[发明专利]防范DNS请求报文泛洪攻击的方法及设备

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种防范DNS请求报文泛洪(DNS Query Flood)攻击的方法及设备。

背景技术

域名系统(Domain Name System，DNS)是一种用于TCP/IP应用程序的分布式数据库，提供域名与IP地址之间的转换。通过域名系统，用户进行某些应用时，可以直接使用便于记忆的、有意义的域名，而由网络中的DNS服务器将域名解析为正确的IP地址。

图1为DNS客户端与DNS服务器交互过程示意图。如图1所示，DNS客户端通过向DNS服务器发送DNS请求报文(DNS Query)获取域名对应的IP地址。DNS服务器在接收到DNS请求报文以后，根据请求的域名进行查找，有时还需要向上级DNS服务器请求。DNS服务器在最终得到DNS客户端请求的域名对应的IP地址后，发送DNS响应报文(DNS Reply)通知DNS客户端，DNS客户端就可以向此IP地址请求网络服务了。

另外，在设置了DNS代理的情形下，DNS客户端并不直接向DNS服务器发送DNS请求报文，而是将DNS请求报文发送到DNS代理，通过DNS代理和DNS服务器的交互获取对应的IP地址。为便于描述，在本文中，将DNS代理和DNS服务器统称为DNS服务端设备。

DNS请求报文和DNS响应报文格式如图2所示，其中，16比特(bit)的标志字段被划分为若干子字段，参照图3，各子字段的含义如下：

QR是1bit字段，0表示请求报文，1表示响应报文；

opcode是4bit字段，通常值为0(标准查询)，其他值为1(反向查询)和2(服务器状态请求)；

AA是1bit字段，表示“授权回答(authoritative answer)”，其值为1时表示该域名服务器是授权于该域的；

TC是1bit字段，表示“可截断的(truncated)”，其值为1时表示信息长度超过报文长度限制；

RD是1bit字段，表示“期望递归(recursion desired)”；

RA是1bit字段，表示“可用递归”；

随后3bit必须为0；

rcode是4bit字段，通常值为0(没有差错)和3(名字差错)。

根据协议，DNS客户端可以使用TCP或者UDP协议与域名服务器通信。使用TCP协议进行通信的交互过程为：

(1)DNS客户端向域名服务器发起TCP协议的三次握手：

(2)握手成功以后，TCP连接建立；

(3)DNS客户端向域名服务器发送DNS查询报文；

(4)域名服务器向DNS客户端回应；

(5)断开TCP连接。

使用UDP协议进行通信时，DNS客户端直接向域名服务器发送DNS查询请求，域名服务器根据请求内容做出回应。

根据DNS使用承载协议(TCP/UDP)的不同，DNS请求报文泛洪攻击的方式也分为两种：

(一)基于TCP协议的攻击

典型的攻击方式为SYN泛洪攻击。攻击者通过伪造大量的不同源IP地址的TCP SYN报文，向服务器发起连接。服务器收到此报文后用SYN/ACK应答，而此应答发出去后，不会收到ACK报文，这样便形成了一个TCP半连接。如果攻击者发送大量这样的SYN报文，会在被攻击主机上出现大量的半连接，消耗尽其资源，使正常的用户无法访问。

针对这种攻击，目前较常见的做法是检查TCP的cookie值来判断其合法性，最终达到对非法请求丢弃、合法请求回应的精确防范。

(二)基于UDP协议的攻击

由于域名查询的过程比较耗时，攻击者通过向域名服务器发送大量DNS请求报文，将正常用户的DNS请求报文淹没，并使域名服务器无法正常工作而拒绝服务。

采用UDP协议的DNS攻击是一种UDP泛洪攻击，由于UDP并不是面向连接的，报文相对独立，没有相关性，因此对于这种攻击目前没有做到精确过滤。目前较常见的攻击防范做法是：检测发往特定IP或特定域(该IP/域就是被保护的主机/域)的UDP报文的速率，如果速率超过域值则判定受到攻击，丢弃所有UDP报文。

采用UDP方式的DNS攻击，目前的防范方法无法做到精确过滤：当设备检测到攻击存在时直接丢弃后续收到的所有UDP报文，这会导致被攻击报文淹没的合法用户请求也无法得到处理，最终对所有合法用户拒绝服务。

发明内容