[发明专利]DNSSEC查询中DNSSEC服务器的保护方法

说明书

技术领域

本发明涉及一种DNSSEC服务器的保护方法，尤其涉及一种防止攻击性DNSSEC查询攻瘫DNSSEC服务器的保护方法。

背景技术

域名系统（Domain Name System，DNS）作为互联网的基础网络设施和用户访问网络的门户环节，在互联网服务中占据着重要地位，通常包括缓存服务器、递归服务器和权威服务器。其中权威服务器负责对客户端发来的查询请求进行响应。

DNSSEC是DNS安全扩展，它提供了一种来源鉴定和数据完整性的扩展。DNSSEC是在原有的DNS上通过密钥技术，对DNS中的信息进行数字签名，从而提供DNS的安全认证和信息完整性检验。在DNSSEC 中所有返回给域名解析器（DNS 客户端程序）的响应都附加了数字签名。域名解析器通过数字签名来验证这些记录与权威的域名服务器上的记录是否完全一致。DNSSEC定义了三种资源记录集（Resource Record）：用于存放DNS 信息数字签名的资源记录签名记录（RRSIG） ；用于存放解密公钥的DNS密钥资源记录集合（DNSKEY）；用于DNS密钥资源记录集合验证，存储密钥标签、加密算法和DNS密钥资源记录集合摘要信息的授权签名者（Delegation Signer，简称DS）。

DNS服务器只支持DNS查询，但DNSSEC服务器除支持DNS查询外，还支持DNSSEC查询。DNSSEC服务器在响应客户端发来的DNSSEC查询请求时，它的应答除需返回DNS协议定义的资源记录之外，还返回DNSSEC协议定义的资源记录。与DNS服务器相比，DNSSEC服务器对查询请求的响应时间更长，所需耗费的资源（例如带宽、CPU等）也更多。故而，攻击者通过发出大量的DNSSEC查询请求，很容易攻瘫DNSSEC签名区域的权威服务器，造成拒绝服务攻击的效果。

发明内容

本发明的目的是提供一种DNSSEC查询中DNSSEC服务器的保护方法，以避免攻击性DNSSEC查询攻瘫DNSSEC服务器。

本发明提供了一种DNSSEC查询中DNSSEC服务器的保护方法，所述DNSSEC查询指向一个DNSSEC签名区域，且在该DNSSEC签名区域还设有与所述DNSSEC服务器对应的DNS服务器。保护方法包括监测步骤：监测所述DNSSEC查询的来源地址信息和查询速率信息，获得与所述DNSSEC查询对应的查询来源地址和查询速率；判断步骤：将所述查询速率与一个速率阈值比较，若所述查询速率持续大于所述速率阈值，则判断所述DNSSEC查询为攻击查询，进入DNS查询步骤，若所述查询速率小于所述速率阈值，则判断所述DNSSEC查询正常，进入DNSSEC查询步骤；DNSSEC查询步骤：将所述DNSSEC查询指向所述DNSSEC服务器；DNS查询步骤：将所述DNSSEC查询降级为DNS查询并指向所述DNS服务器。

DNSSEC查询中DNSSEC服务器的保护方法，可以将攻击性的DNSSEC查询分流至DNS服务器，降低DNSSEC服务器的处理负荷，避免DNSSEC服务器被攻瘫。

在DNSSEC查询中DNSSEC服务器的保护方法的再一种示意性的实施方式中，速率阈值为不同所述查询来源地址对应的所述查询速率的平均值。

在DNSSEC查询中DNSSEC服务器的保护方法的另一种示意性的实施方式中，速率阈值为同一个所述查询来源地址对应的所述查询速率的平均值。

在DNSSEC查询中DNSSEC服务器的保护方法的另一种示意性的实施方式中，速率阈值为C类子网中来自与同一个所述查询来源地址对应的所述查询速率的初始值。

附图说明

以下附图仅对本发明做示意性说明和解释，并不限定本发明的范围。

图1用于说明DNSSEC查询系统一种示意性的网络结构。

图2用于说明DNSSEC查询中DNSSEC服务器的保护方法的流程。

标号说明

10  查询主机 

20  路由器

30  防火墙

40  DNSSEC签名区域

42  DNSSEC服务器

44  DNS服务器。

具体实施方式

为了对发明的技术特征、目的和效果有更加清楚的理解，现对照附图说明本发明的具体实施方式，在各图中相同的标号表示相同的部分。

在本文中，“示意性”表示“充当实例、例子或说明”，不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。