[发明专利]一种DNS递归服务器抗DoS、DDoS攻击的方法

说明书

技术领域

本发明属于互联网技术领域，更具体地说，是涉及一种DNS递归服务器抗DoS、DDoS攻击的方法。

背景技术

域名查询系统中，用户(解析器)向递归服务器发送某一个域名解析请求。递归服务器首先从自身缓存(Cache)中查找是否有该域名的解析结果，如果有(即Cache命中)，则直接将此结果返回给用户；若没有，则向DNS权威服务器发起查询(即递归查询)以获得应答，将应答保存到Cache中，再将最终查询结果返回给用户。

如图1所示为域名查询流程图，Cache命中的情况下只需执行图中所示的“Q1+Q2+A2+A1”过程，全程耗时不到1ms；需要递归的域名查询执行图中所示的“Q1+Q2+A2+Q3+A3+A1”的完整过程，全程耗时约200ms。可见，Cache命中的解析速率大大高于需要递归查询的情况，适当提高域名查询的Cache命中概率将有助于提升递归服务器DNS解析服务的整体效率。

为保证Cache中数据的准确性和限制Cache容量的无限扩大，Cache中缓存的记录都有自己的生存期(Time to Live,简称TTL)，生存期表示数据在Cache中存放的时间，生存期一过，递归服务器就必须丢弃缓存的数据。可见，一种既能延长缓存记录的生存期，又能保证缓存数据准确性的方法将提高域名查询的Cache命中率和解析效率。

DoS(Denial of Service，拒绝服务)攻击是指攻击者试图通过傀儡计算机向域名服务器发送大量域名查询，使计算机或网络无法提供正常的域名服务。DoS攻击最早是由单机来完成的，随着服务器系统性能与网络带宽的提高及安全防御设备(如防火墙、路由器等)对同一攻击来源的DoS攻击的检测阻断能力的提升，DOS攻击变得容易被察觉和防御。

如图2所示，DDoS(Distributed Denial of Service，分布式拒绝服务)攻击是在传统的DoS攻击基础之上发展起来的一类攻击方式。DDoS利用更多的傀儡机向目标服务器发起大量合法的服务请求来占用过多的服务器资源，从而使合法用户无法得到服务的响应。相较DoS攻击而言，DDoS攻击成倍地提高了拒绝服务攻击的威力，且由于每个傀儡机发起的DNS服务请求数量少量且合理，DDoS攻击方式的无规律性，导致DDoS攻击源很难被确定，也就很难防御DDoS攻击。

递归服务器在受到DoS、DDoS攻击时，收到的域名解析请求有以下两大特点：

1)接收的查询请求陡增。正常情况下，递归服务器DNS系统稳定运行时每秒查询数(Query Per Second，QPS)会长期稳定在一个合理范围之内，而在受到DoS、DDoS攻击时，域名查询请求量可能达到几倍、几十倍或更高。

2)查询的域名缓存命中率会大幅降低，大量域名解析请求需要递归完成。据统计，正常应用环境下，递归服务器在DNS系统稳定运行时，10％不到的缓存记录可以命中超过90％的DNS解析请求，只有少量解析请求需要递归。而在DoS、DDoS攻击情况下，由于攻击者发起的大量查询域名都是人工伪造的，随机性强，导致这些域名中的绝大多数都不会在递归服务器的Cache中命中，按照现有的递归查询机制，递归服务器不得不向其他域名服务器发起域名查询，使得递归服务器并发递归请求量M大幅递增，消耗大量目标递归服务器和网络资源，甚至造成更严重的破坏，达到攻击的目的。

由此,DoS、DDoS攻击将造成网络拥堵和递归服务器资源被大量占用，被DoS、DDoS攻击淹没的递归服务器将丢失数据包且不能回复所有的DNS请求，导致域名解析业务瘫痪，影响合法用户的DNS解析查询。

发明内容

为解决上述技术问题，本发明提供了一种DNS递归服务器抗DoS、DDoS攻击的方法及装置，其中方法包括以下步骤：

实时监测递归服务器的当前并发递归请求量；

当递归请求量超过当前递归服务器所能处理的最大并发递归查询总量的指定倍数时，启动计时器从零开始；

若在特定时间内，递归请求量持续大于当前递归服务器所能处理的最大并发递归查询总量的指定倍数时，则计时结束时同时启动常用域名缓存预取、限制并发递归查询数量机制。

进一步地，所述指定倍数为1.5。

进一步地，所述特定时间为10秒。

进一步地，所述常用域名缓存预取包括以下步骤：

统计递归服务器系统从开始运行以来缓存中所有域名被查询的次数，并按照次数从多到少进行排名；