专利名称:一种防范dns请求报文洪泛攻击的方法及装置的制作方法
技术领域:
本发明涉及网络安全技术领域,更具体地说,涉及一种防范DNS请求报文洪泛攻 击的方法及装置。
背景技术:
域名系统(Domain Name System, DNS)是一种用于TCP/IP应用程序的分布式数据 库,提供域名与IP地址之间的转换。通过域名系统,用户可以使用便于记忆的域名,由网络 中DNS服务器将域名解析为正确的IP地址。 通常,DNS客户端通过向DNS服务器发送DNS请求报文(DNS Query)获取域名对应 的IP地址。DNS服务器在接收到DNS请求报文以后,根据请求的域名进行查找,有时还需要 向上级DNS服务器请求。DNS服务器在最终得到DNS客户端请求的域名对应的IP地址后, 发送DNS响应报文(DNS R印ly)通知DNS客户端,DNS客户端就可以向此IP地址请求网络 服务了 。由此可见, 一旦DNS服务器收到攻击,将严重影响人们的正常网络应用。
DNS请求报文洪泛(DNS Query Flood)攻击是一种基于特定应用协议的UDP Flood,攻击方向DNS服务器发送大量域名解析请求,致使DNS服务器严重超载,无法继续响 应正常用户的DNS请求,从而达到攻击的目的。 一般情况下,攻击方发送的DNS请求是随机 生成的网络中根本不存在的域名,受攻击的DNS服务器接收到此请求时,对该域名进行解 析,解析不成功,则该DNS服务器通过递归查询向其上级DNS服务器递交解析请求,进而形 成对上级DNS服务器的攻击,形成连锁反应。域名解析的过程会给DNS服务器带来很大的 负载,当超过DNS服务器的域名解析阈值时,将造成DNS服务器解析超时直至瘫痪。
为了保护DNS服务器,进而保证网络的正常应用,产生了DNS Query Flood防范技 术。现有技术中的常用防范技术包括在保护设备上采用DNS cache技术、域名信誉机制和 挑战重传机制,其主要工作原理为
(1)在保护设备上采用DNS cache技术 保护设备在没有检测到发生攻击时主动学习域名解析结果,记录域名和IP的对 应关系,建立DNS cache。当检测到发生攻击时,保护设备在接收到域名解析请求时,首先查 询DNS cache,根据查询结果响应域名解析请求,对于不在DNS cache中的域名解析请求交 由DNS服务器解析,并在DNS cache中记录解析结果,从而减轻DNS服务器负载。
(2)在保护设备上采用域名信誉机制 保护设备在没有检测到发生攻击时主动学习域名解析结果,统一域名解析次数及 域名解析失败的次数,建立域名信誉机制;对应域名解析失败次数或者请求同一域名次数 超过一定值的,相应降低其域名信誉等级。当检测到发生攻击时,保护设备在接收到域名解 析请求时,查询域名信誉等级表,根据域名信誉机制,过滤部分域名解析请求;限制发起信 誉等级低的域名解析请求的源IP的带宽。
(3)在保护设备上采用挑战重传机制 保护设备会把第一个用UDP方式发起的DNS请求报文丢掉强制要求客户端用TCP方式进行DNS请求,这样必须经过重传之后才可以解析到域名的IP地址。
然而,通过研究发现,现有技术中至少存在以下问题 对于目前在DNS Flood中占绝大多数的伪造源IP的DNS Flood攻击,域名解析请求都在随机变化的情况下,由于这些域名大多不存在,DNS cache将起不到任何作用;而通过域名信誉机制,要么全部丢弃信誉级别低的域名请求,要么只过滤部分,其余的交由DNS服务器解析,对于全部丢弃的情况,影响部分正常用户的DNS请求,而只过滤部分,仍会对服务器造成很大冲击,不能很好地保护DNS服务器,除此之外,域名信誉机制的建立需要较长时间的学习,信誉评估算法不仅复杂,而且其评估结果直接影响防御的有效性;对于第三种技术,容易给用户造成网络不好用的现象,并且如果当域名解析服务器关闭了 TCP方式的DNS域名解析的情况下,挑战重传将会造成域名无法解析的后果。
可见,现有技术无法实现有效防范DNS Flood攻击。
发明内容
有鉴于此,本发明实施例提供一种防范DNS请求报文洪泛攻击的方法及装置,以便提高防范DNS请求报文洪泛攻击的能力。 本发明实施例提供一种防范DNS请求报文洪泛攻击的方法,所述方法包括
DNS服务端接收DNS客户端发送的DNS请求报文; DNS服务端通过解析所述DNS请求报文,获得所述DNS请求报文所携带的需要进行解析的域名; DNS服务端根据预置的域名解析条件,判断所述域名的合法性,当所述域名为非法解析的域名时,则禁止对所述域名的解析。 优选的,所述DNS服务端根据预置的域名解析条件,判断所述域名的合法性,包括 预置域名黑名单,所述域名黑名单中包含的域名为非法解析的域名; 将所述需要进行解析的域名与所述域名黑名单中的域名进行匹配; 当所述需要进行解析的域名包含在所述域名黑名单中,则判断所述需要进行解析
的域名为非法解析的域名。 优选的,所述DNS服务端根据预置的域名解析条件,判断所述域名的合法性,包括 预置所述需要进行解析的域名的解析频率; 判断每个域名的解析频率是否超过所述预置的解析频率阈值,若是,则直接将超过所述解析频率阈值的DNS请求报文丢弃。
优选的,所述方法还包括 所述预置的解析频率阈值对应于所有域名为统一数值; 判断每个域名的解析频率是否超过所述预置的统一数值的解析频率阈值,若是,
则直接将超过所述统一数值的解析频率阈值的DNS请求报文丢弃。 优选的,所述DNS服务端包括DNS服务器或DNS代理。 —种防范DNS请求报文洪泛攻击的装置,所述装置包括 接收模块,用于DNS服务端接收DNS客户端发送的DNS请求报文;
5
报文解析模块,用于DNS服务端通过解析所述DNS请求报文,获得所述DNS请求报 文所携带的需要进行解析的域名; 合法性判断模块,用于DNS服务端根据预置的域名解析条件,判断所述域名的合
法性,当所述域名为非法解析的域名时,则禁止对所述域名的解析。 优选的,所述合法性判断模块包括 黑名单预置子模块,用于预置域名黑名单,所述域名黑名单中包含的域名为非法 解析的域名; 匹配子模块,用于将所述需要进行解析的域名与所述域名黑名单中的域名进行匹 配; 第一判断子模块,用于当所述需要进行解析的域名包含在所述域名黑名单中,则 判断所述需要进行解析的域名为非法解析的域名。
优选的,所述合法性判断模块包括 解析频率获取子模块,用于获取所述需要进行解析的域名的解析频率; 第二判断子模块,用于判断所述解析频率是否超过预置的解析频率阈值,若是,则
直接将超过所述解析频率阈值的DNS请求报文丢弃。 优选的,所述装置还包括 统一解析频率阈值设置模块,用于设置所述预置的解析频率阈值对应于所有域名 为统一数值; 第三判断子模块,用于判断每个域名解析频率是否超过所述预置的统一数值的解 析频率阈值,若是,则直接将超过所述统一数值的解析频率阈值的DNS请求报文丢弃。
优选的,所述DNS服务端包括DNS服务器或DNS代理。 同现有技术相比,本发明提供的技术方案通过预置域名解析条件,根据域名解析 条件判断需要解析的域名的合法性,只有当确定需要解析的域名为合法解析的域名时,才 允许DNS服务器执行对该域名的解析;否则,直接将相应的DNS请求报文丢弃,禁止对该域 名的解析,从而,当产生DNS请求报文洪泛攻击时,能够实现针对指定的域名的特定防御, 对DNS服务器进行有效的保护,避免产生网络中断的严重后果。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中 所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实 施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图 获得其他的附图。 图1为本发明实施例提供的一种防范DNS请求报文洪泛攻击的方法步骤流程图;
图2为本发明实施例提供的一种防范DNS请求报文洪泛攻击的装置结构示意图;
图3为图2中的合法性判断模块的一种结构示意图;
图4为图2中的合法性判断模块的另一种结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完
6整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。 首先对本发明提供的防范DNS请求报文洪泛攻击的方法进行说明,参照图1所示,所述方法可以包括以下步骤流程 步骤101、 DNS服务端接收DNS客户端发送的DNS请求报文; 步骤102、 DNS服务端通过解析所述DNS请求报文,获得所述DNS请求报文所携带的需要进行解析的域名; 步骤103、 DNS服务端根据预置的域名解析条件,判断所述域名的合法性,当所述域名为非法解析的域名时,则禁止对所述域名的解析。 本发明提供的技术方案通过预置域名解析条件,根据域名解析条件判断需要解析的域名的合法性,只有当确定需要解析的域名为合法解析的域名时,才允许DNS服务器执行对该域名的解析;否则,直接将相应的DNS请求报文丢弃,禁止对该域名的解析,从而,当产生DNS请求报文洪泛攻击时,能够实现针对指定的域名的特定防御,对DNS服务器进行有效的保护,避免产生网络中断的严重后果。 为了便于对本发明进一步的理解,下面结合本发明的具体实施方式
对本发明进行详细描述。 在本发明的一个优选实施例中,所述DNS服务端根据预置的域名解析条件,判断所述域名的合法性,可以通过以下具体方式实现 预置域名黑名单,所述域名黑名单中包含的域名为非法解析的域名; 将所述需要进行解析的域名与所述域名黑名单中的域名进行匹配; 当所述需要进行解析的域名包含在所述域名黑名单中,则判断所述需要进行解析
的域名为非法解析的域名。 该实施例中,所述域名黑名单为DNS服务端设置的非法解析的域名的集合,其中所有域名均为非法解析的域名。本领域技术人员在具体实施时,可以将域名黑名单以配置列表的形式进行预置,当然,也可以采用其他的方式,对此本发明不做具体限制。
当DNS服务端接收DNS客户端发送的DNS请求报文后,首先对DNS请求报文进行解析,获得DNS请求报文中携带的需要进行解析的域名;获得DNS请求报文中携带的需要进行解析的域名后,DNS服务端并不直接对该域名进行解析,而是首先将该域名与域名黑名单中的域名进行匹配,以验证该域名是否为非法解析的域名;当发现域名黑名单中存在该域名时,则确定该域名为非法解析的域名,解析该域名的操作为非法操作,则禁止对该域名的解析,具体地,可以不处理该DNS请求报文,或者直接将包含该域名的DNS请求报文丢弃。当发现域名黑名单中不存在该域名时,则确定该域名为合法解析的域名,解析该域名的操作为合法操作,则允许DNS服务端对该域名的解析。 通常,出现在域名黑名单中的域名可以采用以下方式进行确定在没有进行任何防护的条件时,对需要进行解析的域名进行统计学习,从而获得哪些域名为非法解析的域名,从而将这些域名添加在域名黑名单中,将对这些域名的解析确定为非法操作,从而限制对域名黑名单中出现的域名进行解析限制。 本发明实施例可以应用在网络用户跟DNS服务器之间的设备上,对DNS服务器进行保护。当在设备上配置了域名黑名单并把某个域名加到黑名单当中,用户发送这个域名 的DNS请求时,该设备就会把这个请求解析报文丢掉,使DNS服务器无法完成对该域名的解 析。 这种黑名单的方式主要用来防护一些攻击工具的攻击,例如用户端随机发起一 个现实中不存在的域名的DNS请求报文,当DNS服务器没有进行任何保护时,这种报文将会 被发送至DNS服务器进行域名解析,但是即使经过域名解析,也不会解析到该域名的IP的, 相反,该域名解析过程将会浪费DNS服务器的大量资源,严重时还会导致对DNS服务器接收 到的正常DNS请求的解析产生影响。当采用本发明实施例中的技术方案,可以把这个域名 直接加到设备的域名黑名单中,因此,可以快速确定需要解析的域名的合法性,包含该域名 的DNS请求报文在防护设备上就会被丢弃而不能到达DNS服务器,这样,将减轻DNS服务器 的解析负担,进而对DNS服务器进行保护。 在本发明的另一个优选实施例中,所述DNS服务端根据预置的域名解析条件,判 断所述域名的合法性,可以通过以下具体方式实现
获取所述需要进行解析的域名的解析频率; 判断所述解析频率是否超过预置的解析频率阈值,若是,则直接将超过所述解析 频率阈值的DNS请求报文丢弃。 本发明实施例中,通过限制域名的解析频率,实现对具体域名的DNS泛洪攻击进 行防御。其中,域名的解析频率通常指每秒时间内解析的DNS请求报文数目;解析频率阈 值指每秒时间内允许解析的DNS请求报文数目,通常,解析频率阈值决定了 DNS服务器的解 析能力。如果短时间内,发现当前域名的解析频率超过预置的解析频率阈值,虽然这些DNS 请求报文包含的域名为合法解析的域名,但是,为了避免域名的解析频率超过DNS服务器 的解析能力而导致的DNS服务器瘫痪甚至网络中断,在防御的过程中,DNS服务端主动监测 每个需要解析的域名的解析频率,并判断当前域名的解析频率是否超过预置的解析频率阈 值,如果发现当前域名的解析频率超过预置的解析频率阈值,则直接将超过所述解析频率 阈值的DNS请求报文丢弃,防止DNS服务器解析这些DNS请求报文而导致的DNS服务器瘫 痪甚至网络中断。 例如预置"www. baidu. com"的解析频率阈值为lOOO,"www. google, cn"的解析频 率阈值为10000,当接收到包含"www. baidu. com"或者"www. google, cn"的DNS请求报文 后,设备上就会进行检领U,如果发现对"ww^. baidu. com"的解析请求每秒超过1000个时,就 将每秒超过1000的其他的请求报文丢弃;如果发现对"www. google, cn"的解析请求每秒超 过10000个时,就将每秒超过10000的其他的请求报文丢弃,进而保护DNS服务器接收到的 DNS请求报文数目始终限制在DNS服务器的解析能力范围之内。 当然,本发明在具体实现时,对于解析频率阈值的设置取决于对较长时间的学习, 而且,学习结果的准确性很大程度上依赖于学习期间不存在任何攻击的前提条件。该部分 内容属于本领域技术人员熟知的技术,对此,本发明不做具体限定。 通过设置域名的解析频率阈值,能够简单、有效地提高防范DNS请求报文洪泛攻 击的能力,对DNS服务器进行保护。 上面实施例中,可以对指定的域名解析进行限制,当然,为了更方便地对DNS服务 器施加保护,可以对DNS服务器接收到的所有DNS请求报文的解析频率进行限制。为了便于描述,可以对所有的域名解析设置一个解析频率阈值,例如解析频率阈值统一设置为10000,也就是说该DNS服务器对任一域名的解析频率都不能超过10000/秒。然后,判断每个域名的解析频率是否超过所述预置的统一数值的解析频率阈值,若是,则直接将超过所述统一数值的解析频率阈值的DNS请求报文丢弃。 需要说明的是,上述实施例中的所述DNS服务端包括DNS服务器或DNS代理。当
DNS客户端的合法性确认后,如果DNS服务端为DNS服务器,则在获取到对应域名解析的IP
地址后,就将该IP地址通DNS响应报文发送到DNS客户端;如果DNS服务端为DNS代理,则
利用TCP (Transmission ControlProtocol,传输控制协议)代理技术,向DNS服务器进行
UDP的DNS请求,再将DNS服务器的回应以TCP方式发送到DNS客户端。 相应上述防范DNS请求报文洪泛攻击的方法,本发明实施例还提供了一种防范
DNS请求报文洪泛攻击的装置,如图2所示,所述装置包括 接收模块201,用于DNS服务端接收DNS客户端发送的DNS请求报文; 报文解析模块202,用于DNS服务端通过解析所述DNS请求报文,获得所述DNS请
求报文所携带的需要进行解析的域名; 合法性判断模块203,用于DNS服务端根据预置的域名解析条件,判断所述域名的合法性,当所述域名为非法解析的域名时,则禁止对所述域名的解析。 本发明提供的防范DNS请求报文洪泛攻击的装置技术方案通过预置域名解析条
件,根据域名解析条件判断需要解析的域名的合法性,只有当确定需要解析的域名为合法
解析的域名时,才允许DNS服务器执行对该域名的解析;否则,直接将相应的DNS请求报文
丢弃,禁止对该域名的解析,从而,当产生DNS请求报文洪泛攻击时,能够实现针对指定的
域名的特定防御,对DNS服务器进行有效的保护,避免产生网络中断的严重后果。 在本发明的一个优选实施例中,如图3所示,所述合法性判断模块203的具体实现
方式为具体包括以下功能子模块 黑名单预置子模块2031,用于预置域名黑名单,所述域名黑名单中包含的域名为非法解析的域名; 匹配子模块2032,用于将所述需要进行解析的域名与所述域名黑名单中的域名进行匹配; 第一判断子模块2033,用于当所述需要进行解析的域名包含在所述域名黑名单中,则判断所述需要进行解析的域名为非法解析的域名。 该实施例中,所述域名黑名单为DNS服务端设置的非法解析的域名的集合,其中所有域名均为非法解析的域名。 本发明实施例可以应用在网络用户跟DNS服务器之间的设备上,对DNS服务器进行保护。当在设备上配置了域名黑名单并把某个域名加到黑名单当中,用户发送这个域名的DNS请求时,该设备就会把这个请求解析报文丢掉,使DNS服务器无法完成对该域名的解析。 这种黑名单的方式主要用来防护一些攻击工具的攻击,例如用户端随机发起一个现实中不存在的域名的DNS请求报文,当DNS服务器没有进行任何保护时,这种报文将会被发送至DNS服务器进行域名解析,但是即使经过域名解析,也不会解析到该域名的IP的,相反,该域名解析过程将会浪费DNS服务器的大量资源,严重时还会导致对DNS服务器接收
9到的正常DNS请求的解析产生影响。当采用本发明实施例中的技术方案,可以把这个域名 直接加到设备的域名黑名单中,因此,可以快速确定需要解析的域名的合法性,包含该域名 的DNS请求报文在防护设备上就会被丢弃而不能到达DNS服务器,这样,将减轻DNS服务器 的解析负担,进而对DNS服务器进行保护。 在另 一个实施例中,提供了所述合法性判断模块203的另 一种实现方式,如图4所 示,具体包括 解析频率获取子模块2034,用于获取所述需要进行解析的域名的解析频率;
第二判断子模块2035,用于判断所述解析频率是否超过预置的解析频率阈值,若 是,则直接将超过所述解析频率阈值的DNS请求报文丢弃。 本发明实施例中,通过限制域名的解析频率,实现对具体域名的DNS泛洪攻击进 行防御。如果发现当前域名的解析频率超过预置的解析频率阈值,则直接将超过所述解析 频率阈值的DNS请求报文丢弃,防止DNS服务器解析这些DNS请求报文而导致的DNS服务 器瘫痪甚至网络中断。 为了更好地对DNS服务器施加保护,可以对DNS服务器接收到的所有DNS请求报 文的解析频率进行限制,可以对所有的域名解析设置一个解析频率阈值。因此,所述装置还 可以包括 统一解析频率阈值设置模块,用于设置所述预置的解析频率阈值对应于所有域名 为统一数值; 第三判断子模块,用于判断每个域名解析频率是否超过所述预置的统一数值的解 析频率阈值,若是,则直接将超过所述统一数值的解析频率阈值的DNS请求报文丢弃。
此外,上述装置实施例中的所述DNS服务端包括DNS服务器或DNS代理。当DNS 客户端的合法性确认后,如果DNS服务端为DNS服务器,则在获取到对应域名解析的IP地 址后,就将该IP地址通DNS响应报文发送到DNS客户端;如果DNS服务端为DNS代理,则利 用TCP (Transmission ControlProtocol,传输控制协议)代理技术,向DNS服务器进行UDP 的DNS请求,再将DNS服务器的回应以TCP方式发送到DNS客户端。 对于装置实施例而言,由于其基本相应于方法实施例,所以描述得比较简单,相关 之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所 述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可 以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。 可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普 通技术人员在不付出创造性劳动的情况下,即可以理解并实施。 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为 磁碟、光盘、只读存储记忆体(Read-OnlyMemory, ROM)或随机存储记忆体(Random Access Memory,廳)等。 对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。 对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的 一般原理可以在不脱离本发明实施例的精神或范围的情况下,在其它实施例中实现。因此,本发明实施例将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和 新颖特点相一致的最宽的范围。
权利要求
一种防范DNS请求报文洪泛攻击的方法,其特征在于,所述方法包括DNS服务端接收DNS客户端发送的DNS请求报文;DNS服务端通过解析所述DNS请求报文,获得所述DNS请求报文所携带的需要进行解析的域名;DNS服务端根据预置的域名解析条件,判断所述域名的合法性,当所述域名为非法解析的域名时,则禁止对所述域名的解析。
2. 根据权利要求1所述的防范DNS请求报文洪泛攻击的方法,其特征在于,所述DNS服 务端根据预置的域名解析条件,判断所述域名的合法性,包括预置域名黑名单,所述域名黑名单中包含的域名为非法解析的域名; 将所述需要进行解析的域名与所述域名黑名单中的域名进行匹配; 当所述需要进行解析的域名包含在所述域名黑名单中,则判定所述需要进行解析的域 名为非法解析的域名。
3. 根据权利要求1所述的防范DNS请求报文洪泛攻击的方法,其特征在于,所述DNS服 务端根据预置的域名解析条件,判断所述域名的合法性,包括获取所述需要进行解析的域名的解析频率;判断所述解析频率是否超过预置的解析频率阈值,若是,则直接将超过所述解析频率 阈值的DNS请求报文丢弃。
4. 根据权利要求3所述的防范DNS请求报文洪泛攻击的方法,其特征在于,所述方法还 包括所述预置的解析频率阈值对应于所有域名为统一数值;判断每个域名的解析频率是否超过所述预置的统一数值的解析频率阈值,若是,则直 接将超过所述统一数值的解析频率阈值的DNS请求报文丢弃。
5. 根据权利要求1-4中任一项所述的防范DNS请求报文洪泛攻击的方法,其特征在于, 所述DNS服务端包括DNS服务器或DNS代理。
6. —种防范DNS请求报文洪泛攻击的装置,其特征在于,所述装置包括 接收模块,用于DNS服务端接收DNS客户端发送的DNS请求报文; 报文解析模块,用于DNS服务端通过解析所述DNS请求报文,获得所述DNS请求报文所携带的需要进行解析的域名;合法性判断模块,用于DNS服务端根据预置的域名解析条件,判断所述域名的合法性, 当所述域名为非法解析的域名时,则禁止对所述域名的解析。
7. 根据权利要求6所述的防范DNS请求报文洪泛攻击的装置,其特征在于,所述合法性 判断模块包括黑名单预置子模块,用于预置域名黑名单,所述域名黑名单中包含的域名为非法解析 的域名;匹配子模块,用于将所述需要进行解析的域名与所述域名黑名单中的域名进行匹配; 第一判断子模块,用于当所述需要进行解析的域名包含在所述域名黑名单中,则判断 所述需要进行解析的域名为非法解析的域名。
8. 根据权利要求6所述的防范DNS请求报文洪泛攻击的装置,其特征在于,所述合法性 判断模块包括解析频率获取子模块,用于获取所述需要进行解析的域名的解析频率;第二判断子模块,用于判断所述解析频率是否超过预置的解析频率阈值,若是,则直接将超过所述解析频率阈值的DNS请求报文丢弃。
9. 根据权利要求8所述的防范DNS请求报文洪泛攻击的装置,其特征在于,所述装置还 包括统一解析频率阈值设置模块,用于设置所述预置的解析频率阈值对应于所有域名为统 一数值;第三判断子模块,用于判断每个域名解析频率是否超过预置的统一数值的解析频率阈 值,若是,则直接将超过所述统一数值的解析频率阈值的DNS请求报文丢弃。
10. 根据权利要求6-9中任一项所述的防范DNS请求报文洪泛攻击的装置,其特征在 于,所述DNS服务端包括DNS服务器或DNS代理。
全文摘要
本发明公开了一种防范DNS请求报文洪泛攻击的方法及装置,其中,所述防范DNS请求报文洪泛攻击的方法包括DNS服务端接收DNS客户端发送的DNS请求报文;DNS服务端通过解析所述DNS请求报文,获得所述DNS请求报文所携带的需要进行解析的域名;DNS服务端根据预置的域名解析条件,判断所述域名的合法性,当所述域名为非法解析的域名时,则禁止对所述域名的解析。通过本发明,能够提高防范DNS请求报文洪泛攻击的能力。
文档编号H04L29/12GK101789940SQ201010102758
公开日2010年7月28日 申请日期2010年1月28日 优先权日2010年1月28日
发明者李晗, 马德晓, 高燕平 申请人:联想网御科技(北京)有限公司