一种DNS服务器识别并防御放大攻击的方法技术

本发明专利技术提供了一种DNS服务器识别并防御放大攻击的方法，包括：DNS服务器设置资源记录的TTL为T1；查询者发起查询请求，DNS服务器按照查询要求查找到对应的资源记录并同时保存相关数据；每次收到查询请求时，首先按照查询者的IP查找步骤2中的缓存数据，若找到匹配的缓存数据，则取出步骤2中对应记录中缓存的最后一次请求时间与资源记录的TTL T1；DNS服务器的当前系统时间减去步骤3中取出的最后一次请求时间，得到时间差为Tx；判断Tx与步骤3中取出的资源记录TTL T1的大小，进而判断可疑的请求，并对其进行限制。本发明专利技术通过简单有效的过滤方法，帮助DNS服务器快速识别DNS放大攻击请求，防止DNS服务器被用来进行攻击。

A method of identifying and defending a magnified attack by a DNS server

The invention provides a DNS server identification and defense amplification attack methods, including: DNS server resource records TTL T1; query initiates the query request, the DNS server according to the query request to find the corresponding resource record while preserving the relevant data; each receives the query request, according to the data cache 2 IP lookup step the query, if found, the cache data, the last request time and resource records out the corresponding record in step 2 cache TTL T1 DNS server; the current system time minus step 3 out of the last request time, get the time difference is Tx; the size of resource records Tx and TTL removed in step 3 of T1, and then judge the suspicious requests, and the restriction on the. Through a simple and effective filtering method, the invention helps the DNS server to quickly identify the DNS amplification attack request and prevent the DNS server from being used for attack.

【技术实现步骤摘要】
一种DNS服务器识别并防御放大攻击的方法
本专利技术涉及放大攻击防御
，特别是一种DNS服务器识别并防御放大攻击的方法。
技术介绍
攻击者在进行放大攻击时，会伪造源IP为被攻击者的DNS请求报文，并发送到大量的DNS查询服务器，从而导致查询大量服务器的回应报文洪水般涌向被攻击者的IP，达到攻击的目的。传统的防御DNS放大攻击的方法与防御普通DDoS流量式攻击的方法一致，通过足够的带宽来防御DNS回应报文的流量攻击；其存在以下不足：1、需要足够的带宽承接产生的攻击流量；2、需要特殊的设备或者配置用来识别攻击报文并抛弃。DNS：域名解析系统；放大攻击：(DNSamplificationattacks)是一种数据包的大量变体能够产生针对一个目标的大量的虚假的通讯。
技术实现思路
本专利技术所要解决的技术问题是提供一种DNS服务器识别并防御放大攻击的方法，通过简单有效的过滤方法，帮助DNS服务器快速识别DNS放大攻击请求，防止DNS服务器被用来进行攻击。为解决上述技术问题，本专利技术采用的技术方案是：一种DNS服务器识别并防御放大攻击的方法，包括以下步骤：步骤1：DNS服务器设置资源记录的TTL为T1；步骤2：查询者发起查询请求，DNS服务器按照查询要求查找到对应的资源记录，同时保存以下数据：a、查询者的IP地址；b、所请求的域名；c、记录类型；d、最后一次请求产生的时间；e、查找到的资源记录的TTLT1；步骤3：每次收到查询请求时，首先按照查询者的IP查找步骤2中的缓存数据，若找到匹配的缓存数据，即查询者IP相同、域名相同、记录类型相同，则取出步骤2中对应记录中缓存的最后一次请求时间与资源记录的TTLT1：步骤4：DNS服务器的当前系统时间减去步骤3中取出的最后一次请求时间，得到时间差为Tx；步骤5：判断Tx与步骤3中取出的资源记录TTLT1的大小：a、若Tx≥T1则当前是正常查询请求，结束本次识别处理；b、若Tx<T1则当前是可疑的请求，并将该IP的可疑请求次数加一；步骤6：判断步骤5中的IP可疑请求次数是否超过设置的阈值，若超过阈值，则将该IP加入黑名单，禁止该IP在一定时间内进行请求查询。进一步的，在缓存查询请求时，以查询者IP、请求域名以及记录类型作为关键字。与现有技术相比，本专利技术的有益效果是：在攻击流量产生的源头进行识别，并阻止攻击流量的产生；帮助DNS服务器快速识别DNS放大攻击请求，防止DNS服务器被用来进行攻击。具体实施方式下面通过具体实施方式对本专利技术作进一步详细的说明。本专利技术通过在DNS服务器端进行TTL判断，识别出可疑的查询请求，并立即停止查询过程，从而达到阻止攻击的目的，详述如下：1、DNS服务器设置资源记录的TTL(TimeToLive的缩写，表示一条域名解析资源记录在递归DNS服务器上的最大缓存时间)为T1。2、查询者发起查询请求，DNS服务器按照要求查找到对应的资源记录，同时保存以下数据：a、查询者的IP地址；b、所请求得域名；c、记录类型；d、最后一次请求产生的时间(DNS服务器系统时间)；e、查找到的资源记录的TTLT1。3、每次收到查询请求，首先按照查询者的IP查找步骤2中的缓存数据，若找到匹配的缓存数据(查询者IP相同、域名相同、记录类型相同)，则取出步骤2中对应记录中缓存的最后一次请求时间与资源记录的TTLT1。4、DNS服务器的当前系统时间减去步骤3中取出的最后一次请求时间，得到时间差为Tx。5、判断Tx与步骤3中取出的资源记录TTLT1的大小：a、若Tx≥T1则认为当前是正常查询请求，结束本次识别处理；b、若Tx<T1则认为当前是可疑的请求，并将该IP的可疑请求次数加一。6、判断步骤5中的IP可疑请求次数是否超过设置的阈值(可配置修改)，若超过阈值，则将该IP加入黑名单禁止该IP在一定时间(可配置修改)内进行请求查询。本文档来自技高网...

【技术保护点】
一种DNS服务器识别并防御放大攻击的方法，其特征在于，包括以下步骤：步骤1：DNS服务器设置资源记录的TTL为T1；步骤2：查询者发起查询请求，DNS服务器按照查询要求查找到对应的资源记录，同时保存以下数据：a、查询者的IP地址；b、所请求的域名；c、记录类型；d、最后一次请求产生的时间；e、查找到的资源记录的TTL T1；步骤3：每次收到查询请求时，首先按照查询者的IP查找步骤2中的缓存数据，若找到匹配的缓存数据，即查询者IP相同、域名相同、记录类型相同，则取出步骤2中对应记录中缓存的最后一次请求时间与资源记录的TTL T1：步骤4：DNS服务器的当前系统时间减去步骤3中取出的最后一次请求时间，得到时间差为Tx；步骤5：判断Tx与步骤3中取出的资源记录TTL T1的大小：a、若Tx≥T1则当前是正常查询请求，结束本次识别处理；b、若Tx<T1则当前是可疑的请求，并将该IP的可疑请求次数加一；步骤6：判断步骤5中的IP可疑请求次数是否超过设置的阈值，若超过阈值，则将该IP加入黑名单，禁止该IP在一定时间内进行请求查询。

【技术特征摘要】
1.一种DNS服务器识别并防御放大攻击的方法，其特征在于，包括以下步骤：步骤1：DNS服务器设置资源记录的TTL为T1；步骤2：查询者发起查询请求，DNS服务器按照查询要求查找到对应的资源记录，同时保存以下数据：a、查询者的IP地址；b、所请求的域名；c、记录类型；d、最后一次请求产生的时间；e、查找到的资源记录的TTLT1；步骤3：每次收到查询请求时，首先按照查询者的IP查找步骤2中的缓存数据，若找到匹配的缓存数据，即查询者IP相同、域名相同、记录类型相同，则取出步骤2中对应记录中缓存的最后一次请求时间与资源记录的TTLT1：步骤4：...

【专利技术属性】
技术研发人员：陈海洋，叶兴，张文宇，吴文林，郑斌，
申请(专利权)人：成都知道创宇信息技术有限公司，
类型：发明
国别省市：四川,51