[发明专利]一种基于DNS Proxy的监控DNS域名遭受攻击的方法

权利要求书

1.一种基于DNS Proxy的监控DNS域名遭受攻击的方法，其特征在于，包括以下步骤：

步骤S10、远程监控系统RMS向家庭网关设备下发对特定域名进行监控操作的配置给家庭网关设备；

步骤S20、家庭网关收到RMS下发的配置后发消息通知DNS Proxy进程；

步骤S30、DNS Proxy进程根据配置信息初始化监控特定域名的相关数据，并开始监控特定域名的DNS请求数量是否超过对应的阈值，将超过阈值的域名以及对应的家庭网关相关信息以告警形式上报给RMS；

步骤S40、RMS分析超过阈值的DNS请求是否为正常访问，将不正常访问的域名发送给家庭网关；

步骤S50、家庭网关的DNS Proxy进程对不正常访问的DNS请求直接丢弃。

2.如权利要求1所述的方法，其特征在于，在步骤10中，RMS向家庭网关设备下发的对特定域名进行监控的操作的配置包括：

InternetGatewayDevice.X_CT，DNS限速配置，最大支持16条记录；

Domain，域名域的DNS请求数量阈值配置，设置格式为“m1/n1,m2/n2……”，其中，“m”为限速的一级域名域，值为“ALL”表示对所有DNS域进行限速，值为“NULL”则表示不对任何DNS域进行限速；“n”为相对于所设域名域家庭网关每分钟许可正常处理的DNS请求数量阈值；

HgwInfo，家庭网关WAN侧IP地址及MAC地址，格式为“IP|MAC”；

DeviceInfo，当有域名域的DNS请求超过阈值时，记录与超过阈值DNS请求相关的越限域名域的源设备的IP地址及MAC地址，格式为“m1/IP1/MAC1,m1/IP2/MAC2……”；

LimitAction，越限控制策略，具体为：

当发现有新的域名域超过DNS请求数量阈值时，将新的域名取值“Alert”，家庭网关向RMS上报域名超限消息X CT-COM DNSLIMITALERT：事件携带InternetGatewayDevice.X_CT-COM_DNSSpeedLimit.Domain、HgwInfo和DeviceInfo参数；

当超出DNS请求阈值的DNS请求为不正常访问时，将超出DNS请求阈值的DNS请求取值“Drop”，直接丢弃超出DNS请求阈值的DNS请求。

3.如权利要求2所述的方法，其特征在于，“m”值缺省默认其值为“NULL”；“n”值缺省默认值为1200次/分钟。

4.如权利要求1所述的方法，其特征在于，当不正常访问的域名故障解除后，对RMS下发的针对特定域名进行监控操作的配置进行清除。

5.如权利要求1所述的方法，其特征在于，步骤S30具体包括以下步骤：

步骤S31、DNS Proxy根据配置信息对其定义特定域名的相关数据进行初始化，并重新读取需要监控的相关列表，写入内存的相关链表中；

步骤S32、DNS Proxy轮询定时器链表，判断是否存在一个或者多个定时器超时，如果超时，执行步骤S33；否则，执行步骤S34；

步骤S33、DNS Proxy调用定时器超时回调函数，执行步骤S34；

步骤S34、判断收到的DNS请求的超阈值告警上报标识Quit_flag是否为false，如果是，执行步骤S35，否则，执行退出循环；

步骤S35、DNS Proxy判断收到的DNS请求是否需要监控，如果需要监控，执行步骤S36；否则，执行步骤S311；

步骤S36、判断是否第一次接收到该监控域名的DNS请求，若是，执行步骤S37；否则，执行步骤S38；

步骤S37、开启该域名的监控模式，启动该域名对应的定时器，计数器加1，执行步骤S39；

步骤S38、计数器加1；

步骤S39、判断该监控域名的DNS请求数量是否超过对应的阈值，若未超过，执行步骤S311；否则，执行步骤S310；

步骤S310、向RMS上报告警，并将超阈值告警上报标识Quit_flag置为true，然后执行步骤S311；

步骤S311、转发DNS请求报文。