本發明查詢請求報文處理裝置實施例一結構示意圖；

圖8為本發明查詢請求報文處理裝置實施例二結構示意圖；