[发明专利]一种保护DNS服务器的方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种保护DNS服务器的方法及装置。

背景技术

域名系统（Domain Name System，DNS）作为互联网的基础网络设施和用户访问网络的门户环节，在互联网服务中占据着非常重要的地位，系统的安全稳定、优质高效运营对于保证用户服务质量、提升用户感知的意义重大。DNS系统中通常包括缓存服务器、递归服务器和授权服务器，具体描述如下：

缓存服务器：是指负责接收用户端（解析器）发送的请求，然后通过向递归服务器发出查询请求获得用户需要的查询结果，最后返回给用户端的解析器。缓存服务器通常不会维护或者管理任何域的资源记录数据，它只负责接收用户（解析器）的查询，并且通过查找缓存或者向递归服务器发出查询从而获得查询结果。

递归服务器：是指负责接收缓存服务器发送的请求，然后通过向各级授权服务器发出查询请求获得缓存服务器需要的查询结果，最后返回给缓存服务器的解析器。递归服务器通常不会维护或者管理任何域的资源记录数据。它只负责收缓存服务器的查询，并且通过查找缓存或者向包括根在内的授权服务器发出查询从而获得查询结果。

授权服务器：是指对于某个或者多个区具有授权的服务器，授权服务器保存着其所拥有授权区域的原始域名资源记录信息。授权服务器通常不提供递归解析服务，它只负责维护和保存它所拥有授权的区的资源记录信息，并且接受递归服务器的查询请求。

由于DNS的UDP特性和请求字段比较简单，攻击非常难以得到甄别，并和正常流量进行区分。同时，由于DNS的重要性，很多黑客会选择在递归服务器节点的缓存或者递归查询上下手，往往容易得手。甚至由于某些特殊的事件，也很容易对DNS节点造成事实上的攻击，比如2009年的“暴风影音”事件。

正是由于DNS功能的重要性和协议的脆弱性，DNS flood（泛洪）成为了最简单有效但是又十分难以防护的攻击手段。由于源IP的伪造十分简单，攻击报文和正常报文又难以区分，为了避免DNS服务器被攻瘫，往往只能对流量进行限制，但是又造成了正常流量的丢弃，实际形成了攻击。具体而言，对流量进行限制的方法通常有如下几种：

源IP限速：针对攻击的源IP进行限速。

源IP组限速：针对攻击的源IP组进行限速，可以是掩码网段，也可以是离散的IP组合。

域名限速：针对被攻击的域名限速。

域名组限速：针对被攻击的域名组进行限速，可以是某级域名的子域名的组合，也可以是离散的域名的组合，还可以是泛域名。

二级域名限速：主要是针对泛域名攻击无法校验子域名的真实性，所以只能针对二级域名进行限速。

由于无法检验报文的真实性，所以不管针对IP还是域名进行限速都会对正常的请求产生影响。而且源IP是非常容易伪造的，那么针对源IP或者源IP组限速通常不容易长时间生效。泛域名的攻击也是如此，伪造的域名使得域名和域名组限速不容易长时间生效。

发明内容

有鉴于此，本发明的目的是提供保护DNS服务器的方法及装置，以提高DNS服务器的服务质量。

为实现上述目的，本发明提供技术方案如下：

一种保护DNS服务器的方法，应用于防护设备上，所述防护设备设置在DNS服务器之前，所述防护设备还与DNS备份中心连接，所述方法包括：

对DNS流量进行统计和分析，当确定DNS流量发生异常时，将DNS流量中的部分DNS请求引流到DNS备份中心，由DNS备份中心获取该部分DNS请求对应的查询结果；

接收DNS备份中心发送的携带有查询结果的DNS响应，并将所述查询结果发送到相应的用户端。

一种保护DNS服务器的装置，应用于防护设备上，所述防护设备设置在DNS服务器之前，所述防护设备还与DNS备份中心连接，所述装置包括：

分流单元，用于对DNS流量进行统计和分析，当确定DNS流量发生异常时，将DNS流量中的部分DNS请求引流到DNS备份中心，由DNS备份中心获取该部分DNS请求对应的查询结果；

响应单元，用于接收DNS备份中心发送的携带有查询结果的DNS响应，并将所述查询结果发送到相应的用户端。

与现有技术通过对流量进行限制来防范DNS flood攻击相比，本发明在DNS流量发生异常时，通过防护设备将部分DNS流量引流到DNS备份中心，能够在不影响正常DNS请求的前提下，使得DNS服务器不至于承受过大的压力而导致CPU使用率过高甚至宕机，从而保证DNS的服务质量。

附图说明