专利名称:域名解析服务器的抵御dns请求报文泛洪攻击的方法和系统的制作方法
技术领域:
本发明涉及计算机网络,尤其涉及一种通过及时调整,刷新域名解析服务器信息 来牵引DNS (域名服务器,Domain Name Server)请求报文泛洪攻击的方法,从而达到抵御 DNS请求报文泛洪攻击的目的。
背景技术:
Internet上的每台主机都有一个或多个全网唯一的IP地址,这些主机就是使用 这些IP地址来进行信息的传输的,类似我们日常生活中的电话号码。随着网络应用越来越 多,网络中的主机数量也越来越多,IP地址这种枯燥的数字形式很难于记忆,人们根本无法 记住众多的IP地址,所以就出现了域名系统(DNS),域名系统是一种用于TCP/IP应用程序 的分布式数据库,它提供域名和IP地址之间的互相转换,通过域名系统,我们就可以使用 方便记忆的名称来找到网络中主机的IP地址,进而和网络中的主机进行通讯。域名系统是有层次的,类似于imix/linux系统中的目录树,最顶层是根域,接下 来是顶级域,再下来是二级域,依此类推。每个层次的域可以管理自己的子域,也可以将子 域授权给其他域名服务器,这些被授权为负责进行相关域名权威解析的服务器就是域名解 析服务器。域名和IP地址的对应关系以及可以缓存的时间(TTL)就是通过域名解析服务 器来设置生效的。公网域名服务器一般是由网络接入商提供的,主要用于帮助用户进行域名和IP 地址的相互解析转换。公网域名服务器可以进行各层次域的递归解析,并对解析的结果进 行缓存,在缓存时间内,如果有对相同域名的请求,则可以直接返回缓存的解析结果。域名解析的过程如图1所示,是一个请求和应答的过程,客户端发送域名解析的 请求到DNS服务器,DNS服务器将响应的报文发送给请求的客户端。请求和应答的报文传 递可以基于UDP协议,也可以基于TCP协议。在不使用DNS扩展的情况下,使用UDP协议可 以运载的数据不能超过512Byte,否则返回的数据将会被截断,客户端自动使用TCP协议重 新发起请求;虽然TCP协议可以传输大的数据,但是由于TCP协议的往返次数较多,所以响 应时间会比较长,容易出现DNS解析超时。所以目前大家基本上都使用UDP协议进行报文 的传输。攻击者在进行攻击的时候,往往在瞬间发送大量的域名解析请求,使得DNS服务 器的带宽被耗尽,或者耗光服务器的系统资源,导致正常的客户请求不能被服务。如果攻击 的目标是域名解析服务器,会导致问题被放大。
发明内容
本发明的目的在于解决上述问题,提供了一种域名解析服务器的抵御DNS请求报 文泛洪攻击的方法,可以有效抵御DNS请求报文泛洪攻击,保护域名解析服务器,确保域名 的解析能够正常进行。
4
本发明的另一目的在于提供了一种域名解析服务器的抵御DNS请求报文泛洪攻 击的系统,通过自动调度抵御DNS请求报文泛洪攻击。本发明的技术方案为本发明揭示了一种域名解析服务器的抵御DNS请求报文泛 洪攻击的方法,包括将多台域名解析服务器组成服务器集群,该服务器集群共享一个IP地址;由监控服务器定时监控各域名解析服务器的服务参数和集群服务的可用性,并将 服务参数和集群服务的可用性汇报给控制服务器;由控制服务器根据收集到的域名解析服务器的服务参数和集群服务的可用性,决 策是否存在攻击行为;如果决策出存在攻击行为,则进行域名解析服务器的调整,并通知刷新服务器;由刷新服务器通过刷新公网域名服务器缓存的域名解析服务器信息,使得域名解 析服务器的调整能够生效。根据本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的方法的一实施例, 域名解析服务器的服务参数包括服务器的系统资源占用率、服务响应时间、服务请求数、服 务响应失败率,域名解析服务器的集群服务的可用性是指设定比例的解析请求响应时间小 于设定值。根据本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的方法的一实施例, 在决策是否存在攻击行为的过程中,通过服务器的系统资源占用率、服务请求数、集群服务 的可用性计算服务裕度,当服务裕度低于某一设定值时,得到存在攻击行为的决策结果。根据本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的方法的一实施例, 域名解析服务器的调整包括使用备用的服务器集群替换被攻击的服务器集群,被攻击的服务器集群在替换后 如果恢复到某一阈值以下,则将其作为备用的服务器集群。根据本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的方法的一实施例, 服务器集群自动检测集群内部的域名解析服务器的异常,并自动将出现异常的域名解析服 务器切换至正常的域名解析服务器。根据本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的方法的一实施例, 刷新服务器提前收集公网域名服务器的IP地址,当刷新服务器收到来自控制服务器的刷 新通知后,通过提前收集到的公网域名服务器的IP地址将服务器集群的变更更新到各公 网域名服务器。本发明还揭示了一种域名解析服务器的抵御DNS请求报文泛洪攻击的系统,包 括由多个域名解析服务器组成的服务器集群;监控服务器,与服务器集群中的各个域名解析服务器建立数据连接,监控服务器 包括服务参数监控模块,监控各域名解析服务器的服务参数;集群服务可用性监控模块,监控服务器集群的可用性;汇报模块,耦接服务参数监控模块和集群服务可用性监控模块,将监控到的服务 参数和集群服务的可用性汇报给控制服务器;
控制服务器,与监控服务器建立数据连接,控制服务器包括数据接收模块,接收监控服务器汇报的服务参数和集群服务的可用性;决策模块,根据收集到的域名解析服务器的服务参数和集群服务的可用性,决策 是否存在攻击行为;调整模块,操纵服务器集群中的各域名解析服务器的调整,使用备用的服务器集 群替换被攻击的服务器集群;信息交互模块,在域名解析服务器发生调整时通知刷新服务器;刷新服务器,与控制服务器建立数据连接,刷新服务器包括刷新模块,通过刷新公网域名服务器缓存的域名解析服务器信息,使得域名解析 服务器的调整能够生效。根据本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的系统的一实施例, 服务参数监控模块监控的域名解析服务器的服务参数包括服务器的系统资源占用率、服务 响应时间、服务请求数、服务响应失败率;集群服务可用性监控模块监控的域名解析服务器 的集群服务的可用性是指设定比例的解析请求响应时间小于设定值。根据本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的系统的一实施例, 在控制服务器的决策模块中,通过服务器的系统资源占用率、服务请求数、集群服务的可用 性计算服务裕度,当服务裕度低于某一设定值时,得到存在攻击行为的决策结果。根据本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的系统的一实施例, 刷新服务器还包括公网域名服务器IP地址收集模块,耦接刷新模块,提前收集公网域名服务器的IP 地址并提供给刷新模块,当刷新模块收到来自控制服务器的刷新通知后,通过提前收集到 的公网域名服务器的IP地址将服务器集群的变更更新到各公网域名服务器中。本发明对比现有技术有如下的有益效果本发明通过让多台域名解析服务器组成 一个服务器集群,由一监控服务器监控各域名解析服务器的服务参数和集群服务的可用性 并上报给控制服务器,由控制服务器根据这些信息决策是否存在攻击行为,如果存在攻击 行为则进行域名服务器的调整,同时通知刷新服务器,刷新服务器通过刷新公网域名服务 器缓存的域名解析服务器信息,使得域名解析服务器的调整能够生效。对比现有技术,本发 明通过对集群内各域名解析服务器的自动调度,有效抵御DNS请求报文泛洪攻击。
图1是传统的域名解析的示意图。图2是本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的方法的实施例的 流程图。图3是本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的系统的实施例的
原理图。
具体实施例方式下面结合附图和实施例对本发明作进一步的描述。域名解析服各器的抵雅卩DNSi青求报tg换攻击的方法的实施例
6
图2示出了本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的方法的实施 例。请参见图2,本实施例的方法的各个步骤如下所述。步骤SlO 将多台域名解析服务器组成服务器集群,服务器集群中的这些域名解 析服务器共享一个IP地址。这样可以提高服务器集群的服务能力,而且这个服务器集群是动态变化的,可以 随时将某一域名解析服务器添加到服务器集群中。此外,服务器集群能够自动检测集群内 的域名解析服务器是否异常,如某一域名解析服务器出现异常,则自动进行异常服务器的 切换。步骤Sll 由监控服务器定时监控各域名解析服务器的服务参数和集群服务的可 用性,并将这些信息汇报给控制服务器。域名解析服务器的服务参数包括服务器的系统资源占用率、服务响应时间、服务 请求数以及服务响应失败率。系统资源占用率又包括CPU、内存、负载、磁盘或是网络连接的 占用率。集群服务的可用性是指一定比例的解析请求响应时间是否小于一个设定值,如果 某一比例以上的解析请求响应时间小于设定值,则说明集群服务可用,否则说明集群服务 不可用。步骤S12 由控制服务器根据收集到的域名解析服务器的服务参数和集群服务的 可用性,决策是否存在攻击行为。如果存在攻击行为,则进入步骤S13,如果不存在攻击行 为,则流程结束。在本实施例中,是基于各个参数的不同的权重,通过服务器的系统资源占用率、服 务请求数、集群服务的可用性计算服务裕度,当服务裕度低于某一设定值时,得到存在攻击 行为的决策结果,当服务裕度高于某一设定时,得到不存在攻击行为的决策结果。例如,根据实际情况设置上述系统资源占用率、服务请求数、集群服务的可用性 等这些参数的权重,根据实际情况和逻辑来计算服务裕度,下面是计算方式的其中一个示 例服务裕度W = 100% -wrXR+wqX (Q/QALL)+waXA,其中W为服务裕度,R为系统 资源占用率,wr是系统资源占用率所占的权重,Q是服务请求数,QALL是服务最大请求数, wq是服务请求数的权重,A为服务可用性,wa是服务可用性所占的权重。步骤S13 调整域名解析服务器,并通知刷新服务器。域名解析服务器的调整是指对于单域名解析服务器出现异常状况,则进行报警 处理;对于整个服务器集群出现异常,则使用备用的服务器集群替换被攻击的服务器集群, 被攻击的服务器集群在替换后如果恢复到某一阈值以下,则将其作为备用的服务器集群。步骤S14 由刷新服务器通过刷新公网域名服务器缓存的域名解析服务器信息, 使得域名解析服务器的调整能够生效。在本步骤中,刷新服务器提前收集公网域名服务器(公网DNS)的IP地址,当刷新 服务器接收到来自控制服务器的刷新通知后,通过提前收集到的公网域名服务器的IP地 址将服务器集群的变更更新到各公网域名服务器。域名解析服各器的抵雅卩DNSmm^&mm^mmmm图3示出了本发明的域名解析服务器的抵御DNS请求报文泛洪攻击的系统的实施 例的结构。请参见图3,本实施例的系统包括由多台域名解析服务器10组成的服务器集群1、监控服务器2、控制服务器3以及刷新服务器4。监控服务器2和服务器集群中的每一 台域名解析服务器10建立通信连接,控制服务器3和监控服务器2之间建立通信连接,刷 新服务器4和控制服务器3之间建立通信连接。在监控服务器2中设有三个模块服务参数监控模块20、集群服务可用性监控模 块22和汇报模块24。其中服务参数监控模块20监控各域名解析服务器的服务参数,这些 服务参数包括服务器的系统资源占用率、服务响应时间、服务请求数、服务响应失败率等。 集群服务可用性监控模块22监控服务器集群的可用性,这里的可用性是指某一比例的解 析请求响应时间小于设定值,也即,当解析请求响应时间小于设定值超过一定比例时,说明 服务器集群可用,反之说明服务器集群不可用。汇报模块24耦接服务参数监控模块20和 集群服务可用性监控模块22,将监控到的服务参数和集群服务的可用性汇报给控制服务器 3。控制服务器3中设有四个模块数据接收模块30、决策模块32、调整模块34以及 信息交互模块36,这四个模块是依序耦接的关系。 数据接收模块30接收监控服务器2汇报的服务参数和集群服务的可用性。决策模 块32根据收集到的域名解析服务器的服务参数和集群服务的可用性,决策是否存在攻击 行为。决策模块32是基于各个参数不同的权重,通过服务器的系统资源占用率、服务请求 数、集群服务的可用性计算服务裕度。当计算出的服务裕度低于某一设定值时,得出存在攻 击行为的决策结果;当计算出的服务裕度高于某一设定值时,得出不存在攻击行为的决策 结果。例如,根据实际情况设置上述系统资源占用率、服务请求数、集群服务的可用性等这 些参数的权重,根据实际情况和逻辑来计算服务裕度,下面是计算方式的其中一个示例服务裕度W = 100% -wrXR+wqX (Q/QALL)+waXA,其中W为服务裕度,R为系统 资源占用率,wr是系统资源占用率所占的权重,Q是服务请求数,QALL是服务最大请求数, wq是服务请求数的权重,A为服务可用性,wa是服务可用性所占的权重。调整模块34在决策模块32得出存在攻击行为的决策结果后,操纵服务器集群中 的各域名解析服务器进行调整,使用备用的服务器集群替换被攻击的服务器集群。而被攻 击的服务器集群在替换后如果恢复到某一阈值以下,则将其作为备用的服务器集群。信息交互模块36在域名解析服务器发生调整时通知刷新服务器4。刷新服务器4包括公网域名服务器IP地址收集模块40和与之耦接的刷新模块 42,其中公网域名服务器IP地址收集模块40是可选的模块。公网域名服务器IP地址收集 模块40提前收集公网域名服务器的IP地址并提供给刷新模块42。当刷新模块42收到来 自控制服务器3的刷新通知后,通过提前收集到的公网域名服务器的IP地址,将服务器集 群的变更更新到各公网域名服务器中,使得域名解析服务器的调整能够生效。上述实施例是提供给本领域普通技术人员来实现或使用本发明的,本领域普通技 术人员可在不脱离本发明的发明思想的情况下,对上述实施例做出种种修改或变化,因而 本发明的保护范围并不被上述实施例所限,而应该是符合权利要求书提到的创新性特征的 最大范围。
8
权利要求
一种域名解析服务器的抵御DNS请求报文泛洪攻击的方法,包括将多台域名解析服务器组成服务器集群,该服务器集群共享一个IP地址;由监控服务器定时监控各域名解析服务器的服务参数和集群服务的可用性,并将服务参数和集群服务的可用性汇报给控制服务器;由控制服务器根据收集到的域名解析服务器的服务参数和集群服务的可用性,决策是否存在攻击行为;如果决策出存在攻击行为,则进行域名解析服务器的调整,并通知刷新服务器;由刷新服务器通过刷新公网域名服务器缓存的域名解析服务器信息,使得域名解析服务器的调整能够生效。
2.根据权利要求1所述的域名解析服务器的抵御DNS请求报文泛洪攻击的方法,其特 征在于,域名解析服务器的服务参数包括服务器的系统资源占用率、服务响应时间、服务请 求数、服务响应失败率,域名解析服务器的集群服务的可用性是指设定比例的解析请求响 应时间小于设定值。
3.根据权利要求2所述的域名解析服务器的抵御DNS请求报文泛洪攻击的方法,其特 征在于,在决策是否存在攻击行为的过程中,通过服务器的系统资源占用率、服务请求数、 集群服务的可用性计算服务裕度,当服务裕度低于某一设定值时,得到存在攻击行为的决笛社里 束5口米。
4.根据权利要求1所述的域名解析服务器的抵御DNS请求报文泛洪攻击的方法,其特 征在于,域名解析服务器的调整包括使用备用的服务器集群替换被攻击的服务器集群,被攻击的服务器集群在替换后如果 恢复到某一阈值以下,则将其作为备用的服务器集群。
5.根据权利要求1所述的域名解析服务器的抵御DNS请求报文泛洪攻击的方法,其特 征在于,服务器集群自动检测集群内部的域名解析服务器的异常,并自动将出现异常的域 名解析服务器切换至正常的域名解析服务器。
6.根据权利要求1所述的域名解析服务器的抵御DNS请求报文泛洪攻击的方法,其特 征在于,刷新服务器提前收集公网域名服务器的IP地址,当刷新服务器收到来自控制服务 器的刷新通知后,通过提前收集到的公网域名服务器的IP地址将服务器集群的变更更新 到各公网域名服务器。
7.—种域名解析服务器的抵御DNS请求报文泛洪攻击的系统,包括 由多个域名解析服务器组成的服务器集群;监控服务器,与服务器集群中的各个域名解析服务器建立数据连接,监控服务器包括服务参数监控模块,监控各域名解析服务器的服务参数; 集群服务可用性监控模块,监控服务器集群的可用性;汇报模块,耦接服务参数监控模块和集群服务可用性监控模块,将监控到的服务参数 和集群服务的可用性汇报给控制服务器;控制服务器,与监控服务器建立数据连接,控制服务器包括 数据接收模块,接收监控服务器汇报的服务参数和集群服务的可用性; 决策模块,根据收集到的域名解析服务器的服务参数和集群服务的可用性,决策是否存在攻击行为;调整模块,操纵服务器集群中的各域名解析服务器的调整,使用备用的服务器集群替 换被攻击的服务器集群;信息交互模块,在域名解析服务器发生调整时通知刷新服务器;刷新服务器,与控制服务器建立数据连接,刷新服务器包括刷新模块,通过刷新公网域名服务器缓存的域名解析服务器信息,使得域名解析服务 器的调整能够生效。
8.根据权利要求7所述的域名解析服务器的抵御DNS请求报文泛洪攻击的系统,其特 征在于,服务参数监控模块监控的域名解析服务器的服务参数包括服务器的系统资源占用 率、服务响应时间、服务请求数、服务响应失败率;集群服务可用性监控模块监控的域名解 析服务器的集群服务的可用性是指设定比例的解析请求响应时间小于设定值。
9.根据权利要求8所述的域名解析服务器的抵御DNS请求报文泛洪攻击的系统,其特 征在于,在控制服务器的决策模块中,通过服务器的系统资源占用率、服务请求数、集群服 务的可用性计算服务裕度,当服务裕度低于某一设定值时,得到存在攻击行为的决策结果。
10.根据权利要求7所述的域名解析服务器的抵御DNS请求报文泛洪攻击的系统,其特 征在于,刷新服务器还包括公网域名服务器IP地址收集模块,耦接刷新模块,提前收集公网域名服务器的IP地址 并提供给刷新模块,当刷新模块收到来自控制服务器的刷新通知后,通过提前收集到的公 网域名服务器的IP地址将服务器集群的变更更新到各公网域名服务器中。
全文摘要
本发明公开了域名解析服务器的抵御DNS请求报文泛洪攻击的方法和系统,可以有效抵御DNS请求报文泛洪攻击,保护域名解析服务器,确保域名的解析能够正常进行。其技术方案为方法包括将多台域名解析服务器组成服务器集群,服务器集群共享一个IP地址;由监控服务器定时监控各域名解析服务器的服务参数和集群服务的可用性,并将服务参数和集群服务的可用性汇报给控制服务器;由控制服务器根据收集到的域名解析服务器的服务参数和集群服务的可用性,决策是否存在攻击行为;如果决策出存在攻击行为,则进行域名解析服务器的调整,并通知刷新服务器;由刷新服务器通过刷新公网域名服务器缓存的域名解析服务器信息,使得域名解析服务器的调整能够生效。
文档编号H04L29/12GK101924776SQ20101028256
公开日2010年12月22日 申请日期2010年9月16日 优先权日2010年9月16日
发明者吴振永, 洪珂, 牛荣利 申请人:网宿科技股份有限公司