專利名稱:防范dns請(qǐng)求報(bào)文泛洪攻擊的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種防范DNS請(qǐng)求報(bào)文泛洪 (DNS Query Flood)攻擊的方法及設(shè)備。
技術(shù)背景域名系統(tǒng)(Domain Name System, DNS )是一種用于TCP/IP應(yīng)用程序的 分布式數(shù)據(jù)庫(kù),提供域名與IP地址之間的轉(zhuǎn)換。通過(guò)域名系統(tǒng),用戶進(jìn)行某 些應(yīng)用時(shí),可以直接使用便于記憶的、有意義的域名,而由網(wǎng)絡(luò)中的DNS月l 務(wù)器將域名解析為正確的IP地址。圖1為DNS客戶端與DNS服務(wù)器交互過(guò)程示意圖。如圖1所示,DNS 客戶端通過(guò)向DNS月良務(wù)器發(fā)送DNS請(qǐng)求報(bào)文(DNS Query )獲取域名對(duì)應(yīng)的 IP地址。DNS服務(wù)器在接收到DNS請(qǐng)求報(bào)文以后,根據(jù)請(qǐng)求的域名進(jìn)行查找, 有時(shí)還需要向上級(jí)DNS服務(wù)器請(qǐng)求。DNS服務(wù)器在最終得到DNS客戶端請(qǐng) 求的域名對(duì)應(yīng)的IP地址后,發(fā)送DNS響應(yīng)報(bào)文(DNS Reply)通知DNS客戶 端,DNS客戶端就可以向此IP地址請(qǐng)求網(wǎng)絡(luò)服務(wù)了。另外,在設(shè)置了 DNS代理的情形下,DNS客戶端并不直接向DNS服務(wù) 器發(fā)送DNS請(qǐng)求報(bào)文,而是將DNS請(qǐng)求報(bào)文發(fā)送到DNS代理,通過(guò)DNS代 理和DNS服務(wù)器的交互獲取對(duì)應(yīng)的IP地址。為便于描述,在本文中,將DNS 代理和DNS服務(wù)器統(tǒng)稱為DNS服務(wù)端設(shè)備。DNS請(qǐng)求報(bào)文和DNS響應(yīng)報(bào)文格式如圖2所示,其中,16比特(bit) 的標(biāo)志字段被劃分為若干子字段,參照?qǐng)D3,各子字段的含義如下QR是lbit字段,0表示請(qǐng)求報(bào)文,l表示響應(yīng)報(bào)文;opcode是4bit字段,通常值為0 (標(biāo)準(zhǔn)查詢),其他值為1 (反向查詢) 和2 (服務(wù)器狀態(tài)請(qǐng)求);AA是lbit字段,表示"授權(quán)回答(authoritative answer)",其值為1時(shí)表 示該域名服務(wù)器是:l受權(quán)于該域的;TC是lbit字段,表示"可截?cái)嗟?truncated)",其值為1時(shí)表示信息長(zhǎng) 度超過(guò)報(bào)文長(zhǎng)度限制;RD是lbit字段,表示"期望遞歸(recursion desired)"; RA是lbit字段,表示"可用遞歸,,; 隨后3bit必須為0;rcode是4bit字段,通常值為0 (沒(méi)有差錯(cuò))和3 (名字差錯(cuò))。 根據(jù)協(xié)議,DNS客戶端可以使用TCP或者UDP協(xié)議與域名服務(wù)器通信。 使用TCP協(xié)議進(jìn)行通信的交互過(guò)程為(1 ) DNS客戶端向域名服務(wù)器發(fā)起TCP協(xié)議的三次握手(2)握手成功以后,TCP連接建立;(3 ) DNS客戶端向域名服務(wù)器發(fā)送DNS查詢報(bào)文;(4) 域名服務(wù)器向DNS客戶端回應(yīng);(5) 斷開(kāi)TCP連接。使用UDP協(xié)議進(jìn)行通信時(shí),DNS客戶端直接向域名服務(wù)器發(fā)送DNS查 詢請(qǐng)求,域名服務(wù)器根據(jù)請(qǐng)求內(nèi)容做出回應(yīng)。根據(jù)DNS使用承載協(xié)議(TCP/UDP )的不同,DNS請(qǐng)求才艮文泛洪攻擊的 方式也分為兩種(一) 基于TCP協(xié)議的攻擊典型的攻擊方式為SYN泛洪攻擊。攻擊者通過(guò)偽造大量的不同源IP地址 的TCPSYN報(bào)文,向服務(wù)器發(fā)起連接。服務(wù)器收到此才艮文后用SYN/ACK應(yīng) 答,而此應(yīng)答發(fā)出去后,不會(huì)收到ACK報(bào)文,這樣便形成了一個(gè)TCP半連接。 如果攻擊者發(fā)送大量這樣的SYN報(bào)文,會(huì)在被攻擊主機(jī)上出現(xiàn)大量的半連接, 消耗盡其資源,使正常的用戶無(wú)法訪問(wèn)。針對(duì)這種攻擊,目前較常見(jiàn)的做法是檢查TCP的cookie值來(lái)判斷其合法 性,最終達(dá)到對(duì)非法請(qǐng)求丟棄、合法請(qǐng)求回應(yīng)的精確防范。(二) 基于UDP協(xié)議的攻擊由于域名查詢的過(guò)程比較耗時(shí),攻擊者通過(guò)向域名服務(wù)器發(fā)送大量DNS 請(qǐng)求報(bào)文,將正常用戶的DNS請(qǐng)求報(bào)文淹沒(méi),并使域名服務(wù)器無(wú)法正常工作 而拒絕服務(wù)。采用UDP協(xié)議的DNS攻擊是一種UDP泛洪攻擊,由于UDP并不是面向 連接的,報(bào)文相對(duì)獨(dú)立,沒(méi)有相關(guān)性,因此對(duì)于這種攻擊目前沒(méi)有做到精確過(guò) 濾。目前較常見(jiàn)的攻擊防范做法是檢測(cè)發(fā)往特定IP或特定域(該IP/域就是 被保護(hù)的主機(jī)/域)的UDP報(bào)文的速率,如果速率超過(guò)域值則判定受到攻擊, 丟棄所有UDP纟艮文。采用UDP方式的DNS攻擊,目前的防范方法無(wú)法做到精確過(guò)濾當(dāng)設(shè)備 檢測(cè)到攻擊存在時(shí)直接丟棄后續(xù)收到的所有UDP報(bào)文,這會(huì)導(dǎo)致被攻擊報(bào)文 淹沒(méi)的合法用戶請(qǐng)求也無(wú)法得到處理,最終對(duì)所有合法用戶拒絕服務(wù)。 發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種防范DNS請(qǐng)求報(bào)文泛洪攻擊的方 法及設(shè)備,以丟棄非法的UDP承載的DNS請(qǐng)求,并使合法的UDP承載的DNS 請(qǐng)求能夠得到回應(yīng)。為解決上述技術(shù)問(wèn)題,本發(fā)明提供技術(shù)方案如下一種防范DNS請(qǐng)求報(bào)文泛洪攻擊的方法,包括DNS服務(wù)端接收DNS客戶端發(fā)送的UDP承載的DNS請(qǐng)求報(bào)文;DNS服務(wù)端向DNS客戶端發(fā)送DNS響應(yīng)報(bào)文,并將所述DNS響應(yīng)報(bào)文 中的TC和AA標(biāo)志位置1;DNS服務(wù)端在預(yù)設(shè)時(shí)間內(nèi)接收到DNS客戶端發(fā)送的TCP SYN報(bào)文時(shí), 通過(guò)TCP cookie方式檢測(cè)DNS客戶端的合法性。上述的方法,其中,還包括DNS服務(wù)端在預(yù)設(shè)時(shí)間內(nèi)沒(méi)有接收到DNS 客戶端發(fā)送的TCPSYN報(bào)文時(shí),直接確定該DNS客戶端非法。上述的方法,其中,所述通過(guò)TCP cookie方式檢測(cè)DNS客戶端的合法性 具體包括DNS服務(wù)端向DNS客戶端回應(yīng)SYN/ACK報(bào)文,并將cookie填充 在所述SYN/ACK報(bào)文的seq域中;DNS服務(wù)端接收到DNS客戶端回應(yīng)的ACK 凈艮文以后,檢查所述回應(yīng)的ACK報(bào)文中seq域的值是否為cookie+1,若是, 確定該DNS客戶端合法,否則,確定該DNS客戶端非法。上述的方法,其中,還包括DNS服務(wù)端在確定DNS客戶端非法時(shí),丟 棄該DNS客戶端后續(xù)發(fā)送的所有報(bào)文。上述的方法,其中,所述DNS服務(wù)端為DNS服務(wù)器或者DNS代理。一種DNS服務(wù)端設(shè)備,包括第一 UDP模塊,用于接收DNS客戶端發(fā)送的UDP承載的DNS請(qǐng)求報(bào)文, 向DNS客戶端發(fā)送DNS響應(yīng)報(bào)文,并將所述DNS響應(yīng)報(bào)文中的TC和AA 標(biāo)志j立置1;第一TCP模塊,用于接收DNS客戶端發(fā)送的TCPSYN報(bào)文,向DNS客 戶端回應(yīng)SYN/ACK報(bào)文,并將cookie填充在所述SYN/ACK報(bào)文的seq域中, 以及接收DNS客戶端回應(yīng)的ACK報(bào)文;第一判斷模塊,用于檢查所述回應(yīng)的ACK報(bào)文中seq域的值是否為 cookie+l,若是,確定該DNS客戶端合法,否則,確定該DNS客戶端非法。一種DNS客戶端設(shè)備,包括第二UDP模塊,用于采用UDP協(xié)議發(fā)送DNS請(qǐng)求報(bào)文,并接收DNS服 務(wù)端發(fā)送的DNS響應(yīng)報(bào)文;第二判斷模塊,用于檢查所述DNS響應(yīng)報(bào)文中的TC和AA標(biāo)志位是否 為1,在確定所述TC和AA標(biāo)志位為1時(shí),發(fā)送重新請(qǐng)求消息到第二TCP模 塊;第二TCP模塊,用于在接收到所述重新請(qǐng)求消息時(shí),采用TCP協(xié)議重新 進(jìn)行請(qǐng)求,發(fā)送TCP的SYN報(bào)文,以及在接收到DNS服務(wù)端發(fā)送的SYN/ACK 報(bào)文時(shí),回應(yīng)TCPACK報(bào)文,并將cookie+l填充在所述TCP ACK報(bào)文的seq 域中。一種防范DNS請(qǐng)求報(bào)文泛洪攻擊的方法,包括 DNS客戶端采用UDP協(xié)議發(fā)送DNS請(qǐng)求報(bào)文;DNS服務(wù)端接收到所述DNS請(qǐng)求報(bào)文后,向DNS客戶端發(fā)送DNS響應(yīng) 報(bào)文,并將所述DNS響應(yīng)報(bào)文中的TC和AA標(biāo)志位置1;DNS客戶端接收到TC和AA標(biāo)志位為1的DNS響應(yīng)報(bào)文以后,采用TCP 協(xié)議重新進(jìn)行請(qǐng)求,發(fā)送TCP的SYN報(bào)文;DNS服務(wù)端在預(yù)設(shè)時(shí)間內(nèi)接收到DNS客戶端發(fā)送的TCP SYN報(bào)文時(shí), 通過(guò)TCP cookie方式檢測(cè)DNS客戶端的合法性。與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是當(dāng)采用UDP承載的DNS請(qǐng)求報(bào)文泛洪攻擊發(fā)生時(shí),相對(duì)于其他UDP泛洪攻擊檢測(cè)技術(shù),本發(fā)明能有效的鑒別DNS請(qǐng)求的合法性,減少或者避免DNS服務(wù)器受到攻擊,并確保合法的DNS請(qǐng)求能夠得到回應(yīng)。
圖1為現(xiàn)有技術(shù)中DNS客戶端與DNS服務(wù)器交互過(guò)程示意圖; 圖2為現(xiàn)有技術(shù)中DNS請(qǐng)求報(bào)文和DNS響應(yīng)報(bào)文格式示意圖; 圖3為圖2中16比特的標(biāo)志字段的格式示意圖; 圖4為本發(fā)明實(shí)施例的防范DNS請(qǐng)求才艮文泛洪攻擊的方法示意圖; 圖5為本發(fā)明實(shí)施例的DNS服務(wù)端設(shè)備的結(jié)構(gòu)示意圖; 圖6為本發(fā)明實(shí)施例的DNS客戶端設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施方式
本發(fā)明的關(guān)鍵在于,將UDP承載的DNS請(qǐng)求報(bào)文泛洪攻擊防范轉(zhuǎn)化為 TCP的SYN報(bào)文泛洪攻擊防范。具體地,DNS月艮務(wù)端接收到UDP承載的DNS 請(qǐng)求報(bào)文以后,向DNS客戶端發(fā)送TC和AA標(biāo)志位都為1的DNS響應(yīng)報(bào)文; DNS客戶端接收到這樣的DNS響應(yīng)報(bào)文以后,重新以TCP協(xié)議發(fā)起DNS請(qǐng) 求。由于那些偽造源IP的DNS請(qǐng)求不會(huì)重新以TCP方式發(fā)起DNS請(qǐng)求,這 就可以過(guò)濾大多數(shù)偽造源IP的攻擊報(bào)文。然后,DNS服務(wù)端設(shè)備再通過(guò)TCP cookie方式檢測(cè)DNS客戶端的合法性,并響應(yīng)所有合法客戶端的DNS請(qǐng)求。為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí) 施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。參照?qǐng)D4,本發(fā)明實(shí)施例的防范DNS請(qǐng)求報(bào)文泛洪攻擊的方法主要包括 如下步驟步驟SI 、 DNS客戶端采用UDP協(xié)議發(fā)送DNS請(qǐng)求報(bào)文;步驟S2、 DNS服務(wù)端接收到DNS請(qǐng)求報(bào)文以后,確定該報(bào)文以UDP承載,則向DNS客戶端發(fā)送DNS響應(yīng)報(bào)文,并將報(bào)文中的TC和AA標(biāo)志位置1;步驟S3、DNS客戶端接收到TC和AA標(biāo)志位為1的DNS響應(yīng)報(bào)文以后, 采用TCP協(xié)議重新進(jìn)行請(qǐng)求,發(fā)送TCP的SYN報(bào)文;步驟S4、 DNS服務(wù)端接收到TCP SYN才艮文以后,向DNS客戶端回應(yīng) SYN/ACK報(bào)文,并將cookie填充在報(bào)文的seq域中;步驟S5、 DNS客戶端回應(yīng)ACK報(bào)文;步驟S6、 DNS服務(wù)端接收到ACK報(bào)文以后,根據(jù)seq值進(jìn)行合法性檢測(cè)。 在步驟S6中,DNS服務(wù)端檢查seq值是否為cookie+l ,若是,確定此DNS客戶端合法,再接收到此客戶發(fā)送的UDP承載的DNS請(qǐng)求報(bào)文時(shí),對(duì)該請(qǐng)求報(bào)文進(jìn)行回應(yīng)。在步驟S2之后,DNS服務(wù)端如果在預(yù)設(shè)時(shí)間內(nèi)沒(méi)有接收到DNS客戶端 發(fā)送的TCPSYN報(bào)文,或者在步驟S6中,所述s叫值不為cookie+l,則可以 確定該DNS客戶端非法,丟棄該客戶端后續(xù)發(fā)送的所有報(bào)文。依照上述實(shí)施例的方法,可以做到對(duì)非法DNS請(qǐng)求的精確過(guò)濾,保證合 法DNS請(qǐng)求能夠正常獲得服務(wù)。DNS客戶端的合法性檢測(cè)出來(lái)后,如果DNS服務(wù)端為DNS服務(wù)器,則 在獲取到對(duì)應(yīng)的IP地址后,將該IP地址通過(guò)DNS響應(yīng)才艮文發(fā)送到客戶端; 如果DNS服務(wù)端為DNS代理,則利用TCP代理技術(shù),向DNS服務(wù)器進(jìn)行 UDP的DNS請(qǐng)求,再將DNS服務(wù)器的回應(yīng)以TCP方式發(fā)送到DNS客戶端。在本發(fā)明的其他實(shí)施例中,在合法性檢測(cè)出來(lái)后,也可以直接向DNS客 戶端發(fā)送TCP的RESET報(bào)文,斷開(kāi)TCP連接,等待該客戶端的下一次DNS 請(qǐng)求到達(dá)后(不必再做上述檢查過(guò)程),直接進(jìn)行回應(yīng)。參照?qǐng)D5,本發(fā)明實(shí)施例的DNS服務(wù)端設(shè)備主要包括第一UDP模塊、第 一TCP模塊和第一判斷模塊,其中所述第一 UDP模塊用于接收DNS客戶端發(fā)送的UDP承載的DNS請(qǐng)求報(bào) 文,向DNS客戶端發(fā)送DNS響應(yīng)報(bào)文,并將所述DNS響應(yīng)報(bào)文中的TC和 AA標(biāo)志位置1;所述第一 TCP模塊用于接收DNS客戶端發(fā)送的TCP SYN報(bào)文,向DNS 客戶端回應(yīng)SYN/ACK報(bào)文,并將cookie填充在所述SYN/ACK報(bào)文的seq域 中,以及接收DNS客戶端回應(yīng)的ACK報(bào)文;所述第一判斷模塊用于檢查所述回應(yīng)的ACK報(bào)文中s叫域的值是否為 cookie+l,若是,確定該DNS客戶端合法,否則,確定該DNS客戶端非法。所述第一判斷模塊還用于在所述第一 TCP模塊在預(yù)設(shè)時(shí)間內(nèi)沒(méi)有接收到 DNS客戶端發(fā)送的TCP SYN報(bào)文時(shí),直接確定該DNS客戶端非法。參照?qǐng)D6,本發(fā)明實(shí)施例的DNS客戶端設(shè)備主要包括第二UDP模塊、第 二TCP模塊和第二判斷模塊,其中所述第二 UDP模塊用于采用UDP協(xié)議發(fā)送DNS請(qǐng)求才艮文,并接收DNS 服務(wù)端發(fā)送的DNS響應(yīng)報(bào)文;所述第二判斷模塊,用于檢查所述DNS響應(yīng)報(bào)文中的TC和AA標(biāo)志位 是否為1,在確定所述TC和AA標(biāo)志位為1時(shí),發(fā)送重新請(qǐng)求消息到所述第 二TCP模塊;所述第二TCP模塊,用于在接收到所述重新請(qǐng)求消息時(shí),采用TCP協(xié)議 重新進(jìn)行請(qǐng)求,發(fā)送TCP的SYN報(bào)文,以及在接收到DNS服務(wù)端發(fā)送的 SYN/ACK報(bào)文時(shí),回應(yīng)TCPACK報(bào)文,并將cookie+l填充在所述TCP ACK 4艮文的s叫域中。最后應(yīng)當(dāng)說(shuō)明的是,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制, 本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同 替換,而不脫離本發(fā)明技術(shù)方案的精神范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求 范圍當(dāng)中。
權(quán)利要求
1.一種防范DNS請(qǐng)求報(bào)文泛洪攻擊的方法,其特征在于,包括DNS服務(wù)端接收DNS客戶端發(fā)送的UDP承載的DNS請(qǐng)求報(bào)文;DNS服務(wù)端向DNS客戶端發(fā)送DNS響應(yīng)報(bào)文,并將所述DNS響應(yīng)報(bào)文中的TC和AA標(biāo)志位置1;DNS服務(wù)端在預(yù)設(shè)時(shí)間內(nèi)接收到DNS客戶端發(fā)送的TCP SYN報(bào)文時(shí),通過(guò)TCP cookie方式檢測(cè)DNS客戶端的合法性。
2. 如權(quán)利要求1所述的方法,其特征在于,還包括DNS服務(wù)端在預(yù)設(shè)時(shí)間內(nèi)沒(méi)有接收到DNS客戶端發(fā)送的TCP SYN報(bào)文 時(shí),直接確定該DNS客戶端非法。
3. 如權(quán)利要求1所述的方法,其特征在于,所述通過(guò)TCP cookie方式檢 測(cè)DNS客戶端的合法性具體包括DNS服務(wù)端向DNS客戶端回應(yīng)SYN/ACK報(bào)文,并將cookie填充在所述 SYN/ACK報(bào)文的seq域中;DNS服務(wù)端接收到DNS客戶端回應(yīng)的ACK報(bào)文以后,檢查所述回應(yīng)的 ACK報(bào)文中seq域的值是否為cookie+1,若是,確定該DNS客戶端合法,否 則,確定該DNS客戶端非法。
4. 如權(quán)利要求2或3所述的方法,其特征在于,還包括DNS服務(wù)端在確定DNS客戶端非法時(shí),丟棄該DNS客戶端后續(xù)發(fā)送的 所有報(bào)文。
5. 如權(quán)利要求1所述的方法,其特征在于 所述DNS服務(wù)端為DNS服務(wù)器或者DNS代理。
6. —種DNS服務(wù)端設(shè)備,其特征在于,包括第一 UDP模塊,用于接收DNS客戶端發(fā)送的UDP承載的DNS請(qǐng)求報(bào)文, 向DNS客戶端發(fā)送DNS響應(yīng)報(bào)文,并將所述DNS響應(yīng)報(bào)文中的TC和AA 才示志位置1;第一TCP模塊,用于接收DNS客戶端發(fā)送的TCPSYN報(bào)文,向DNS客 戶端回應(yīng)SYN/ACK報(bào)文,并將cookie填充在所述SYN/ACK報(bào)文的s叫域中,以及接收DNS客戶端回應(yīng)的ACK報(bào)文;第一判斷模塊,用于檢查所述回應(yīng)的ACK報(bào)文中seq域的值是否為 cookie+l,若是,確定該DNS客戶端合法,否則,確定該DNS客戶端非法。
7. 如權(quán)利要求6所述的設(shè)備,其特征在于所述第一判斷模塊,還用于在所述第一 TCP模塊在預(yù)設(shè)時(shí)間內(nèi)沒(méi)有接收 到DNS客戶端發(fā)送的TCP SYN報(bào)文時(shí),直接確定該DNS客戶端非法。
8. —種DNS客戶端設(shè)備,其特征在于,包括第二UDP模塊,用于采用UDP協(xié)議發(fā)送DNS請(qǐng)求報(bào)文,并接收DNS服 務(wù)端發(fā)送的DNS響應(yīng)報(bào)文;第二判斷模塊,用于檢查所述DNS響應(yīng)報(bào)文中的TC和AA標(biāo)志位是否 為1,在確定所述TC和AA標(biāo)志位為1時(shí),發(fā)送重新請(qǐng)求消息到第二TCP模 塊;第二TCP模塊,用于在接收到所述重新請(qǐng)求消息時(shí),采用TCP協(xié)議重新 進(jìn)行請(qǐng)求,發(fā)送TCP的SYN報(bào)文,以及在接收到DNS服務(wù)端發(fā)送的SYN/ACK 報(bào)文時(shí),回應(yīng)TCPACK報(bào)文,并將cookie+l填充在所述TCP ACK報(bào)文的seq 域中。
9. 一種防范DNS請(qǐng)求報(bào)文泛洪攻擊的方法,其特征在于,包括 DNS客戶端采用UDP協(xié)議發(fā)送DNS請(qǐng)求報(bào)文;DNS服務(wù)端接收到所述DNS請(qǐng)求報(bào)文后,向DNS客戶端發(fā)送DNS響應(yīng) 報(bào)文,并將所述DNS響應(yīng)報(bào)文中的TC和AA標(biāo)志位置1;DNS客戶端接收到TC和AA標(biāo)志位為1的DNS響應(yīng)報(bào)文以后,采用TCP 協(xié)議重新進(jìn)行請(qǐng)求,發(fā)送TCP的SYN報(bào)文;DNS服務(wù)端在預(yù)設(shè)時(shí)間內(nèi)接收到DNS客戶端發(fā)送的TCP SYN報(bào)文時(shí), 通過(guò)TCP cookie方式檢測(cè)DNS客戶端的合法性。
10. 如權(quán)利要求9所述的方法,其特征在于,還包括DNS服務(wù)端在預(yù)設(shè)時(shí)間內(nèi)沒(méi)有接收到DNS客戶端發(fā)送的TCP SYN報(bào)文 時(shí),直接確定該DNS客戶端非法。
全文摘要
本發(fā)明提供一種防范DNS請(qǐng)求報(bào)文泛洪攻擊的方法及設(shè)備。所述方法包括DNS服務(wù)端接收DNS客戶端發(fā)送的UDP承載的DNS請(qǐng)求報(bào)文;DNS服務(wù)端向DNS客戶端發(fā)送DNS響應(yīng)報(bào)文,并將所述DNS響應(yīng)報(bào)文中的TC和AA標(biāo)志位置1;DNS服務(wù)端在預(yù)設(shè)時(shí)間內(nèi)接收到DNS客戶端發(fā)送的TCP SYN報(bào)文時(shí),通過(guò)TCP cookie方式檢測(cè)DNS客戶端的合法性。依照本發(fā)明,能夠有效的防范UDP承載的DNS請(qǐng)求報(bào)文對(duì)DNS服務(wù)器的泛洪攻擊。
文檔編號(hào)H04L29/06GK101282209SQ200810106458
公開(kāi)日2008年10月8日 申請(qǐng)日期2008年5月13日 優(yōu)先權(quán)日2008年5月13日
發(fā)明者張仲虎 申請(qǐng)人:杭州華三通信技術(shù)有限公司