一种针对不断变化前缀域名攻击的防护方法及装置

摘要

本发明涉及一种针对不断变化前缀域名攻击的防护方法及装置，该方法包括以下步骤：1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据，并对数据进行统计和计算，然后将统计和计算出的数据发送到管理系统服务器；2)管理系统服务器将统计的数据与设定的阈值进行比较；3)管理系统服务器根据防护策略发送指令到DNS服务器，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时清除DNS服务器的当前递归查询队列中的数据；该装置包括旁路分析系统服务器和管理系统服务器。与现有技术相比，本发明具有针对不断变化前置域名攻击的防护具有实时性高、效率高和误判率低等优点。

说明书

技术领域

本发明涉及网络防护领域，尤其是涉及一种针对不断变化前缀域名攻击的防 护方法及装置。

背景技术

DNS(Domain Name System)是域名系统的意思，其作用就是协调IP地址和 主机名之间的双向切换。DNS是当今Internet的基础架构，众多的网络服务(如 Http、Ftp、Email等等)都是建立在DNS体系基础之上的。各省级运营商(包括 固网或者移动运营商)为上网用户提供了DNS网络的运营服务，通常情况下，每 个省级运营商的DNS网络分为若干节点，每个节点是由路由器、交换机和若干台 服务器组成，每台服务器运行DNS软件，提供DNS查询的解析工作，因此服务器 被称之为DNS服务器。

DNS服务器包括DNS授权服务器和DNS递归服务器。

DNS授权服务器：被授予对域名空间中的一部分进行管理的服务器。该部份 域名空间中的所有域名由该服务器管理，服务器负责所有域名的更新以及对该部分 域名查询的响应。授权服务器分为主授权服务器和辅授权服务器。主授权服务器是 区域源数据存放的地方。辅授权服务器不直接存放区域源数据，但通过跟主授权服 务器的数据同步，从而获得最新数据去响应域名解析请求。辅授权器对数据的备份 是很重要的，并且它们也应答查询，从而减轻了主授权服务器的负担。

DNS递归服务器：递归服务器不对域名空间的域名进行管理，专门用来缓存 查询的地址。该服务器的配置文件中只有到根服务器的路径，当域名请求不在缓存 中时，即向根服务器发出该域名的请求；当获得该域名的响应时，会把数据进行缓 存，当下次出现同样的域名请求时，就直接用缓存的内容进行应答。递归服务器能 大大减少授权服务器的压力。

我们通常上网所使用的DNS服务器均是运营商提供的DNS递归服务器。

DNS递归服务器的查询机制如图1所示，从图中可以看出，DNS递归服务器 和上层授权服务器进行了3、4、6、7、9和10等6个步骤的交互。DNS递归服务 器和上层授权服务器之间的交互是最耗资源的。一个域名查询(例如：上述 zk9bu5mkk6r.9960sf.com域名)在得到最终应答之前始终会占据DNS递归服务器 的递归队列(递归队列参数通常可以设置)。

不断变化前缀域名，顾名思义，域名的后缀不变，前缀随机变化，例如：

zk9bu5mkk6r.9960sf.com

zkkntbj2gk8.9960sf.com

zl0bsxwz894.9960sf.com

zl2cdthz5xh.9960sf.com

zodt5pqtxrs.9960sf.com

zq2nuo7l3b7.9960sf.com

zt6u4n7p0dn.9960sf.com

zxl3vovzvnb.9960sf.com

zyrkcvut9j1.9960sf.com

zzwsf41r3p3.9960sf.com

这些域名不能在DNS递归服务器中的缓存找到，使得DNS递归服务器一直需 要和这些域名所属的上层授权服务器进行交互，而上层授权服务器由于某种原因 (例如：网络不可达)一直不能回复DNS递归服务器，同时不断又有新的类似域 名查询到达DNS递归服务器，最终导致DNS递归服务器递归队列占满。一旦DNS 递归服务器队列被占满，那么DNS递归服务器就不能和上层授权服务器进行交互， 更为严重的会导致DNS递归服务器程序退出，从而不能提供DNS查询。此时的流 程图如图2所示。

鉴于不断变化前缀域名攻击造成的严重后果，需要对该类攻击进行防护。现有 的防护方式主要是分析域名，得出域名所属的域(即保持不变的域名后缀)，然后 下发策略到DNS服务器屏蔽该域。这种方式存在几个显著的缺点：

1、效率很低。一个符合协议规范的域名最多可以有63级(域名字符两个之 间的字符称为一级)，每一级域名字符都存在随机变化的可能，在有限的时间内(例 如：1分钟)对最多达63级的域名进行分析几乎是不可能完成的事情；

2、误判率很高。不断变化的前缀几乎没有规律可循，因此存在把正常的域名 作为攻击的域名进行防护的可能。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种实时性高、 效率高和误判率低的针对不断变化前缀域名攻击的防护方法及装置。

本发明的目的可以通过以下技术方案来实现：一种针对不断变化前缀域名攻击 的防护方法，其特征在于，该方法包括以下步骤：

1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所 有递归查询包的数据，并统计当前时间段内递归查询包中的目的IP查询总次数， 同时计算出当前时间段内的目的IP查询总次数与前一时间段内的目的IP查询总次 数的变化幅度值，然后将目的IP查询总次数和变化幅度值发送到管理系统服务器；

2)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目 的IP查询总次数阈值，同时比较判断变化幅度值是否大于设定的变化幅度阈值， 如果有一个判断为是，则进行步骤3)，否则返回步骤1)；3)管理系统服务器根据 防护策略发送指令到DNS服务器，使得DNS服务器不向超过阈值的目的IP发起 递归查询，同时清除DNS服务器的当前递归查询队列中的数据。

所述的步骤1)中的设定时间段优选一分钟。

所述的步骤3)中的防护策略为：A、丢弃查询，即丢弃所有向此目的IP查询 的数据包；B、拒绝响应，即回复所有向此目的IP查询的数据包REFUSED响应； 或C、假记录响应，即回复所有向此目的IP查询的数据包一个假的记录响应。

该装置包括旁路分析系统服务器和管理系统服务器，所述的旁路分析系统服务 器与DNS节点的上联网络设备连接，所述的管理系统服务器分别与旁路分析系统 服务器、上联网络设备和DNS服务器连接。

所述的上联网络设备为交换机或路由器。

与现有技术相比，本发明具有以下优点：

1、本发明是以1分钟为最小粒度对于所有DNS数据包进行分析，保证了DNS 数据分析的实时性；

2、本发明是以DNS递归查询的目的IP为主要分析对象，保证了DNS数据分 析的高效性；

3、本发明考虑了多种统计指标结合作为判断依据，同时结合了自动防护和手 动防护，误判率很低。

附图说明

图1为DNS递归服务器的正常查询流程图；

图2为DNS递归服务器的受到不断变化前缀域名攻击时的查询流程图；

图3为本发明的流程示意图；

图4为本发明的硬件结构示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

实施例

如图3所示，一种针对不断变化前缀域名攻击的防护方法，该方法包括以下步 骤：

步骤301)旁路流量分析系统服务器每隔一分钟采集一次通过DNS节点的所 有递归查询包的数据，并统计当前一分钟内递归查询包中的目的IP查询总次数， 同时计算出当前一分钟内的目的IP查询总次数与前一分钟内的目的IP查询总次数 的变化幅度值，然后将目的IP查询总次数和变化幅度值发送到管理系统服务器；

步骤302)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否 大于设定的目的IP查询总次数阈值，同时比较判断变化幅度值是否大于设定的变 化幅度阈值，如果有一个判断为是，则进行步骤303)，否则返回步骤301)；

步骤303)管理系统服务器根据防护策略发送指令到DNS服务器，使得DNS 服务器不向超过阈值的目的IP发起递归查询，同时清除DNS服务器的当前递归查 询队列中的数据。防护策略为A、丢弃查询，即丢弃所有向此目的IP查询的数据 包；B、拒绝响应，即回复所有向此目的IP查询的数据包REFUSED响应；或C、 假记录响应，即回复所有向此目的IP查询的数据包一个假的记录响应。

本发明还涉及一种针对不断变化前缀域名攻击的防护装置，如图4所示，该装 置包括旁路分析系统服务器3和管理系统服务器4。旁路分析系统服务器3与DNS 节点的上联网络设备2连接，管理系统服务器4分别与旁路分析系统服务器3、上 联网络设备2和DNS服务器1连接。上联网络设备为交换机或路由器。与DNS 节点连接的旁路流量分析系统服务器3每整分钟统计一次刚经过的一分钟内所有 递归查询包中的目的IP查询总次数，同时统计刚经过的一分钟与刚经过的一分钟 的前一分钟内的目的IP查询总次数的变化幅度值，然后汇总到管理系统服务器4， 然后管理系统服务器4将事先设定的递归查询包中的目的IP查询总次数阈值以及 变化幅度阈值与上述得出的目的IP查询总次数和目的IP查询总次数的变化幅度两 个指标进行比较并预警，最后管理系统服务器4下发防护策略到DNS服务器1进 行自动防护或者手动防护(对于预先设定的属于目的IP白名单中的IP启用手动防 护，防止误操作)，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时 清除DNS服务器的当前递归查询队列中的数据。