技術領域

本發明屬于互聯網技術領域，更具體地說，是涉及一種DNS遞歸服務器抗DoS、DDoS攻擊的方法。

背景技術

域名查詢系統中，用戶(解析器)向遞歸服務器發送某一個域名解析請求。遞歸服務器首先從自身緩存(Cache)中查找是否有該域名的解析結果，如果有(即Cache命中)，則直接將此結果返回給用戶；若沒有，則向DNS權威服務器發起查詢(即遞歸查詢)以獲得應答，將應答保存到Cache中，再將最終查詢結果返回給用戶。

如圖1所示為域名查詢流程圖，Cache命中的情況下只需執行圖中所示的“Q1+Q2+A2+A1”過程，全程耗時不到1ms；需要遞歸的域名查詢執行圖中所示的“Q1+Q2+A2+Q3+A3+A1”的完整過程，全程耗時約200ms?？梢?，Cache命中的解析速率大大高于需要遞歸查詢的情況，適當提高域名查詢的Cache命中概率將有助于提升遞歸服務器DNS解析服務的整體效率。

為保證Cache中數據的準確性和限制Cache容量的無限擴大，Cache中緩存的記錄都有自己的生存期(Time?to?Live,簡稱TTL)，生存期表示數據在Cache中存放的時間，生存期一過，遞歸服務器就必須丟棄緩存的數據。可見，一種既能延長緩存記錄的生存期，又能保證緩存數據準確性的方法將提高域名查詢的Cache命中率和解析效率。

DoS(Denial?of?Service，拒絕服務)攻擊是指攻擊者試圖通過傀儡計算機向域名服務器發送大量域名查詢，使計算機或網絡無法提供正常的域名服務。DoS攻擊最早是由單機來完成的，隨著服務器系統性能與網絡帶寬的提高及安全防御設備(如防火墻、路由器等)對同一攻擊來源的DoS攻擊的檢測阻斷能力的提升，DOS攻擊變得容易被察覺和防御。

如圖2所示，DDoS(Distributed?Denial?of?Service，分布式拒絕服務)攻擊是在傳統的DoS攻擊基礎之上發展起來的一類攻擊方式。DDoS利用更多的傀儡機向目標服務器發起大量合法的服務請求來占用過多的服務器資源，從而使合法用戶無法得到服務的響應。相較DoS攻擊而言，DDoS攻擊成倍地提高了拒絕服務攻擊的威力，且由于每個傀儡機發起的DNS服務請求數量少量且合理，DDoS攻擊方式的無規律性，導致DDoS攻擊源很難被確定，也就很難防御DDoS攻擊。

遞歸服務器在受到DoS、DDoS攻擊時，收到的域名解析請求有以下兩大特點：

1)接收的查詢請求陡增。正常情況下，遞歸服務器DNS系統穩定運行時每秒查詢數(Query?Per?Second，QPS)會長期穩定在一個合理范圍之內，而在受到DoS、DDoS攻擊時，域名查詢請求量可能達到幾倍、幾十倍或更高。

2)查詢的域名緩存命中率會大幅降低，大量域名解析請求需要遞歸完成。據統計，正常應用環境下，遞歸服務器在DNS系統穩定運行時，10％不到的緩存記錄可以命中超過90％的DNS解析請求，只有少量解析請求需要遞歸。而在DoS、DDoS攻擊情況下，由于攻擊者發起的大量查詢域名都是人工偽造的，隨機性強，導致這些域名中的絕大多數都不會在遞歸服務器的Cache中命中，按照現有的遞歸查詢機制，遞歸服務器不得不向其他域名服務器發起域名查詢，使得遞歸服務器并發遞歸請求量M大幅遞增，消耗大量目標遞歸服務器和網絡資源，甚至造成更嚴重的破壞，達到攻擊的目的。

由此,DoS、DDoS攻擊將造成網絡擁堵和遞歸服務器資源被大量占用，被DoS、DDoS攻擊淹沒的遞歸服務器將丟失數據包且不能回復所有的DNS請求，導致域名解析業務癱瘓，影響合法用戶的DNS解析查詢。

發明內容

為解決上述技術問題，本發明提供了一種DNS遞歸服務器抗DoS、DDoS攻擊的方法及裝置，其中方法包括以下步驟：

實時監測遞歸服務器的當前并發遞歸請求量；

當遞歸請求量超過當前遞歸服務器所能處理的最大并發遞歸查詢總量的指定倍數時，啟動計時器從零開始；

若在特定時間內，遞歸請求量持續大于當前遞歸服務器所能處理的最大并發遞歸查詢總量的指定倍數時，則計時結束時同時啟動常用域名緩存預取、限制并發遞歸查詢數量機制。

進一步地，所述指定倍數為1.5。

進一步地，所述特定時間為10秒。

進一步地，所述常用域名緩存預取包括以下步驟：

統計遞歸服務器系統從開始運行以來緩存中所有域名被查詢的次數，并按照次數從多到少進行排名；