[发明专利]一种基于场景的DNS访问解析方法和系统

说明书

本发明公开了一种基于场景的DNS访问解析方法和系统。本发明可以针对DNS客户端向DNS服务器发送的查询请求，执行场景模式判断；并根据场景模式评估风险度，对应该风险度给与不同级别的控制策略，从而增强DNS访问解析对DDoS、DNS劫持等黑客攻击手段的防御能力。

技术领域

本发明涉及互联网技术领域，具体是一种基于场景的DNS访问解析方法和系统。

背景技术

目前的网络访问一般是基于TCP/IP协议的，而在TCP/IP协议的框架下，网络访问的通信过程是基于IP地址的，也就是在网络上进行通讯时只能识别如“202.96.134.133”之类的IP地址从而判断网络访问的目的地。而例如www.xxyyzz.com等形式的域名是不能用于直接判断网络访问的目标地的。我们在网络访问时提供域名后，需要由DNS服务器自动把域名“翻译”成相应的IP地址，从而根据IP地址确定网络访问的目的地，这一过程即是“DNS访问解析”。

这里提到的DNS(Domain Name System)是“域名系统”的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统，是TCP/IP协议的一个有机组成部分，用来将主机名和域名转换为IP地址。具体来说，网络节点运行DNS系统的客户端，将域名字段提供给DNS客户端之后，DNS客户端向DNS服务器端发送一份查询请求报文，DNS服务器向DNS客户端反馈答复报文，该报文包含有该域名字段对应的IP地址。DNS服务器端包括递归服务器和多级的DNS权威服务器，多级的DNS权威服务器又可以划分为根服务器、顶级域名服务器、次级域名服务器。递归服务器迭代多次查询各级DNS权威服务器，将多次查询的结果组合为IP地址。

DNS访问解析面临着网络上持续的各类黑客攻击。针对DNS访问解析的攻击手段包括：DDoS攻击，即分布式拒绝服务攻击，攻击者通过控制大量的傀儡机，对目标主机发起洪水攻击，造成DNS服务器瘫痪。DDoS攻击通常分为流量型攻击和应用型攻击。流量型攻击会瞬间堵塞网络带宽；应用型攻击主要是将DNS服务器的资源耗尽，攻击将造成DNS服务器反应缓慢直至再也无法响应正常的请求。DNS劫持，即攻击者通过劫持DNS服务器，拦截域名解析的请求，并篡改了某个域名的解析结果，导致按照该域名访问网络的用户实际访问的是攻击者篡改后的IP地址指向的网络节点，攻击者进而可以利用该网络节点实施冒充合法网站欺诈等操作。

由于DNS访问默认的查询请求都是基于UDP协议的，但是UDP协议不支持会话交互，因此不能通过DNS服务器和DNS客户端之间的交互，来判断某个查询请求是否为实际上的攻击行为，仅仅查看某个DNS数据报文是不可能区分是否为攻击请求或者真实用户请求的，这就导致DNS访问解析成为网络基础中比较薄弱的环节。

发明内容

鉴于上述问题，本发明的目的是提供基于场景的DNS访问解析方法和系统。本发明可以DNS客户端向DNS服务器发送的查询请求，执行场景模式判断；并根据场景模式评估风险度，对应该风险度给与不同级别的控制策略，从而增强DNS访问解析对DDoS、DNS劫持等黑客攻击手段的防御能力。

本发明实施例提供一种基于场景的DNS访问解析方法，其特征在于，包括：

步骤1，获得场景监测窗口内由DNS客户端向DNS服务器发送的查询请求报文；

步骤2，DNS服务器分析所述场景监测窗口内该DNS客户端发送查询请求报文的状况，进行场景模式判断；

步骤3，根据所述场景模式，评估该DNS客户端的风险度，并对应该风险度设置控制策略。

优选的是，在步骤1中，所述DNS服务器根据场景安全需求确定响应策略，在所述场景测窗口内针对所述查询请求报文，按照该响应策略对DNS客户端执行响应。

优选的是，步骤1的响应策略包括以下策略的任意一种或者多种：