亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種抵抗DNS攻擊的方法及裝置與流程

文檔序號(hào):12730671閱讀:283來(lái)源:國(guó)知局
一種抵抗DNS攻擊的方法及裝置與流程

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種抵抗DNS攻擊的方法及裝置。



背景技術(shù):

DNS(Domain Name System,域名解析系統(tǒng))是互聯(lián)網(wǎng)架構(gòu)中的最基礎(chǔ)、最核心的一項(xiàng)服務(wù),它的作用是實(shí)現(xiàn)域名和IP(Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)地址相互映射,使上網(wǎng)者能方便的訪問(wèn)互聯(lián)網(wǎng),而不用去記憶枯燥繁瑣的IP數(shù)字串,為眾多網(wǎng)絡(luò)應(yīng)用提供根本性支撐。

由于DNS系統(tǒng)天生的公開性、脆弱性等特點(diǎn),使其成為攻擊者首選的攻擊目標(biāo),其中DNS遞歸攻擊最難防范。所謂遞歸攻擊,即通過(guò)隨機(jī)構(gòu)造大量域名解析請(qǐng)求,讓DNS持續(xù)進(jìn)行迭代查詢,迅速地耗盡DNS的遞歸資源,從而使得DNS的可用性降低或完全喪失。由于域名服務(wù)器的緩存應(yīng)答能力現(xiàn)在一般都很高,而遞歸能力卻相對(duì)較低,通過(guò)發(fā)起遞歸攻擊,較傳統(tǒng)的流量型DNS DDoS(Distributed Denial of Service,分布式拒絕服務(wù))攻擊而言,具有操作成本較低,攻擊效果好的特征,所以遞歸攻擊日益成為黑客青睞的DNS攻擊手段,且呈愈演愈烈之勢(shì)。如何為DNS服務(wù)器提供有效的拒絕服務(wù)攻擊的防御,是全世界DNS系統(tǒng)面臨的技術(shù)難題。

現(xiàn)有的抵御DNS遞歸攻擊的防護(hù)技術(shù)包括如下:為保證遞歸DNS能夠正常遞歸,不因?yàn)镈NS請(qǐng)求量過(guò)高而過(guò)載,可對(duì)每秒的遞歸查詢請(qǐng)求總量進(jìn)行控制,超過(guò)閥值的請(qǐng)求直接丟棄。

現(xiàn)有的技術(shù)存在如下問(wèn)題:雖然可以防止DNS遞歸資源不被耗盡,但大多數(shù)用戶的正常DNS解析請(qǐng)求流量隨攻擊流量一起被丟棄而誤傷,實(shí)際效果 等同于斷網(wǎng)。

綜上所述,現(xiàn)有技術(shù)抵御DNS遞歸攻擊的方法存在容易影響大部分用戶正常上網(wǎng)的技術(shù)問(wèn)題。



技術(shù)實(shí)現(xiàn)要素:

本發(fā)明提供一種抵抗DNS攻擊的方法及裝置,用以解決現(xiàn)有技術(shù)中存在的容易影響大部分用戶正常上網(wǎng)的技術(shù)問(wèn)題。

一方面,本發(fā)明實(shí)施例提供一種抵抗DNS攻擊的方法,包括:

接收終端發(fā)送的DNS查詢請(qǐng)求;

根據(jù)域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系,確定所述DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組,其中服務(wù)器組有多個(gè),服務(wù)器組之間在物理上相互獨(dú)立,每個(gè)服務(wù)器組中包括至少一個(gè)服務(wù)器;

將所述DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢。

可選地,根據(jù)下列方法確定域名的優(yōu)先級(jí):

根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS,將所有域名劃分為多個(gè)優(yōu)先級(jí)。

可選地,根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS,將所有域名劃分為多個(gè)優(yōu)先級(jí),包括:

確定設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS;

將對(duì)應(yīng)的QPS排名前M的一級(jí)域名以及包含該一級(jí)域名的所有域名,確定為高優(yōu)先級(jí)域名,M為正整數(shù);

將除高優(yōu)先級(jí)域名之外的所有域名,確定為低優(yōu)先級(jí)域名。

可選地,確定所述DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組之后,還包括:

若所述域名為高優(yōu)先級(jí)域名,且所述域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第一閾值,則發(fā)送告警信息;

若所述域名為低優(yōu)先級(jí)域名,且所述域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第二閾值,則丟棄所述DNS查詢請(qǐng)求。

可選地,根據(jù)下列方式確定所述第一閾值:

將QPS值最大的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,作為所述第一閾值;

根據(jù)下列方式確定所述第二閾值:

將QPS值最小的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,作為所述第二閾值。

另一方面,本發(fā)明實(shí)施例提供的一種抵抗DNS攻擊的裝置,包括:

接收單元,用于接收終端發(fā)送的DNS查詢請(qǐng)求;

確定單元,用于根據(jù)域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系,確定所述DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組,其中服務(wù)器組有多個(gè),服務(wù)器組之間在物理上相互獨(dú)立,每個(gè)服務(wù)器組中包括至少一個(gè)服務(wù)器;

轉(zhuǎn)發(fā)單元,用于將所述DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢。

可選地,所述確定單元,還用于:

根據(jù)下列方法確定域名的優(yōu)先級(jí):

根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS,將所有域名劃分為多個(gè)優(yōu)先級(jí)。

可選地,所述確定單元,還用于:

確定設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS;

將對(duì)應(yīng)的QPS排名前M的一級(jí)域名以及包含該一級(jí)域名的所有域名,確定為高優(yōu)先級(jí)域名,M為正整數(shù);

將除高優(yōu)先級(jí)域名之外的所有域名,確定為低優(yōu)先級(jí)域名。

可選地,所述確定單元,還用于:

確定所述DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組之后,若所述域名為高優(yōu)先級(jí)域名,且所述域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第一閾值,則發(fā)送告警信息;

若所述域名為低優(yōu)先級(jí)域名,且所述域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第二閾值,則丟棄所述DNS查詢請(qǐng)求。

可選地,所述確定單元,還用于:

根據(jù)下列方式確定所述第一閾值:

將QPS值最大的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,作為所述第一閾值;

根據(jù)下列方式確定所述第二閾值:

將QPS值最小的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,作為所述第二閾值。

本發(fā)明實(shí)施例提供的方法,在接收終端發(fā)送的DNS查詢請(qǐng)求后,根據(jù)域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系,確定DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組,然后將DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢。從而可以實(shí)現(xiàn)將DNS查詢分散到多個(gè)服務(wù)器組,由于DNS攻擊只是針對(duì)少量域名進(jìn)行攻擊,即只有少量服務(wù)器遭受攻擊,因而可以保證大多數(shù)服務(wù)器組上的用戶的DNS請(qǐng)求可以正常地響應(yīng),從而可以保證大部分用戶正常上網(wǎng)。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)要介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例所適用的系統(tǒng)架構(gòu)圖;

圖2為本發(fā)明實(shí)施例提供的抵抗DNS攻擊的方法流程圖;

圖3為本發(fā)明實(shí)施例提供的抵抗DNS攻擊的方法詳細(xì)流程圖;

圖4為本發(fā)明實(shí)施例提供的抵抗DNS攻擊的裝置示意圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部份實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。

如圖1所示,為本發(fā)明實(shí)施例所適用的系統(tǒng)架構(gòu)圖,包括終端,高速緩存服務(wù)器,多個(gè)服務(wù)器組,迭代查詢服務(wù)器組,其中迭代查詢服務(wù)器組中包含根域服務(wù)器,com域服務(wù)器,cn域服務(wù)器,以及多個(gè)授權(quán)DNS。

終端發(fā)起DNS查詢請(qǐng)求,高速緩存服務(wù)器接收到DNS查詢請(qǐng)求后,若本地緩存有查詢結(jié)果,則直接返回查詢結(jié)果給終端,若本地緩存沒(méi)有查詢結(jié)果,則將DNS請(qǐng)求根據(jù)域名的優(yōu)先級(jí),轉(zhuǎn)發(fā)至某個(gè)服務(wù)器組,相應(yīng)的服務(wù)器組接收到DNS查詢請(qǐng)求后,將該DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至迭代查詢服務(wù)器組,例如要查詢的域名是123.qq.com,則首先通過(guò)迭代查詢服務(wù)器組中的根域服務(wù)器根據(jù)接收到的域名查詢請(qǐng)求對(duì)應(yīng)的域名123.qq.com,返回一個(gè)地址給相應(yīng)的服務(wù)器組,然后該服務(wù)器組根據(jù)這個(gè)地址去請(qǐng)求com域服務(wù)器,com域服務(wù)器查詢到返回一個(gè)地址給相應(yīng)的服務(wù)器組,服務(wù)器組根據(jù)收到的地址查找相應(yīng)的授權(quán)DNS服務(wù)器并將查詢結(jié)果返回給高速緩存服務(wù)器,高速緩存服務(wù)器將查詢結(jié)果返回給終端,同時(shí)高速緩存服務(wù)器將查詢結(jié)果進(jìn)行緩存,終端在接收到查詢結(jié)果后。

其中,如果域名是以cn結(jié)尾,則服務(wù)器組在得到根域服務(wù)器返回的地址后,會(huì)根據(jù)該地址查詢cn域服務(wù)器并得到查詢結(jié)果。

下面結(jié)合說(shuō)明書附圖對(duì)本發(fā)明實(shí)施例作進(jìn)一步詳細(xì)描述。

如圖2所示,本發(fā)明實(shí)施例提供的抵抗DNS攻擊的方法,包括:

步驟201、接收終端發(fā)送的DNS查詢請(qǐng)求。

步驟202、根據(jù)域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系,確定所述DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組。

其中服務(wù)器組有多個(gè),服務(wù)器組之間在物理上相互獨(dú)立,每個(gè)服務(wù)器組中 包括至少一個(gè)服務(wù)器。

步驟203、將所述DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢。

上述步驟201中,首先接收終端發(fā)送的DNS查詢請(qǐng)求;

上述步驟202中,根據(jù)事先存儲(chǔ)的域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系,確定DNS查詢請(qǐng)求需要的域名所對(duì)應(yīng)的服務(wù)器組,比如域名123.qq.com對(duì)應(yīng)第一服務(wù)器組,則確定該DNS查詢請(qǐng)求對(duì)應(yīng)的服務(wù)器組為第一服務(wù)器組;比如域名222.baidu.com對(duì)應(yīng)第三服務(wù)器組,則確定該DNS查詢請(qǐng)求對(duì)應(yīng)的服務(wù)器組為第三服務(wù)器組。

其中,服務(wù)器組有多個(gè),服務(wù)器組之間在物理上相互獨(dú)立,每個(gè)服務(wù)器組中包括至少一個(gè)服務(wù)器。從而可以保證DNS請(qǐng)求可以根據(jù)優(yōu)先級(jí)的不同被劃分到不同的服務(wù)器分組,從而在遭受DNS攻擊時(shí),只有被攻擊的服務(wù)器組上的用戶DNS請(qǐng)求遭受影響,而其他的服務(wù)器組上的用戶則正常進(jìn)行訪問(wèn),不受影響,從而可以保證大多數(shù)用戶的正常上網(wǎng)。

上述步驟203,將DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢。

本發(fā)明實(shí)施例提供的方法,在接收終端發(fā)送的DNS查詢請(qǐng)求后,根據(jù)域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系,確定DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組,然后將DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢。從而可以實(shí)現(xiàn)將DNS查詢分散到多個(gè)服務(wù)器組,由于DNS攻擊只是針對(duì)少量域名進(jìn)行攻擊,即只有少量服務(wù)器遭受攻擊,因而可以保證大多數(shù)服務(wù)器組上的用戶的DNS請(qǐng)求可以正常地響應(yīng),從而可以保證大部分用戶正常上網(wǎng)。

在上述步驟102中,域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系是預(yù)先建立的,在需要用的時(shí)候,可以直接查詢。

對(duì)于域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系的建立方式有很多種,比如,可以是根據(jù)隨機(jī)劃分,并在劃分之后建立域名與服務(wù)器組的對(duì)應(yīng)關(guān)系;或者是根據(jù)域名的后綴類型,建立與相應(yīng)服務(wù)器組的對(duì)應(yīng)關(guān)系,比如.com后綴的域名劃 分到第一服務(wù)器組,.cn后綴的域名劃分到第二服務(wù)器組,.cc后綴的域名劃分到第三服務(wù)器組等。對(duì)于域名優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系的建立方式有很多種,本發(fā)明不做具體限制,下面給出一種本發(fā)明實(shí)施例使用的域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系的建立方式。

可選地,根據(jù)下列方法確定域名的優(yōu)先級(jí):

根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS,將所有域名劃分為多個(gè)優(yōu)先級(jí)。

上述方法,根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS,將所有域名劃分為多個(gè)優(yōu)先級(jí),例如,選定設(shè)定時(shí)長(zhǎng)為一個(gè)月,根據(jù)這一個(gè)月內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的QPS(Query Per Second,每秒查詢數(shù)),其中,一個(gè)一級(jí)域名對(duì)應(yīng)的QPS指的是包含該一級(jí)域名的所有域名的QPS總和,例如一級(jí)域名qq.com對(duì)應(yīng)的QPS指的是以qq.com為后綴的所有域名請(qǐng)求的QPS之和,以qq.com為后綴的域名例如可以是123.qq.com,www.qq.com,tt.qq.com,999.qq.com等等,所有以qq.com為后綴的域名的QPS之和為一級(jí)域名qq.com對(duì)應(yīng)的QPS。

上述方法,可以根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名對(duì)應(yīng)的QPS的排名,來(lái)對(duì)域名進(jìn)行優(yōu)先級(jí)的劃分,比如可以將排名前10的一級(jí)域名以及以排名前10的一級(jí)域名為后綴的域名,確定為第一優(yōu)先級(jí)域名,比如,qq.com對(duì)應(yīng)的QPS排名第2,則將qq.com以及以qq.com為后綴的所有域名確定為第一優(yōu)先級(jí)域名,并且建立第一優(yōu)先級(jí)域名與第一服務(wù)器組對(duì)應(yīng)關(guān)系;比如可以將排名第11-20的一級(jí)域名以及以排名第11-20的一級(jí)域名為后綴的域名,確定為第二優(yōu)先級(jí)域名,比如,sina.com對(duì)應(yīng)的QPS排名第15,則將sina.com以及以sina.com為后綴的所有域名確定為第二優(yōu)先級(jí)域名,并且建立第二優(yōu)先級(jí)域名與第二服務(wù)器組對(duì)應(yīng)關(guān)系,以此類推,因而可以根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS,將所有域名劃分為多個(gè)優(yōu)先級(jí),然后根據(jù)優(yōu)先級(jí)建立域名與服務(wù)器組之間的對(duì)應(yīng)關(guān)系。

需要說(shuō)明的是,上面只是給出了一種示例作為說(shuō)明,實(shí)際應(yīng)用中,如何確定域名的優(yōu)先級(jí),以及如何根據(jù)確定的域名的優(yōu)先級(jí)建立域名與服務(wù)器組之間的對(duì)應(yīng)關(guān)系,可視實(shí)際需要而定,對(duì)此本發(fā)明不做限定。

具體地,在實(shí)際應(yīng)用中,根據(jù)需要,可以選擇服務(wù)器組的數(shù)量,比如選擇服務(wù)器組的數(shù)量為2,例如一組服務(wù)器為高優(yōu)先級(jí)服務(wù)器組,另一組服務(wù)器為低優(yōu)先級(jí)服務(wù)器組,因而只需要將所有的DNS查詢請(qǐng)求對(duì)應(yīng)的域名劃分為兩個(gè)優(yōu)先級(jí)域名即可,即可以將域名劃分為高優(yōu)先級(jí)域名和低優(yōu)先級(jí)域名。

可選地,根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS,將所有域名劃分為多個(gè)優(yōu)先級(jí),包括:

確定設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS;

將對(duì)應(yīng)的QPS排名前M的一級(jí)域名以及包含該一級(jí)域名的所有域名,確定為高優(yōu)先級(jí)域名,M為正整數(shù);

將除高優(yōu)先級(jí)域名之外的所有域名,確定為低優(yōu)先級(jí)域名。

上述方法,將設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名對(duì)應(yīng)的QPS排名前M的一級(jí)域名一級(jí)包含該一級(jí)域名的所有域名,確定為高優(yōu)先級(jí)域名,將除高優(yōu)先級(jí)域名之外的所有域名,確定為低優(yōu)先級(jí)域名。

根據(jù)對(duì)江蘇移動(dòng)固網(wǎng)寬帶業(yè)務(wù)DNS以及手機(jī)上網(wǎng)業(yè)務(wù)DNS的訪問(wèn)日志分析,寬帶DNS前100的一級(jí)域名的請(qǐng)求量占寬帶用戶總請(qǐng)求量的81.60%;手機(jī)DNS前100的一級(jí)域名的請(qǐng)求量占手機(jī)用戶總請(qǐng)求量的86.73%。由此可粗略地暫將排名前100的一級(jí)域名劃分為高優(yōu)先級(jí)域名,而將剩余的其它域名劃分為低優(yōu)先級(jí)域名,即上述M取值可根據(jù)實(shí)際需要取值為100,當(dāng)然也可以是其它值,視實(shí)際需要而定。

此外,高優(yōu)先級(jí)域名中除了根據(jù)QPS排名較高的域名之外,還可以將一些重點(diǎn)域名,也加入到高優(yōu)先級(jí)域名,比如黨政軍相關(guān)部分域名、重大活動(dòng)保證域名等。

由于QPS排名較高的域名或者是一些重點(diǎn)域名的歸屬單位,對(duì)DNS攻擊 的防御能力較強(qiáng),因此黑客一般也不會(huì)選擇攻擊這些域名,將這些高優(yōu)先級(jí)域名劃分到一個(gè)高優(yōu)先級(jí)服務(wù)器組,可以保證高優(yōu)先級(jí)服務(wù)器組上的域名訪問(wèn)用戶可以正常上網(wǎng),不受影響。

上述步驟103中,在確定了接收到的DNS查詢請(qǐng)求對(duì)應(yīng)的域名與服務(wù)器組之間的對(duì)應(yīng)關(guān)系之后,就可以將接收到的DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢。服務(wù)器組可以通過(guò)迭代查詢服務(wù)器組和相應(yīng)的授權(quán)DNS,獲取到查詢結(jié)果,并將查詢結(jié)果返回給高速緩存服務(wù)器,高速緩存服務(wù)器將查詢結(jié)果返回給終端的用戶。

此外,在步驟102中,確定DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組之后,將接收到的DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢之前,還可以進(jìn)一步地對(duì)DNS查詢請(qǐng)求對(duì)應(yīng)的域名做安全檢測(cè),比如可以確定當(dāng)前DNS查詢請(qǐng)求對(duì)應(yīng)的域名的在某個(gè)時(shí)間段內(nèi)的QPS是否超過(guò)了一個(gè)閾值,從而可以判斷該DNS查詢請(qǐng)求是否出現(xiàn)了異常,該時(shí)間段可以根據(jù)實(shí)際需要設(shè)定,比如設(shè)置為5分鐘,則每5分鐘就對(duì)一級(jí)域名對(duì)應(yīng)的當(dāng)前QPS進(jìn)行一次統(tǒng)計(jì)。

下面以服務(wù)器組數(shù)量為2,即服務(wù)器組分為高優(yōu)先級(jí)服務(wù)器組合和低優(yōu)先級(jí)服務(wù)器組,域名分為高優(yōu)先級(jí)域名和低優(yōu)先級(jí)域名為例進(jìn)行說(shuō)明。

可選地,確定所述DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組之后,還包括:

若所述域名為高優(yōu)先級(jí)域名,且所述域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第一閾值,則發(fā)送告警信息;

若所述域名為低優(yōu)先級(jí)域名,且所述域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第二閾值,則丟棄所述DNS查詢請(qǐng)求。

上述方法,針對(duì)每個(gè)DNS查詢請(qǐng)求對(duì)應(yīng)的域名,若該域名為高優(yōu)先級(jí)域名,并且判斷該域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第一閾值,則可以認(rèn)為當(dāng)前域名可能遭受了DNS攻擊,由于高優(yōu)先級(jí)域名中一般都是一些比較重要 的域名,因此可以發(fā)送告警信息,由管理員看到告警信息之后,進(jìn)行手動(dòng)排除DNS攻擊,比如禁用域名訪問(wèn),或者是暫停域名訪問(wèn),或者是不做任何處理,等待DNS攻擊停止等。如果DNS查詢請(qǐng)求對(duì)應(yīng)的域名為低優(yōu)先級(jí)域名,并且判斷該域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第二閾值,則可以認(rèn)為當(dāng)前域名可能遭受了DNS攻擊,由于低優(yōu)先級(jí)域名中一般都是一般非重要的域名,因此可以簡(jiǎn)單將DNS查詢請(qǐng)求進(jìn)行丟棄即可,等到DNS攻擊結(jié)束,再恢復(fù)該域名的DNS查詢請(qǐng)求。

上述方法,在對(duì)域名進(jìn)行優(yōu)先級(jí)的劃分之后,進(jìn)一步地做了域名安全防護(hù),主要是根據(jù)DNS查詢請(qǐng)求對(duì)應(yīng)的域名的一級(jí)域名的當(dāng)前QPS是否超過(guò)了閾值來(lái)確定的。

對(duì)于上述第一閾值和第二閾值的確定的方法,有很多種,例如可以根據(jù)實(shí)際經(jīng)驗(yàn),給第一閾值確定一個(gè)固定的常量,給第二閾值確定一個(gè)固定的常量,當(dāng)然也可以是根據(jù)其他方法來(lái)確定第一閾值和第二閾值,下面給出一種本發(fā)明實(shí)施例使用的第一閾值和第二閾值的確定方法。

可選地,根據(jù)下列方式確定所述第一閾值:

將QPS值最大的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,作為所述第一閾值;

根據(jù)下列方式確定所述第二閾值:

將QPS值最小的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,作為所述第二閾值。

上述方法,將QPS值最大的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS作為所述第一閾值,將QPS值最小的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS作為所述第二閾值。例如高優(yōu)先級(jí)域名為QPS值排名前100的域名,假設(shè)QPS值排名第1的域名是baidu.com,則將域名baidu.com對(duì)應(yīng)的峰值QPS作為第一閾值,峰值QPS指的是域名在設(shè)定時(shí)長(zhǎng)內(nèi)的所有單位時(shí)長(zhǎng)內(nèi)的最大QPS,例如,設(shè)定時(shí)長(zhǎng)可以是一天,單位時(shí)長(zhǎng)為5分鐘,則在一天時(shí)長(zhǎng)內(nèi),每5分鐘統(tǒng)計(jì)一次域名baidu.com的QPS,并將一天內(nèi)所有的每5分鐘統(tǒng)計(jì)一次的QPS進(jìn)行比較,將其中最大的QPS值作為峰值QPS,例如當(dāng)天11:55-12:00這5分鐘內(nèi)的QPS值是一天中 最大值,則將該5分鐘的QPS值作為當(dāng)天QPS峰值,該方法將QPS值最大的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS作為第一閾值,若某個(gè)域名的QPS大于該第一閾值,則表明該域名很有可能被攻擊,因此該方法可以準(zhǔn)確地判斷某個(gè)域名是否遭受DNS攻擊。

對(duì)于第二閾值,是將QPS值最小的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,例如高優(yōu)先級(jí)域名為QPS值排名前100的域名,假設(shè)QPS值排名第100的域名是google.com,則將域名google.com對(duì)應(yīng)的峰值QPS作為第二閾值,例如,設(shè)定時(shí)長(zhǎng)可以是一天,單位時(shí)長(zhǎng)為5分鐘,則在一天時(shí)長(zhǎng)內(nèi),每5分鐘統(tǒng)計(jì)一次域名google.com的QPS,并將一天內(nèi)所有的每5分鐘統(tǒng)計(jì)一次的QPS進(jìn)行比較,將其中最大的QPS值作為峰值QPS,例如當(dāng)天13:05-13:10這5分鐘內(nèi)的QPS值是一天中最大值,則將該5分鐘的QPS值作為域名google.com的當(dāng)天QPS峰值,該方法將QPS值最大的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS作為第二閾值,若某個(gè)域名的QPS大于該第二閾值,則表明該域名很有可能被攻擊,因此該方法可以準(zhǔn)確地判斷某個(gè)域名是否遭受DNS攻擊。該確定第一閾值和第二閾值的方法,可以準(zhǔn)確地確定一個(gè)DNS查詢請(qǐng)求對(duì)應(yīng)的域名是否是遭受DNS攻擊。

需要說(shuō)明的是,上述設(shè)定時(shí)長(zhǎng)可以是一天,也可以是一小時(shí),單位時(shí)長(zhǎng)可以是5分鐘,也可以是1分鐘,對(duì)此不作限定,視實(shí)際需要而設(shè)定。

下面對(duì)本發(fā)明實(shí)施例提供的抵抗DNS攻擊的方法做詳細(xì)描述,如圖3所示,為本發(fā)明實(shí)施例提供的抵抗DNS攻擊的方法詳細(xì)流程圖。

其中,以服務(wù)器組的數(shù)量為2,域名分為高優(yōu)先級(jí)域名和低優(yōu)先級(jí)域名為例進(jìn)行說(shuō)明。

步驟301、接收終端的域名DNS查詢請(qǐng)求;

步驟302、判斷高速緩存服務(wù)器中是否存在該域名的查詢結(jié)果,若是,轉(zhuǎn)到步驟310,若否,則轉(zhuǎn)到步驟303;

步驟303、判斷該域名是否為高優(yōu)先級(jí)域名,若是,則轉(zhuǎn)到步驟304,否 則轉(zhuǎn)到步驟307;

步驟304、判斷該域名對(duì)應(yīng)的以及域名的當(dāng)前QPS是否大于第一閾值,若是,則轉(zhuǎn)到步驟305,否則轉(zhuǎn)到步驟306;

步驟305、觸發(fā)告警,通知管理員對(duì)被攻擊的域名進(jìn)行相應(yīng)處理;

步驟306、轉(zhuǎn)發(fā)該域名至高優(yōu)先級(jí)服務(wù)器組處理DNS查詢請(qǐng)求;

步驟307、判斷該域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS是否大于第二閾值,若是則轉(zhuǎn)到步驟308,否則轉(zhuǎn)到步驟309;

步驟308、丟棄該域名對(duì)應(yīng)的DNS查詢請(qǐng)求;

步驟309、轉(zhuǎn)發(fā)該域名至低優(yōu)先級(jí)服務(wù)器組處理DNS查詢請(qǐng)求;

步驟310、高速緩存服務(wù)器返回查詢結(jié)果。

基于相同的技術(shù)構(gòu)思,本發(fā)明實(shí)施例還提供一種抵抗DNS攻擊的裝置。本發(fā)明實(shí)施例提供的抵抗DNS攻擊的裝置如圖4所示,其中,該裝置可以是高速緩存服務(wù)器中的一部分,也可以是一個(gè)獨(dú)立的實(shí)體裝置。

接收單元401,用于接收終端發(fā)送的DNS查詢請(qǐng)求;

確定單元402,用于根據(jù)域名的優(yōu)先級(jí)和服務(wù)器組的對(duì)應(yīng)關(guān)系,確定所述DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組,其中服務(wù)器組有多個(gè),服務(wù)器組之間在物理上相互獨(dú)立,每個(gè)服務(wù)器組中包括至少一個(gè)服務(wù)器;

轉(zhuǎn)發(fā)單元403,用于將所述DNS查詢請(qǐng)求轉(zhuǎn)發(fā)至確定的服務(wù)器組進(jìn)行遞歸查詢。

可選地,所述確定單元402,還用于:

根據(jù)下列方法確定域名的優(yōu)先級(jí):

根據(jù)設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS,將所有域名劃分為多個(gè)優(yōu)先級(jí)。

可選地,所述確定單元402,還用于:

確定設(shè)定時(shí)長(zhǎng)內(nèi)所有一級(jí)域名分別對(duì)應(yīng)的每秒查詢數(shù)QPS;

將對(duì)應(yīng)的QPS排名前M的一級(jí)域名以及包含該一級(jí)域名的所有域名,確 定為高優(yōu)先級(jí)域名,M為正整數(shù);

將除高優(yōu)先級(jí)域名之外的所有域名,確定為低優(yōu)先級(jí)域名。

可選地,所述確定單元402,還用于:

確定所述DNS查詢請(qǐng)求需要查詢的域名的優(yōu)先級(jí)對(duì)應(yīng)的服務(wù)器組之后,若所述域名為高優(yōu)先級(jí)域名,且所述域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第一閾值,則發(fā)送告警信息;

若所述域名為低優(yōu)先級(jí)域名,且所述域名對(duì)應(yīng)的一級(jí)域名的當(dāng)前QPS大于第二閾值,則丟棄所述DNS查詢請(qǐng)求。

可選地,所述確定單元402,還用于:

根據(jù)下列方式確定所述第一閾值:

將QPS值最大的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,作為所述第一閾值;

根據(jù)下列方式確定所述第二閾值:

將QPS值最小的高優(yōu)先級(jí)域名對(duì)應(yīng)的峰值QPS,作為所述第二閾值。

本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過(guò)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處 理,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實(shí)施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對(duì)這些實(shí)施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。

顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1