技術領域

本發明涉及網絡安全技術領域，更具體地說，涉及一種防范DNS請求報文洪泛攻擊的方法及裝置。

背景技術

域名系統(Domain?Name?System，DNS)是一種用于TCP/IP應用程序的分布式數據庫，提供域名與IP地址之間的轉換。通過域名系統，用戶可以使用便于記憶的域名，由網絡中DNS服務器將域名解析為正確的IP地址。

通常，DNS客戶端通過向DNS服務器發送DNS請求報文(DNS?Query)獲取域名對應的IP地址。DNS服務器在接收到DNS請求報文以后，根據請求的域名進行查找，有時還需要向上級DNS服務器請求。DNS服務器在最終得到DNS客戶端請求的域名對應的IP地址后，發送DNS響應報文(DNS?Reply)通知DNS客戶端，DNS客戶端就可以向此IP地址請求網絡服務了。由此可見，一旦DNS服務器收到攻擊，將嚴重影響人們的正常網絡應用。

DNS請求報文洪泛(DNS?Query?Flood)攻擊是一種基于特定應用協議的UDP?Flood，攻擊方向DNS服務器發送大量域名解析請求，致使DNS服務器嚴重超載，無法繼續響應正常用戶的DNS請求，從而達到攻擊的目的。一般情況下，攻擊方發送的DNS請求是隨機生成的網絡中根本不存在的域名，受攻擊的DNS服務器接收到此請求時，對該域名進行解析，解析不成功，則該DNS服務器通過遞歸查詢向其上級DNS服務器遞交解析請求，進而形成對上級DNS服務器的攻擊，形成連鎖反應。域名解析的過程會給DNS服務器帶來很大的負載，當超過DNS服務器的域名解析閾值時，將造成DNS服務器解析超時直至癱瘓。

為了保護DNS服務器，進而保證網絡的正常應用，產生了DNS?Query?Flood防范技術。現有技術中的常用防范技術包括：在保護設備上采用DNS?cache技術、域名信譽機制和挑戰重傳機制，其主要工作原理為：

(1)在保護設備上采用DNS?cache技術

保護設備在沒有檢測到發生攻擊時主動學習域名解析結果，記錄域名和IP的對應關系，建立DNS?cache。當檢測到發生攻擊時，保護設備在接收到域名解析請求時，首先查詢DNS?cache，根據查詢結果響應域名解析請求，對于不在DNS?cache中的域名解析請求交由DNS服務器解析，并在DNS?cache中記錄解析結果，從而減輕DNS服務器負載。

(2)在保護設備上采用域名信譽機制

保護設備在沒有檢測到發生攻擊時主動學習域名解析結果，統一域名解析次數及域名解析失敗的次數，建立域名信譽機制；對應域名解析失敗次數或者請求同一域名次數超過一定值的，相應降低其域名信譽等級。當檢測到發生攻擊時，保護設備在接收到域名解析請求時，查詢域名信譽等級表，根據域名信譽機制，過濾部分域名解析請求；限制發起信譽等級低的域名解析請求的源IP的帶寬。

(3)在保護設備上采用挑戰重傳機制

保護設備會把第一個用UDP方式發起的DNS請求報文丟掉強制要求客戶端用TCP方式進行DNS請求，這樣必須經過重傳之后才可以解析到域名的IP地址。

然而，通過研究發現，現有技術中至少存在以下問題：

對于目前在DNS?Flood中占絕大多數的偽造源IP的DNS?Flood攻擊，域名解析請求都在隨機變化的情況下，由于這些域名大多不存在，DNS?cache將起不到任何作用；而通過域名信譽機制，要么全部丟棄信譽級別低的域名請求，要么只過濾部分，其余的交由DNS服務器解析，對于全部丟棄的情況，影響部分正常用戶的DNS請求，而只過濾部分，仍會對服務器造成很大沖擊，不能很好地保護DNS服務器，除此之外，域名信譽機制的建立需要較長時間的學習，信譽評估算法不僅復雜，而且其評估結果直接影響防御的有效性；對于第三種技術，容易給用戶造成網絡不好用的現象，并且如果當域名解析服務器關閉了TCP方式的DNS域名解析的情況下，挑戰重傳將會造成域名無法解析的后果。

可見，現有技術無法實現有效防范DNS?Flood攻擊。

發明內容

有鑒于此，本發明實施例提供一種防范DNS請求報文洪泛攻擊的方法及裝置，以便提高防范DNS請求報文洪泛攻擊的能力。

本發明實施例提供一種防范DNS請求報文洪泛攻擊的方法，所述方法包括：

DNS服務端接收DNS客戶端發送的DNS請求報文；

DNS服務端通過解析所述DNS請求報文，獲得所述DNS請求報文所攜帶的需要進行解析的域名；