一種針對(duì)DNS服務(wù)防DDoS攻擊的方法及裝置制造方法
【專利摘要】本發(fā)明涉及一種針對(duì)DNS服務(wù)防DDoS攻擊的方法及裝置,其中方法包括:實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的每秒域名查詢量�;根據(jù)對(duì)比正常情況與異常情況下的每秒域名查詢量的變化情況,在滿足第一設(shè)定條件下自動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ堋1景l(fā)明通過(guò)實(shí)時(shí)監(jiān)測(cè)遞歸服務(wù)器的當(dāng)前并發(fā)遞歸請(qǐng)求量����,在適當(dāng)?shù)臅r(shí)候啟動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ埽贒NS服務(wù)器受到DOS����,DDOS攻擊時(shí)DNS查詢?nèi)罩镜钠款i,或者在滿足設(shè)定的條件下自動(dòng)恢復(fù)DNS查詢?nèi)罩镜挠涗浌δ?����,保證正常的DNS日志的存儲(chǔ)�����。通過(guò)合理并靈活的自動(dòng)策略���,可以提高DNS服務(wù)器處理域名請(qǐng)求的能力���,最大限度地保障合法用戶的解析請(qǐng)求得到正常響應(yīng),既能有效抵抗DoS�,DDoS攻擊,又能滿足正常的業(yè)務(wù)量下的所有解析功能�。
【專利說(shuō)明】一種針對(duì)DNS服務(wù)防DDoS攻擊的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】�����,更具體地說(shuō),是涉及一種針對(duì)DNS服務(wù)防DDoS攻擊的方法及裝置�。
【背景技術(shù)】
[0002]域名解析服務(wù)(DNS)是用來(lái)把便于人們記憶的主機(jī)域名和電子郵件地址映射為計(jì)算機(jī)易于識(shí)別的IP地址的一種服務(wù),由專門的DNS服務(wù)器來(lái)自動(dòng)完成域名到IP地址的轉(zhuǎn)換工作�����。域名解析是用戶上網(wǎng)獲取資源的第一步�����,DNS的解析質(zhì)量�、效率直接影響用戶快速、準(zhǔn)確地獲取網(wǎng)絡(luò)資源和上網(wǎng)體驗(yàn)����。
[0003]現(xiàn)有的DNS服務(wù)器,除域名解析的主要功能外�,為了解域名服務(wù)器運(yùn)行狀態(tài),通常還附加有日志功能����,如記錄DNS查詢?nèi)罩?���。DNS查詢?nèi)罩局饕糜谟涗浻蛎樵冋?qǐng)求的相關(guān)信息��,其內(nèi)容包括:查詢?nèi)掌谂c時(shí)間���、域名請(qǐng)求源地址�、查詢域名及類型等信息���,如:“29-Jul-201410:16:20.816client 202.173.9.9448245:view default:www336.1.com INA NXDOMAIN+NS NE NT ND NC”����,域名服務(wù)器一旦收到用戶的DNS查詢請(qǐng)求���,都會(huì)記錄該域名查詢請(qǐng)求的上述信息數(shù)據(jù)���。
[0004]然而,DNS查詢?nèi)罩疽矔?huì)降低DNS解析效率�����,嚴(yán)重時(shí)甚至妨礙用戶正常上網(wǎng)�。通常情況下���,DNS查詢?nèi)罩拘枰粚懭氲椒?wù)器磁盤文件中。由于磁盤的數(shù)據(jù)讀寫速度緩慢(通常不及隨機(jī)存儲(chǔ)器RAM速度的1/100)�����,導(dǎo)致記錄DNS查詢?nèi)罩境蔀镈NS服務(wù)器性能提升的瓶頸��。實(shí)驗(yàn)表明�����,當(dāng)服務(wù)器同時(shí)收到大量DNS查詢時(shí)�,由于DNS服務(wù)器日志功能的瓶頸所在��,導(dǎo)致服務(wù)器很快達(dá)到性能極限�,影響DNS服務(wù)器提供域名解析服務(wù),致使部分用戶無(wú)法上網(wǎng)�,甚至造成服務(wù)器崩潰。DNS查詢?nèi)罩竟δ茉贒NS服務(wù)器收到大量DNS查詢請(qǐng)求時(shí)����,已經(jīng)嚴(yán)重妨礙到DNS服務(wù)器的主要功能一域名解析服務(wù),表現(xiàn)出的弊端遠(yuǎn)遠(yuǎn)大于它帶來(lái)的益處��。
[0005]DoS(Denial of Service,拒絕服務(wù))攻擊是指攻擊者試圖通過(guò)傀偏計(jì)算機(jī)向域名服務(wù)器發(fā)送大量域名查詢,使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的域名服務(wù)����。DoS攻擊最早是由單機(jī)來(lái)完成的,隨著服務(wù)器系統(tǒng)性能與網(wǎng)絡(luò)帶寬的提高及安全防御設(shè)備(如防火墻�����、路由器等)對(duì)同一攻擊來(lái)源的DoS攻擊的檢測(cè)阻斷能力的提升�,DOS攻擊變得容易被察覺和防御。
[0006]如圖1所示��,DDoS(Distributed Denial of Service,分布式拒絕服務(wù))攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上發(fā)展起來(lái)的一類攻擊方式�。DDoS利用更多的傀儡機(jī)向目標(biāo)服務(wù)器發(fā)起大量合法的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)器資源,從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)��。相較DoS攻擊而言�����,DDoS攻擊成倍地提高了拒絕服務(wù)攻擊的威力��,且由于每個(gè)傀儡機(jī)發(fā)起的DNS服務(wù)請(qǐng)求數(shù)量少量且合理���,DDoS攻擊方式的無(wú)規(guī)律性����,導(dǎo)致DDoS攻擊源很難被確定,也就很難防御DDoS攻擊�。
[0007]正常情況下,DNS系統(tǒng)穩(wěn)定運(yùn)行時(shí)DNS服務(wù)器每秒域名查詢數(shù)(Query PerSecond,QPS)會(huì)長(zhǎng)期穩(wěn)定在一個(gè)合理范圍之內(nèi)(不排除正常情況下域名查詢請(qǐng)求量也會(huì)出現(xiàn)激增的情況��,但會(huì)很快回落到正常范圍)��,而在受到DoS���、DDoS攻擊時(shí),域名查詢請(qǐng)求量可能達(dá)到幾倍�、幾十倍或更高,并持續(xù)較長(zhǎng)時(shí)間�,此時(shí)服務(wù)器需要記錄的DNS查詢?nèi)罩疽矔?huì)成倍增加,從而導(dǎo)致DNS服務(wù)器性能由于日志的瓶頸而不能最大化���,即仍有大量cpu空閑����,但是用戶已經(jīng)無(wú)法得到解析結(jié)果�,無(wú)法上網(wǎng)。被DoS���、DDoS攻擊淹沒的遞歸服務(wù)器將丟失數(shù)據(jù)包且不能回復(fù)所有的DNS請(qǐng)求�,導(dǎo)致域名解析業(yè)務(wù)癱瘓,影響合法用戶的DNS解析查詢��。
[0008]綜上所述��,DNS服務(wù)器在需要處理大量域名查詢請(qǐng)求時(shí)��,其DNS查詢?nèi)罩竟δ艹蔀榱颂岣逥NS服務(wù)器處理能力極大障礙�����。特別是在DNS服務(wù)器受到DoS���、DDoS攻擊時(shí)�,如果能合理并自動(dòng)地根據(jù)查詢量調(diào)整DNS服務(wù)器的記錄日志功能將大大增強(qiáng)DNS服務(wù)器對(duì)攻擊的防御能力��,降低DoS�、DDoS攻擊造成的災(zāi)害與影響。
【發(fā)明內(nèi)容】
[0009]為解決上述技術(shù)問(wèn)題�,本發(fā)明提供了一種針對(duì)DNS服務(wù)防DDoS攻擊的方法及裝置,其中方法包括以下步驟:
[0010]實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的每秒域名查詢量����;
[0011]根據(jù)對(duì)比正常情況與異常情況下的每秒域名查詢量的變化情況��,在滿足第一設(shè)定條件下自動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ堋?br>
[0012]優(yōu)選地��,還包括以下步驟:
[0013]在滿足第二設(shè)定條件下���,自動(dòng)恢復(fù)DNS查詢?nèi)罩镜挠涗浌δ堋?br>
[0014]優(yōu)選地,所述第一設(shè)定條件為:
[0015]當(dāng)每秒域名查詢量大于一設(shè)定閾值時(shí)����,自動(dòng)啟動(dòng)計(jì)時(shí)器,從零開始計(jì)時(shí)�,在指定時(shí)間內(nèi)每秒域名查詢量持續(xù)大于此設(shè)定閾值。
[0016]優(yōu)選地�����,所述設(shè)定閾值為DNS服務(wù)器開啟日志功能所能處理的最大每秒查詢量�����。
[0017]優(yōu)選地����,所述指定時(shí)間默認(rèn)為10秒。
[0018]優(yōu)選地����,所述第二設(shè)定條件為:
[0019]當(dāng)每秒域名查詢量小于一設(shè)定閾值時(shí),自動(dòng)啟動(dòng)計(jì)時(shí)器�,從零開始計(jì)時(shí),在指定時(shí)間內(nèi)每秒域名查詢量持續(xù)小于此設(shè)定閾值�。
[0020]優(yōu)選地,所述設(shè)定閾值為DNS服務(wù)器開啟日志功能所能處理的最大每秒查詢量���。
[0021]優(yōu)選地��,所述指定時(shí)間默認(rèn)為10秒��。
[0022]本發(fā)明的另一方面還同時(shí)提供了一種針對(duì)DNS服務(wù)防DDoS攻擊的裝置��,包括遞歸服務(wù)器����,所述遞歸服務(wù)器中包括:
[0023]檢測(cè)模塊��,實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的每秒域名查詢量���;
[0024]控制模塊���,根據(jù)對(duì)比正常情況與異常情況下的每秒域名查詢量的變化情況����,在滿足第一設(shè)定條件下自動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ堋?br>
[0025]本發(fā)明通過(guò)實(shí)時(shí)監(jiān)測(cè)遞歸服務(wù)器的當(dāng)前并發(fā)遞歸請(qǐng)求量��,在適當(dāng)?shù)臅r(shí)候啟動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ?,消除在DNS服務(wù)器受到DOS,DDOS攻擊時(shí)DNS查詢?nèi)罩镜钠款i��,或者在滿足設(shè)定的條件下自動(dòng)恢復(fù)DNS查詢?nèi)罩镜挠涗浌δ?�,保證正常的DNS日志的存儲(chǔ)����。通過(guò)合理并靈活的自動(dòng)策略,可以提高DNS服務(wù)器處理域名請(qǐng)求的能力�����,最大限度地保障合法用戶的解析請(qǐng)求得到正常響應(yīng)��,既能有效抵抗DoS����,DDoS攻擊,又能滿足正常的業(yè)務(wù)量下的所有解析功能�。
【專利附圖】
【附圖說(shuō)明】
[0026]圖1是DDoS攻擊示意圖;
[0027]圖2是本發(fā)明的一個(gè)實(shí)施例中針對(duì)DNS服務(wù)防DDoS攻擊的方法流程示意圖�。
【具體實(shí)施方式】
[0028]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述��。顯然�����,所描述的實(shí)施例為實(shí)施本發(fā)明的較佳實(shí)施方式�����,所述描述是以說(shuō)明本發(fā)明的一般原則為目的�����,并非用以限定本發(fā)明的范圍�����。本發(fā)明的保護(hù)范圍應(yīng)當(dāng)以權(quán)利要求所界定者為準(zhǔn)���,基于本發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。
[0029]如圖2所示為本發(fā)明實(shí)施例一針對(duì)DNS服務(wù)防DDoS攻擊的方法流程圖���,如圖2所示�,該方法包括以下步驟:
[0030]步驟S101����,實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的每秒域名查詢量。
[0031]步驟S102�,根據(jù)對(duì)比正常情況與異常情況下的每秒域名查詢量的變化情況,在滿足第一設(shè)定條件下自動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ堋?br>
[0032]步驟S103:在滿足第二設(shè)定條件下����,自動(dòng)恢復(fù)DNS查詢?nèi)罩镜挠涗浌δ堋?br>
[0033]具體地,第一設(shè)定條件為:
[0034]當(dāng)每秒域名查詢量大于一設(shè)定閾值時(shí)��,自動(dòng)啟動(dòng)計(jì)時(shí)器����,從零開始計(jì)時(shí)����,在指定時(shí)間內(nèi)每秒域名查詢量持續(xù)大于此設(shè)定閾值���。
[0035]其中,設(shè)定閾值一般為DNS服務(wù)器開啟日志功能所能處理的最大每秒查詢量�����,閾值也可以根據(jù)本行業(yè)技術(shù)人員的需要去設(shè)定��,這里不作具體的限制���。
[0036]指定時(shí)間為10秒��,也可以為其他時(shí)間����。
[0037]第二設(shè)定條件為:
[0038]當(dāng)每秒域名查詢量小于一設(shè)定閾值時(shí)����,自動(dòng)啟動(dòng)計(jì)時(shí)器,從零開始計(jì)時(shí),在指定時(shí)間內(nèi)每秒域名查詢量持續(xù)小于此設(shè)定閾值。
[0039]其中��,設(shè)定閾值一般為DNS服務(wù)器開啟日志功能所能處理的最大每秒查詢量����,閾值也可以根據(jù)本行業(yè)技術(shù)人員的需要去設(shè)定����,這里不作具體的限制��。
[0040]指定時(shí)間為10秒����,也可以為其他時(shí)間。
[0041]【具體實(shí)施方式】為:
[0042]I)實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的QPS值M�����。
[0043]2)當(dāng)M大于某一設(shè)定閾值N(N通?��?梢栽O(shè)置為DNS服務(wù)器開啟日志功能時(shí)所能處理的最大QPS)時(shí)���,自動(dòng)啟動(dòng)計(jì)時(shí)器,從零開始計(jì)時(shí)����。
[0044]3)若在時(shí)間T (如:T = 10秒)時(shí)間內(nèi),M持續(xù)大于N���,時(shí)間T計(jì)時(shí)一到立刻關(guān)閉DNS查詢?nèi)罩竟δ?���,停止?jì)時(shí)�。
[0045]4)當(dāng)M小于閾值N時(shí),自動(dòng)啟動(dòng)計(jì)時(shí)器,從零開始計(jì)時(shí)�����。
[0046]5)若在時(shí)間T內(nèi)���,M持續(xù)小于N����,計(jì)時(shí)一到立刻開啟DNS查詢?nèi)罩竟δ?���,停止?jì)時(shí)。重回步驟2)����。
[0047]另外,本發(fā)明還公開了一種針對(duì)DNS服務(wù)防DDoS攻擊的裝置�����,包括遞歸服務(wù)器,其中遞歸服務(wù)器包括:
[0048]檢測(cè)模塊��,實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的每秒域名查詢量��;
[0049]控制模塊�����,根據(jù)對(duì)比正常情況與異常情況下的每秒域名查詢量的變化情況����,在滿足第一設(shè)定條件下自動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ堋?br>
[0050]本發(fā)明通過(guò)實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的每秒域名查詢量QPS,根據(jù)DNS服務(wù)器的正常流量值以及記錄文件日志時(shí)的最大QPS值等參數(shù)�,對(duì)比正常情況和異常情況下的QPS變化情況,在滿足設(shè)定的條件下自動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ?,消除在DNS服務(wù)器受到DoS,DDoS攻擊時(shí)DNS查詢?nèi)罩镜钠款i�����,或者在滿足設(shè)定的條件下自動(dòng)恢復(fù)DNS查詢?nèi)罩镜挠涗浌δ?���,保證正常的DNS日志的存儲(chǔ)�。通過(guò)合理并靈活的自動(dòng)策略����,可以提高DNS服務(wù)器處理域名請(qǐng)求的能力,最大限度地保障合法用戶的解析請(qǐng)求得到正常響應(yīng)�����,既能有效抵抗DoS�����,DDoS攻擊�����,又能滿足正常的業(yè)務(wù)量下的所有解析功能���。
[0051]上述說(shuō)明示出并描述了本發(fā)明的若干優(yōu)選實(shí)施例,但如前所述�����,應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式,不應(yīng)看作是對(duì)其他實(shí)施例的排除�����,而可用于各種其他組合����、修改和環(huán)境,并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi)��,通過(guò)上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識(shí)進(jìn)行改動(dòng)���。而本領(lǐng)域人員所進(jìn)行的改動(dòng)和變化不脫離本發(fā)明的精神和范圍���,則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.一種針對(duì)DNS服務(wù)防DDoS攻擊的方法��,包括以下步驟: 實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的每秒域名查詢量���; 根據(jù)對(duì)比正常情況與異常情況下的每秒域名查詢量的變化情況���,在滿足第一設(shè)定條件下自動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ堋?br>
2.如權(quán)利要求1一種針對(duì)DNS服務(wù)防DDoS攻擊的方法,還包括以下步驟: 在滿足第二設(shè)定條件下�����,自動(dòng)恢復(fù)DNS查詢?nèi)罩镜挠涗浌δ堋?br>
3.如權(quán)利要求1所述一種針對(duì)DNS服務(wù)防DDoS攻擊的方法,其特征在于,所述第一設(shè)定條件為: 當(dāng)每秒域名查詢量大于一設(shè)定閾值時(shí),自動(dòng)啟動(dòng)計(jì)時(shí)器��,從零開始計(jì)時(shí)�,在指定時(shí)間內(nèi)每秒域名查詢量持續(xù)大于此設(shè)定閾值。
4.如權(quán)利要求3所述一種針對(duì)DNS服務(wù)防DDoS攻擊的方法�����,其特征在于����,所述設(shè)定閾值為DNS服務(wù)器開啟日志功能所能處理的最大每秒查詢量��。
5.如權(quán)利要求3所述一種針對(duì)DNS服務(wù)防DDoS攻擊的方法��,其特征在于�,所述指定時(shí)間默認(rèn)為10秒。
6.如權(quán)利要求2所述一種針對(duì)DNS服務(wù)防DDoS攻擊的方法�����,其特征在于�����,所述第二設(shè)定條件為: 當(dāng)每秒域名查詢量小于一設(shè)定閾值時(shí),自動(dòng)啟動(dòng)計(jì)時(shí)器�,從零開始計(jì)時(shí),在指定時(shí)間內(nèi)每秒域名查詢量持續(xù)小于此設(shè)定閾值���。
7.如權(quán)利要求6所述一種針對(duì)DNS服務(wù)防DDoS攻擊的方法��,其特征在于��,所述設(shè)定閾值為DNS服務(wù)器開啟日志功能所能處理的最大每秒查詢量�����。
8.如權(quán)利要求6所述一種針對(duì)DNS服務(wù)防DDoS攻擊的方法�,其特征在于�����,所述指定時(shí)間默認(rèn)為10秒����。
9.一種針對(duì)DNS服務(wù)防DDoS攻擊的裝置,包括遞歸服務(wù)器����,其特征在于��,所述遞歸服務(wù)器中包括: 檢測(cè)模塊����,實(shí)時(shí)監(jiān)測(cè)DNS服務(wù)器的每秒域名查詢量����; 控制模塊,根據(jù)對(duì)比正常情況與異常情況下的每秒域名查詢量的變化情況����,在滿足第一設(shè)定條件下自動(dòng)關(guān)閉DNS查詢?nèi)罩竟δ堋?br>
【文檔編號(hào)】H04L29/06GK104202344SQ201410509827
【公開日】2014年12月10日 申請(qǐng)日期:2014年9月28日 優(yōu)先權(quán)日:2014年9月28日
【發(fā)明者】劉貴榮, 韓楓, 蔣超 申請(qǐng)人:互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心有限公司, 北龍中網(wǎng)(北京)科技有限責(zé)任公司