专利名称:一种保护dns服务器的方法及装置的制作方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种保护DNS服务器的方法及装置。
背景技术:
域名系统(Domain Name System,DNS)作为互联网的基础网络设施和用户访问网络的门户环节,在互联网服务中占据着非常重要的地位,系统的安全稳定、优质高效运营对于保证用户服务质量、提升用户感知的意义重大。DNS系统中通常包括缓存服务器、递归服务器和授权服务器,具体描述如下缓存服务器是指负责接收用户端(解析器)发送的请求,然后通过向递归服务器发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。缓存服务器通常不 会维护或者管理任何域的资源记录数据,它只负责接收用户(解析器)的查询,并且通过查找缓存或者向递归服务器发出查询从而获得查询结果。递归服务器是指负责接收缓存服务器发送的请求,然后通过向各级授权服务器发出查询请求获得缓存服务器需要的查询结果,最后返回给缓存服务器的解析器。递归服务器通常不会维护或者管理任何域的资源记录数据。它只负责收缓存服务器的查询,并且通过查找缓存或者向包括根在内的授权服务器发出查询从而获得查询结果。授权服务器是指对于某个或者多个区具有授权的服务器,授权服务器保存着其所拥有授权区域的原始域名资源记录信息。授权服务器通常不提供递归解析服务,它只负责维护和保存它所拥有授权的区的资源记录信息,并且接受递归服务器的查询请求。由于DNS的UDP特性和请求字段比较简单,攻击非常难以得到甄别,并和正常流量进行区分。同时,由于DNS的重要性,很多黑客会选择在递归服务器节点的缓存或者递归查询上下手,往往容易得手。甚至由于某些特殊的事件,也很容易对DNS节点造成事实上的攻击,比如2009年的“暴风影音”事件。正是由于DNS功能的重要性和协议的脆弱性,DNS flood (泛洪)成为了最简单有效但是又十分难以防护的攻击手段。由于源IP的伪造十分简单,攻击报文和正常报文又难以区分,为了避免DNS服务器被攻瘫,往往只能对流量进行限制,但是又造成了正常流量的丢弃,实际形成了攻击。具体而言,对流量进行限制的方法通常有如下几种源IP限速针对攻击的源IP进行限速。源IP组限速针对攻击的源IP组进行限速,可以是掩码网段,也可以是离散的IP组合。域名限速针对被攻击的域名限速。域名组限速针对被攻击的域名组进行限速,可以是某级域名的子域名的组合,也可以是离散的域名的组合,还可以是泛域名。二级域名限速主要是针对泛域名攻击无法校验子域名的真实性,所以只能针对二级域名进行限速。由于无法检验报文的真实性,所以不管针对IP还是域名进行限速都会对正常的请求产生影响。而且源IP是非常容易伪造的,那么针对源IP或者源IP组限速通常不容易长时间生效。泛域名的攻击也是如此,伪造的域名使得域名和域名组限速不容易长时间生效。
发明内容
有鉴于此,本发明的目的是提供保护DNS服务器的方法及装置,以提高DNS服务器的服务质量。为实现上述目的,本发明提供技术方案如下一种保护DNS服务器的方法,应用于防护设备上,所述防护设备设置在DNS服务器之前,所述防护设备还与DNS备份中心连接,所述方法包括对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果; 接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。一种保护DNS服务器的装置,应用于防护设备上,所述防护设备设置在DNS服务器之前,所述防护设备还与DNS备份中心连接,所述装置包括分流单元,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;响应单元,用于接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。与现有技术通过对流量进行限制来防范DNS flood攻击相比,本发明在DNS流量发生异常时,通过防护设备将部分DNS流量引流到DNS备份中心,能够在不影响正常DNS请求的前提下,使得DNS服务器不至于承受过大的压力而导致CPU使用率过高甚至宕机,从而保证DNS的服务质量。
图I是本发明实施例的组网示意图;图2是本发明实施例的保护DNS服务器的方法流程图;图3是本发明实施例的保护DNS服务器的装置结构图。
具体实施例方式本发明主要解决DNS flood攻击发生时,如果攻击报文和正常报文无法区分,如何在既不影响正常的DNS请求,又使得DNS服务器不至于承受过大的压力而导致CPU使用率过高甚至宕机,从而保证DNS的服务质量。以下结合附图对本发明进行详细描述。图I是本发明实施例的组网示意图。参照图I,在本发明实施例的组网结构中,在DNS服务器之前设置有防护设备,并预先建立一个DNS备份中心,该防护设备还与DNS备份中心连接,该DNS备份中心的处理能力较高,并且能够接收处理不同地域、不同节点的DNS请求。也就是说,该DNS备份中心能够给多个区域、多个运营商做备份,能够充分合理的利用资源。另外,DNS备份中心对于不同地域、不同运营商链路的DNS请求能够进行区分对待,不会造成服务质量下降。可选地,在防护设备与DNS服务器之间,以及,在防护设备与DNS备份中心之间,还可以设置负载均衡器,用以对DNS请求进行负载均衡。图2是本发明实施例的保护DNS服务器的方法流程图。参照图I和图2,本发明实施例的保护DNS服务器的方法可以包括如下步骤步骤201,防护设备对DN S流量进行统计和分析;通过在DNS服务器之前设置防护设备,防护设备可以对DNS流量进行统计和分析,例如,对DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、每目的IP的DNS流量或者每域名的DNS流量等进行统计和分析。如果DNS服务器有详细的数据检测,也可以根据DNS服务器检测到的数据进行分析处理,但是需要和相关的数据中心进行联动。防护设备对DNS流量的这些方面进行统计分析主要是根据这些数据进行判断,一旦攻击发生时或者有特殊情况发生请求流量过大时,能够及时的进行处理,及时响应。步骤202,防护设备确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心;DNS流量发生异常,例如在攻击发生时或者DNS请求流量过大时,防护设备可以根据预先设置好的牵引阈值,将一部分的DNS请求牵引到DNS备份中心去,由备份中心去处理大流量的请求。DNS备份中心的引流也是在防护设备之后,返回设备可以先将攻击流量屏蔽掉,只是牵引无法识别正常报文还是攻击报文的DNS请求。此时,原有的DNS服务器节是对一定流量的DNS请求进行处理,多余的过载流量就交给DNS备份中心来进行处理。其中,所述牵引阈值可以设置为等于DNS服务器的处理能力,S卩,防护设备可以将DNS服务器处理能力范围内的DNS请求发送到DNS服务器,将DNS服务器处理能力范围之外的DNS请求引流到DNS备份中心。如果防护设备能够确定哪些流量属于攻击报文的DNS请求,还直接丢弃DNS流量中属于攻击报文的DNS请求。具体地,防护设备可以通过将DNS请求的源IP地址修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址,来将该DNS请求发送到DNS备份中心。步骤203,DNS备份中心获取该部分DNS请求对应的查询结果,并将查询结果通过DNS响应报文发送到防护设备;DNS备份中心接收到防护设备发送的DNS请求后,根据该DNS请求进行查询,获取用户请求的IP地址,之后,通过构造源IP地址为DNS备份中心的IP地址,目的IP地址为防护设备的IP地址的DNS响应报文,将查询结果通过该DNS响应报文发送到防护设备。步骤204,防护设备接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。防护设备接收到DNS备份中心发送的DNS响应报文后,通过将DNS响应的源地址修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址,来将查询结果发送到相应的用户端。这样,用户的体验仍然是本地DNS服务器的处理,并且攻击方也无法判定备份中心DNS服务器的位置,从而保护了 DNS备份中心。
另外,当流量正常时,可以手动或者自动结束牵引,所有流量仍然全部由原有DNS服务器进行处理。其中,DNS服务器对DNS请求的处理流程与现有技术没有改变。本发明实施例的上述方法能够在不降低DNS服务质量的前提下解决DNS flood攻击的问题,有效的提高了 DNS flood攻击的防护效果。而且,上述方法也可以作为解决DNS服务器节点自身出问题时的备选方案,即,当防护设备发现DNS服务器发生故障时,还能够将全部DNS流量都牵引到DNS备份中心,由DNS备份中心来对DNS请求进行查询处理。与上述保护DNS服务器的方法相对应,本发明实施例还提供一种保护DNS服务器的装置。图3是本发明实施例的保护DNS服务器的装置结构图,所述装置应用于防护设备上,所述防护设备设置在DNS服务器之前,所述防护设备还与DNS备份中心连接,参照图3,所述装置可以包括分流单元10,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将 DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;响应单元20,用于接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。分流单元10可以对DNS流量进行统计和分析,例如,对DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、每目的IP的DNS流量或者每域名的DNS流量等进行统计和分析,当确定DNS流量发生异常时,可以将DNS流量中属于预设的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值的DNS请求发送到DNS备份中心,并且,还可以直接丢弃DNS流量中属于攻击报文的DNS请求。具体地,分流单元10可以通过将DNS请求的源IP地址修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址,来将该DNS请求发送到DNS备份中心。响应单元20可以通过将DNS响应的源地址修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址,来将查询结果发送的相应的用户端。综上所述,本发明在DNS流量发生异常时,通过防护设备将部分DNS流量引流到DNS备份中心,能够在不影响正常DNS请求的前提下,使得DNS服务器不至于承受过大的压力而导致CPU使用率过高甚至宕机,从而保证DNS的服务质量。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
1.一种保护DNS服务器的方法,应用于防护设备上,所述防护设备设置在DNS服务器之前,其特征在于,所述防护设备还与DNS备份中心连接,所述方法包括 对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果; 接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。
2.如权利要求I所述的方法,其特征在于,所述将DNS流量中的部分DNS请求引流到DNS备份中心,包括 将DNS流量中属于预设的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值的DNS请求发送到DNS备份中心。
3.如权利要求2所述的方法,其特征在于,所述将DNS流量中的部分DNS请求引流到DNS备份中心,还包括 丢弃DNS流量中属于攻击报文的DNS请求。
4.如权利要求I所述的方法,其特征在于 所述将DNS流量中的部分DNS请求引流到DNS备份中心包括将DNS请求的源IP地址修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址; 所述将所述查询结果发送到相应的用户端包括将DNS响应的源地址修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址。
5.如权利要求I所述的方法,其特征在于,所述DNS流量为 DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、每目的IP的DNS流量或者每域名的DNS流量。
6.一种保护DNS服务器的装置,应用于防护设备上,所述防护设备设置在DNS服务器之前,其特征在于,所述防护设备还与DNS备份中心连接,所述装置包括 分流单元,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果; 响应单元,用于接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。
7.如权利要求6所述的装置,其特征在于,所述分流单元进一步用于 将DNS流量中属于预设的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值的DNS请求发送到DNS备份中心。
8.如权利要求7所述的装置,其特征在于,所述分流单元还用于 丢弃DNS流量中属于攻击报文的DNS请求。
9.如权利要求6所述的装置,其特征在于 所述分流单元进一步用于将DNS请求的源IP地址修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址; 所述响应单元进一步用于将DNS响应的源地址修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址。
10.如权利要求6所述的装置,其特征在于,所述DNS流量为DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、 每目的IP的DNS流量或者每域名的DNS流量。
全文摘要
本发明的目的是提供一种保护DNS服务器的方法及装置,属于网络安全技术领域。所述方法包括对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。本发明能够提高DNS服务器的服务质量。
文档编号H04L29/06GK102882892SQ20121041888
公开日2013年1月16日 申请日期2012年10月26日 优先权日2012年10月26日
发明者张国栋 申请人:杭州迪普科技有限公司