[发明专利]一种DNS递归服务器的查询请求服务方法

说明书

技术领域

本发明涉及一种DNS递归服务器的查询请求服务方法，属于计算机网络技术领域。

背景技术

互联网域名系统(Domain Name System，DNS)的主要实体包括提供解析查询服务的递归服务器和提供权威应答服务的权威服务器。其查询过程如图1所示。具体步骤为：

1)当终端用户希望访问www.sina.com时，向递归服务器发送DNS查询请求消息；

2)如果递归服务器的缓存中完全没有该域名的相关信息(假设既没有com的权威服务器地址，也没有sina.com的权威服务器地址)，递归服务器便需要向根服务器发起查询过程，从而获知com权威服务器的地址；

3)递归服务器接着向com权威服务器发送查询消息，于是获知到sina.com权威服务器的地址信息；

4)通过向sina.com权威服务器的继续查询，递归服务器最终获知了www.sina.com的地址；

5)递归服务器将查询所得到的资源记录返回给客户端，并将该记录存储在缓存中。当其他终端用户向该递归服务器查询www.sina.com时，递归服务器直接在缓存中查找匹配的资源记录就能进行及时响应。而终端用户也可以经由该地址信息访问对应网络资源。

在上述查询过程中，递归服务器向任何一个权威服务器发送查询消息后，如果对应的伪造响应数据包能够在正确响应数据包到达之前被递归服务器接收，且匹配了递归服务器发送出的查询数据包的UDP端口号和数据包ID，递归服务器就会把错误的权威资源记录缓存起来，从而造成缓存中毒。当后续用户查询该域名时，都被引导到错误或恶意的站点。

如何识别和避免递归服务器缓存不可信的或伪造的响应信息，以尽量减小DNS递归服务器缓存中毒的可能性是一亟待解决的技术问题。

发明内容

针对现有技术中存在的技术问题，本发明的目的在于提供一种DNS递归服务器的查询请求服务方法。本发明提出将DNS递归服务器的缓存划分成两个部分：可信缓存区和不可信缓存区。其中可信缓存区是通过正常查询而缓存的正确DNS资源记录；不可信缓存区是由于DNS递归服务器通过监测DNS流量对某些响应产生怀疑而对应的资源记录。可信缓存区的使用依照递归服务器通常使用缓存数据的规则，而不可信缓存区的数据不能直接用于回复客户端。只有当监测结果回落到递归服务器选择的可信门限以下，才对不可信缓存区的资源记录重新发起查询过程，并将对应的响应添加到可信缓存区。

本发明的技术方案为：

一种DNS递归服务器的查询请求服务方法，其步骤为：

1)将DNS递归服务器的缓存划分可信缓存区和不可信缓存区；其中，可信缓存区用于缓存可信的DNS资源记录，不可信缓存区是用于存储可疑查询请求对应的DNS资源记录；

2)递归服务器收到一查询请求后，在可信缓存区的资源记录中查找是否有匹配的资源；如果有，则将匹配资源记录返回给查询端；如果没有，则向权威服务器发起查询请求；

3)递归服务器监测该查询请求的响应数据包到达率；所述响应数据包到达率为设定时间长度内接收到的针对同一查询请求的响应数据包；

4)如果该查询请求的响应数据包到达率超过预设可信门限，则递归服务器将该查询请求的响应数据包置于不可信缓存区；如果该查询请求的响应数据包到达率未超过该预设可信门限，则重新向权威服务器发起查询请求，将得到的DNS资源记录发送给查询端，并将其作为一可信的DNS资源记录添加到可信缓存区。

进一步的，如果该查询请求的响应数据包到达率超过预设可信门限时，递归服务器收到其他查询端发出的与该查询请求相同的查询请求2，且该查询请求2的响应数据包到达率未超过该预设可信门限，则递归服务器针对该查询请求2向权威服务器发起查询请求。

进一步的，如果某查询请求的响应数据包到达率超过预设可信门限，则所述递归服务器通过根据该查询请求发送出去的查询消息中的目的IP地址，确定出缓存中毒攻击源。

进一步的，所述递归服务器实时监测查询请求的响应数据包到达率。

本发明具有如下特点：

1)通过划分缓存区域实现对不可信资源记录的隔离；

2)同一个查询请求的响应数据包到达率过大时，递归服务器认为有缓存中毒攻击发生，从而将接收到的响应判定为不可信；

3)通过把不可信缓存区中资源记录的重查结果填充到可信缓存区，保证了递归服务器通过使用缓存提高查询处理效率的目的。

与现有技术相比，本发明的积极效果为：