本发明专利技术实施例提供一种查询请求报文处理方法、装置及系统。该方法包括接收符合域名系统格式的查询请求报文;验证查询请求报文是否来源于真实的客户机;若验证获知查询请求报文来源于真实的客户机,则获取对应于查询请求报文请求访问的域名服务器的访问统计信息;根据访问统计信息和阈值对查询请求报文进行处理,阈值用于标识允许同时访问域名服务器的最大次数。本发明专利技术实施例中,网关在接收到符合域名系统格式、且来源于真实的客户机的查询请求报文后,根据阈值来限制真实客户机同时访问DNS服务器的最大次数,提高DNS服务器的工作稳定性,保障网络服务质量,增强了DNS系统中的网络安全防护性能。
【技术实现步骤摘要】
本专利技术实施例涉及通信
,特别涉及一种查询请求报文处理方法、装置及 系统。
技术介绍
域名系统(Domain Name System, DNS)是一种以层次结构分布的命名系统。在 如互联网hternet之类的传输控制协议/网间协议CTransmissionControl Protocol/ Internet Protocol,TCP/IP)网络中,使用DNS名字来定位计算机,如果在应用程序中输入 DNS名,就可以由DNS服务器中的数据库提供包括IP地址在内的与名称相关的信息。客户端和域名服务器(DNS服务器)之间一般是使用用户数据报协议 (UserDatagram Protocol, UDP)传输报文,在UDP传输方式下,客户端存在重传机制,在没 有收到服务器的响应报文后会重复向DNS服务器发送报文。由于UDP方式不采用建立连接 方式进行通信,也没有连接握手等机制,因此DNS服务器容易在网络上遭受攻击。现有技术 中一般通过在DNS服务器和客户端之间设置防火墙进行安全防护,例如通过预先建立的攻 击特征库,对访问DNS服务器的报文进行单包或多包特征匹配来进行防范,允许正常报文 通过,并过滤掉攻击报文。专利技术人在实现本专利技术的过程中发现,可能由于特殊原因,或是攻击,或者网络故 障,会出现针对同一 DNS服务器的大规模正常的、真实客户机的DNS爆发式请求,所述的正 常的真实客户机的DNS请求为真实客户机发起的、并且是查询实际域名的DNS请求,在这些 情况下,可能导致该DNS服务器堵塞,工作稳定性降低,甚至造成DNS服务器瘫痪,引发大规 模的网络故障,导致网络服务质量下降。
技术实现思路
本专利技术实施例提供一种查询请求报文处理方法、装置及系统,能够提高DNS服务 器的工作稳定性,增强DNS系统中的网络安全防护性能。本专利技术实施例提供一种查询请求报文处理方法,包括接收符合域名系统格式的查询请求报文;验证所述查询请求报文是否来源于真实的客户机;若验证获知所述查询请求报文来源于真实的客户机,则获取对应于所述查询请求 报文请求访问的域名服务器的访问统计信息;根据所述访问统计信息和阈值对所述查询请求报文进行处理,所述阈值用于标识 允许同时访问所述域名服务器的最大次数。本专利技术实施例提供一种查询请求报文处理装置,包括接收模块,用于接收符合域名系统格式的查询请求报文;验证模块,用于验证所述查询请求报文是否来源于真实的客户机;获取模块,用于若通过所述验证模块验证获知所述查询请求报文来源于真实的客户机,则获取对应于所述查询请求报文请求访问的域名服务器的访问统计信息;处理模块,用于根据所述访问统计信息和阈值对所述查询请求报文进行处理,所 述阈值用于标识允许同时访问所述域名服务器的最大次数。本专利技术实施例提供一种查询请求报文处理系统,包括用于发送查询请求报文的客 户机,以及对应于所述查询请求报文请求访问的域名服务器,还包括上述的查询请求报文处理装置。本专利技术实施例提供的查询请求报文处理方法、装置及系统中,查询请求报文处理 装置例如网关在接收到符合域名系统格式的查询请求报文后,通过验证获知所述查询请求 报文是否来源于真实的客户机,再根据预设的阈值来限制真实客户机同时访问DNS服务器 的最大次数,防止因同时出现大规模DNS请求而造成DNS服务器发生堵塞甚至瘫痪,提高了 DNS服务器的工作稳定性,保障网络服务质量,增强了 DNS系统中的网络安全防护性能。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。图1为本专利技术查询请求报文处理方法实施例一流程图;图2为本专利技术实施例中DNS协议定义的报文格式示意图;图3为本专利技术实施例中DNS协议定义的报文中标志字段格式的示意图;图4为本专利技术实施例中DNS协议定义的“QUESTION”部分格式示意图;图5为本专利技术实施例中DNS协议定义的DNS资源记录部分格式示意图;图6为本专利技术查询请求报文处理方法实施例二流程图;图7为本专利技术查询请求报文处理装置实施例一结构示意图;图8为本专利技术查询请求报文处理装置实施例二结构示意图;图9为本专利技术查询请求报文处理系统实施例组成示意图。具体实施例方式本专利技术实施例针对现有技术中,在对同一 DNS服务器的大规模正常的、真实客户 机的DNS爆发式请求的情况下,导致该DNS服务器堵塞,工作稳定性降低等缺陷,提供一种 解决方式即利用DNS的应用层分析来发现大规模请求异常,并采用动态策略来过滤异常流 量从而保护后面的DNS服务器,所述的正常的真实客户机的DNS请求为真实客户机发起的、 并且是查询实际域名的DNS请求。具体可以是在DNS服务器前端,也就是在客户机与DNS服务器之间设置一分布式 拒绝服务攻击防护装置,该分布式拒绝服务攻击防护装置可以为一个独立的设备,也可以 设置在网关等设备上,通过该保护装置对客户机发送的查询请求报文的格式,以及该客户 机是否为真实客户机进行验证,并在验证获知查询请求报文符合域名系统格式,并且来源 于真实客户机后,通过预定的允许同时访问所述域名服务器的最大次数对同时访问同一 DNS服务器的查询请求报文进行控制处理,完成DDOS防护功能。本专利技术实施例提供的解决方案不但可以对不符合域名系统格式和非真实客户机的查询请求报文,进行过滤处理,而 且还可以对由符合域名系统格式、且来源于真实客户机的查询请求报文的洪水攻击进行处 理,有效地实现对后续的DNS服务器的保护,克服了大规模正常DNS请求造成的DNS服务器 瘫痪的缺陷,提高了 DNS服务器的工作稳定性。图1为本专利技术查询请求报文处理方法实施例一流程图,如图1所示,该方法包括步骤100,接收符合域名系统格式的查询请求报文;设置于数个客户机和DNS服务器之间的查询请求报文处理装置即上述的分布式 拒绝服务攻击防护装置,首先接收客户机发往DNS服务器的查询请求报文,然后对该查询 请求报文的格式进行验证检验是否符合DNS格式,只有符合DNS格式的查询请求报文才被 处理,这样可以避免一些随机的UDP洪水攻击。如果通过验证获知,该查询请求报文的格式 不符合DNS格式,则可以直接丢弃该查询请求报文而不做其他处理,或者向发送该查询请 求报文的客户机返回拒绝放行的应答报文等。步骤101,验证所述查询请求报文是否来源于真实的客户机;查询请求报文处理装置在验证获知客户机发送的查询请求报文的格式符合DNS 格式后,还要继续验证该查询请求报文是否来源真实的客户机,而不是由一些非法的,伪造 的客户机发送的,为了保证DNS服务器的安全,应仅对来至于真实客户机的询请求报文进 行处理,对于那些由非法客户机发送的攻击报文应予以拒绝。步骤102,若验证获知所述查询请求报文来源于真实的客户机,则获取对应于所述 查询请求报文请求访问的域名服务器的访问统计信息;查询请求报文处理装置通过上述的两步判断后,若获知接收到的查询请求报文符 合NDS格式,且来源于真实客户机后,表明该查询请求报文可以被处理。这样便将不符合 DNS格式,或者来源于非真实客户机本文档来自技高网...
【技术保护点】
一种查询请求报文处理方法,其特征在于,包括:接收符合域名系统格式的查询请求报文;验证所述查询请求报文是否来源于真实的客户机;若验证获知所述查询请求报文来源于真实的客户机,则获取对应于所述查询请求报文请求访问的域名服务器的访问统计信息;根据所述访问统计信息和阈值对所述查询请求报文进行处理,所述阈值用于标识允许同时访问所述域名服务器的最大次数。
【技术特征摘要】
1.一种查询请求报文处理方法,其特征在于,包括 接收符合域名系统格式的查询请求报文; 验证所述查询请求报文是否来源于真实的客户机;若验证获知所述查询请求报文来源于真实的客户机,则获取对应于所述查询请求报文 请求访问的域名服务器的访问统计信息;根据所述访问统计信息和阈值对所述查询请求报文进行处理,所述阈值用于标识允许 同时访问所述域名服务器的最大次数。2.根据权利要求1所述的查询请求报文处理方法,其特征在于,所述根据所述访问统 计信息和阈值对所述查询请求报文进行处理包括若所述访问统计信息小于所述阈值,则向所述域名服务器转发所述查询请求报文,并 更新所述访问统计信息;或若所述访问统计信息大于或等于所述阈值,则丢弃所述查询请求报文。3.根据权利要求1或2所述的查询请求报文处理方法,其特征在于,所述验证所述查询 请求报文是否来源于真实的客户机包括根据用于记录合法客户机的白名单中包括所述客户机的IP地址,验证所述查询请求 报文是否来源于真实的客户机。4.根据权利要求3所述的查询请求报文处理方法,其特征在于,所述方法还包括 若用于记录合法客户机的白名单中不包括所述客户机的IP地址,则通过向所述客户机返回请求应答报文对所述客户机发起验证,所述请求应答报文中的TC字段表示该字段 允许被截断;当接收所述客户机根据所述应答报文发送的TCP连接请求时,通过与所述客户机进行 三次握手连接建立与所述客户机之间的TCP连接,获知所述客户机为真实客户机,将所述 客户机的IP地址加入所述白名单。5.根据权利要求4所述的查询请求报文处理方法,其特征在于,还包括 接收所述客户机通过所述TCP连接发送的第二查询请求报文;获取对应于所述第二查询请求报文请求访问的域名服务器的访问统计信息; 当所述访问统计信息小于所述阈值时,将所述第二查询请求报文通过UDP协议发送给 所述域名服务器;当所述访问统计信息大于或等...
【专利技术属性】
技术研发人员:蒋武,杨莉,
申请(专利权)人:成都市华为赛门铁克科技有限公司,
类型:发明
国别省市:90[中国|成都]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。