[发明专利]防范DNS请求报文泛洪攻击的方法及设备

权利要求书

1.一种防范DNS请求报文泛洪攻击的方法，其特征在于，包括：

DNS服务端接收DNS客户端发送的UDP承载的DNS请求报文；DNS服务端向DNS客户端发送DNS响应报文，并将所述DNS响应报文中的TC和AA标志位置1；

DNS服务端在预设时间内接收到DNS客户端发送的TCP SYN报文时，通过TCP cookie方式检测DNS客户端的合法性。

2.如权利要求1所述的方法，其特征在于，还包括：

DNS服务端在预设时间内没有接收到DNS客户端发送的TCP SYN报文时，直接确定该DNS客户端非法。

3.如权利要求1所述的方法，其特征在于，所述通过TCP cookie方式检测DNS客户端的合法性具体包括：

DNS服务端向DNS客户端回应SYN/ACK报文，并将cookie填充在所述SYN/ACK报文的seq域中；

DNS服务端接收到DNS客户端回应的ACK报文以后，检查所述回应的ACK报文中seq域的值是否为cookie+1，若是，确定该DNS客户端合法，否则，确定该DNS客户端非法。

4.如权利要求2或3所述的方法，其特征在于，还包括：

DNS服务端在确定DNS客户端非法时，丢弃该DNS客户端后续发送的所有报文。

5.如权利要求1所述的方法，其特征在于：

所述DNS服务端为DNS服务器或者DNS代理。

6.一种DNS服务端设备，其特征在于，包括：

第一UDP模块，用于接收DNS客户端发送的UDP承载的DNS请求报文，向DNS客户端发送DNS响应报文，并将所述DNS响应报文中的TC和AA标志位置1；

第一TCP模块，用于接收DNS客户端发送的TCP SYN报文，向DNS客户端回应SYN/ACK报文，并将cookie填充在所述SYN/ACK报文的seq域中，以及接收DNS客户端回应的ACK报文；

第一判断模块，用于检查所述回应的ACK报文中seq域的值是否为cookie+1，若是，确定该DNS客户端合法，否则，确定该DNS客户端非法。

7.如权利要求6所述的设备，其特征在于：

所述第一判断模块，还用于在所述第一TCP模块在预设时间内没有接收到DNS客户端发送的TCP SYN报文时，直接确定该DNS客户端非法。

8.一种DNS客户端设备，其特征在于，包括：

第二UDP模块，用于采用UDP协议发送DNS请求报文，并接收DNS服务端发送的DNS响应报文；

第二判断模块，用于检查所述DNS响应报文中的TC和AA标志位是否为1，在确定所述TC和AA标志位为1时，发送重新请求消息到第二TCP模块；

第二TCP模块，用于在接收到所述重新请求消息时，采用TCP协议重新进行请求，发送TCP的SYN报文，以及在接收到DNS服务端发送的SYN/ACK报文时，回应TCP ACK报文，并将cookie+1填充在所述TCP ACK报文的seq域中。

9.一种防范DNS请求报文泛洪攻击的方法，其特征在于，包括：

DNS客户端采用UDP协议发送DNS请求报文；

DNS服务端接收到所述DNS请求报文后，向DNS客户端发送DNS响应报文，并将所述DNS响应报文中的TC和AA标志位置1；

DNS客户端接收到TC和AA标志位为1的DNS响应报文以后，采用TCP协议重新进行请求，发送TCP的SYN报文；

DNS服务端在预设时间内接收到DNS客户端发送的TCP SYN报文时，通过TCP cookie方式检测DNS客户端的合法性。

10.如权利要求9所述的方法，其特征在于，还包括：

DNS服务端在预设时间内没有接收到DNS客户端发送的TCP SYN报文时，直接确定该DNS客户端非法。