一种抵抗持续性变域名前缀攻击的缓存优化方法和系统的制作方法

一种抵抗持续性变域名前缀攻击的缓存优化方法和系统的制作方法
【技术领域】
[0001] 本发明属于网络防护技术领域，具体涉及一种针对缓存域名服务器抵抗持续性变 域名前缀攻击的缓存优化方法和系统。
【背景技术】
[0002] 域名是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名 称，用于在数据传输时标识计算机的电子方位（有时也指地理位置，地理上的域名，指代有 行政自主权的一个地方区域），是IP地址的"面具"。域名可分为多个级别，最后一个" 右边部分称为顶级域名，如.com,. net,. org等。最后一个"左边部分称为二级域名，如 abc. com, trueland. net等。二级域名的左边部分称为三级域名，如a. trueland. net。以此 类推，每一级域名控制它下一级域名的分配。
[0003] 一个域名的目的是便于记忆和沟通一组计算机地址。然而，域名的意义已经超出 地址，计算机都是有所属单位的，域名是计算机所属单位在网络空间中的永久地址和名称。 例如，阿里巴巴集团的淘宝网通过域名WWW. taobao. com为人们提供网上购物服务。人们 利用域名访问特定网络服务时，必须先查询域名所对应的提供服务的计算机组的IP地址。 域名查询过程由域名服务器完成，域名服务器包括授权域名服务器和缓存域名服务器。授 权域名服务器是域名信息的发布和维护者，被授予对域名空间中的一部分进行管理的服务 器，分为主授权服务器和从授权服务器。从授权服务器是主授权服务器的备份，其信息在启 动的时候向主授权服务器获取或者实时根据主授权服务器更新。缓存域名服务器不对域名 空间进行管理，专门缓存本地查询域名和IP地址的映射关系。缓存域名服务器只知道根服 务器的地址，当查询域名在缓存域名服务器中无对应记录时，向根域名服务器查询，查询的 结果记录在缓存服务器中，这一查询结果在给定TTL内是有效的。当查询的域名在缓存域 名服务器中有记录时，直接返回应答，这样大大减轻了域名查询的开销。
[0004] 我们接收网络服务所使用的域名服务器均是运营商提供的缓存域名服务器。一个 正常的域名（WWW. taobao. com)查询过程如图1所示，缓存域名服务器中若无客户端查询的 域名记录，就代表客户端进行域名查询。由此可知缓存域名服务器进行域名查询时起十分 重要的作用，不仅使客户端得到快速响应，而且大大降低了授权服务器的负担。持续性变域 名前缀攻击就是利用域名查询过程对域名服务器进行破坏。变前缀域名是前缀不断随机变 化，后缀不变的域名，例如：
[0005] 7e904rLc. rrrl7. com
[0006] 7Q6wDtzi. rrrl7. com
[0007] 8115CuCv. rrrl7. com
[0008] 82A8S0Q8. rrrl7. com
[0009] 8MyUs2w3. rrrl7. com
[0010] C8c6eQY6. rrrl7. com
[0011] 这些域名前缀随机产生，很少重复，在缓存域名服务器中没有缓存，必须进行域名 查询，查询结果一般返回域名不存在，同时将〈域名，TTL，域名不存在〉记录在缓存中。然 而，大量的变前缀域名请求攻击行为（如图2所示）导致相关的授权服务器无法承受攻击 负荷而崩溃或拒绝服务。同时缓存域名服务器不断与授权服务器进行交互查询，由于授权 服务器不能及时响应，非法客户端又持续发送变前缀域名请求，导致缓存域名服务器资源 耗尽，程序崩溃，无法实现正常的域名解析。该攻击使得正常用户请求无法得到响应，造成 严重的网络故障。
[0012] 现有的防护策略主要通过分析域名和目的IP来进行。分析域名主要是分析域名 所属的域，然后通知缓存域名服务器屏蔽该域，这样做的缺点是实时性差，当发现变域名 前缀攻击时，才进行域名的分析，进而采取防护策略。同时它对每一个域名的每一级都进 行分析，效率低下。分析目的IP是通过建立旁路流量分析系统捕获域名查询数据包（CN 102868669 A)，统计域名查询包中的目的IP总次数和目的IP在某个时间段的变化频率。若 目的IP总次数或变化频率超过设定阈值，就认为发生了变域名前缀攻击，采取丢包或发假 应答包的策略，缺点是：（1)开销大：需要建立旁路流量分析系统实时捕获存储域名查询数 据包，统计分析所有数据包的目的IP数量，计算开销和存储开销都较大。（2)稳定性差：目 的IP总次数或变化频率的阈值设定不唯一，有一定的变动性，对整体影响较大。同时也有 伪造数据包的可能，对采取分析目的IP的方式有一定干扰，导致稳定性较差。
[0013] 这两大类防护策略都没有直接对缓存域名服务器本身进行优化，都是通过外部辅 助装置进行分析后，通知缓存域名服务器采取特定措施应对攻击。

【发明内容】

[0014] 本发明为了克服上述现有技术存在的缺陷，提供一种实时性高，开销小，稳定性强 的针对缓存域名服务器抵抗持续性变域名前缀攻击的缓存优化方法和系统。
[0015] 本发明的目的可以通过以下技术方案来实现：
[0016] -种抵抗持续性变域名前缀攻击的缓存优化方法，包括以下步骤：
[0017] 1)每隔一设定的时间段，缓存域名服务器统计域名不存在的记录，当域名不存在 的记录超过设定的阈值时开始域名自动聚合；
[0018] 2)将待聚合的域名按级数分为两类：二级、三级域名为一类，三级域名的子域名 为另一类；
[0019] 3)对该两类域名分别按二级域名和三级域名的完全匹配分为多个聚合类，同时计 算各聚合类的元素个数和最大TTL值；
[0020] 4)若聚合类的元素个数超过设定的阈值，将聚合类中所有域名聚合为前缀为*的 一个聚合域名，并记录最大TTL值；
[0021] 5)在缓存域名服务器中清除聚合类中所有元素，并存入一条记录：〈*.二级或三 级域名，最大的TTL值，域名不存在〉；
[0022] 6)对于新域名查询请求，先在缓存域名服务器中查询有无对应的具体记录，若有 则向客户端直接返回应答；若没有则与所述聚合域名进行匹配，若匹配成功则返回域名不 存在的响应；若匹配失败则向授权域名服务器进行域名查询，将查询结果写入缓存域名服 务器，并向客户端返回应答；
[0023] 7)当缓存域名服务器的缓存满时，用新记录替换TTL最小的记录。
[0024] 步骤1)所述设定的时间段优选为90?120s，所述设定的阈值优选为200?300 ; 步骤4)所述设定的阈值为50?100。
[0025] 步骤3)中，所述对该两类域名分别按二级域名和三级域名的完全匹配分为多个 聚合类，是指：对于步骤2)中由二级、三级域名构成的一类，按二级域名完全相同进行匹配 和聚合；对于步骤2)中由三级域名的子域名构成的另一类，按三级域名完全相同进行匹配 和聚合。比如第一类元素有a. b，c. a. b ;第二类元素有a. b. c. d，e. b. c. d ;第一类聚合按二 级域名完全相同，结果是a. b ;第二类聚合按三级域名完全相同，结果是*. b. c. d。
[0026] 步骤4)中，因为聚合类的元素后缀相同，因此将聚合类中的所有域名聚合为前缀 为*，后缀相同的一条记录；为了使得聚合域名更好的起作用，选择最大的TTL作为聚合记 录的TTL。
[0027] 步骤5)中，所述的清除聚合类中所有元素，存入一条记录：〈*.二级或三级域名， 最大的TTL值，域名不存在〉，其目的是使域名自动聚合，减少记录条数，节省缓存空间；同 时使得持续请求查询的变前缀域名得到及时的响应，避免缓存域名服务器因查询负荷过重 而崩溃。
[0028] 步骤6)中，将新请求查询域名与聚合域名进行匹配，若新请求域名与聚合域名的 后缀匹配成功，则直接返回域名不存在记录，匹配算法的具体过程如下：
[0029] a)设新查询域名为s，聚合域名为p，两者字符的位置分别用i和j