[发明专利]数据报文的检测方法及装置

说明书

技术领域

本发明涉及网络安全领域，具体而言，涉及一种数据报文的检测方法及装置。

背景技术

肉鸡就是被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就像傀儡一样。

通常情况下，如果DNS请求包小于512字节用UDP协议，只有大于512字节的请求包才会采用TCP协议进行传输。UDP本身是无连接的，DNS请求也是无连接的，在用UDP协议做DNS请求时，通常是一应一答的方式，客户端向服务器发送一个Query包，服务器回应一个Request包。

随着互联网的迅猛发展，同时由于域名资源的投资需要，网络上的合法域名不断增加，合法域名的字符组成甚至可以没有明显的语法规范和字符分布规律，导致将随机构造的域名与真实存在的域名精确高效地区分开来十分困难。

本发明主要解决的问题就是由于DNS请求时使用UDP协议本身的无连接性、以及真假域名不易分辨的特性，导致黑客利用少量肉鸡就可以对DNS服务器进行DNS随机请求攻击就可以造成DNS服务器的DDOS，攻击成本较低，而无需像流量型DDOS攻击那样需要消耗大量肉鸡资源。

DOS（Denial of Service）为拒绝服务，凡是导致合法用户不能正常访问网络服务的行为都算是拒绝服务攻击；DDOS（Distributed Denial of Service）即分布式拒绝服务，DDOS主要是通过大量的“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或者服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦实施，攻击网络就会像洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器资源。因此，拒绝服务攻击又被称作“泛洪攻击”。

UDP Flood是日益猖獗的流量型DOS/DDOS攻击，常见的情况是利用大量的UDP（用户数据包协议）小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP是无连接的协议，因此攻击者可以仿造无数个IP地址发送数据包。

DNS随机请求攻击采用的方法是向被攻击的服务器发送大量的UDP随机域名解析请求，这些请求解析的域名通常是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS服务器在接收到这种域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且.该域名无法直接由服务器解析的时候，DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟随机域名解析请求超过一定的数量就会造成DNS服务器解析域名超时，从而导致合法用户无法正常访问DNS服务器。

根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求，而在一台P3的PC机上可以轻易地构造出每秒钟几万个随机域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。

为了使合法用户正常访问DNS服务器，现有技术可以通过防护设备做基于访问频率的限速功能来限制对服务器的访问量，该技术主要是基于访问频率的阈值的限制，当访问频率达到用户设定的阈值后，便丢弃后续数据。假如用户设置的阈值为N（次）/秒，当流经防火墙的DNS的请求次数达到N次/秒这个频率后，防火墙会丢弃超过这个阈值的DNS请求包；如图1所示，防火墙不会去识别是否是DDOS的攻击流量，则防火墙虽然屏蔽掉了一部分攻击流量对DNS服务器的访问，但是同时也使一部分正常流量不能正常访问DNS服务器。

在上述解决方案中，防火墙识别攻击流量不够准确，会导致大量的攻击流量流向服务器，同时会丢弃大量正常访问流量，而且由于网络中充斥着大量攻击流量，低于用户设置阈值的流量里大部分也是攻击流量，用户设置的阈值固定，会导致大量正常访问被阻断，攻击流量的攻击效果没有减缓。

另外，还可以通过增加DNS服务器的冗余设备来来增加服务带宽，以保障正常服务的提供，但是这样会大大增加运营成本，随着黑客用来攻击的肉鸡数量的增加，需要增加更多的带宽和冗余设备数量。

针对现有技术中防火墙无法准确识别非法数据报文，导致大量的非法数据报文流向服务器，从而导致合法用户无法正常访问DNS服务器的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术防火墙无法准确识别攻击流量，导致大量的攻击流量流向服务器，从而导致合法用户无法正常访问DNS服务器的问题，目前尚未提出有效的解决方案，为此，本发明的主要目的在于提供一种数据报文的检测方法及装置，以解决上述问题。