技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)技術(shù)領(lǐng)域，具體涉及一種對(duì)授權(quán)域DNS服務(wù)器的防護(hù)方法及系統(tǒng)。

背景技術(shù)

DNS?Query?Flood，即DNS查詢(xún)攻擊，其攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請(qǐng)求，通常請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)上根本不存在的域名，被攻擊的DNS服務(wù)器在接收到域名解析請(qǐng)求的時(shí)候首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存，如果查找不到并且該域名無(wú)法直接由服務(wù)器解析的時(shí)候，DNS服務(wù)器會(huì)向其上層DNS服務(wù)器遞歸查詢(xún)域名信息。域名解析的過(guò)程給服務(wù)器帶來(lái)了很大的負(fù)載，每秒鐘域名解析請(qǐng)求超過(guò)一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí)。

目前，對(duì)任何源IP的DNS報(bào)文都會(huì)進(jìn)行DNS?Query?Flood特征檢測(cè)的流程，以提高對(duì)授權(quán)域DNS服務(wù)器防護(hù)的可靠性。但是由于DNS?Query?Flood的攻擊方式通常是通過(guò)發(fā)送大量偽造源端口的DNS攻擊報(bào)文來(lái)攻擊DNS服務(wù)器，因此對(duì)任何源IP的DNS報(bào)文進(jìn)行特征檢測(cè)的防護(hù)方式勢(shì)必會(huì)增加DNS系統(tǒng)的數(shù)據(jù)處理量，進(jìn)而大大降低了對(duì)DNS?Query?Flood的處理能力。

因此，有必要提供一種對(duì)授權(quán)域DNS服務(wù)器的防護(hù)方法及系統(tǒng)，能夠先對(duì)大量偽造源端口的DNS攻擊報(bào)文進(jìn)行初步的篩選排除，從而減輕了DNS系統(tǒng)的數(shù)據(jù)處理壓力，提高對(duì)授權(quán)域DNS服務(wù)器的防護(hù)力度。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種對(duì)授權(quán)域DNS服務(wù)器的防護(hù)方法及系統(tǒng)，先對(duì)大量偽造源端口的DNS攻擊報(bào)文進(jìn)行初步的篩選排除，再對(duì)篩選過(guò)的DNS攻擊報(bào)文進(jìn)行特征檢測(cè)，減輕了DNS系統(tǒng)的數(shù)據(jù)處理壓力，并有效提高對(duì)授權(quán)域DNS服務(wù)器的防護(hù)力度。

根據(jù)本發(fā)明的一個(gè)方面，提供一種對(duì)授權(quán)域DNS服務(wù)器的防護(hù)方法,包括以下步驟：接收DNS請(qǐng)求報(bào)文；篩選DNS請(qǐng)求報(bào)文，通過(guò)遍歷建立的IP白名單表，判斷所述DNS請(qǐng)求報(bào)文的源IP是否在所述IP白名單表中，丟棄源IP不在IP白名單表中的DNS請(qǐng)求報(bào)文；對(duì)篩選通過(guò)的源IP在IP白名單表中的DNS請(qǐng)求報(bào)文進(jìn)行特征檢測(cè)；將通過(guò)所述特征檢測(cè)的DNS請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述DNS服務(wù)器。

其中，在上述發(fā)明中，所述建立的IP白名單表包括所有ISP供應(yīng)商的IP白名單。

其中，在上述發(fā)明中，所述丟棄源IP不在IP白名單表中的DNS請(qǐng)求報(bào)文，包括：丟棄源IP不在IP白名單表中的DNS請(qǐng)求報(bào)文，并對(duì)該DNS請(qǐng)求報(bào)文進(jìn)行報(bào)警日志記錄處理。

其中，在上述發(fā)明中，所述對(duì)篩選通過(guò)的源IP在IP白名單表中的DNS請(qǐng)求報(bào)文進(jìn)行特征檢測(cè)，包括：對(duì)源IP在IP白名單表中的DNS請(qǐng)求報(bào)文進(jìn)行DNS閥值統(tǒng)計(jì)；如果單位時(shí)間內(nèi)統(tǒng)計(jì)的報(bào)文數(shù)量超過(guò)初始設(shè)定的閥值，表明該DNS請(qǐng)求報(bào)文未通過(guò)特征檢測(cè)；如果單位時(shí)間內(nèi)統(tǒng)計(jì)的報(bào)文數(shù)量未超過(guò)初始設(shè)定的閥值，表明該DNS請(qǐng)求報(bào)文通過(guò)特征檢測(cè)。

其中，在上述發(fā)明中，對(duì)未通過(guò)特征檢測(cè)的DNS請(qǐng)求報(bào)文，進(jìn)行丟棄處理，并對(duì)該DNS請(qǐng)求報(bào)文進(jìn)行報(bào)警日志記錄處理。

其中，在上述發(fā)明中，所述DNS請(qǐng)求報(bào)文的篩選由DNS防火墻完成，所述DNS請(qǐng)求報(bào)文的特征檢測(cè)由DNS防護(hù)模塊完成。

根據(jù)本發(fā)明的另一個(gè)方面，提供一種對(duì)授權(quán)域DNS服務(wù)器的防護(hù)系統(tǒng),包括：DNS請(qǐng)求報(bào)文接收單元，用于接收發(fā)往所述DNS服務(wù)器的DNS請(qǐng)求報(bào)文；DNS請(qǐng)求報(bào)文篩選單元，用于通過(guò)遍歷建立的IP白名單表，丟棄源IP不在IP白名單表中的DNS請(qǐng)求報(bào)文；DNS請(qǐng)求報(bào)文檢測(cè)單元，用于對(duì)DNS請(qǐng)求報(bào)文篩選單元篩選通過(guò)的源IP在IP白名單表中的DNS請(qǐng)求報(bào)文進(jìn)行特征檢測(cè)；DNS請(qǐng)求報(bào)文轉(zhuǎn)發(fā)單元，用于將通過(guò)DNS請(qǐng)求報(bào)文檢測(cè)單元檢測(cè)的DNS請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述DNS服務(wù)器。

其中，在上述發(fā)明中，所述DNS請(qǐng)求報(bào)文篩選單元遍歷的IP白名單表包括所有ISP供應(yīng)商的IP白名單。

其中，在上述發(fā)明中，所述DNS請(qǐng)求報(bào)文檢測(cè)單元通過(guò)統(tǒng)計(jì)DNS請(qǐng)求報(bào)文的DNS閥值的方式對(duì)其進(jìn)行特征檢測(cè)；如果單位時(shí)間內(nèi)統(tǒng)計(jì)的報(bào)文數(shù)量超過(guò)初始設(shè)定的閥值，表明該DNS請(qǐng)求報(bào)文未通過(guò)特征檢測(cè)；如果單位時(shí)間內(nèi)統(tǒng)計(jì)的報(bào)文數(shù)量未超過(guò)初始設(shè)定的閥值，表明該DNS請(qǐng)求報(bào)文通過(guò)特征檢測(cè)。

其中，在上述發(fā)明中，所述DNS請(qǐng)求報(bào)文篩選單元包括DNS防火墻，DNS防火墻用于對(duì)DNS請(qǐng)求報(bào)文進(jìn)行篩選，并將未通過(guò)篩選的DNS請(qǐng)求報(bào)文進(jìn)行丟棄處理，同時(shí)將其進(jìn)行報(bào)警日志記錄處理。所述DNS請(qǐng)求報(bào)文檢測(cè)單元包括DNS防護(hù)模塊，DNS防護(hù)模塊用于對(duì)DNS請(qǐng)求報(bào)文進(jìn)行特征檢測(cè)，并將未通過(guò)特征檢測(cè)的DNS請(qǐng)求報(bào)文進(jìn)行丟棄處理，同時(shí)將其進(jìn)行報(bào)警日志記錄處理。