技術領域

本發明涉及傳輸與IP技術領域，尤其涉及一種域名系統防護的方法和系統。

背景技術

目前規范中的DNS解析流程如下（以www.sina.com.cn解析為例）：

（1）用戶主機將域名查詢請求發給本地DNS服務器；

（2）本地DNS服務器收到請求后在本地域名數據庫及緩存中查找，如果查找到相關記錄，就將該域名對應的IP地址發給用戶主機；

（3）若DNS服務器在本地域名數據庫及緩存中未查詢到相關記錄，本地DNS服務器向自己的根域服務器發出解析請求；

（4）根域DNS服務器返回cn域的DNS服務器的IP地址；

（5）本地DNS服務器再將請求交給管理cn域的DNS服務器；

（6）cn域DNS服務器返回com.cn域的DNS服務器的地址；

（7）本地DNS服務器再次把請求交給管理com.cn域的DNS服務器，管理com.cn域的DNS服務器再返回sina.com.cn域名服務器的地址；

（8）最終，本地DNS服務器從sina.com.cn域名服務器獲得www.sina.com.cn網站服務器的IP地址結果，并將結果返回給接入用戶。

由上述流程可以發現，DNS流程是訪問互聯網的訪問，如果DNS不可用，將導致整個互聯網不可訪問。然而，由于DNS卻是互聯網中的一個安全薄弱環節，針對DNS系統的網絡攻擊能夠輕易將整個互聯網攻癱。

在眾多DNS的網絡攻擊中，基于DNS應用層的DDOS攻擊又是最常見、危害最大的攻擊類型，在現有技術中，規避DNS DDOS攻擊的方法為BGP牽引的方式，其原理如下：

1、某城域網設置有Local DNS,作為本城域網用戶訪問互聯網的DNS服務器；

2、若該城域網遭受到DDOS類的網絡攻擊，會接收到大量可成功解析或不能成功解析的域名解析請求，大大消耗DNS系統資源及DNS接入互聯網的帶寬，最終導致本地的Local DNS服務器不可用；

3、需要在骨干網或本城域網內部設置一臺處理能力非常強的DNS備份中心，在基于DNS的DDOS攻擊發生時，能夠處理大量的域名請求；

4、此時，需要DNS備份中心發布之前城域網Local DNS的服務地址，并將該IGP路由重分發至BGP路由中；

5、BGP協議將該路由從骨干網AS傳導至城域網的AS；

6、城域網的BGP協議需要接受該路由，并將其泛洪至本AS內的所有設備及用戶；

7、此時，用戶無需調整DNS地址，就可以使用DNS服務，從而恢復訪問互聯網的能力。

但是在現有技術方案中，缺少DDOS攻擊發現的方法和手段，尤其是當只是針對某些域名組或攻擊來源于某些IP組的時候，常常會因為部分域名的大量請求或來源于部分IP的攻擊，導致整個DNS系統癱瘓，從而使得所有用戶無法訪問所有域名。

另外，在現有技術方案中，只有人工發現DNS被攻擊后，才能在備份中心上發布被攻擊DNS服務器的路由，路由需要經過路由器的數據配置以及在AS之間的傳遞、收斂后，用戶才可以使用，通常在故障發生后到備份中心DNS服務器啟用之間會有一個很長的時間段，這部分時間用戶是無法訪問互聯網的，大大降低了用戶感知。

發明內容

為了解決現有技術中存在的無法發現攻擊、故障處理時間長的技術問題，本發明提出一種域名系統防護的方法和系統，能夠自動識別異常流量，并根據異常流量的不同種類，采取不同處理機制，規避了現有方案所導致的DNS故障發生后到備份中心DNS服務器啟用之間會有一個很長的時間段DNS無法服務的問題。

本發明一方面提供了一種域名系統防護的方法，包括以下步驟：

構建IP地址組和域名組的二維矩陣A（i,j），分別統計每一個IP地址組對應每一個域名組A（i,j）在之前第一時長T1內的每秒查詢率QPS均值A（i,j）.QPS、QPS峰值A（i,j）.QPS_max、平均解析時延A（i,j）.Delay和解析成功率A（i,j）.SuccessRate；