本发明专利技术提供一种识别和防御DNS SERVFAIL攻击的方法及装置,该方法包括:接收客户端发送的域名查询请求,该域名查询请求中携带待查询的域名以及域名所属的区的标识;根据上述域名查询请求,获取域名所属的区对应的级别;根据上述级别获取域名所属的区的查询权限,根据查询权限查询域名,并根据查询结果更新所述域名所属的区的级别计数。该方法在级别计数达到一定的值时对域名所属的区的级别进行调整,使得域名所属的区所拥有的查询资源发生变化,从而实现了根据域名所属的区的历史查询结果来动态地为域名所属的区分配查询资源,既保证了一些合法的区的合法域名查询得到保证,又能够对一些非法的区的非法域名查询进行拦截。
【技术实现步骤摘要】
本专利技术涉及域名查询技术,尤其涉及一种识别和防御DNSSERVFAIL攻击的方法及装置。
技术介绍
递归服务器用于域名查询时的递归查询,递归服务器进行递归查询时会占用大量的系统资源,因此,递归服务器通常依赖缓存机制来尽可能地避免进行密集的递归查询。而当被递归服务器请求的远端服务器没有响应的时候,递归服务器无法确定远端服务器是否确实存在问题,因此递归服务器会保留一定的等待时间并进行一定数量的重试,同时不会针对未响应的结果进行缓存。域名解析服务错误(DomainNameSystemServiceFail,简称DNSSERVFAIL)攻击是利用上述递归服务器的处理机制,利用一个或多个有问题的远端服务器,或者对应的区的权威服务器而使用一个不可达地址,进而向递归服务器发出大量的该区内的域名解析请求。递归服务器进而会向该域名所对应的服务器发起递归请求,而由于该服务器并不可达,因此递归服务器需要一直等待响应,导致递归服务器的资源被大量占用,进而导致递归服务器的处理能力大幅下降,无法处理正常的域名查询请求。现有技术中,递归服务器通过为每个区设置一个特定的并发递归查询次数来应对上述攻击。具体地,递归服务器统一设定一个阈值,每个区的并发递归查询次数不能超过该阈值,当超过该阈值时则直接返回错误提示,完成递归查询的拦截。但是,现有技术是使用静态限速的方法,即针对所有的区都设置相同的递归查询次数,会导致对于一些访问量大的区的合法域名查询失败。
技术实现思路
本专利技术提供一种识别和防御DNSSERVFAIL攻击的方法及装置,用于解决现有技术中由于使用静态限速的方法所导致一些访问量大的区的合法域名查询失败的问题。本专利技术第一方面提供一种识别和防御DNSSERVFAIL攻击的方法,包括:接收客户端发送的域名查询请求,所述域名查询请求中携带待查询的域名以及所述域名所属的区的标识;根据所述域名查询请求,获取所述域名所属的区对应的级别;根据所述级别获取所述域名所属的区的查询权限,根据所述查询权限查询所述域名,并根据查询结果更新所述域名所属的区的级别计数,其中,所述域名所属的区的级别计数用于标识所述域名所属的区对应的级别是否需要调整。结合第一方面,在第一方面的第一种可能的实施方式中,所述根据所述域名查询请求,获取所述域名所属的区对应的级别,包括:根据所述域名查询请求中的所述域名所属的区的标识、以及区与级别映射关系,获取所述域名所属的区对应的级别。结合第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中所述根据所述级别获取所述域名所属的区的查询权限,包括:根据所述级别,在预设的级别与查询权限映射表中查找所述级别对应的查询权限;其中,所述级别对应的查询权限包括:所述级别的级别调整次数、所述级别所允许的并发递归查询次数以及所述级别所允许的每秒查询次数。结合第一方面的第二种可能的实施方式,在第一方面的第三种可能的实施方式中,所述根据查询结果更新所述域名所属的区的级别计数,包括:若所述查询结果为查询所述域名成功,则将所述域名所属的区的级别计数加1,获取更新后的所述域名所属的区的级别计数。结合第一方面的第二种可能的实施方式,在第一方面的第四种可能的实施方式中,所述根据查询结果更新所述域名所属的区的级别计数,包括:若所述查询结果为查询所述域名失败,则将所述域名所属的区的级别计数减半,获取更新后的所述域名所属的区的级别计数。结合第一方面的第一种至第四种可能的实施方式中的任一种,在第一方面的第五种可能的实现方式中,所述根据查询结果更新所述域名所属的区的级别计数之后,还包括:若所述级别计数达到第一级别所允许的级别调整次数,则将所述域名所属的区的级别调整为所述第一级别;更新所述区与级别映射关系。结合第一方面的第一种可能的实施方式,在第一方面的第六种可能的实施方式中所述根据所述域名查询请求中的所述域名所属的区的标识、以及区与级别映射关系,获取所述域名所属的区对应的级别,包括:若所述域名所属的区的标识在区与级别映射关系表中存在,则在所述区与级别映射关系表中读取所述域名所属的区对应的级别。结合第一方面的第一种可能的实施方式,在第一方面的第七种可能的实施方式中,所述根据所述域名查询请求中的所述域名所属的区的标识、以及区与级别映射关系,获取所述域名所属的区对应的级别,包括:若所述域名所属的区的标识在区与级别映射关系表中不存在,则在所述区与级别映射关系表中读取所述域名所属的区的上一级区对应的级别,将读取到的所述域名所属的区的上一级区对应的级别作为所述域名所属的区对应的级别。本专利技术第二方面提供一种识别和防御DNSSERVFAIL攻击的装置,包括:接收模块,用于接收客户端发送的域名查询请求,所述域名查询请求中携带待查询的域名以及所述域名所属的区的标识;获取模块,用于根据所述域名查询请求,获取所述域名所属的区对应的级别;查询模块,用于根据所述级别获取所述域名所属的区的查询权限,根据所述查询权限查询所述域名,并根据查询结果更新所述域名所属的区的级别计数,其中,所述域名所属的区的级别计数用于标识所述域名所属的区对应的级别是否需要调整。结合第二方面,在第二方面的第一种可能的实施方式中,所述获取模块,具体用于根据所述域名查询请求中的所述域名所属的区的标识、以及区与级别映射关系,获取所述域名所属的区对应的级别。本专利技术所提供的识别和防御DNSSERVFAIL攻击的方法,根据域名所属的区的级别获取对应的查询权限,根据查询权限查询域名,并根据域名查询结果更新域名所属的区的级别计数,当级别计数达到一定的值时对域名所属的区的级别进行调整,使得域名所属的区所拥有的查询资源发生变化,从而实现了根据域名所属的区的历史查询结果来动态地为域名所属的区分配查询资源,既保证了一些合法的区的合法域名查询得到保证,又能够对一些非法的区的非法域名查询进行拦截。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术所提供的识别和防御DNSSERVFAIL攻击的方法实施例一的流程示意图;图2为本专利技术所提供的识别和防御DNSSERVFAIL攻击的装置实施例一的结构示意图;图3为本专利技术所提供的识别和防御DNSSERVFAIL攻击的装置实施例二的结构示意图;图4为本专利技术所提供的识别和防御DNSSERVFAIL攻击的装置实施例三的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有本文档来自技高网...
【技术保护点】
一种识别和防御DNS SERVFAIL攻击的方法,其特征在于,包括:接收客户端发送的域名查询请求,所述域名查询请求中携带待查询的域名以及所述域名所属的区的标识;根据所述域名查询请求,获取所述域名所属的区对应的级别;根据所述级别获取所述域名所属的区的查询权限,根据所述查询权限查询所述域名,并根据查询结果更新所述域名所属的区的级别计数,其中,所述域名所属的区的级别计数用于标识所述域名所属的区对应的级别是否需要调整。
【技术特征摘要】
1.一种识别和防御DNSSERVFAIL攻击的方法,其特征在于,包括:
接收客户端发送的域名查询请求,所述域名查询请求中携带待查询的域
名以及所述域名所属的区的标识;
根据所述域名查询请求,获取所述域名所属的区对应的级别;
根据所述级别获取所述域名所属的区的查询权限,根据所述查询权限查
询所述域名,并根据查询结果更新所述域名所属的区的级别计数,其中,所
述域名所属的区的级别计数用于标识所述域名所属的区对应的级别是否需要
调整。
2.根据权利要求1所述的方法,其特征在于,所述根据所述域名查询请
求,获取所述域名所属的区对应的级别,包括:
根据所述域名查询请求中的所述域名所属的区的标识、以及区与级别映
射关系,获取所述域名所属的区对应的级别。
3.根据权利要求2所述的方法,其特征在于,所述根据所述级别获取所
述域名所属的区的查询权限,包括:
根据所述级别,在预设的级别与查询权限映射表中查找所述级别对应的
查询权限;
其中,所述级别对应的查询权限包括:所述级别的级别调整次数、所述
级别所允许的并发递归查询次数以及所述级别所允许的每秒查询次数。
4.根据权利要求3所述的方法,其特征在于,所述根据查询结果更新所
述域名所属的区的级别计数,包括:
若所述查询结果为查询所述域名成功,则将所述域名所属的区的级别计
数加1,获取更新后的所述域名所属的区的级别计数。
5.根据权利要求3所述的方法,其特征在于,所述根据查询结果更新所
述域名所属的区的级别计数,包括:
若所述查询结果为查询所述域名失败,则将所述域名所属的区的级别计
数减半,获取更新后的所述域名所属的区的级别计数。
6.根据权利要求2-5任一项所述的方法,其特征在于,所述根据查询结
果...
【专利技术属性】
技术研发人员:陈超,郄少杰,张绍峰,吴琦,毛伟,邢志杰,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。