技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其是涉及一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報(bào)文的方法、裝置及系統(tǒng)。

背景技術(shù)

作為互聯(lián)網(wǎng)的早期協(xié)議，考慮到當(dāng)時(shí)主機(jī)的分布情況，在設(shè)計(jì)之初基于域名服務(wù)（DNS，Domain Name Service）協(xié)議的DNS系統(tǒng)，是建立在互信基礎(chǔ)之上，是一個(gè)完全開放的協(xié)作體系，該系統(tǒng)中傳輸?shù)母黝悢?shù)據(jù)沒有進(jìn)行加密，沒有提供適當(dāng)?shù)男畔⒈Ｗo(hù)和認(rèn)證機(jī)制，也沒有對(duì)各種查詢進(jìn)行準(zhǔn)確的識(shí)別，同時(shí)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和核心骨干設(shè)備的保護(hù)沒有受到足夠重視，因此導(dǎo)致了后期DNS系統(tǒng)很容易遭受攻擊，安全性較差。

其中，對(duì)DNS系統(tǒng)的攻擊方式主要有以下幾種方式：

第一種攻擊方式是流量型拒絕服務(wù)攻擊。例如基于用戶數(shù)據(jù)包協(xié)議（UDP，User Datagram Protocol）流（flood）、基于傳輸控制協(xié)議（TCP，Transmission Control Protocol）flood、DNS請(qǐng)求flood，或拼（PING）flood等。該種方式下的攻擊的典型特征是消耗掉DNS服務(wù)器的資源，使其不能及時(shí)響應(yīng)正常的DNS解析請(qǐng)求。其中，資源的消耗包括對(duì)服務(wù)器CPU、網(wǎng)絡(luò)資源等的消耗。

第二種攻擊方式是異常請(qǐng)求訪問攻擊。例如超長(zhǎng)域名請(qǐng)求、異常域名請(qǐng)求等。該種方式下的攻擊的特點(diǎn)是通過發(fā)掘DNS服務(wù)器的漏洞，通過偽造特定的請(qǐng)求報(bào)文，導(dǎo)致DNS服務(wù)器軟件工作異常而退出或崩潰而無法啟動(dòng)，達(dá)到影響DNS服務(wù)器正常工作的目的。

第三種攻擊方式是DNS劫持攻擊。例如DNS緩存“投毒”、篡改授權(quán)域內(nèi)容、ARP欺騙劫持授權(quán)域等。該種方式下的攻擊的特點(diǎn)是通過直接篡改解析記錄或在解析記錄傳遞過程中篡改其內(nèi)容或搶先應(yīng)答，從而達(dá)到影響解析結(jié)果的目的。

第四種攻擊方式是攻擊者利用DNS進(jìn)行攻擊。例如攻擊者控制僵尸機(jī)群采用被攻擊主機(jī)的IP地址偽裝成被攻擊主機(jī)發(fā)送域名解析請(qǐng)求，大量的域名解析請(qǐng)求被DNS服務(wù)器遞歸查詢解析后，DNS服務(wù)器發(fā)送響應(yīng)給被攻擊者，大量的響應(yīng)數(shù)據(jù)包從不同的DNS服務(wù)器傳回構(gòu)成了分布式拒絕服務(wù)（DDoS，Distributed Denial of Service）攻擊。

除上述四種攻擊方式外，DNS操作安全問題還包括域名注冊(cè)攻擊、配置安全問題等等。

為提高DNS的安全性，通常情況下采用下述技術(shù)方式來對(duì)DNS的安全進(jìn)行監(jiān)控和防護(hù)：

第一種防護(hù)方式：通過通用的防火墻防護(hù)。例如在防火墻上添加一些針對(duì)DNS攻擊的過濾規(guī)則，從而阻斷DNS攻擊。該種防護(hù)方式的缺陷在于：通過設(shè)置防火墻上DNS服務(wù)的規(guī)則可以防范部分攻擊，如DDoS攻擊、中間人攻擊，但是對(duì)于大部分針對(duì)DNS的專項(xiàng)攻擊無能為力。

第二種方式：通過設(shè)置流量清洗系統(tǒng)進(jìn)行安全防護(hù)。在骨干傳輸鏈路和DNS服務(wù)器所在的傳輸鏈路上進(jìn)行流量清洗，區(qū)分出正常業(yè)務(wù)流量和攻擊流量，保障業(yè)務(wù)正常運(yùn)行。該種方式的缺陷在于：流量清洗系統(tǒng)能較好的區(qū)分DoS/DDoS流量和正常業(yè)務(wù)流量，保證DNS正常服務(wù)，但是不能區(qū)分對(duì)DNS的專項(xiàng)攻擊，如DNS緩存投毒攻擊。

第三種方式：通過設(shè)置專用的DNS監(jiān)控系統(tǒng)進(jìn)行安全防護(hù)。例如用戶側(cè)將DNS請(qǐng)求發(fā)送給代理服務(wù)器，由代理服務(wù)器向位于內(nèi)部網(wǎng)絡(luò)中的DNS服務(wù)器請(qǐng)求處理所述DNS請(qǐng)求，并將所述DNS服務(wù)器提供的DNS應(yīng)答轉(zhuǎn)發(fā)給用戶側(cè)。該種方式的缺陷在于一般只能針對(duì)某些特定攻擊進(jìn)行檢測(cè)，并且防護(hù)能力有限。

綜上所述，上述提出的DNS安全監(jiān)控的實(shí)施方式，不能對(duì)現(xiàn)有針對(duì)DNS的專項(xiàng)攻擊提供全面的監(jiān)測(cè)和防護(hù)能力，局限性較強(qiáng)，準(zhǔn)確性較低。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報(bào)文的方法、裝置及系統(tǒng)，能夠?qū)ΜF(xiàn)有針對(duì)DNS的專項(xiàng)攻擊提供全面的監(jiān)測(cè)和防護(hù)能力，提高監(jiān)控的準(zhǔn)確性。

一種域名解析服務(wù)DNS系統(tǒng)中監(jiān)控報(bào)文的方法，包括：以第一預(yù)設(shè)時(shí)長(zhǎng)作為采樣周期，獲得域名解析服務(wù)器DNS和任一用戶終端之間傳輸?shù)膱?bào)文；針對(duì)在當(dāng)前采樣周期內(nèi)，任一獲得的報(bào)文，確定所述報(bào)文的報(bào)文類型；根據(jù)確定出的報(bào)文類型，確定所述報(bào)文的報(bào)文長(zhǎng)度值、訪問次數(shù)以及生存周期中的至少兩個(gè)參數(shù)；根據(jù)確定出的包含報(bào)文長(zhǎng)度值、訪問次數(shù)以及生存周期中的至少兩個(gè)參數(shù)，確定所述報(bào)文在當(dāng)前采樣周期內(nèi)對(duì)應(yīng)的監(jiān)控評(píng)估值，其中所述監(jiān)控評(píng)估值是用于確定所述報(bào)文是否異常的數(shù)值；根據(jù)確定出的監(jiān)控評(píng)估值，對(duì)所述DNS和任一用戶終端之間傳輸?shù)膱?bào)文進(jìn)行監(jiān)控。