DNS安全防护方法、装置及DNS制造方法及图纸

本发明专利技术实施例公开了一种域名系统DNS安全防护方法、装置及DNS，所述DNS安全防护方法包括：在DNS的至少一个指定节点上设置安全防护策略；基于所述安全防护策略，进行攻击识别和/或过滤。

【技术实现步骤摘要】
DNS安全防护方法、装置及DNS
本专利技术涉及通信领域，尤其涉及一种域名系统(DomainNameSystem，DNS)安全防护方法、装置及DNS。
技术介绍
DNS为因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使客户端更方便的访问互联网，而不用去记住能够被机器直接读取的网络协议(InternetProtocol，IP)数串。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析。DNS协议运行在UDP协议之上，使用端口号53。随着互联网业务，尤其是移动互联网业务的迅猛发展，互联网已经深入到社会生活的方方面面，人们一分钟都离不开互联网。DNS作为互联网的基础服务，几乎所有的应用都要依赖于DNS，如果你控制了DNS，你就控制了互联网。又因为DNS暴露在公网中，极易成为不法分子的攻击目标，是互联网系统最大的软肋。所以，如何保证DNS能够抵御各种安全风险，是迫不及待的严峻目标。在现有技术中，DNS安全防护体系过度依赖抗分布式拒绝服务(DistributedDenialofService，DDoS)系统，在识别到攻击时(一般通过设置总体流量阈值来确定)，使用抗DDoS系本文档来自技高网...

【技术保护点】
一种域名系统DNS安全防护方法，其特征在于，所述方法包括：在DNS的至少一个指定节点上设置安全防护策略；基于所述安全防护策略，进行攻击识别和/或过滤。

【技术特征摘要】
1.一种域名系统DNS安全防护方法，其特征在于，所述方法包括：在DNS的至少一个指定节点上设置安全防护策略；基于所述安全防护策略，进行攻击识别和/或过滤。2.根据权利要求1所述的方法，其特征在于，所述在DNS的至少一个指定节点上设置安全防护策略，包括：在外网出入节点上设置第一防护策略；所述基于所述安全防护策略，进行攻击识别和/或过滤，包括：基于所述第一防护策略，允许DNS服务器响应携带有合法外网网络协议IP地址的DNS请求，并禁止DNS服务器响应携带有非法外网IP地址的DNS请求；其中，所述合法IP地址为预先通过安全确认的外网IP地址。3.根据权利要求1或2所述的方法，其特征在于，所述在DNS的至少一个指定节点上设置安全防护策略，包括：在用户接入节点上设置第二防护策略；所述基于所述安全防护策略，进行攻击识别和/或过滤，包括：基于所述第二防护策略，识别并过滤基于位置源地址发起的DNS服务器的访问请求。4.根据权利要求1或2所述的方法，其特征在于，所述在DNS的至少一个指定节点上设置安全防护策略，包括：在DNS防火墙上配置第三防护策略；所述基于所述安全防护策略，进行攻击识别和/或过滤，包括：基于所述第三防护策略，允许基于合法内网IP地址发起的DNS服务器的访问，并禁止基于非法内网IP地址发起的DNS服务器的访问；其中，所述合法内网IP地址为预先通过安全确认的内网IP地址。5.根据权利要求1或2所述的方法，其特征在于，所述在DNS的至少一个指定节点上设置安全防护策略，包括：在DNS服务器上设置第四防护策略；所述基于所述安全防护策略，进行攻击识别和/或过滤，包括：基于所述第四防护策略，确定递归解析次数超过预设次数的DNS请求为攻击请求。6.根据权利要求1或2所述的方法，其特征在于，所述在DNS的至少一个指定节点上设置安全防护策略，包括：在DNS抗分布式拒绝服务抗DDoS节点上，设置第五防护策略；所述基于所述安全防护策略，进行攻击识别和/或过滤，包括：基于所述第五防护策略中的流量阈值，确定当前时段是否为攻击时段；若为攻击时段启用所述抗DDoS节点的抗DDoS防护；若为非攻击时段停止所述抗DDoS节点的抗DDoS防护。7.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：将DNS服务器进行物理分离，形成缓存服务器和递归服务器；其中，所述缓存服务递归服务器相连；所述缓存服务器接收DNS请求，基于DNS请求查询本地数据库，获取请求的IP地址；若所述缓存服务器查询到请求的IP地址，将查询到的IP地址返回给客户端；若所述缓存服务器未查询到请求的IP地址，将DNS请求发送给所述递归服务器并从所述递归服务器接收解析结果，并将所述解析结果返回给客户端。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：所述缓存服务器和所述递归服务器之间设置有中间节点；所述在DNS的至少一个指定节点上设置安全防护策略，包括：在所述中间节点上设置第六防护策略；所述基于所述安全防护策略，进行攻击识别和/或过滤，包括：基于所述第六防护策略及所述中间节点的转发流量，确定出在指定时长内所述缓存服务器发送给所述递归服务器的DNS请求的流量大于预设值时，触发异常机制；基于所述异常机制在确定出为攻击时，停止向所述递归服务器转发对应的DNS请求。9.一种域名系统DNS安全防护装置，其特征在于，所述装置包括：配置单元，用于在DNS的至少一个指定节点上设置安全防护策略；防护单元，用于基于所述安全防护策略，进行攻击识别和/或过滤。10.根据权利要求9所述的装置，其特征在于，所述配置单元，具体用于在外网出入节点上...

【专利技术属性】
技术研发人员：陈灿，杨慰民，陈建荣，程琦，
申请(专利权)人：中国移动通信集团福建有限公司，
类型：发明
国别省市：福建,35