收藏
下载资源 加入会员免费下载

一种保护DNS服务器的方法及装置.pdf

上传人:a**** 文档编号:4329604 上传时间:2018-09-13 格式:PDF 页数:9 大小:2.84MB
返回 下载 相关 举报
摘要
申请专利号:

CN201210418881.X

 申请日:

2012.10.26
公开号:

CN102882892A

 公开日:

2013.01.16
当前法律状态:

授权

 有效性:

有权
法律详情:

专利权人的姓名或者名称、地址的变更IPC(主分类):H04L 29/06变更事项:专利权人变更前:杭州迪普科技有限公司变更后:杭州迪普科技股份有限公司变更事项:地址变更前:310051 浙江省杭州市滨江区通和路68号中财大厦6层变更后:310051 浙江省杭州市滨江区通和路68号中财大厦6层|||授权|||实质审查的生效IPC(主分类):H04L 29/06申请日:20121026|||公开
IPC分类号:

H04L29/06

 主分类号:

H04L29/06
申请人:

杭州迪普科技有限公司
发明人:

张国栋
地址:

310051 浙江省杭州市滨江区通和路68号中财大厦6层
优先权:

专利代理机构:

北京博思佳知识产权代理有限公司 11415

 代理人:

林祥
PDF下载: PDF下载
内容摘要

本发明的目的是提供一种保护DNS服务器的方法及装置,属于网络安全技术领域。所述方法包括:对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。本发明能够提高DNS服务器的服务质量。

权利要求书

权利要求书一种保护DNS服务器的方法,应用于防护设备上,所述防护设备设置在DNS服务器之前,其特征在于,所述防护设备还与DNS备份中心连接,所述方法包括:对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。如权利要求1所述的方法,其特征在于,所述将DNS流量中的部分DNS请求引流到DNS备份中心,包括:将DNS流量中属于预设的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值的DNS请求发送到DNS备份中心。如权利要求2所述的方法,其特征在于,所述将DNS流量中的部分DNS请求引流到DNS备份中心,还包括:丢弃DNS流量中属于攻击报文的DNS请求。如权利要求1所述的方法,其特征在于:所述将DNS流量中的部分DNS请求引流到DNS备份中心包括:将DNS请求的源IP地址修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址;所述将所述查询结果发送到相应的用户端包括:将DNS响应的源地址修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址。如权利要求1所述的方法,其特征在于,所述DNS流量为:DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、每目的IP的DNS流量或者每域名的DNS流量。一种保护DNS服务器的装置,应用于防护设备上,所述防护设备设置在DNS服务器之前,其特征在于,所述防护设备还与DNS备份中心连接,所述装置包括:分流单元,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;响应单元,用于接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。如权利要求6所述的装置,其特征在于,所述分流单元进一步用于:将DNS流量中属于预设的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值的DNS请求发送到DNS备份中心。如权利要求7所述的装置,其特征在于,所述分流单元还用于:丢弃DNS流量中属于攻击报文的DNS请求。如权利要求6所述的装置,其特征在于:所述分流单元进一步用于:将DNS请求的源IP地址修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址;所述响应单元进一步用于:将DNS响应的源地址修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址。如权利要求6所述的装置,其特征在于,所述DNS流量为:DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、每目的IP的DNS流量或者每域名的DNS流量。

说明书

说明书一种保护DNS服务器的方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种保护DNS服务器的方法及装置。
背景技术
域名系统(Domain Name System,DNS)作为互联网的基础网络设施和用户访问网络的门户环节,在互联网服务中占据着非常重要的地位,系统的安全稳定、优质高效运营对于保证用户服务质量、提升用户感知的意义重大。DNS系统中通常包括缓存服务器、递归服务器和授权服务器,具体描述如下:
缓存服务器:是指负责接收用户端(解析器)发送的请求,然后通过向递归服务器发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。缓存服务器通常不会维护或者管理任何域的资源记录数据,它只负责接收用户(解析器)的查询,并且通过查找缓存或者向递归服务器发出查询从而获得查询结果。
递归服务器:是指负责接收缓存服务器发送的请求,然后通过向各级授权服务器发出查询请求获得缓存服务器需要的查询结果,最后返回给缓存服务器的解析器。递归服务器通常不会维护或者管理任何域的资源记录数据。它只负责收缓存服务器的查询,并且通过查找缓存或者向包括根在内的授权服务器发出查询从而获得查询结果。
授权服务器:是指对于某个或者多个区具有授权的服务器,授权服务器保存着其所拥有授权区域的原始域名资源记录信息。授权服务器通常不提供递归解析服务,它只负责维护和保存它所拥有授权的区的资源记录信息,并且接受递归服务器的查询请求。
由于DNS的UDP特性和请求字段比较简单,攻击非常难以得到甄别,并和正常流量进行区分。同时,由于DNS的重要性,很多黑客会选择在递归服务器节点的缓存或者递归查询上下手,往往容易得手。甚至由于某些特殊的事件,也很容易对DNS节点造成事实上的攻击,比如2009年的“暴风影音”事件。
正是由于DNS功能的重要性和协议的脆弱性,DNS flood(泛洪)成为了最简单有效但是又十分难以防护的攻击手段。由于源IP的伪造十分简单,攻击报文和正常报文又难以区分,为了避免DNS服务器被攻瘫,往往只能对流量进行限制,但是又造成了正常流量的丢弃,实际形成了攻击。具体而言,对流量进行限制的方法通常有如下几种:
源IP限速:针对攻击的源IP进行限速。
源IP组限速:针对攻击的源IP组进行限速,可以是掩码网段,也可以是离散的IP组合。
域名限速:针对被攻击的域名限速。
域名组限速:针对被攻击的域名组进行限速,可以是某级域名的子域名的组合,也可以是离散的域名的组合,还可以是泛域名。
二级域名限速:主要是针对泛域名攻击无法校验子域名的真实性,所以只能针对二级域名进行限速。
由于无法检验报文的真实性,所以不管针对IP还是域名进行限速都会对正常的请求产生影响。而且源IP是非常容易伪造的,那么针对源IP或者源IP组限速通常不容易长时间生效。泛域名的攻击也是如此,伪造的域名使得域名和域名组限速不容易长时间生效。
发明内容
有鉴于此,本发明的目的是提供保护DNS服务器的方法及装置,以提高DNS服务器的服务质量。
为实现上述目的,本发明提供技术方案如下:
一种保护DNS服务器的方法,应用于防护设备上,所述防护设备设置在DNS服务器之前,所述防护设备还与DNS备份中心连接,所述方法包括:
对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;
接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。
一种保护DNS服务器的装置,应用于防护设备上,所述防护设备设置在DNS服务器之前,所述防护设备还与DNS备份中心连接,所述装置包括:
分流单元,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;
响应单元,用于接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。
与现有技术通过对流量进行限制来防范DNS flood攻击相比,本发明在DNS流量发生异常时,通过防护设备将部分DNS流量引流到DNS备份中心,能够在不影响正常DNS请求的前提下,使得DNS服务器不至于承受过大的压力而导致CPU使用率过高甚至宕机,从而保证DNS的服务质量。
附图说明
图1是本发明实施例的组网示意图;
图2是本发明实施例的保护DNS服务器的方法流程图;
图3是本发明实施例的保护DNS服务器的装置结构图。
具体实施方式
本发明主要解决DNS flood攻击发生时,如果攻击报文和正常报文无法区分,如何在既不影响正常的DNS请求,又使得DNS服务器不至于承受过大的压力而导致CPU使用率过高甚至宕机,从而保证DNS的服务质量。
以下结合附图对本发明进行详细描述。
图1是本发明实施例的组网示意图。参照图1,在本发明实施例的组网结构中,在DNS服务器之前设置有防护设备,并预先建立一个DNS备份中心,该防护设备还与DNS备份中心连接,该DNS备份中心的处理能力较高,并且能够接收处理不同地域、不同节点的DNS请求。也就是说,该DNS备份中心能够给多个区域、多个运营商做备份,能够充分合理的利用资源。另外,DNS备份中心对于不同地域、不同运营商链路的DNS请求能够进行区分对待,不会造成服务质量下降。可选地,在防护设备与DNS服务器之间,以及,在防护设备与DNS备份中心之间,还可以设置负载均衡器,用以对DNS请求进行负载均衡。
图2是本发明实施例的保护DNS服务器的方法流程图。参照图1和图2,本发明实施例的保护DNS服务器的方法可以包括如下步骤:
步骤201,防护设备对DNS流量进行统计和分析;
通过在DNS服务器之前设置防护设备,防护设备可以对DNS流量进行统计和分析,例如,对DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、每目的IP的DNS流量或者每域名的DNS流量等进行统计和分析。如果DNS服务器有详细的数据检测,也可以根据DNS服务器检测到的数据进行分析处理,但是需要和相关的数据中心进行联动。防护设备对DNS流量的这些方面进行统计分析主要是根据这些数据进行判断,一旦攻击发生时或者有特殊情况发生请求流量过大时,能够及时的进行处理,及时响应。
步骤202,防护设备确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心;
DNS流量发生异常,例如在攻击发生时或者DNS请求流量过大时,防护设备可以根据预先设置好的牵引阈值,将一部分的DNS请求牵引到DNS备份中心去,由备份中心去处理大流量的请求。DNS备份中心的引流也是在防护设备之后,返回设备可以先将攻击流量屏蔽掉,只是牵引无法识别正常报文还是攻击报文的DNS请求。此时,原有的DNS服务器节是对一定流量的DNS请求进行处理,多余的过载流量就交给DNS备份中心来进行处理。
其中,所述牵引阈值可以设置为等于DNS服务器的处理能力,即,防护设备可以将DNS服务器处理能力范围内的DNS请求发送到DNS服务器,将DNS服务器处理能力范围之外的DNS请求引流到DNS备份中心。如果防护设备能够确定哪些流量属于攻击报文的DNS请求,还直接丢弃DNS流量中属于攻击报文的DNS请求。
具体地,防护设备可以通过将DNS请求的源IP地址修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址,来将该DNS请求发送到DNS备份中心。
步骤203,DNS备份中心获取该部分DNS请求对应的查询结果,并将查询结果通过DNS响应报文发送到防护设备;
DNS备份中心接收到防护设备发送的DNS请求后,根据该DNS请求进行查询,获取用户请求的IP地址,之后,通过构造源IP地址为DNS备份中心的IP地址,目的IP地址为防护设备的IP地址的DNS响应报文,将查询结果通过该DNS响应报文发送到防护设备。
步骤204,防护设备接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。
防护设备接收到DNS备份中心发送的DNS响应报文后,通过将DNS响应的源地址修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址,来将查询结果发送到相应的用户端。这样,用户的体验仍然是本地DNS服务器的处理,并且攻击方也无法判定备份中心DNS服务器的位置,从而保护了DNS备份中心。
另外,当流量正常时,可以手动或者自动结束牵引,所有流量仍然全部由原有DNS服务器进行处理。其中,DNS服务器对DNS请求的处理流程与现有技术没有改变。
本发明实施例的上述方法能够在不降低DNS服务质量的前提下解决DNS flood攻击的问题,有效的提高了DNS flood攻击的防护效果。
而且,上述方法也可以作为解决DNS服务器节点自身出问题时的备选方案,即,当防护设备发现DNS服务器发生故障时,还能够将全部DNS流量都牵引到DNS备份中心,由DNS备份中心来对DNS请求进行查询处理。
与上述保护DNS服务器的方法相对应,本发明实施例还提供一种保护DNS服务器的装置。图3是本发明实施例的保护DNS服务器的装置结构图,所述装置应用于防护设备上,所述防护设备设置在DNS服务器之前,所述防护设备还与DNS备份中心连接,参照图3,所述装置可以包括:
分流单元10,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果;
响应单元20,用于接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应的用户端。
分流单元10可以对DNS流量进行统计和分析,例如,对DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、每目的IP的DNS流量或者每域名的DNS流量等进行统计和分析,当确定DNS流量发生异常时,可以将DNS流量中属于预设的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值的DNS请求发送到DNS备份中心,并且,还可以直接丢弃DNS流量中属于攻击报文的DNS请求。
具体地,分流单元10可以通过将DNS请求的源IP地址修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址,来将该DNS请求发送到DNS备份中心。响应单元20可以通过将DNS响应的源地址修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址,来将查询结果发送的相应的用户端。
综上所述,本发明在DNS流量发生异常时,通过防护设备将部分DNS流量引流到DNS备份中心,能够在不影响正常DNS请求的前提下,使得DNS服务器不至于承受过大的压力而导致CPU使用率过高甚至宕机,从而保证DNS的服务质量。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

一种保护DNS服务器的方法及装置.pdf_第1页
第1页 / 共9页
一种保护DNS服务器的方法及装置.pdf_第2页
第2页 / 共9页
一种保护DNS服务器的方法及装置.pdf_第3页
第3页 / 共9页
点击查看更多>>
资源描述

《一种保护DNS服务器的方法及装置.pdf》由会员分享,可在线阅读,更多相关《一种保护DNS服务器的方法及装置.pdf(9页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 102882892 A (43)申请公布日 2013.01.16 C N 1 0 2 8 8 2 8 9 2 A *CN102882892A* (21)申请号 201210418881.X (22)申请日 2012.10.26 H04L 29/06(2006.01) (71)申请人杭州迪普科技有限公司 地址 310051 浙江省杭州市滨江区通和路 68号中财大厦6层 (72)发明人张国栋 (74)专利代理机构北京博思佳知识产权代理有 限公司 11415 代理人林祥 (54) 发明名称 一种保护DNS服务器的方法及装置 (57) 摘要 本发明的目的是提供一种保护DNS服。

2、务器的 方法及装置,属于网络安全技术领域。所述方法包 括:对DNS流量进行统计和分析,当确定DNS流量 发生异常时,将DNS流量中的部分DNS请求引流到 DNS备份中心,由DNS备份中心获取该部分DNS请 求对应的查询结果;接收DNS备份中心发送的携 带有查询结果的DNS响应,并将所述查询结果发 送到相应的用户端。本发明能够提高DNS服务器 的服务质量。 (51)Int.Cl. 权利要求书2页 说明书4页 附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 2 页 说明书 4 页 附图 2 页 1/2页 2 1.一种保护DNS服务器的方法,应用于防护设备上,所述防。

3、护设备设置在DNS服务器之 前,其特征在于,所述防护设备还与DNS备份中心连接,所述方法包括: 对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分DNS请 求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果; 接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到相应 的用户端。 2.如权利要求1所述的方法,其特征在于,所述将DNS流量中的部分DNS请求引流到 DNS备份中心,包括: 将DNS流量中属于预设的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值 的DNS请求发送到DNS备份中心。 3.如权利要求2所述的方。

4、法,其特征在于,所述将DNS流量中的部分DNS请求引流到 DNS备份中心,还包括: 丢弃DNS流量中属于攻击报文的DNS请求。 4.如权利要求1所述的方法,其特征在于: 所述将DNS流量中的部分DNS请求引流到DNS备份中心包括:将DNS请求的源IP地址 修改为防护设备的IP地址,将DNS请求的目的IP地址修改为DNS备份中心的IP地址; 所述将所述查询结果发送到相应的用户端包括:将DNS响应的源地址修改为DNS服务 器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址。 5.如权利要求1所述的方法,其特征在于,所述DNS流量为: DNS的总流量、未知域名的DNS流量、未知域名的DNS。

5、流量比例、DNS请求应答的比例、 每目的IP的DNS流量或者每域名的DNS流量。 6.一种保护DNS服务器的装置,应用于防护设备上,所述防护设备设置在DNS服务器之 前,其特征在于,所述防护设备还与DNS备份中心连接,所述装置包括: 分流单元,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量 中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询 结果; 响应单元,用于接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结 果发送到相应的用户端。 7.如权利要求6所述的装置,其特征在于,所述分流单元进一步用于: 将DNS流量中。

6、属于预设的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值 的DNS请求发送到DNS备份中心。 8.如权利要求7所述的装置,其特征在于,所述分流单元还用于: 丢弃DNS流量中属于攻击报文的DNS请求。 9.如权利要求6所述的装置,其特征在于: 所述分流单元进一步用于:将DNS请求的源IP地址修改为防护设备的IP地址,将DNS 请求的目的IP地址修改为DNS备份中心的IP地址; 所述响应单元进一步用于:将DNS响应的源地址修改为DNS服务器的IP地址,将DNS 响应的目的地址修改为请求用户的IP地址。 10.如权利要求6所述的装置,其特征在于,所述DNS流量为: 权 利 要 求 书CN 。

7、102882892 A 2/2页 3 DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、 每目的IP的DNS流量或者每域名的DNS流量。 权 利 要 求 书CN 102882892 A 1/4页 4 一种保护 DNS 服务器的方法及装置 技术领域 0001 本发明涉及网络安全技术领域,尤其涉及一种保护DNS服务器的方法及装置。 背景技术 0002 域名系统(Domain Name System,DNS)作为互联网的基础网络设施和用户访问网 络的门户环节,在互联网服务中占据着非常重要的地位,系统的安全稳定、优质高效运营对 于保证用户服务质量、提升用户感知的意义。

8、重大。DNS系统中通常包括缓存服务器、递归服 务器和授权服务器,具体描述如下: 0003 缓存服务器:是指负责接收用户端(解析器)发送的请求,然后通过向递归服务器 发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。缓存服务器通常不 会维护或者管理任何域的资源记录数据,它只负责接收用户(解析器)的查询,并且通过查 找缓存或者向递归服务器发出查询从而获得查询结果。 0004 递归服务器:是指负责接收缓存服务器发送的请求,然后通过向各级授权服务器 发出查询请求获得缓存服务器需要的查询结果,最后返回给缓存服务器的解析器。递归服 务器通常不会维护或者管理任何域的资源记录数据。它只负责收缓存服。

9、务器的查询,并且 通过查找缓存或者向包括根在内的授权服务器发出查询从而获得查询结果。 0005 授权服务器:是指对于某个或者多个区具有授权的服务器,授权服务器保存着其 所拥有授权区域的原始域名资源记录信息。授权服务器通常不提供递归解析服务,它只负 责维护和保存它所拥有授权的区的资源记录信息,并且接受递归服务器的查询请求。 0006 由于DNS的UDP特性和请求字段比较简单,攻击非常难以得到甄别,并和正常流量 进行区分。同时,由于DNS的重要性,很多黑客会选择在递归服务器节点的缓存或者递归查 询上下手,往往容易得手。甚至由于某些特殊的事件,也很容易对DNS节点造成事实上的攻 击,比如2009年的。

10、“暴风影音”事件。 0007 正是由于DNS功能的重要性和协议的脆弱性,DNS flood(泛洪)成为了最简单有 效但是又十分难以防护的攻击手段。由于源IP的伪造十分简单,攻击报文和正常报文又难 以区分,为了避免DNS服务器被攻瘫,往往只能对流量进行限制,但是又造成了正常流量的 丢弃,实际形成了攻击。具体而言,对流量进行限制的方法通常有如下几种: 0008 源IP限速:针对攻击的源IP进行限速。 0009 源IP组限速:针对攻击的源IP组进行限速,可以是掩码网段,也可以是离散的IP 组合。 0010 域名限速:针对被攻击的域名限速。 0011 域名组限速:针对被攻击的域名组进行限速,可以是某级。

11、域名的子域名的组合,也 可以是离散的域名的组合,还可以是泛域名。 0012 二级域名限速:主要是针对泛域名攻击无法校验子域名的真实性,所以只能针对 二级域名进行限速。 0013 由于无法检验报文的真实性,所以不管针对IP还是域名进行限速都会对正常的 说 明 书CN 102882892 A 2/4页 5 请求产生影响。而且源IP是非常容易伪造的,那么针对源IP或者源IP组限速通常不容易 长时间生效。泛域名的攻击也是如此,伪造的域名使得域名和域名组限速不容易长时间生 效。 发明内容 0014 有鉴于此,本发明的目的是提供保护DNS服务器的方法及装置,以提高DNS服务器 的服务质量。 0015 为实。

12、现上述目的,本发明提供技术方案如下: 0016 一种保护DNS服务器的方法,应用于防护设备上,所述防护设备设置在DNS服务器 之前,所述防护设备还与DNS备份中心连接,所述方法包括: 0017 对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS流量中的部分 DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的查询结果; 0018 接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查询结果发送到 相应的用户端。 0019 一种保护DNS服务器的装置,应用于防护设备上,所述防护设备设置在DNS服务器 之前,所述防护设备还与DNS备份中心连接,所述装置包。

13、括: 0020 分流单元,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将DNS 流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应的 查询结果; 0021 响应单元,用于接收DNS备份中心发送的携带有查询结果的DNS响应,并将所述查 询结果发送到相应的用户端。 0022 与现有技术通过对流量进行限制来防范DNS flood攻击相比,本发明在DNS流量 发生异常时,通过防护设备将部分DNS流量引流到DNS备份中心,能够在不影响正常DNS请 求的前提下,使得DNS服务器不至于承受过大的压力而导致CPU使用率过高甚至宕机,从而 保证DNS的服务质量。。

14、 附图说明 0023 图1是本发明实施例的组网示意图; 0024 图2是本发明实施例的保护DNS服务器的方法流程图; 0025 图3是本发明实施例的保护DNS服务器的装置结构图。 具体实施方式 0026 本发明主要解决DNS flood攻击发生时,如果攻击报文和正常报文无法区分,如何 在既不影响正常的DNS请求,又使得DNS服务器不至于承受过大的压力而导致CPU使用率 过高甚至宕机,从而保证DNS的服务质量。 0027 以下结合附图对本发明进行详细描述。 0028 图1是本发明实施例的组网示意图。参照图1,在本发明实施例的组网结构中,在 DNS服务器之前设置有防护设备,并预先建立一个DNS备份。

15、中心,该防护设备还与DNS备份 中心连接,该DNS备份中心的处理能力较高,并且能够接收处理不同地域、不同节点的DNS 说 明 书CN 102882892 A 3/4页 6 请求。也就是说,该DNS备份中心能够给多个区域、多个运营商做备份,能够充分合理的利 用资源。另外,DNS备份中心对于不同地域、不同运营商链路的DNS请求能够进行区分对待, 不会造成服务质量下降。可选地,在防护设备与DNS服务器之间,以及,在防护设备与DNS 备份中心之间,还可以设置负载均衡器,用以对DNS请求进行负载均衡。 0029 图2是本发明实施例的保护DNS服务器的方法流程图。参照图1和图2,本发明实 施例的保护DNS。

16、服务器的方法可以包括如下步骤: 0030 步骤201,防护设备对DNS流量进行统计和分析; 0031 通过在DNS服务器之前设置防护设备,防护设备可以对DNS流量进行统计和分析, 例如,对DNS的总流量、未知域名的DNS流量、未知域名的DNS流量比例、DNS请求应答的比 例、每目的IP的DNS流量或者每域名的DNS流量等进行统计和分析。如果DNS服务器有详 细的数据检测,也可以根据DNS服务器检测到的数据进行分析处理,但是需要和相关的数 据中心进行联动。防护设备对DNS流量的这些方面进行统计分析主要是根据这些数据进行 判断,一旦攻击发生时或者有特殊情况发生请求流量过大时,能够及时的进行处理,及。

17、时响 应。 0032 步骤202,防护设备确定DNS流量发生异常时,将DNS流量中的部分DNS请求引流 到DNS备份中心; 0033 DNS流量发生异常,例如在攻击发生时或者DNS请求流量过大时,防护设备可以根 据预先设置好的牵引阈值,将一部分的DNS请求牵引到DNS备份中心去,由备份中心去处理 大流量的请求。DNS备份中心的引流也是在防护设备之后,返回设备可以先将攻击流量屏蔽 掉,只是牵引无法识别正常报文还是攻击报文的DNS请求。此时,原有的DNS服务器节是对 一定流量的DNS请求进行处理,多余的过载流量就交给DNS备份中心来进行处理。 0034 其中,所述牵引阈值可以设置为等于DNS服务器。

18、的处理能力,即,防护设备可以将 DNS服务器处理能力范围内的DNS请求发送到DNS服务器,将DNS服务器处理能力范围之外 的DNS请求引流到DNS备份中心。如果防护设备能够确定哪些流量属于攻击报文的DNS请 求,还直接丢弃DNS流量中属于攻击报文的DNS请求。 0035 具体地,防护设备可以通过将DNS请求的源IP地址修改为防护设备的IP地址,将 DNS请求的目的IP地址修改为DNS备份中心的IP地址,来将该DNS请求发送到DNS备份中 心。 0036 步骤203,DNS备份中心获取该部分DNS请求对应的查询结果,并将查询结果通过 DNS响应报文发送到防护设备; 0037 DNS备份中心接收到。

19、防护设备发送的DNS请求后,根据该DNS请求进行查询,获取 用户请求的IP地址,之后,通过构造源IP地址为DNS备份中心的IP地址,目的IP地址为 防护设备的IP地址的DNS响应报文,将查询结果通过该DNS响应报文发送到防护设备。 0038 步骤204,防护设备接收DNS备份中心发送的携带有查询结果的DNS响应,并将所 述查询结果发送到相应的用户端。 0039 防护设备接收到DNS备份中心发送的DNS响应报文后,通过将DNS响应的源地址 修改为DNS服务器的IP地址,将DNS响应的目的地址修改为请求用户的IP地址,来将查询 结果发送到相应的用户端。这样,用户的体验仍然是本地DNS服务器的处理,。

20、并且攻击方也 无法判定备份中心DNS服务器的位置,从而保护了DNS备份中心。 说 明 书CN 102882892 A 4/4页 7 0040 另外,当流量正常时,可以手动或者自动结束牵引,所有流量仍然全部由原有DNS 服务器进行处理。其中,DNS服务器对DNS请求的处理流程与现有技术没有改变。 0041 本发明实施例的上述方法能够在不降低DNS服务质量的前提下解决DNS flood攻 击的问题,有效的提高了DNS flood攻击的防护效果。 0042 而且,上述方法也可以作为解决DNS服务器节点自身出问题时的备选方案,即,当 防护设备发现DNS服务器发生故障时,还能够将全部DNS流量都牵引到D。

21、NS备份中心,由 DNS备份中心来对DNS请求进行查询处理。 0043 与上述保护DNS服务器的方法相对应,本发明实施例还提供一种保护DNS服务器 的装置。图3是本发明实施例的保护DNS服务器的装置结构图,所述装置应用于防护设备 上,所述防护设备设置在DNS服务器之前,所述防护设备还与DNS备份中心连接,参照图3, 所述装置可以包括: 0044 分流单元10,用于对DNS流量进行统计和分析,当确定DNS流量发生异常时,将 DNS流量中的部分DNS请求引流到DNS备份中心,由DNS备份中心获取该部分DNS请求对应 的查询结果; 0045 响应单元20,用于接收DNS备份中心发送的携带有查询结果的。

22、DNS响应,并将所述 查询结果发送到相应的用户端。 0046 分流单元10可以对DNS流量进行统计和分析,例如,对DNS的总流量、未知域名的 DNS流量、未知域名的DNS流量比例、DNS请求应答的比例、每目的IP的DNS流量或者每域 名的DNS流量等进行统计和分析,当确定DNS流量发生异常时,可以将DNS流量中属于预设 的牵引阈值内的DNS请求发送到DNS服务器,将超过牵引阈值的DNS请求发送到DNS备份 中心,并且,还可以直接丢弃DNS流量中属于攻击报文的DNS请求。 0047 具体地,分流单元10可以通过将DNS请求的源IP地址修改为防护设备的IP地址, 将DNS请求的目的IP地址修改为D。

23、NS备份中心的IP地址,来将该DNS请求发送到DNS备 份中心。响应单元20可以通过将DNS响应的源地址修改为DNS服务器的IP地址,将DNS 响应的目的地址修改为请求用户的IP地址,来将查询结果发送的相应的用户端。 0048 综上所述,本发明在DNS流量发生异常时,通过防护设备将部分DNS流量引流到 DNS备份中心,能够在不影响正常DNS请求的前提下,使得DNS服务器不至于承受过大的压 力而导致CPU使用率过高甚至宕机,从而保证DNS的服务质量。 0049 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。 说 明 书CN 102882892 A 1/2页 8 图1 说 明 书 附 图CN 102882892 A 2/2页 9 图2 图3 说 明 书 附 图CN 102882892 A 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1