一種dns拒絕服務攻擊的防禦方法及裝置的製作方法
2023-12-08 10:40:26
專利名稱:一種dns拒絕服務攻擊的防禦方法及裝置的製作方法
技術領域:
本發明涉及拒絕服務攻擊的防禦領域,尤其涉及一種DNS拒絕服務攻擊的防禦方法及裝置。
背景技術:
DNS(Domain Name System)是一個用於管理主機名字和地址信息映射的分布式資料庫系統,它將便於記憶的域名與IP位址對應起來,使人們能夠方便地訪問網際網路,為眾多網絡應用提供根本性支撐。DNS服務的穩定可靠是網際網路正常運轉的保證,而針對DNS伺服器的攻擊會影響正常的域名解析,從而對整個網際網路造成嚴重的影響。針對DNS伺服器的攻擊主要有拒絕服務攻擊,這類攻擊通常具有偽造源IP位址、隨機化IP數據包TTL (Time-to-1 ive)、隨機化請求域名的特點。其中隨機化請求域名對DNS伺服器的威脅尤為顯著。當DNS伺服器接受到域名查詢請求,其查詢域名或查詢類型在該伺服器的緩存中不存在時,該伺服器將域名請求發送至授權伺服器以獲得所需的資源記錄。而拒絕服務攻擊產生的大量隨機域名,將使得DNS伺服器的遞歸解析器資源耗盡,從而使正常的域名請求無法得到遞歸解析。如何為DNS伺服器提供有效的拒絕服務攻擊的防禦,成為全世界DNS系統面臨的技術難題。
發明內容
有鑑於現有技術的上述缺陷,本發明所要解決的技術問題是提供一種在DNS伺服器受到拒絕服務攻擊時能提高常用域名的解析成功率,降低拒絕服務攻擊對DNS伺服器正常解析的影響,增強DNS服務的可靠性的DNS拒絕服務攻擊的防禦方法和裝置。為實現上述目的,本發明提供了一種DNS拒絕服務攻擊的防禦方法,其包括如下步驟步驟1,檢測DNS伺服器是否處於受到拒絕服務攻擊的狀態,若檢測到所述DNS伺服器處於受到拒絕服務攻擊的狀態,則發送啟動拒絕服務攻擊防禦的信號給所述DNS伺服器;若檢測到所述DNS伺服器不是處於受到拒絕服務攻擊的狀態,則發送關閉所述拒絕服務攻擊防禦的信號給所述DNS伺服器;步驟2,所述DNS伺服器接收到所述啟動或者關閉拒絕服務攻擊防禦的信號後,啟動或者關閉所述拒絕服務攻擊防禦步驟來防禦或者停止防禦所述拒絕服務攻擊。進一步地,所述步驟I中的所述檢測DNS伺服器是否處於受到拒絕服務攻擊狀態是通過DNS伺服器接收到的DNS查詢請求量、網絡帶寬的使用情況和DNS伺服器CPU處理器使用情況,或者通過DNS伺服器接收到的DNS查詢請求量和DNS伺服器遞歸解析器的使用情況來進行拒絕服務攻擊檢測的。進一步地,所述啟動拒絕服務攻擊防禦步驟是通過激活所述DNS伺服器中的緩存固化功能實現的,所述緩存固化功能是通過在所述DNS伺服器的緩存中的資源記錄的TTL過期時不將所述資源記錄從緩存中刪除,而繼續將所述資源記錄保留在緩存中來實現的。
進ー步地,所述關閉拒絕服務攻擊防禦步驟是通過關閉所述DNS伺服器中的緩存固化功能實現的,關閉所述緩存固化功能是通過在所述DNS伺服器的緩存中的資源記錄的TTL過期時將所述資源記錄從緩存中刪除來實現的。 為實現上述目的,本發明還提供了ー種DNS拒絕服務攻擊的防禦裝置,包括相互連接的用於檢測DNS伺服器是否處於受到拒絕服務攻擊的狀態的拒絕服務攻擊檢測模塊和用於防禦所述拒絕服務攻擊的拒絕服務攻擊防禦模塊,其中拒絕服務攻擊防禦模塊還連接於所述DNS伺服器的緩存,以對所述DNS伺服器的緩存中存儲的資源記錄進行控制從而實現對拒絕服務攻擊的防禦。進ー步地,所述拒絕服務攻擊檢測模塊是通過DNS伺服器接收到的DNS查詢請求量、網絡帶寬的使用情況和CPU處理器使用情況,或者通過DNS伺服器接收到的DNS查詢請求量和DNS伺服器遞歸解析器的使用情況來進行拒絕服務攻擊檢測的。進ー步地,所述拒絕服務攻擊防禦模塊是通過激活緩存固化功能來實現對所述DNS伺服器的緩存中所存儲的資源記錄的控制從而進行拒絕服務攻擊防禦的,所述緩存固化功能通過在所述DNS伺服器的緩存中的資源記錄的TTL過期時不將所述資源記錄從緩存中刪除,而繼續使用該資源記錄來實現的。進ー步地,所述拒絕服務攻擊防禦模塊是通過關閉所述緩存固化功能來釋放對所述DNS伺服器的緩存中所存儲的資源記錄的控制從而停止對拒絕服務攻擊防禦的,關閉所述緩存固化功能是通過在所述DNS伺服器的緩存中的資源記錄的TTL過期時將所述資源記錄從緩存中刪除來實現的。可選地,所述拒絕服務攻擊檢測模塊內置於所述DNS伺服器中。可選地,所述拒絕服務攻擊檢測模塊設置於所述DNS伺服器的外部。本發明的有益效果在幹通過對DNS伺服器的DNS查詢請求量、網絡帶寬的使用情況和CPU處理器的使用情況,或者通過DNS伺服器接收到的DNS查詢請求量和DNS伺服器遞歸解析器的使用情況的檢測來判斷DNS伺服器是否受到拒絕服務攻擊,並在DNS伺服器受到拒絕服務攻擊時通過控制DNS伺服器的緩存,對緩存中的資源記錄在其TTL過期時不將其從DNS伺服器的緩存中刪除來進行拒絕服務攻擊的防禦。利用本發明的DNS拒絕服務攻擊的防禦方法和裝置,在DNS伺服器受到拒絕服務攻擊時,常用域名的資源記錄在其TTL過期時不從DNS伺服器的緩存刪除而繼續用於常用域名的解析,從而避免了對這些常用域名的請求無法從DNS伺服器的緩存中獲取而必須與大量的拒絕服務攻擊的偽請求競爭有限的遞歸解析器資源,大幅度地提高常用域名的解析成功率,降低拒絕服務攻擊對DNS伺服器正常解析的影響,增強DNS服務的可靠性。以下將結合附圖對本發明的構思、具體結構及產生的技術效果作進ー步說明,以充分地了解本發明的目的、特徵和效果。
圖I是本發明的DNS拒絕服務攻擊的防禦方法的流程圖;圖2是通常狀況下的DNS伺服器對其緩存中所存儲的資源記錄的處理流程圖;圖3是本發明的DNS拒絕服務攻擊的防禦方法中DNS伺服器對其緩存中所存儲的資源記錄的處理流程圖。
圖4是本發明的DNS拒絕服務攻擊的防禦裝置的第一實施例的結構示意圖;圖5是本發明的DNS拒絕服務攻擊的防禦裝置的第二實施例的結構示意圖;
具體實施例方式下面結合附圖來具體說明本發明的實施例。如圖I所示,一種DNS拒絕服務攻擊的防禦方法,包括伺服器拒絕服務攻擊檢測步驟和拒絕服務攻擊防禦步驟。首先,啟動拒絕服務攻擊檢測步驟,檢測DNS伺服器是否處於受到拒絕服務攻擊的狀態,若檢測到所述DNS伺服器處於受到拒絕服務攻擊的狀態,則發送啟動拒絕服務攻擊防禦的信號給所述DNS伺服器,若檢測到所述DNS伺服器不是處於受到拒絕服務攻擊的狀態,則發送關閉拒絕服務攻擊防禦的信號給所述DNS伺服器。所述DNS伺服器接收到所述啟動或者關閉拒絕服務攻擊防禦的信號後,激活或者關閉緩存固化功能來防禦或者停止防禦所述拒絕服務攻擊。在上述的拒絕服務攻擊檢測步驟中,檢測DNS伺服器是否處於受到拒絕服務攻擊狀態是通過DNS伺服器接收到的DNS查詢請求量、網絡帶寬的使用情況和DNS伺服器CPU處理器使用情況,或者通過DNS伺服器接收到的DNS查詢請求量和DNS伺服器遞歸解析器的使用情況來進行檢測的。因為通常針對DNS伺服器的拒絕服務攻擊會發送大量的偽造DNS域名查詢請求到DNS伺服器,造成DNS查詢請求量的異常增多,並佔據異常的網絡帶寬,並且造成DNS伺服器的CPU處理器的使用資源耗盡或者遞歸解析器的資源耗盡,所以通過檢測DNS查詢請求量、網絡帶寬的使用情況和DNS伺服器的CPU處理器的資源使用情況或者通過檢測DNS查詢請求量和DNS伺服器遞歸解析器的使用情況就可以在拒絕服務攻擊發生時及時檢測到並通知DNS伺服器,以便啟動拒絕服務攻擊防禦步驟。在上述的拒絕服務攻擊防禦步驟中採用的緩存固化功能是拒絕服務攻擊防禦步驟中的關鍵,DNS伺服器通過緩存固化功能控制其緩存中的資源記錄,使得在緩存固化功能激活的情況下,DNS伺服器的緩存中存儲的TTL過期的資源記錄不被從緩存中刪除,還可以被繼續使用於DNS域名查詢請求的解析,而在緩存固化功能沒有激活也就是關閉的情況下,DNS伺服器的緩存中存儲的TTL過期的資源記錄被從緩存中刪除。圖2表示了通常狀況下DNS伺服器對於緩存中的資源記錄的處理流程,從圖中可以看出,隨著DNS伺服器的緩存計數器的計數,DNS伺服器緩存中的資源記錄的TTL值遞減,當一條資源記錄的TTL遞減到O的時候說明該資源記錄已經過期,TTL過期的資源記錄被DNS伺服器從緩存中刪除。而使用本發明的拒絕服務攻擊防禦方法後,DNS伺服器中使用作為本發明的拒絕服務攻擊防禦步驟中的關鍵點的緩存固化功能,如圖3所示的DNS伺服器對於緩存中的資源記錄的處理流程,當一條資源記錄的TTL過期時,首先判斷緩存固化功能是否被激活,如果緩存固化功能激活,則不從緩存中刪除TTL過期的資源記錄,仍然將該資源記錄用於DNS域名請求的解析;如果緩存固化功能沒有激活,則將TTL過期的資源記錄從DNS伺服器的緩存中刪除,當DNS伺服器再接收到該資源記錄相關的DNS域名查詢請求時,由於緩存中不存在相關的資源記錄,因此DNS伺服器將通過遞歸解析器獲取該DNS域名查詢請求所需要的域名信息。本發明的DNS拒絕服務攻擊的防禦方法,在檢測到DNS伺服器受到拒絕服務攻擊時,發送啟動拒絕服務攻擊防禦的信號至DNS伺服器,DNS伺服器接收到啟動拒絕服務攻擊防禦的信號後,啟動拒絕服務攻擊防禦步驟,在該拒絕服務攻擊防禦步驟中,通過激活DNS伺服器中的緩存固化功能,使得DNS伺服器的緩存中TTL過期的資源記錄不被從DNS伺服器的緩存中刪除,而繼續用於DNS域名請求的解析。因為DNS伺服器的緩存中存儲的資源記錄為請求頻繁的資源記錄,通常狀況下,針對這些域名的域名查詢請求因為其資源記錄在DNS伺服器的緩存中已經存在,所以直接從緩存獲取,無須利用遞歸解析器資源,但是當一條資源記錄的TTL過期吋,DNS伺服器會從其緩存中刪除該資源記錄。而在拒絕服務攻擊發生的情況下,由於大量的偽造域名請求發送到DNS伺服器,此時將DNS伺服器緩存中的TTL過期的資源記錄繼續保留而不從緩 存中刪除,可以防止這些請求頻繁的常用域名的域名請求因為其資源記錄的TTL過期而不能直接從緩存中獲取其域名信息,從而需要和大量偽造的域名請求競爭有限的遞歸解析器資源,因此本發明的拒絕服務攻擊防禦方法在DNS伺服器受到拒絕服務攻擊時大幅度地降低了 DNS伺服器的遞歸解析器的資源消耗,提高了常用域名的解析成功率。圖4和圖5所示的是本發明的DNS拒絕服務攻擊的防禦裝置,包括相互連接的用於檢測DNS伺服器是否處於受到拒絕服務攻擊狀態的拒絕服務攻擊檢測模塊和用於防禦所述拒絕服務攻擊的拒絕服務攻擊防禦模塊,其中拒絕服務攻擊防禦模塊還連接於DNS伺服器的緩存以控制緩存中所存儲的資源記錄。圖4所示為本發明的DNS拒絕服務攻擊防禦裝置的第一實施例的結構示意圖,從圖中可以看出,該DNS拒絕服務攻擊防禦裝置的拒絕服務攻擊檢測模塊設置於DNS伺服器的外部,拒絕服務攻擊檢測模塊連接於拒絕服務攻擊防禦模塊,還連接於DNS伺服器的網絡接ロ以檢測拒絕服務攻擊,而拒絕服務攻擊防禦模塊連接於拒絕服務攻擊檢測模塊,還連接於DNS伺服器的緩存以控制緩存中所存儲的資源記錄。該裝置的工作原理如下拒絕服務攻擊檢測模塊分析DNS伺服器接收的DNS域名請求查詢量、網絡帶寬使用情況和CPU處理器使用情況,判斷DNS伺服器是否受到拒絕服務攻擊,井根據拒絕服務攻擊檢測結果發送啟動或者關閉拒絕服務攻擊防禦的信號到DNS伺服器。DNS伺服器接收到拒絕服務攻擊檢測模塊發送的啟動拒絕服務攻擊防禦信號後,激活拒絕服務攻擊防禦模塊中的緩存固化功能,通過緩存固化功能控制DNS伺服器的緩存中存儲的資源記錄,使得TTL過期的資源記錄不被從緩存中刪除而繼續保留在緩存中,用於相關的域名查詢請求的域名解析;DNS伺服器接收到拒絕服務檢測模塊發送的關閉拒絕服務攻擊防禦信號後,關閉拒絕服務攻擊防禦模塊中的緩存固化功能,釋放對DNS伺服器的緩存中存儲的資源記錄的控制,即恢復到正常狀況下的刪除TTL過期的資源記錄。其中緩存固化功能控制DNS伺服器的緩存中存儲的資源記錄的流程參見圖3。圖5所示為本發明的DNS拒絕服務攻擊防禦裝置的第二實施例,在該DNS拒絕服務攻擊防禦裝置中,拒絕服務攻擊檢測模塊內置於DNS伺服器的內部,連接於拒絕服務攻擊防禦模塊,拒絕服務攻擊防禦模塊連接於拒絕服務攻擊檢測模塊以接收拒絕服務攻擊檢測模塊發送的拒絕服務攻擊檢測結果,還連接於DNS伺服器的緩存以控制緩存中所存儲的資源記錄。該裝置的工作原理如下拒絕服務攻擊檢測模塊分析DNS伺服器接收的DNS域名請求查詢量和DNS伺服器的遞歸解析器的使用情況,判斷DNS伺服器是否受到拒絕服務攻擊,井根據拒絕服務攻擊檢測結果發送啟動或者關閉拒絕服務攻擊防禦信號到DNS伺服器。DNS伺服器接收到拒絕服務攻擊檢測模塊發送的啟動拒絕服務攻擊防禦信號後,激活拒絕服務攻擊防禦模塊中的緩存固化功能,通過緩存固化功能控制DNS伺服器的緩存中存儲的資源記錄,使得TTL過期的資源記錄不被從緩存中刪除而繼續保留在緩存中,用於相關的域名請求的域名解析;而在DNS伺服器接收到拒絕服務攻擊檢測模塊發送的關閉拒絕服務攻擊防禦信號後,關閉拒絕服務攻擊防禦模塊中的緩存固化功能,釋放對DNS伺服器的緩存中存儲的資源記錄的控制,即恢復到正常狀況下的刪除TTL過期的資源記錄。其中緩存固化功能控制DNS伺服器的緩存中存儲的資源記錄的流程參見圖3。 利用本發明的DNS拒絕服務攻擊的防禦裝置,在拒絕服務攻擊發生的情況下,由於大量的偽造域名請求發送到DNS伺服器,此時將DNS伺服器緩存中的TTL過期的資源記錄繼續保留而不從緩存中刪除,可以防止這些請求頻繁的常用域名的域名請求因為其資源記錄的TTL過期而不能直接從緩存中獲取其域名信息,從而需要和大量偽造的域名請求競爭有限的遞歸解析器資源,因此本發明的DNS拒絕服務攻擊防禦裝置在DNS伺服器受到拒絕服務攻擊時大幅度地降低了 DNS伺服器的遞歸解析器的資源消耗,提高了常用域名的解析成功率。以上詳細描述了本發明的較佳具體實施例。應當理解,本領域的普通技術人員無需創造性勞動就可以根據本發明的構思做出諸多修改和變化。因此,凡本技術領域的技術人員依本發明的構思在現有技術的基礎上通過邏輯分析、推理或者有限的實驗可以得到的技術方案,皆應在由權利要求書所確定的保護範圍內。
權利要求
1.一種DNS拒絕服務攻擊的防禦方法,其特徵在於,包括如下步驟 步驟1,檢測DNS伺服器是否處於受到拒絕服務攻擊的狀態,若檢測到所述DNS伺服器處於受到拒絕服務攻擊的狀態,則發送啟動拒絕服務攻擊防禦的信號給所述DNS伺服器;若檢測到所述DNS伺服器不是處於受到拒絕服務攻擊的狀態,則發送關閉拒絕服務攻擊防禦的信號給所述DNS伺服器; 步驟2,所述DNS伺服器接收到所述啟動或者關閉拒絕服務攻擊防禦的信號後,啟動或者關閉拒絕服務攻擊防禦步驟來防禦或者停止防禦所述拒絕服務攻擊。
2.如權利要求I所述的DNS拒絕服務攻擊的防禦方法,其中,所述步驟I中所述檢測DNS伺服器是否處於受到拒絕服務攻擊的狀態是通過所述DNS伺服器接收到的 DNS查詢請求量、網絡帶寬的使用情況和DNS伺服器CPU處理器的使用情況,或者通過所述DNS伺服器接收到的DNS查詢請求量和DNS伺服器遞歸解析器的使用情況來進行拒絕服務攻擊檢測的。
3.如權利要求2所述的DNS拒絕服務攻擊的防禦方法,其中,所述啟動拒絕服務攻擊防禦步驟進一步是通過激活所述DNS伺服器中的緩存固化功能實現的,所述緩存固化功能是通過在所述DNS伺服器的緩存中的資源記錄的TTL過期時不將所述資源記錄從緩存中刪除,而繼續將所述資源記錄保留在緩存中來實現的。
4.如權利要求3所述的DNS拒絕服務攻擊的防禦方法,其中,所述關閉拒絕服務攻擊防禦步驟進一步是通過關閉所述DNS伺服器中的緩存固化功能實現的,關閉所述緩存固化功能是通過在所述DNS伺服器的緩存中的資源記錄的TTL過期時將所述資源記錄從緩存中刪除來實現的。
5.一種DNS拒絕服務攻擊的防禦裝置,其特徵在於,包括相互連接的用於檢測DNS伺服器是否處於受到拒絕服務攻擊的狀態的拒絕服務攻擊檢測模塊和用於防禦拒絕服務攻擊的拒絕服務攻擊防禦模塊,其中拒絕服務攻擊防禦模塊還連接於所述DNS伺服器的緩存,以對所述DNS伺服器的緩存中存儲的資源記錄進行控制從而實現對拒絕服務攻擊的防禦。
6.如權利要求5所述的DNS拒絕服務攻擊的防禦裝置,其中,所述拒絕服務攻擊檢測模塊是通過DNS伺服器接收到的DNS查詢請求量、網絡帶寬的使用情況和DNS伺服器CPU處理器使用情況,或者通過所述DNS伺服器接收到的DNS查詢請求量和DNS伺服器遞歸解析器的使用情況來進行拒絕服務攻擊檢測的。
7.如權利要求6所述的DNS拒絕服務攻擊的防禦裝置,其中,所述拒絕服務攻擊防禦模塊是通過激活緩存固化功能來實現對所述DNS伺服器的緩存中所存儲的資源記錄的控制從而進行拒絕服務攻擊防禦的,所述緩存固化功能是通過在所述DNS伺服器的緩存中的資源記錄的TTL過期時不將所述資源記錄從緩存中刪除,而繼續使用該資源記錄來實現的。
8.如權利要求7所述的DNS拒絕服務攻擊的防禦裝置,其中,所述拒絕服務攻擊防禦模塊是通過關閉所述緩存固化功能來釋放對所述DNS伺服器的緩存中所存儲的資源記錄的控制從而停止對拒絕服務攻擊防禦的,關閉所述緩存固化功能是通過在所述DNS伺服器的緩存中的資源記錄的TTL過期時將所述資源記錄從緩存中刪除來實現的。
9.如權利要求8所述的DNS拒絕服務攻擊的防禦裝置,其中,所述拒絕服務攻擊檢測模塊內置於所述DNS伺服器中。
10.如權利要求8所述的DNS拒絕服務攻擊的防禦裝置,其中,所述拒絕服務攻擊檢測模塊設置於所述DNS伺服器的外部。
全文摘要
本發明公開了一種DNS拒絕服務攻擊的防禦方法及裝置,該DNS拒絕服務攻擊的防禦方法包括檢測DNS伺服器是否處於受到拒絕服務攻擊狀態的拒絕服務攻擊檢測步驟和拒絕服務攻擊防禦步驟,其中拒絕服務攻擊防禦步驟是通過緩存固化功能來實現對拒絕服務攻擊的防禦的,該DNS拒絕服務攻擊防禦裝置包括用於檢測DNS伺服器是否處於受到拒絕服務攻擊狀態的拒絕服務攻擊檢測模塊和用於防禦拒絕服務攻擊的拒絕服務攻擊防禦模塊,其中拒絕服務攻擊防禦模塊是通過激活其內部的緩存固化功能來實現對拒絕服務攻擊的防禦的。本發明的DNS拒絕服務攻擊的防禦方法及裝置,在DNS伺服器受到拒絕服務攻擊時大幅度地降低了DNS伺服器的遞歸解析器的資源消耗,提高了常用域名的解析成功率。
文檔編號H04L29/06GK102624716SQ201210051749
公開日2012年8月1日 申請日期2012年3月1日 優先權日2012年3月1日
發明者李建華, 王魯華, 章思宇, 鄒福泰 申請人:上海交通大學