本發明涉及計算機安全技術領域，尤其涉及一種防御DNS攻擊的方法、裝置及系統。該方法在接收到DNS請求后，根據DNS請求的關聯數據在內存中查找對應的標識信息，對于白名單或解封標識的DNS請求進行響應，對于黑名單或封禁標識的DNS請求進行防御，對于探測標識的DNS請求進行預定周期內請求次數的判斷，對超出請求閾值的DNS請求進行防御，對未超出請求閾值的DNS請求進行解封時間的判斷，對到達解封時間的DNS請求進行響應，對未到達解封時間的DNS請求進行防御。由于預先設定了標識信息，對于確定的請求源或域名直接執行響應或防御處理，對于不確定的請求源或域名才執行進一步的判斷檢測，簡化了DNS攻擊的判斷流程，提高了判斷DNS攻擊的效率。

技術領域

本發明涉及計算機安全技術領域，尤其涉及一種防御DNS攻擊的方法、裝置及系統。

背景技術

DNS(Domain Name System，域名系統)，由解析器和域名服務器組成。域名服務器保存有該網絡中的所有主機的域名和對應的IP地址，并具有將域名轉換為IP地址的功能。其中域名必須對應一個IP地址，而IP地址不一定有域名。互聯網上域名與IP地址一一對應，域名雖便于人們記憶，但是機器之間只識別IP地址，兩者之間的轉換工作即稱為域名解析，域名解析需要由專門的域名解析系統來完成的，DNS就是進行域名解析的系統。

現有技術中，域名解析的系統位于用戶空間，當收到一個DNS數據包之后，先由硬件接收，之后往上傳輸到內核，再往上傳輸到用戶空間，由用戶空間的域名解析系統對該數據包進行解析，然后解析后的數據包再經由內核、硬件傳輸到該數據包的目的端口，完成解析工作。

DNS自身的特性決定了它可以被利用作為“攻擊放大器”進行分布式拒絕服務攻擊。一是DNS協議自身的弱點導致查詢請求報文和查詢應答報文均可被偽造，網絡攻擊者可以通過虛假的源地址偽造成被攻擊主機向DNS服務器發送DNS查詢請求，同時還可以隱藏攻擊者的身份；二是DNS服務器對DNS查詢請求時“有求必應”，并且無法判斷一個DNS查詢請求是否為惡意攻擊；三是DNS服務器解析域名時，應答報文比查詢報文要大，可以實現放大攻擊的效果。DNS攻擊會導致DNS服務器嚴重超載甚至癱瘓，無法響應正常用戶的DNS請求報文。

現有技術中可以通過設置固定的防護域名和防護閾值對DNS攻擊行為進行檢測，比如：統計檢測周期內與防護域名匹配的域名數量，并將該數量與防護閾值進行比較，當超過防護閾值時可以確定發生DNS攻擊。然而，當攻擊者采用隨機變化的域名進行DNS攻擊時，由于預設的防護域名是固定的，因此檢測到的DNS請求報文的數量可能無法觸發設置的防護閾值，從而無法檢測到DNS攻擊行為，導致DNS服務器超載甚至癱瘓。

DNS攻擊的一個明顯特征是偽造成被攻擊者的IP發送大量的請求數據包，迫使其回應，達到放大效果。

現有技術中應對DNS攻擊采取的方法是利用防火墻限制IP地址的請求量，例如控制某IP段內通過的DNS請求包限制在300個以內每秒，大于這個的請求認為可能是攻擊，直接丟棄。采取這樣的限制措施，需要對IP地址段設置對應的限制規則，在判斷是否為DNS攻擊時需要對規則進行逐項匹配，直至匹配成功，當限制規則較多時，判別效率會降低。

發明內容

鑒于上述問題，本發明提供了一種防御DNS攻擊的方法、裝置及系統，以克服上述問題或者至少部分地解決上述問題。

本發明一個進一步的目的在于簡化DNS攻擊的判斷流程，提高判斷DNS攻擊的效率。

本發明的第一方面提供了一種防御DNS攻擊的方法，包括：

接收請求源發送的DNS請求，獲取DNS請求的請求源IP地址；

確定所述IP地址的特征值；

在內存中查找得到與所述特征值對應的標識信息，所述標識信息包括白名單標識、黑名單標識和探測標識；