[发明专利]一种应对DNS服务器反射放大攻击的解决方法

说明书

本发明属于DNS安全防范技术领域，尤其涉及一种应对DNS服务器反射放大攻击的解决方法，在EDNS0的伪资源记录中加入cookie的字段；用户在发送请求时会生成随机cookie，递归服务器收到请求后检查是否有cookie，如否，则返回truncate要求用户使用TCP进行重传；如是则检查是否附带Server Cookie，如果否，则将其与Client Cookie返回，如是，则检查用户的与自己是否一致，如果是，则返回给用户，如否，则返回truncate要求用户使用TCP重传；用户核对Client Cookie是否与随机cookie相同，如是，则接收此数据，如否，则丢弃。

技术领域

本发明属于DNS安全防范技术领域，尤其涉及一种应对DNS服务器反射放大攻击的解决方法。

背景技术

DNS提供了互联网上的一个重要的服务。其本质是建立了人的名字世界和底层的二进制协议地址世界的桥梁。每次，当我们通过互联网开始任何的事务之前，一个DNS的查询过程首先要完成。所以一个轻量级的、快速响应的DNS协议是非常必要的，这样DNS查询过程可以对用户而言透明地完成。DNS解析框架使用UDP作为传输协议，并通过地理分布的具有缓存功能的递归解析器来实现。

同时在互联网发展过程中，传统的DNS协议也凸显了一些问题。随着互联网的发展，DNS记录的类型和数目逐渐增多，DNS协议逐渐变成了一个非对称的协议，DNS的应答包可能远远大于DNS请求包。这给予了恶意者通过递归解析器对受害者进行DNS放大攻击的机会。使用any类型的查询，攻击者可以通过伪造源地址，将一个DNS查询包经由递归解析器放大，造成受害者网络瘫痪。随着DNSSEC的部署，DNS应答包进一步变大，使得放大攻击的问题变得更为严重。经测试，这种放大攻击最大可以将攻击流放大32倍。

现有解析器一般有两种应对DNS放大攻击的方式。一种为手动限制解析器答复速率使得攻击者无法在短时间内造成极大的攻击流量以减缓DNS放大攻击。这种方式存在着只能减缓，无法阻止攻击的问题。另一种方式为向任何查询返回truncate使得递归解析器可以只给与真正的用户而非攻击者伪造的用户应答。这种方式的问题在于返回truncate要求用户回退至TCP进行请求，会影响用户正常进行DNS解析的效率。此外这两种方法还存在一个共同问题，只能在运营者发现被攻击时被动的启用防御，无法主动的提前预防攻击。

另一种能够主动预防DNS放大攻击的方案为DNS cookie。其主要手段为使用cookie使得递归服务器可以区分攻击者和用户。具体方案为递归服务器发布一个公用的64位数字作为初始cookie。用户在第一次查询时附带初始cookie，随后的每次查询用户和服务器均随机生成一个64位数字的cookie并在报文内同时携带双方cookie。递归服务器通过校验cookie来识别真实用户。然而该方法存在着部署性差的问题，该方法未被全部部署时，如何处理不支持cookie的用户成为一个难题。如果正常应答，那么攻击者仍可以进行放大攻击。如果不应答，那么不支持cookie的用户将无法接受DNS解析服务。

发明内容

为了防止DDOS放大攻击、保证用户的网络使用安全，同时不影响不支持cookie用户的DNS访问，本发明提出了一种应对DNS服务器反射放大攻击的解决方法，该方法基于TCP回退的DNS cookie，对不支持cookie的用户访问返回DNS truncate使得真实用户可以通过TCP协议进行DNS访问而攻击者无法利用递归服务器进行放大攻击。

本方法具体包括：

步骤1、在EDNS0的伪资源记录中加入cookie的字段，包括：为识别伪资源记录为DNS cookie的唯一编号标识OPTION-CODE、为伪资源记录的长度OPTION-LENGTH、由客户端通过自己的IP生成的Client Cookie、由递归服务器通过Client Cookie和自己的IP生成的Server Cookie，Server Cookie在初始阶段缺省；