一种DNS递归服务器抗DoS、DDoS攻击的方法及装置与流程

本发明涉及计算机技术领域，尤其涉及一种域名系统(DomainNameSystem，简称DNS)递归服务器抗DoS、DDoS攻击的方法及装置。

背景技术：

递归查询系统中，DNS递归服务器接受用户(解析器)发来的域名解析请求，首先查找自身缓存，若有该域名的缓存记录，则直接向用户返回解析结果；若没有，递归服务器向其他域名服务器发出查询直至获得所请求的数据或出错说明，然后再反馈给用户。每次查询，都需要耗费递归服务器系统资源，甚至占用较大网络带宽。

拒绝服务(Denial of Service，简称DoS)攻击是指攻击者试图通过傀儡计算机向递归服务器发送大量域名解析请求，使递归服务器无法提供正常的域名服务。分布式拒绝服务(Distributed Denial of Service，简称DDoS)攻击是在传统的DoS攻击基础之上发展起来的一类攻击方式。DDoS利用更多的傀儡计算机向递归服务器发起大量合法的域名解析请求来占用过多的服务器资源，从而使合法用户无法得到服务的响应。

由于中央处理器(Central Processing Unit，简称CPU)、内存等系统资源的限制，递归服务器同一时间响应和处理用户发来的域名解析请求的数目是有限制的。而递归服务器在受到DoS、DDoS攻击时，域名查询请求量可能达到正常情况下的几倍、几十倍或更高，会造成网络拥堵，阻塞正常的域名解析请求到达递归服务器，甚至造成域名查询系统瘫痪；由于攻击者发起的大量查询域名都是人工伪造的，随机性强，因此查询的域名缓存命中率会大幅降低，大量域名解析请求需要递归完成，耗费大量递归服务器资源、时间和网络带宽，而且由于递归服务器处理能力有限，恶意的递归查询占据大量的系统资源，降低正常的递归查询的响应与处理速度和能力。

因此，上述递归服务机制在黑客发起DoS、DDoS攻击时，会耗费大量递归服务器资源、时间和网络带宽，而且会降低正常的递归查询的响应与处理速度。

技术实现要素：

本发明提供一种DNS递归服务器抗DoS、DDoS攻击的方法及装置，以克服现有技术中在黑客发起DoS、DDoS攻击时，会耗费大量递归服务器资源、时间和网络带宽，而且会降低正常的递归查询的响应与处理速度的问题。

第一方面，本发明提供一种DNS递归服务器抗DoS、DDoS攻击的方法，包括：

获取所述DNS递归服务器的CPU资源占用率；

若所述DNS递归服务器的CPU资源占用率等于或大于预设的CPU资源占用率阈值时，则根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

第二方面，本发明提供一种DNS递归服务器抗DoS、DDoS攻击的装置，包括：

获取模块，用于获取所述DNS递归服务器的CPU资源占用率；

处理模块，用于若所述DNS递归服务器的CPU资源占用率等于或大于预设的CPU资源占用率阈值时，则根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

本发明提供的一种DNS递归服务器抗DoS、DDoS攻击的方法及装置，通过获取所述DNS递归服务器的CPU资源占用率，判断CPU资源占用率是否超过预设的CPU资源占用率阈值，若CPU资源占用率等于或大于预设的CPU资源占用率阈值时，则根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值，若相同IP地址或相同IP网段的域名解析请求量很大，或，占所有请求量的比例较大，则可以限制响应该域名解析请 求的CPU资源，不会耗费大量递归服务器资源、时间和网络带宽，也不会影响正常的递归查询的响应与处理速度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明DNS递归服务器抗DoS、DDoS攻击的方法一实施例的流程示意图；

图2为本发明DNS递归服务器抗DoS、DDoS攻击的装置一实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例涉及的方法，旨在解决现有技术中在黑客发起DoS、DDoS攻击时，会耗费大量递归服务器资源、时间和网络带宽，而且会降低正常的递归查询的响应与处理速度的技术问题。

下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图1为本发明DNS递归服务器抗DoS、DDoS攻击的方法一实施例的流程示意图。本实施例的执行主体可以为DNS递归服务器抗DoS、DDoS攻击的装置，该装置可以设置在DNS递归服务器内。如图1所示，本实施例的方法包括：

步骤101、获取所述DNS递归服务器的CPU资源占用率；

步骤102、若所述DNS递归服务器的CPU资源占用率等于或大于预设的CPU资源占用率阈值时，则根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

本发明实施例通过在DNS递归服务器上启用监测域名解析请求的源地址、为可疑源地址分配限定资源等方式避免递归服务器在受到DoS、DDoS攻击时严重影响正常的域名解析服务。

具体来说，为DNS递归服务器设定CPU资源占用率阈值即占用上限阈值(如：80％)，并时刻开启CPU资源占用率监控。

当DNS递归服务器的CPU资源占用率未达到预设的CPU资源占用率阈值时，DNS递归服务器按照现有规则响应递归查询。

当监测到DNS递归服务器的CPU资源占用率达到预设的CPU资源占用率阈值时，即等于或大于预设的CPU资源占用率阈值时，根据相同IP地址或相同IP网段的域名解析请求量，确定是否响应以及将用于响应的CPU资源设定为多大的预设值，预设值可以是从0开始的任意数值，也可以包含0，当预设值为0时，表明停止响应该域名解析请求。

上述例如从192.168.0.2到192.168.255.255表示一个IP网段。

假设相同IP地址或相同IP网段的域名解析请求量超过请求量的上限阈值，则可以限定最多分配如40％的CPU资源响应该IP地址或IP网段的域名解析请求，超过此范围的域名解析请求不予响应；

假设相同IP地址或相同IP网段的域名解析请求量超过所有请求量的80％时，也可以限定最多分配如40％的CPU资源响应该IP地址或IP网段的域名解析请求，超过此范围的域名解析请求不予响应。

假设相同IP地址或相同IP网段的域名解析请求量超过所有请求量的95％时，也可以直接停止响应该IP地址或IP网段的域名解析请求。

本实施例提供的DNS递归服务器抗DoS、DDoS攻击的方法，通过获取所述DNS递归服务器的CPU资源占用率，判断CPU资源占用率是否超过预设的CPU资源占用率阈值，若CPU资源占用率等于或大于预设的CPU资源占用率阈值时，则根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的 CPU资源设定为预设值，若相同IP地址或相同IP网段的域名解析请求量很大，或，占所有请求量的比例较大，则可以限制响应该域名解析请求的CPU资源，不会耗费大量递归服务器资源、时间和网络带宽，也不会影响正常的递归查询的响应与处理速度。

在本发明方法的另一实施例中，在图1所示的实施方式的基础上，进一步的，根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值的具体方式可以有多种，可选的，作为一种可实施的方式，可以具体采用以下任一方式进行：

方式一：

若所述相同IP地址或相同IP网段的域名解析请求量等于或大于预设的域名解析请求量阈值，则将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

可选的，本实施例的方法，还包括：

若所述相同IP地址或相同IP网段的域名解析请求量等于或大于预设的域名解析请求量阈值的持续时间超过预设时长，则对所述域名解析请求不进行响应。

具体来说，假设相同IP地址或相同IP网段的域名解析请求量超过域名解析请求量阈值，即等于或大于预设的域名解析请求量阈值，则将用于响应该IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为一预设值，具体可以限定最多分配如40％的CPU资源响应该IP地址或IP网段的域名解析请求，超过此范围的域名解析请求不予响应；

或者，若所述相同IP地址或相同IP网段的域名解析请求量等于或大于预设的域名解析请求量阈值的持续时间超过预设时长，例如预设时长为一小时，则可以对所述域名解析请求不进行响应。

或者，相同IP地址或相同IP网段的域名解析请求量超过域名解析请求量阈值时，也可以直接停止响应该IP地址或相同IP网段的域名解析请求。

方式二：

计算所述相同IP地址或相同IP网段的域名解析请求量占所有域名解析请求的比例；

若所述比例等于或大于预设的域名解析请求量比例阈值，则将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

可选的，本实施例的方法，还包括：

若所述比例等于或大于预设的域名解析请求量比例阈值的持续时间超过预设时长，则对所述域名解析请求不进行响应。

具体来说，可以首先计算所述相同IP地址或相同IP网段的域名解析请求量占所有域名解析请求的比例，若所述比例等于或大于预设的域名解析请求量比例阈值，则将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值；若所述比例小于预设的域名解析请求量比例阈值，则将将按现有规则响应从该IP地址或IP网段发来的域名解析请求；

具体地，假设若某一IP地址或IP网段发来的请求占据了当前所有域名解析请求的80％以上，则认为该IP地址或IP网段发来的请求为恶意域名攻击(DoS、DDoS攻击)，DNS递归服务器将限定最多分配40％的CPU资源响应该IP地址或IP网段的递归查询请求，超过此范围的域名解析请求不予响应。

或者，若所述所述比例等于或大于预设的域名解析请求量比例阈值的持续时间超过预设时长，例如预设时长为一小时，则可以对所述域名解析请求不进行响应。

或者，若所述比例等于或大于预设的域名解析请求量比例阈值时，也可以直接停止响应该IP地址或相同IP网段的域名解析请求。

在本发明方法的另一实施例中，在上述实施方式的基础上，进一步的，在实际应用中，不能排除DNS递归服务器会遇到同一时刻收到大量来自同一IP地址或IP网段的正常域名解析请求的情况，为避免在此种情况下DNS递归服务器误将正常域名解析请判定为域名攻击而限制其得到DNS解析服务，可选的，作为一种可实施的方式，将在DNS递归服务器上启 用白名单机制。递归服务器将来自特定IP地址或IP网段的域名解析请求源地址添加到白名单之中，白名单之中的IP地址或IP网段发来的域名解析请求不受上述资源占用限制。

具体的，所述根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值之前，需要执行以下步骤：

判断所述相同IP地址或相同IP网段是否属于白名单；所述白名单中的IP地址或IP网段发起的域名解析请求为非恶意域名攻击的域名解析请求；

若不属于，则根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

具体来说，白名单是根据各大电信运营商和动态主机设置协议(Dynamic Host Configuration Protocol，简称DHCP)所分配的地址来确定的，这样就可以基本确定正常的域名解析请求用户都会被添加到白名单中。

白名单是预先在DNS递归服务器中设定好的，在根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值之前，首先判断所述相同IP地址或相同IP网段是否属于白名单，若属于，则DNS递归服务器按照现有规则响应递归查询；

若不属于，则按照上述具体实施方式中的方法去确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

本实施例，通过设定白名单，在根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值之前，判断所述相同IP地址或相同IP网段是否属于白名单，从而避免了DNS递归服务器误将正常域名解析请判定为域名攻击而限制其得到DNS解析服务的问题。

图2为本发明DNS递归服务器抗DoS、DDoS攻击的装置一实施例的结构示意图。如图2所示，本实施例的DNS递归服务器抗DoS、DDoS攻击的装置，可以包括：获取模块201和处理模块202；

其中，获取模块201，用于获取所述DNS递归服务器的CPU资源占用率；

处理模块202，用于若所述DNS递归服务器的CPU资源占用率等于或大于预设的CPU资源占用率阈值时，则根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

可选的，作为一种可实施的方式，所述处理模块202，具体用于：

若所述相同IP地址或相同IP网段的域名解析请求量等于或大于预设的域名解析请求量阈值，则将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

可选的，作为一种可实施的方式，所述处理模块202，还具体用于：

若所述相同IP地址或相同IP网段的域名解析请求量等于或大于预设的域名解析请求量阈值的持续时间超过预设时长，则对所述域名解析请求不进行响应。

可选的，作为一种可实施的方式，所述处理模块202，具体用于：

计算所述相同IP地址或相同IP网段的域名解析请求量占所有域名解析请求的比例；

若所述比例等于或大于预设的域名解析请求量比例阈值，则将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的CPU资源设定为预设值。

可选的，作为一种可实施的方式，所述处理模块202，还具体用于：

若所述比例等于或大于预设的域名解析请求量比例阈值的持续时间超过预设时长，则对所述域名解析请求不进行响应。

可选的，作为一种可实施的方式，所述处理模块202，具体用于：

判断所述相同IP地址或相同IP网段是否属于白名单；所述白名单中的IP地址或IP网段发起的域名解析请求为非恶意域名攻击的域名解析请求；

若不属于，则根据相同IP地址或相同IP网段的域名解析请求量，确定是否将响应所述IP地址或相同IP网段的域名解析请求的DNS递归服务器的 CPU资源设定为预设值。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元或模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或模块可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。