Dnssec查询中dnssec服务器的保护方法
【技术领域】
[0001]本发明涉及一种DNSSEC服务器的保护方法,尤其涉及一种防止攻击性DNSSEC查询攻瘫DNSSEC服务器的保护方法。
【背景技术】
[0002]域名系统(Domain Name System,DNS)作为互联网的基础网络设施和用户访问网络的门户环节,在互联网服务中占据着重要地位,通常包括缓存服务器、递归服务器和权威服务器。其中权威服务器负责对客户端发来的查询请求进行响应。
[0003]DNSSEC是DNS安全扩展,它提供了一种来源鉴定和数据完整性的扩展。DNSSEC是在原有的DNS上通过密钥技术,对DNS中的信息进行数字签名,从而提供DNS的安全认证和信息完整性检验。在DNSSEC中所有返回给域名解析器(DNS客户端程序)的响应都附加了数字签名。域名解析器通过数字签名来验证这些记录与权威的域名服务器上的记录是否完全一致。DNSSEC定义了三种资源记录集(Resource Record):用于存放DNS信息数字签名的资源记录签名记录(RRSIG);用于存放解密公钥的DNS密钥资源记录集合(DNSKEY);用于DNS密钥资源记录集合验证,存储密钥标签、加密算法和DNS密钥资源记录集合摘要信息的授权签名者(Delegat1n Signer,简称DS)。
[0004]DNS服务器只支持DNS查询,但DNSSEC服务器除支持DNS查询外,还支持DNSSEC查询。DNSSEC服务器在响应客户端发来的DNSSEC查询请求时,它的应答除需返回DNS协议定义的资源记录之外,还返回DNSSEC协议定义的资源记录。与DNS服务器相比,DNSSEC服务器对查询请求的响应时间更长,所需耗费的资源(例如带宽、CPU等)也更多。故而,攻击者通过发出大量的DNSSEC查询请求,很容易攻瘫DNSSEC签名区域的权威服务器,造成拒绝服务攻击的效果。
【发明内容】
[0005]本发明的目的是提供一种DNSSEC查询中DNSSEC服务器的保护方法,以避免攻击性DNSSEC查询攻瘫DNSSEC服务器。
[0006]本发明提供了一种DNSSEC查询中DNSSEC服务器的保护方法,所述DNSSEC查询指向一个DNSSEC签名区域,且在该DNSSEC签名区域还设有与所述DNSSEC服务器对应的DNS服务器。保护方法包括监测步骤:监测所述DNSSEC查询的来源地址信息和查询速率信息,获得与所述DNSSEC查询对应的查询来源地址和查询速率;判断步骤:将所述查询速率与一个速率阈值比较,若所述查询速率持续大于所述速率阈值,则判断所述DNSSEC查询为攻击查询,进入DNS查询步骤,若所述查询速率小于所述速率阈值,则判断所述DNSSEC查询正常,进入DNSSEC查询步骤;DNSSEC查询步骤:将所述DNSSEC查询指向所述DNSSEC服务器;DNS查询步骤:将所述DNSSEC查询降级为DNS查询并指向所述DNS服务器。
[0007]DNSSEC查询中DNSSEC服务器的保护方法,可以将攻击性的DNSSEC查询分流至DNS服务器,降低DNSSEC服务器的处理负荷,避免DNSSEC服务器被攻瘫。
[0008]在DNSSEC查询中DNSSEC服务器的保护方法的再一种示意性的实施方式中,速率阈值为不同所述查询来源地址对应的所述查询速率的平均值。
[0009]在DNSSEC查询中DNSSEC服务器的保护方法的另一种示意性的实施方式中,速率阈值为同一个所述查询来源地址对应的所述查询速率的平均值。
[0010]在DNSSEC查询中DNSSEC服务器的保护方法的另一种示意性的实施方式中,速率阈值为C类子网中来自与同一个所述查询来源地址对应的所述查询速率的初始值。
【附图说明】
[0011]以下附图仅对本发明做示意性说明和解释,并不限定本发明的范围。
[0012]图1用于说明DNSSEC查询系统一种示意性的网络结构。
[0013]图2用于说明DNSSEC查询中DNSSEC服务器的保护方法的流程。
[0014]标号说明 10查询主机 20路由器 30防火墙
40DNSSEC签名区域
42DNSSEC服务器
44DNS服务器。
【具体实施方式】
[0015]为了对发明的技术特征、目的和效果有更加清楚的理解,现对照【附图说明】本发明的【具体实施方式】,在各图中相同的标号表不相同的部分。
[0016]在本文中,“示意性”表示“充当实例、例子或说明”,不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。
[0017]在本文中,“一个”不仅表示“仅此一个”,也可以表示“多于一个”的情形。
[0018]图1用于说明DNSSEC查询系统一种示意性的网络结构。如图1所示,DNSSEC查询系统包括多个查询主机10、一个路由器20、一个防火墙30和一个DNSSEC签名区域40。其中,在DNSSEC签名区域40包括一个执行DESSEC查询的DNSSEC服务器42,和一个执行DNS查询的DNS服务器44。DNSSEC签名区域可以对应于DNS递归查询的各个层级,例如名字服务器或根服务器。
[0019]图2用于说明DNSSEC查询中DNSSEC服务器的保护方法的流程。参见图1和图2,DNSSEC查询中DNSSEC服务器的保护方法开始于步骤S10。步骤SlO为监测步骤,在步骤SlO中,由路由器20或防火墙30监测来自各个查询主机10发出的DNSSEC查询。通过对这些DNSSEC查询的监测,解析出各个DNSSEC查询的来源地址信息和查询速率信息,从而获取得到与各个查询主机10发出的DNSSEC查询相对应的查询来源地址和查询速率。查询来源地址即发出查询的查询主机地址。查询速率是单位时间内由同一个查询主机发出的DNSSEC查询的次数。完成监测步骤SlO后,进入步骤S20。
[0020]步骤S20为判断步骤,在步骤S20中,在路由器20或防火墙30预设由一个速率阈值,由路由器20或防火墙30将步骤SlO中获得的与各个DNSSEC查询相对应的查询速率与速率阈值比较,如果与某个DNSSEC查询相对应的查询速率持续大于一个速率阈值,则判断为发出该DNSSEC查询的查询主机正在向DNSSEC服务器发起攻击,且从该查询主机发出的DNSSEC查询为攻击查询,进入步骤S30 ;如果与某个DNSSEC查询相对应的查询速率小于速率阈值,则判断为该DNSSEC查询为正常查询,进入步骤S40。
[0021]在DNSSEC查询中DNSSEC服务器的保护方法一种示意性实施方式中,速率阈值可以是各个查询主机发出的DNSSEC查询的查询速率的平均值。速率阈值也可以是同一个查询主机发出的DNSSEC查询的查询速率的平均值。
[0022]在DNSSEC查询中DNSSEC服务器的保护方法另一种示意性实施方式中,速率阈值为同一个C类子网中,来自于同一个查询主机发出的DNSSEC查询的查询速率的初始值。在判断的过程中,将各个查询主机发出的DNSSEC查询的查询速率,与各个查询主机发出DNSSEC查询的查询速率的初始值比较,将大于初始值的DNSSEC查询判断为攻击查询。
[0023]步骤S30为DNSSEC查询步骤,在步骤S30中,路由器20或防火墙30将DNSSEC查询指向至DNS服务器44,使得DNSSEC查询变为普通的DNS查询,且DNS服务器44返回的查询结果仅包括DNS协议定义的记录。结束DNSSEC查询中DNSSEC服务器的保护方法。
[0024]步骤S40为DNS查询步骤,在步骤S40中,路由器20或防火墙30将DNSSEC查询指向至DNSSEC服务器42,DNSSEC服务器42返回的查询结果包括DNSSEC协议定义的记录。结束DNSSEC查询中DNSSEC服务器的保护方法。
[0025]DNSSEC查询中DNSSEC服务器的保护方法,可以将攻击性的DNSSEC查询分流至DNS服务器,降低DNSSEC服务器的处理负荷,避免DNSSEC服务器被攻瘫。
[0026]应当理解,虽然本说明书是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
[0027]上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施例的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方案或变更,如特征的组合、分割或重复,均应包含在本发明的保护范围之内。
【主权项】
1.DNSSEC查询中DNSSEC服务器的保护方法,其中所述DNSSEC查询指向一个DNSSEC签名区域,且在该DNSSEC签名区域还设有与所述DNSSEC服务器对应的DNS服务器,所述保护方法包括: 监测步骤:监测所述DNSSEC查询的来源地址信息和查询速率信息,获得与所述DNSSEC查询对应的查询来源地址和查询速率; 判断步骤:将所述查询速率与一个速率阈值比较,若所述查询速率持续大于所述速率阈值,则判断所述DNSSEC查询为攻击查询,进入DNS查询步骤,若所述查询速率小于所述速率阈值,则判断所述DNSSEC查询正常,进入DNSSEC查询步骤; DNSSEC查询步骤:将所述DNSSEC查询指向所述DNSSEC服务器;和 DNS查询步骤:将所述DNSSEC查询降级为DNS查询并指向所述DNS服务器。2.如权利要求1所述的DNSSEC查询中DNSSEC服务器的保护方法,其中所述速率阈值为不同所述查询来源地址对应的所述查询速率的平均值。3.如权利要求1所述的DNSSEC查询中DNSSEC服务器的保护方法,其中所述速率阈值为同一个所述查询来源地址对应的所述查询速率的平均值。4.如权利要求1所述的DNSSEC查询中DNSSEC服务器的保护方法,其中所述速率阈值为C类子网中来自与同一个所述查询来源地址对应的所述查询速率的初始值。
【专利摘要】DNSSEC查询中DNSSEC服务器的保护方法,包括监测步骤:监测所述DNSSEC查询的来源地址信息和查询速率信息,获得与所述DNSSEC查询对应的查询来源地址和查询速率;判断步骤:将所述查询速率与一个速率阈值比较,若所述查询速率持续大于所述速率阈值,则判断所述DNSSEC查询为攻击查询,进入DNS查询步骤,若所述查询速率小于所述速率阈值,则判断所述DNSSEC查询正常,进入DNSSEC查询步骤;DNSSEC查询步骤:将所述DNSSEC查询指向所述DNSSEC服务器;DNS查询步骤:将所述DNSSEC查询降级为DNS查询并指向所述DNS服务器。
【IPC分类】H04L29/12, H04L29/06
【公开号】CN104954316
【申请号】CN201410112890
【发明人】王正
【申请人】政务和公益机构域名注册管理中心
【公开日】2015年9月30日
【申请日】2014年3月25日