[发明专利]抵御DNS递归攻击的方法和系统

说明书

技术领域

本发明属于互联网技术领域，具体涉及一种抵御DNS递归攻击的方法和系统。

背景技术

随着互联网技术日益广泛的应用以及黑客行为的逐渐增多，网络安全越来越受到重视。黑客行为的手段很多，分布式拒绝服务（Distribution Denial of Service,DDOS）是其中常见的一种。

通常，DDOS攻击的目标是域名服务器。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名虽然便于人们记忆，但机器之间只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成。计算机域名系统 （即DNS ）命名用于Internet等TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的IP 地址，从而成功访问目标网络。

DNS是一种分布式数据库，这种结构可让本地端点只控制整体数据库的某一区段，而每个区段中的数据皆可通过主从式架构提供给整个网络。简单来说DNS解析系统包括域名空间和资源记录、Resolver、缓存或递归服务器。

所述域名空间是一个树状结构，资源记录是与域名相关的一些数据。从概念上说，每个结点和域名空间树的叶子结点都有一定的信息，而查询是要查询出一些与之相关的特定信息。就是说，每个网站有自己的资源记录，里面保存了自己的数据，即对应了某一个特点的IP地址。在互联网的世界里，有千千万万个这样的网站主，他们都有自己的资源记录，这些资源记录的集合就是域名空间。

Resolver是向域名服务器提出查询请求并将结果返回给客户的程序，它必须可以访问至少一个域名服务器，并将结果直接返回给用户或向别的域名服务器查询。它通常是用户可以访问的系统方法，在Resolver和用户程序之间不需要协议。Resolver是操作系统底层一个程序，当我们在浏览器中输入了某一个域名，浏览器就会调用操作系统的Resolver程序，向域名空间请求域名对应的IP地址。获得地址后才能通过IP地址和目标域名服务器进行通信。

所述Resolver程序会向域名空间请求域名对应的IP地址。这时候就需要缓存服务器出现，缓存服务器是域名空间的入口，即Resolver将他需要查找的内容告诉缓存服务器，缓存服务器去域名空间里寻找相应的记录，然后把查找的结果返回给用户。缓存服务器去域名空间里寻找资源记录的过程称为“递归”。事实上，不是每一次Resolver的请求都需要递归，缓存服务器会将递归完成以后所获得的数据保存在内存中，下次如果Resolver还来查找同样的资源记录，就直接查找内存，如果内存里还存储有上述资源记录，就不进行递归，直接将缓存的内容告诉Resolver。

总之，域名解析的流程包括以下四个步骤：

1，用户端（Resolver）向缓存服务器发出DNS查询请求。

2，缓存服务器向域名空间进行递归查询。需要说明是，递归查询对缓存服务器来说是非常消耗系统资源的，太多的递归查询会导致缓存服务器工作异常甚至崩溃。

3，域名空间将查询到的资源记录返回给缓存服务器，缓存服务器保存资源记录。

4，缓存服务器将资源记录应答给用户。

从这个流程可以看出，步骤2和3不是必须的，只有在缓存服务器的内存中查询不到目标资源记录时，才会执行步骤2和3。有两种可能会导致缓存中没有查找到可用的资源记录：一是内存中没有这条记录，即上述目标资源记录从来未被查询过；二是内存中曾经有这条记录但是已经过期，因为根据DNS的相关协议，资源记录在缓存中有效的时间是有限的。

DDOS攻击是以如下方式实现的：黑客首先入侵Internet上的大量计算机并植入病毒，这些被植入病毒的计算机一旦受到黑客的攻击命令，就会一起向黑客预先锁定的IP地址发送大量的数据包，使目标设备无法及时处理大量的数据，造成一定范围内的网络瘫痪。

黑客进行DDOS攻击的手段一般分为两种，一种是通过模拟大量的域名空间中不存在的域名，然后将这些请求发给缓存服务器，由于域名本身就不存在，缓存里肯定不会有相应记录，所以必然会触发递归事件，大量的递归事件会导致缓存服务器崩溃。