技術領域

本發(fā)明涉及互聯(lián)網(wǎng)域名系統(tǒng)領域，具體地說，是一種改善在遭遇隨機域名查詢攻擊時，域名服務器受到負面影響的針對隨機域名查詢攻擊的防護方法。

背景技術

DNS系統(tǒng)的名稱空間很大，這為其應用提供了便利，但同時也在應對DNS安全問題時帶來了一些挑戰(zhàn)。足夠大的地址空間意味著可以構(gòu)造足夠多的隨機域名，用來消耗原本應該用在對真實存在的域名解析的服務器資源。于是，一種稱為胡亂域名(Non-sense Names)攻擊的DoS攻擊開始被使用。

胡亂域名(Non-sense Names)攻擊通過向域名服務器發(fā)送大量隨機生成的域名查詢，來消耗服務器的資源，導致正常查詢無法被及時處理，甚至不被處理，從而達成了拒絕服務攻擊的目的。

當前已經(jīng)實現(xiàn)的如servfail和IP/域名限速機制仍然會對一部分偽裝成正常請求的流量敞開大門，黑名單方式對此類域名攻擊并沒有幫助，無法有效的實現(xiàn)對胡亂域名的查詢的限制。

發(fā)明內(nèi)容

為解決上述技術問題，本發(fā)明提供了一種針對隨機域名查詢攻擊的防護方法，其特征在于，所述方法包括：

根據(jù)預設的分類策略對查詢域名進行分類，得到至少一類域名隊列；

根據(jù)預設的調(diào)度策略調(diào)度所述域名隊列，并處理所述域名隊列中的域名。

優(yōu)選地，所述根據(jù)預設的分類策略對查詢域名進行分類包括：

根據(jù)預設標準制定至少一條規(guī)則并設定對應的信息熵值；

將所述域名與所述規(guī)則逐條對比，若滿足，則所述域名的熵值累加所述信息熵值；

根據(jù)所述域名的熵值確定其分類。

優(yōu)選地，根據(jù)預設標準指定至少一條規(guī)則包括：

將所有混亂特征及規(guī)則都不滿足的一類域名設定為標準，并設定其信息熵值為0；

根據(jù)所述標準制定至少一條規(guī)則。

優(yōu)選地，所述根據(jù)預設的分類策略對查詢域名進行分類還包括：

預設所述查詢域名的分類數(shù)量；

根據(jù)不同的分類設定不同的處理優(yōu)先級。

優(yōu)選地，所述得到至少一類域名隊列包括：

為每類域名分配單獨的隊列；

其中，所述隊列中按照時間順序保存所述域名的數(shù)據(jù)結(jié)構(gòu)。

優(yōu)選地，所述得到至少一類域名隊列還包括：

在每個所述隊列中，保存時間更早的域名設定為更高的處理優(yōu)先級。

優(yōu)選地，所述根據(jù)預設的調(diào)度策略調(diào)度所述域名隊列包括：

為每個所述域名隊列分配CPU時間配額的權(quán)重；

線程根據(jù)該權(quán)重選取對應的所述域名隊列中的查詢域名。

優(yōu)選地，所述線程根據(jù)該權(quán)重選取對應的所述域名隊列中的查詢域名包括：

線程在處理前生成隨機數(shù)；

根據(jù)該隨機數(shù)選定所述域名隊列。

優(yōu)選地，所述方法還包括：

當選取的所述域名隊列為空時，則選取優(yōu)先級靠后且最接近本類的所述域名隊列中的查詢域名。

優(yōu)選地，所述方法還包括：

當遍歷至優(yōu)先級最低的所述域名隊列仍未確定查詢域名時，線程回到初始狀態(tài)，重新生成隨機數(shù)選取所述域名隊列。

與現(xiàn)有技術相比，本發(fā)明提供一種針對隨機域名查詢攻擊的防護方法，通過利用不斷發(fā)展的文本分類技術，幫助域名服務器根據(jù)域名質(zhì)量對查詢請求優(yōu)化處理，改善受到的攻擊的影響。同時兼顧存在分類過程中出現(xiàn)誤判的風險，在服務器負載較高時對丟棄請求設定了條件。

附圖說明

圖1為本發(fā)明一優(yōu)選實施例中針對隨機域名查詢攻擊的防護方法流程圖；

圖2為本發(fā)明一優(yōu)選實施例中根據(jù)預設的分類策略對查詢域名進行分類的方法流程圖；

圖3為本發(fā)明一優(yōu)選實施例中根據(jù)預設的調(diào)度策略調(diào)度域名隊列的方法流程圖。

具體實施方式

為使本領域技術人員更好地理解本發(fā)明的技術方案，下面結(jié)合附圖和具體實施方式對本發(fā)明作進一步詳細描述。

隨機域名的攻擊方法是針對一臺域名服務器發(fā)起大量隨機生成的域名查詢。通常攻擊會有一定的針對性，所以生成的域名可能是在某一個區(qū)下的域名，如2dajhbn-xcna8o7wbgesw.1.com和8djeyvzsoe783owxbfj67395.1.com這樣在1.com下的域名。