技術領域

本發明涉及DNS服務領域，特別涉及一種針對DNS服務的防御方法、裝置及系統。

背景技術

隨著科學技術水平的不斷提高，互聯網已經超越了傳統媒體，成為人們日常工作生活中的重要組成部分。但在互聯網高速發展的同時，一些網絡病毒、惡意程序、黑客軟件也大量的出現，至此互聯網網絡安全的問題越來越被人們所重視。

在互聯網網絡安全問題中，防范惡意攻擊網絡中的服務器，是其中的重要的內容之一。

下面對互聯網中常見的DNS服務以及針對DNS服務的常見攻擊進行介紹：

DNS，中文名為計算機域名系統(Domain?Name?System或Domain?Name?Service)，它是由解析器以及域名服務器組成的。

DNS將便于記憶的域名和枯燥難記的IP地址聯系起來，方便人們訪問互聯網，是互聯網中一項重要的服務。域名空間為樹狀結構，相應地，域名的各個級別被“.”分開。頂級域名在開頭有一個點，如“.com”；一級域名就是在頂級域名前加一級，如“baidu.com”，“sohu.com”。

一般的DNS服務器保存有該網絡中所有主機的域名和對應IP地址，并具有將域名轉換為IP地址功能。

DNS進行查詢時，對本地資源記錄和本地緩存都不存在的域名查詢請求，將進行遞歸查詢，會從根服務器開始迭代查找，直到找到能夠給出授權回答的服務器為止。因而同一個一級域名的查詢請求最終都會遞歸到同一個授權服務器上。

下面參照圖1，對以上介紹的DNS查詢步驟進一步舉例說明：

(1)DNS客戶端先向遞歸服務器查詢www.test.com。

(2)DNS遞歸服務器檢查本地資源記錄，若存在則作授權回答；若不存在，則檢查本地緩存，若存在則直接返問結果。若本地資源記錄和緩存中都不存在時，則向DNS根服務器遞歸查詢。

(3)DNS根服務器返回com域的授權服務器的地址，DNS遞歸服務器繼續向.com授權服務器迭代查詢。

(4)com授權服務器返回test.com域的授權服務器的地址，DNS遞歸服務器繼續向test.com的授權服務器迭代查詢。

(5)test.com授權服務器對域名www.test.com進行授權回答，所述DNS遞歸服務器將收到的授權回答保存在本地緩存中，并返回給DNS客戶端，完成此次查詢。

可見，DNS服務器作為互聯網絡基礎設施，對于網絡應用十分重要，即使是幾分鐘的癱瘓也會對網絡的其他應用產生巨大的影響。

眾所周知，DoS和DDoS是網絡中一種常用來使服務器或網絡癱瘓的網絡攻擊，實施手段更是多種多樣，危害嚴重。將DNS中的拒絕服務攻擊分為以下三類：

第一類：直接DDoS攻擊

攻擊者請求大量不存在的域名，使遞歸服務器進行大量遞歸查詢，導致崩潰。這里受攻擊對象多為遞歸服務器。攻擊者的慣用手段通常有偽造源IP、隨機化IP數據包TTL、隨機化請求域名的特點。產生大量隨機域名，耗盡遞歸解析器的資源，從而使正常域名請求無法得到遞歸解析。

第二類：放大攻擊

攻擊者的攻擊目標不是DNS服務器，只是利用DNS服務器攻擊其他系統。放大攻擊使用針對無辜的第三方的欺騙性的數據包來放大通信流量，其目的是耗盡受害者的全部帶寬。對于此類攻擊的檢測是比較易于做到的，但是往往流量聚集在一起之后就比較難以控制，即使分析也需要耗費大量資源，對于此類攻擊防御的難點在于如何限速和探索攻擊源，而不是如何監測。

第三類：跳板攻擊

參照圖2，攻擊者以DNS遞歸服務器為跳板，對DNS授權服務器實施DDoS攻擊，故稱其為DNS跳板攻擊。其具體方式如下：在攻擊者的控制下，由多個DNS客戶端同時，大量地向某個DNS遞歸服務器查詢一個并不存在的域名，這個域名的特點即一級域名全部相同，二級域名隨機構造，例如：aaa.test.com、bbbb.test.com、12345.test.com等等。由于這些域名本地緩存是查找不到的，因此勢必會觸發遞歸查詢。而全部的遞歸請求都會發送到test.com這個授權服務器上，造成其系統癱瘓，DDoS攻擊成功。

可見，跳板攻擊的防御難度比前兩類攻擊都要大。

綜上所述，DDoS攻擊會造成DNS服務器的服務癱瘓、死機等結果，嚴重影響用戶對網絡的正常使用。