技術領域

本發明屬于互聯網技術領域，具體涉及一種抵御DNS遞歸攻擊的方法和系統。

背景技術

隨著互聯網技術日益廣泛的應用以及黑客行為的逐漸增多，網絡安全越來越受到重視。黑客行為的手段很多，分布式拒絕服務（Distribution?Denial?of?Service,DDOS）是其中常見的一種。

通常，DDOS攻擊的目標是域名服務器。域名服務器是指保存有該網絡中所有主機的域名和對應IP地址，并具有將域名轉換為IP地址功能的服務器。其中域名必須對應一個IP地址，而IP地址不一定有域名。域名雖然便于人們記憶，但機器之間只認IP地址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名解析服務器來完成。計算機域名系統?（即DNS?）命名用于Internet等TCP/IP網絡中，通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入?DNS?名稱時，DNS?服務可以將此名稱解析為與之相關的IP?地址，從而成功訪問目標網絡。

DNS是一種分布式數據庫，這種結構可讓本地端點只控制整體數據庫的某一區段，而每個區段中的數據皆可通過主從式架構提供給整個網絡。簡單來說DNS解析系統包括域名空間和資源記錄、Resolver、緩存或遞歸服務器。

所述域名空間是一個樹狀結構，資源記錄是與域名相關的一些數據。從概念上說，每個結點和域名空間樹的葉子結點都有一定的信息，而查詢是要查詢出一些與之相關的特定信息。就是說，每個網站有自己的資源記錄，里面保存了自己的數據，即對應了某一個特點的IP地址。在互聯網的世界里，有千千萬萬個這樣的網站主，他們都有自己的資源記錄，這些資源記錄的集合就是域名空間。

Resolver是向域名服務器提出查詢請求并將結果返回給客戶的程序，它必須可以訪問至少一個域名服務器，并將結果直接返回給用戶或向別的域名服務器查詢。它通常是用戶可以訪問的系統方法，在Resolver和用戶程序之間不需要協議。Resolver是操作系統底層一個程序，當我們在瀏覽器中輸入了某一個域名，瀏覽器就會調用操作系統的Resolver程序，向域名空間請求域名對應的IP地址。獲得地址后才能通過IP地址和目標域名服務器進行通信。

所述Resolver程序會向域名空間請求域名對應的IP地址。這時候就需要緩存服務器出現，緩存服務器是域名空間的入口，即Resolver將他需要查找的內容告訴緩存服務器，緩存服務器去域名空間里尋找相應的記錄，然后把查找的結果返回給用戶。緩存服務器去域名空間里尋找資源記錄的過程稱為“遞歸”。事實上，不是每一次Resolver的請求都需要遞歸，緩存服務器會將遞歸完成以后所獲得的數據保存在內存中，下次如果Resolver還來查找同樣的資源記錄，就直接查找內存，如果內存里還存儲有上述資源記錄，就不進行遞歸，直接將緩存的內容告訴Resolver。

總之，域名解析的流程包括以下四個步驟：

1，用戶端（Resolver）向緩存服務器發出DNS查詢請求。

2，緩存服務器向域名空間進行遞歸查詢。需要說明是，遞歸查詢對緩存服務器來說是非常消耗系統資源的，太多的遞歸查詢會導致緩存服務器工作異常甚至崩潰。

3，域名空間將查詢到的資源記錄返回給緩存服務器，緩存服務器保存資源記錄。

4，緩存服務器將資源記錄應答給用戶。

從這個流程可以看出，步驟2和3不是必須的，只有在緩存服務器的內存中查詢不到目標資源記錄時，才會執行步驟2和3。有兩種可能會導致緩存中沒有查找到可用的資源記錄：一是內存中沒有這條記錄，即上述目標資源記錄從來未被查詢過；二是內存中曾經有這條記錄但是已經過期，因為根據DNS的相關協議，資源記錄在緩存中有效的時間是有限的。

DDOS攻擊是以如下方式實現的：黑客首先入侵Internet上的大量計算機并植入病毒，這些被植入病毒的計算機一旦受到黑客的攻擊命令，就會一起向黑客預先鎖定的IP地址發送大量的數據包，使目標設備無法及時處理大量的數據，造成一定范圍內的網絡癱瘓。

黑客進行DDOS攻擊的手段一般分為兩種，一種是通過模擬大量的域名空間中不存在的域名，然后將這些請求發給緩存服務器，由于域名本身就不存在，緩存里肯定不會有相應記錄，所以必然會觸發遞歸事件，大量的遞歸事件會導致緩存服務器崩潰。