本发明专利技术提供一种自动防御DNS解析请求DDoS攻击的方法及装置,该方法包括:统计历史发送过查询请求的客户端数量;根据历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取预设时间段的时长;获取当前实际发送查询请求的客户端所使用的查询时间段;根据查询时间段的时长调整预设时间段的时长,获取调整后的预设时间段。本发明专利技术根据查询时间段的时长来调整预设时间段的时长,使得在查询请求较多时,每个客户端所等待的时间变长,从而实现根据实时环境动态改变查询速度,使得攻击者不能再利用服务器所分配的查询时间和次数对服务器进行攻击。
【技术实现步骤摘要】
本专利技术涉及域名查询技术,尤其涉及一种自动防御DNS解析请求DDoS攻击的方法及装置。
技术介绍
互联网领域中,不同的客户端会向服务器发起域名查询请求以获得域名查询信息,相应地,服务器对于不同客户端会进行域名查询请求的查询时间及查询次数的控制。现有技术中,服务器在对域名查询请求进行查询时间及查询次数的控制时,通常会针对一定的范围(例如一个区,其中,一个区包含一类域名),分配一个固定的时间窗口以及固定的查询次数,在该时间窗口内,属于该范围内的客户端向服务器发起的域名查询请求的次数不能超出服务器所允许的固定次数。但是,使用现有技术进行查询请求控制时,是针对一定范围分配固定的域名查询时间和次数,如果有恶意攻击者处于该范围内,就可以利用服务器分配的固定时间及次数对服务器进行域名(Domain Name System,简称DNS)解析请求分布式拒绝服务(Distributed Denial of Service,简称 DDoS)攻击。
技术实现思路
本专利技术提供一种自动防御DNS解析请求DDoS攻击的方法及装置,用于解决现有技术中分配固定的域名查询时间和次数而导致服务器被DDoS攻击的问题。本专利技术第一方面提供一种自动防御DNS解析请求DDoS攻击的方法,包括:统计历史发送过查询请求的客户端数量;根据所述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取所述预设时间段的时长;获取当前实际发送查询请求的客户端所使用的查询时间段;根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段。结合第一方面,在第一方面的第一种可能的实施方式中,所述根据所述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取所述预设时间段的时长,包括:根据公式T = t’ *Nu+t’ *(wl+w2+…+wn),获取所述预设时间段的时长T ;其中,t’为单次查询时间,Nu为预设时间段内的允许查询次数为1的所述历史发送过查询请求的客户端的数量,wl、w2、…、wn为预设时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,所述预设时间段内的允许查询次数为1的客户端数量与所述预设时间段内的允许查询次数非1的客户端数量之和为所述历史发送过查询请求的客户端数量。结合第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,所述获取当前实际发送查询请求的客户端所使用的查询时间段,包括:采用公式T’ = t’ *Nc+t’ *(ν1+ν2+...+νηι),获取所述当前实际发送查询请求的客户端所使用的查询时间段的时长Τ’ ;其中,t’为单次查询时间,Nc为查询时间段内的允许查询次数为1的所述当前实际发送查询请求的客户端的数量,vl、v2、…、vm为查询时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,查询时间段内的允许查询次数为1的客户端数量与查询时间段内的允许查询次数非1的客户端数量之和为所述当前实际发送查询请求的客户端的数量。结合第一方面的第二种可能的实施方式,在第一方面的第三种可能的实施方式中,所述根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段,包括:若所述查询时间段的时长T’大于所述预设时间段的时长T,则将所述查询时间段的时长T’作为所述调整后的预设时间段的时长T。结合第一方面的第二种可能的实施方式,在第一方面的第四种可能的实施方式中,所述根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段,包括:若所述查询时间段的时长T’小于所述预设时间段的时长T,则计算预设数量个所述查询时间段的时长T’的平均值;根据所述预设数量个所述查询时间段的时长T’的平均值、以及所述预设数量个所述查询时间段的时长T’中每个T’对应的预设权重,获取调整后的预设时间段。结合第一方面的第一种或第二种可能的实施方式,在第一方面的第五种可能的实施方式中,所述方法还包括:根据服务器的每秒查询能力以及服务器时间冗余值获取所述单次查询时间。本专利技术第二方面提供一种自动防御DNS解析请求DDoS攻击的装置,包括:统计模块,用于统计历史发送过查询请求的客户端数量;第一获取模块,用于根据所述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取所述预设时间段的时长;第二获取模块,用于获取当前实际发送查询请求的客户端所使用的查询时间段;第三获取模块,用于根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段。结合第二方面,在第二方面的第一种可能的实施方式中,所述第一获取模块,具体用于根据公式T = t’ *Nu+t’ *(wl+w2+…+wn),获取所述预设时间段的时长Τ ;其中,t’为单次查询时间,Nu为预设时间段内的允许查询次数为1的所述历史发送过查询请求的客户端的数量,wl、w2、…、wn为预设时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,所述预设时间段内的允许查询次数为1的客户端数量与所述预设时间段内的允许查询次数非1的客户端数量之和为所述历史发送过查询请求的客户端数量。结合第二方面的第一种可能的实施方式,在第二方面的第二种可能的实施方式中,所述第二获取模块,具体用于采用公式T’ = t’ *Nc+t’ *(vl+v2+…+vm),获取当前实际发送查询请求的客户端所使用的查询时间段的时长T’ ;其中,t’为单次查询时间,Nc为查询时间段内的允许查询次数为1的所述当前实际发送查询请求的客户端的数量,vl、v2、…、vm为查询时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,查询时间段内的允许查询次数为1的客户端数量与查询时间段内的允许查询次数非1的客户端数量之和为所述当前实际发送查询请求的客户端的数量。结合第二方面的第二种可能的实施方式,在第二方面的第三种可能的实施方式中,所述第三获取模块,具体用于若所述查询时间段的时长T’大于所述预设时间段的时长T,则将所述查询时间段的时长T’作为所述调整后的预设时间段的时长T。本专利技术所提供的自动防御DNS解析请求DDoS攻击的方法中,服务器根据历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间来设定一个预设时间段,在该预设时间段内每个客户端的查询次数不能超过服务器所允许的查询次数。同时,服务器获取实际发送查询请求的客户端所使用的查询时间段,并根据该查询时间段的时长来调整预设时间段的时长,使得在查询请求较多时,每个客户端所等待的时间变长,从而实现根据实时环境动态改变查询速度。由于服务器根据实时环境对查询进行了限速,即不再为某个区分配固定的查询时间和次数,使得攻击者不能再利用服务器所分配的查询时间和次数对服务器进行攻击。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的自动防御DNS解析请求DDoS攻击的方法实施例一本文档来自技高网...
【技术保护点】
一种自动防御DNS解析请求DDoS攻击的方法,其特征在于,包括:统计历史发送过查询请求的客户端数量;根据所述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取所述预设时间段的时长;获取当前实际发送查询请求的客户端所使用的查询时间段;根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈超,张绍峰,郄少杰,陈政璋,毛伟,邢志杰,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。