一种抵抗DNS攻击的方法及装置制造方法及图纸

本发明专利技术涉及网络安全技术领域，尤其涉及一种抵抗域名解析系统DNS攻击的方法及装置，用以解决现有技术中存在的容易影响大部分用户正常上网的技术问题，包括：在接收终端发送的DNS查询请求后，根据域名的优先级和服务器组的对应关系，确定DNS查询请求需要查询的域名的优先级对应的服务器组，然后将DNS查询请求转发至确定的服务器组进行递归查询。从而可以实现将DNS查询分散到多个服务器组，由于DNS攻击只是针对少量域名进行攻击，即只有少量服务器遭受攻击，因而可以保证大多数服务器组上的用户的DNS请求可以正常地响应，从而可以保证大部分用户正常上网。

Method and device for resisting DNS attack

The present invention relates to the technical field of network security, particularly relates to a method and a device against the domain name system of DNS attacks, including to solve the technical problems existing in the prior art, the majority of users easily affect the normal Internet: in the receiving terminal to send the DNS request, according to the corresponding relationship between the priority and the domain name server group. Determine the DNS server group query request corresponding to the priority need to query the domain name, then the server group DNS query requests are forwarded to determine the recursive query. Which can achieve the DNS query is distributed to multiple server group, because the DNS just for small domain attacks, that only a small amount of server attacks, so that it can ensure the majority of users on the server group DNS requests can be normally response, which can guarantee the normal Internet users most.

【技术实现步骤摘要】
一种抵抗DNS攻击的方法及装置
本专利技术涉及网络安全
，尤其涉及一种抵抗DNS攻击的方法及装置。
技术介绍
DNS(DomainNameSystem，域名解析系统)是互联网架构中的最基础、最核心的一项服务，它的作用是实现域名和IP(InternetProtocol，网络之间互连的协议)地址相互映射，使上网者能方便的访问互联网，而不用去记忆枯燥繁琐的IP数字串，为众多网络应用提供根本性支撑。由于DNS系统天生的公开性、脆弱性等特点，使其成为攻击者首选的攻击目标，其中DNS递归攻击最难防范。所谓递归攻击，即通过随机构造大量域名解析请求，让DNS持续进行迭代查询，迅速地耗尽DNS的递归资源，从而使得DNS的可用性降低或完全丧失。由于域名服务器的缓存应答能力现在一般都很高，而递归能力却相对较低，通过发起递归攻击，较传统的流量型DNSDDoS(DistributedDenialofService，分布式拒绝服务)攻击而言，具有操作成本较低，攻击效果好的特征，所以递归攻击日益成为黑客青睐的DNS攻击手段，且呈愈演愈烈之势。如何为DNS服务器提供有效的拒绝服务攻击的防御，是全世界DNS系统本文档来自技高网...

【技术保护点】
一种抵抗域名解析系统DNS攻击的方法，其特征在于，包括：接收终端发送的DNS查询请求；根据域名的优先级和服务器组的对应关系，确定所述DNS查询请求需要查询的域名的优先级对应的服务器组，其中服务器组有多个，服务器组之间在物理上相互独立，每个服务器组中包括至少一个服务器；将所述DNS查询请求转发至确定的服务器组进行递归查询。

【技术特征摘要】
1.一种抵抗域名解析系统DNS攻击的方法，其特征在于，包括：接收终端发送的DNS查询请求；根据域名的优先级和服务器组的对应关系，确定所述DNS查询请求需要查询的域名的优先级对应的服务器组，其中服务器组有多个，服务器组之间在物理上相互独立，每个服务器组中包括至少一个服务器；将所述DNS查询请求转发至确定的服务器组进行递归查询。2.如权利要求1所述的方法，其特征在于，根据下列方法确定域名的优先级：根据设定时长内所有一级域名分别对应的每秒查询数QPS，将所有域名划分为多个优先级。3.如权利要求2所述的方法，其特征在于，根据设定时长内所有一级域名分别对应的每秒查询数QPS，将所有域名划分为多个优先级，包括：确定设定时长内所有一级域名分别对应的每秒查询数QPS；将对应的QPS排名前M的一级域名以及包含该一级域名的所有域名，确定为高优先级域名，M为正整数；将除高优先级域名之外的所有域名，确定为低优先级域名。4.如权利要求3所述的方法，其特征在于，确定所述DNS查询请求需要查询的域名的优先级对应的服务器组之后，还包括：若所述域名为高优先级域名，且所述域名对应的一级域名的当前QPS大于第一阈值，则发送告警信息；若所述域名为低优先级域名，且所述域名对应的一级域名的当前QPS大于第二阈值，则丢弃所述DNS查询请求。5.如权利要求4所述的方法，其特征在于，根据下列方式确定所述第一阈值：将QPS值最大的高优先级域名对应的峰值QPS，作为所述第一阈值；根据下列方式确定所述第二阈值：将QPS值最小的高优先级域名对应的峰值QPS，作为所述第二阈值。6.一种抵抗域名解...

【专利技术属性】
技术研发人员：巫俊峰，韩峰，
申请(专利权)人：中国移动通信集团江苏有限公司，亚信科技成都有限公司，
类型：发明
国别省市：江苏,32