技術領域

本發明屬于互聯網技術領域，更具體地說，是涉及一種針對DNS服務防DDoS攻擊的方法及裝置。

背景技術

域名解析服務(DNS)是用來把便于人們記憶的主機域名和電子郵件地址映射為計算機易于識別的IP地址的一種服務，由專門的DNS服務器來自動完成域名到IP地址的轉換工作。域名解析是用戶上網獲取資源的第一步，DNS的解析質量、效率直接影響用戶快速、準確地獲取網絡資源和上網體驗。

現有的DNS服務器，除域名解析的主要功能外，為了解域名服務器運行狀態，通常還附加有日志功能，如記錄DNS查詢日志。DNS查詢日志主要用于記錄域名查詢請求的相關信息，其內容包括：查詢日期與時間、域名請求源地址、查詢域名及類型等信息，如：“29-Jul-201410:16:20.816client?202.173.9.9448245:view?default:www336.1.com?IN?A?NXDOMAIN+NS?NE?NT?ND?NC”，域名服務器一旦收到用戶的DNS查詢請求，都會記錄該域名查詢請求的上述信息數據。

然而，DNS查詢日志也會降低DNS解析效率，嚴重時甚至妨礙用戶正常上網。通常情況下，DNS查詢日志需要被寫入到服務器磁盤文件中。由于磁盤的數據讀寫速度緩慢(通常不及隨機存儲器RAM速度的1/100)，導致記錄DNS查詢日志成為DNS服務器性能提升的瓶頸。實驗表明，當服務器同時收到大量DNS查詢時，由于DNS服務器日志功能的瓶頸所在，導致服務器很快達到性能極限,影響DNS服務器提供域名解析服務，致使部分用戶無法上網，甚至造成服務器崩潰。DNS查詢日志功能在DNS服務器收到大量DNS查詢請求時，已經嚴重妨礙到DNS服務器的主要功能—域名解析服務，表現出的弊端遠遠大于它帶來的益處。

DoS(Denial?of?Service，拒絕服務)攻擊是指攻擊者試圖通過傀儡計算機向域名服務器發送大量域名查詢，使計算機或網絡無法提供正常的域名服務。DoS攻擊最早是由單機來完成的，隨著服務器系統性能與網絡帶寬的提高及安全防御設備(如防火墻、路由器等)對同一攻擊來源的DoS攻擊的檢測阻斷能力的提升，DOS攻擊變得容易被察覺和防御。

如圖1所示，DDoS(Distributed?Denial?of?Service，分布式拒絕服務)攻擊是在傳統的DoS攻擊基礎之上發展起來的一類攻擊方式。DDoS利用更多的傀儡機向目標服務器發起大量合法的服務請求來占用過多的服務器資源，從而使合法用戶無法得到服務的響應。相較DoS攻擊而言，DDoS攻擊成倍地提高了拒絕服務攻擊的威力，且由于每個傀儡機發起的DNS服務請求數量少量且合理，DDoS攻擊方式的無規律性，導致DDoS攻擊源很難被確定，也就很難防御DDoS攻擊。

正常情況下，DNS系統穩定運行時DNS服務器每秒域名查詢數(Query?Per?Second，QPS)會長期穩定在一個合理范圍之內(不排除正常情況下域名查詢請求量也會出現激增的情況，但會很快回落到正常范圍)，而在受到DoS、DDoS攻擊時，域名查詢請求量可能達到幾倍、幾十倍或更高，并持續較長時間，此時服務器需要記錄的DNS查詢日志也會成倍增加，從而導致DNS服務器性能由于日志的瓶頸而不能最大化，即仍有大量cpu空閑，但是用戶已經無法得到解析結果，無法上網。被DoS、DDoS攻擊淹沒的遞歸服務器將丟失數據包且不能回復所有的DNS請求，導致域名解析業務癱瘓，影響合法用戶的DNS解析查詢。

綜上所述，DNS服務器在需要處理大量域名查詢請求時，其DNS查詢日志功能成為了提高DNS服務器處理能力極大障礙。特別是在DNS服務器受到DoS、DDoS攻擊時，如果能合理并自動地根據查詢量調整DNS服務器的記錄日志功能將大大增強DNS服務器對攻擊的防御能力，降低DoS、DDoS攻擊造成的災害與影響。

發明內容

為解決上述技術問題，本發明提供了一種針對DNS服務防DDoS攻擊的方法及裝置，其中方法包括以下步驟：

實時監測DNS服務器的每秒域名查詢量；

根據對比正常情況與異常情況下的每秒域名查詢量的變化情況，在滿足第一設定條件下自動關閉DNS查詢日志功能。

優選地，還包括以下步驟：

在滿足第二設定條件下，自動恢復DNS查詢日志的記錄功能。

優選地，所述第一設定條件為：

當每秒域名查詢量大于一設定閾值時，自動啟動計時器，從零開始計時，在指定時間內每秒域名查詢量持續大于此設定閾值。