一種檢測(cè)dns服務(wù)器是否防網(wǎng)絡(luò)攻擊的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及數(shù)據(jù)通信網(wǎng)絡(luò)，尤其涉及DNS安全領(lǐng)域。
【背景技術(shù)】
[0002] 在數(shù)據(jù)通信網(wǎng)絡(luò)中，域名系統(tǒng)(Domain Name System，DNS)用于將域名與IP地址相 互映射，從而使得用戶能夠更加方便的訪問互聯(lián)網(wǎng)。對(duì)DNS系統(tǒng)的解析過程包括:在本地服 務(wù)器中進(jìn)行查詢，如果能夠查詢到則直接返回查詢結(jié)果，如果沒有查詢結(jié)果則本地服務(wù)器 依次向根服務(wù)器、頂級(jí)域服務(wù)器和權(quán)威域服務(wù)進(jìn)行迭代查詢。
[0003] 然而，DNS系統(tǒng)在設(shè)計(jì)之初并沒有考慮到對(duì)安全的需求。作為一個(gè)在全球范圍內(nèi)的 開放系統(tǒng)，DNS系統(tǒng)存在未授權(quán)訪問和缺乏有效的訪問控制的問題。根據(jù)《2014年中國互聯(lián) 網(wǎng)網(wǎng)絡(luò)安全報(bào)告》的數(shù)據(jù)顯示，在2014年間針對(duì)我國域名系統(tǒng)的流量規(guī)模達(dá)lGbit/s以上的 拒絕服務(wù)攻擊事件，平均每天約遭受187起拒絕服務(wù)攻擊。
[0004] 常見的針對(duì)DNS系統(tǒng)的攻擊包括，拒絕服務(wù)(Denial of Service,DoS)和分布式拒 絕服務(wù)(Distributed Denial of Service，DDoS)。其中，DoS攻擊是一種使計(jì)算機(jī)或網(wǎng)絡(luò)無 法提供正常的服務(wù)的攻擊。DDoS攻擊指的是借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起 來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)的攻擊。如果DNS服務(wù)器不能抵御DoS/DDoS攻擊， 那么在遭受攻擊時(shí)，不僅會(huì)直接影響到用戶的訪問時(shí)間和訪問成功率，而且還會(huì)對(duì)服務(wù)器 提供商造成損失。
[0005] 然而，通常針對(duì)DNS服務(wù)器的測(cè)試主要關(guān)注于測(cè)試服務(wù)器的性能，而不關(guān)注DNS服 務(wù)器是否能夠防御DoS/DDoS攻擊。因此，為了能夠有效的檢測(cè)DNS服務(wù)器是否能夠防御DoS/ DDoS攻擊，以向用戶提供可靠的DNS服務(wù)器，也為DNS服務(wù)器提供商加強(qiáng)服務(wù)器的安全提供 依據(jù)，有必要設(shè)計(jì)一種用于檢測(cè)DNS服務(wù)器是否防DoS/DDoS攻擊的方法。

【發(fā)明內(nèi)容】

[0006] 因此，本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的缺陷，提供一種檢測(cè)DNS服務(wù)器是否 防DoS/DDoS攻擊的方法。
[0007] 本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的，包括：
[0008] 確定DNS服務(wù)器在未受到網(wǎng)絡(luò)攻擊時(shí)的平均響應(yīng)時(shí)間和/或查詢成功率；
[0009] 確定所述DNS服務(wù)器在遭受檢測(cè)的網(wǎng)絡(luò)攻擊時(shí)的平均響應(yīng)時(shí)間和/或查詢成功率； [0010]比較所述DNS服務(wù)器在未受到網(wǎng)絡(luò)攻擊與遭受所述檢測(cè)的網(wǎng)絡(luò)攻擊時(shí)的平均響應(yīng) 時(shí)間和/或查詢成功率，確定所述DNS服務(wù)器是否防網(wǎng)絡(luò)攻擊；
[0011] 其中，所述響應(yīng)時(shí)間是從客戶端發(fā)出查詢包到收到響應(yīng)包的耗時(shí)，所述平均響應(yīng) 時(shí)間是所有DNS查詢包的響應(yīng)時(shí)間的平均值;所述查詢成功率是收到DNS響應(yīng)包占 DNS查詢 包的百分比。
[0012] 與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點(diǎn)在于：
[0013] 可用于檢測(cè)DNS服務(wù)器是否能防御攻擊，而不是檢測(cè)DNS服務(wù)器是否遭遇了攻擊； 并且通過簡(jiǎn)單的實(shí)施方式，即僅需要測(cè)試查詢服務(wù)器的平均響應(yīng)時(shí)間和查詢成功率，便可 以檢測(cè)DNS服務(wù)器是否防攻擊;該方法耗時(shí)較短(一般小于5分鐘），而不用對(duì)DNS服務(wù)器進(jìn)行 全面檢測(cè)。
【附圖說明】
[0014]以下參照附圖對(duì)本發(fā)明實(shí)施例作進(jìn)一步說明，其中：
[0015]圖1是根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于檢測(cè)DNS服務(wù)器是否防DoS/DDoS攻擊的方 法的流程圖；
[0016] 圖2是根據(jù)本發(fā)明的一個(gè)實(shí)施例的用于存儲(chǔ)全部DNS查詢包的標(biāo)識(shí)、查詢名和查詢 類型和發(fā)送時(shí)間的鏈表。
【具體實(shí)施方式】
[0017] 下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明作詳細(xì)說明。
[0018] 在仔細(xì)研究現(xiàn)有技術(shù)的基礎(chǔ)上，發(fā)明人認(rèn)為為了進(jìn)行DNS服務(wù)器是否能夠防御 DoS/DDoS攻擊的檢測(cè)，可以利用不同的DNS查詢包。
[0019] 發(fā)明人發(fā)現(xiàn)，當(dāng)DNS服務(wù)器能夠抵御諸如DoS/DDoS的網(wǎng)絡(luò)攻擊時(shí)其平均響應(yīng)時(shí)間 和查詢成功率與未發(fā)生攻擊的結(jié)果相近，而當(dāng)DNS服務(wù)器無法抵御網(wǎng)絡(luò)攻擊時(shí)其平均響應(yīng) 時(shí)間會(huì)大大增加、其查詢成功率會(huì)大大降低。這是由于，諸如DoS和DDoS的網(wǎng)絡(luò)攻擊是通過 消耗服務(wù)器的帶寬和主機(jī)資源(CPU、內(nèi)存等)從而使得普通用戶訪問服務(wù)器的速度降低或 者根本無法訪問服務(wù)器，來達(dá)到攻擊的目的。如果服務(wù)器具備防御Dos/DDoS攻擊的手段(例 如檢測(cè)響應(yīng)包是否合法、限制對(duì)同一域名的查詢速度或者限制同一 IP的查詢速度等），那么 即使遭遇了 DoS/DDoS攻擊，DNS服務(wù)器也能夠立即響應(yīng)普通用戶所發(fā)出的DNS查詢包，從而 使得該DNS查詢包的平均響應(yīng)時(shí)間同沒遭受攻擊的DNS查詢包的平均響應(yīng)時(shí)間處于一個(gè)數(shù) 量級(jí)。相反地，如果DNS服務(wù)器不能防御Dos/DDoS攻擊，那么在遭受攻擊的情況下，DNS服務(wù) 器會(huì)因?yàn)閹捇蛘咧鳈C(jī)資源的消耗而使得普通用戶發(fā)送的DNS查詢包遭受網(wǎng)絡(luò)擁塞或者排 隊(duì)等待，因而使得DNS查詢包的平均響應(yīng)時(shí)間顯著增大，甚至無法得到響應(yīng)。
[0020] 由此，發(fā)明人認(rèn)為可以分別在正常環(huán)境和DoS/DDoS攻擊環(huán)境下測(cè)試DNS服務(wù)器的 平均響應(yīng)時(shí)間和查詢成功率，并根據(jù)測(cè)試結(jié)果判斷DNS服務(wù)器是否防DoS/DDoS攻擊。例如， 如果DNS服務(wù)器在DoS/DDoS攻擊下的查詢的平均響應(yīng)時(shí)間和查詢成功率，與在正常網(wǎng)絡(luò)環(huán) 境下相比的結(jié)果差異不大（例如處于同一個(gè)數(shù)量級(jí)），那么可以認(rèn)為該服務(wù)器就能抵御攻 擊;如否則可以認(rèn)為DNS服務(wù)器不能抵御DoS/DDoS攻擊。
[0021] 發(fā)明人還了解到，如表1所示，根據(jù)DNS的協(xié)議報(bào)文RFC1035可知，DNS查詢報(bào)文僅包 括標(biāo)識(shí)、標(biāo)志、問題數(shù)、資源記錄數(shù)、授權(quán)資源記錄數(shù)、額外資源記錄數(shù)和問題的字段。表2示 出了 DNS查詢報(bào)文中問題字段所包含的內(nèi)容，問題字段包括查詢名、查詢類型和查詢類。 [0022]表1 DNS查詢報(bào)文的一般格式
[0024] 表2 DNS查詢報(bào)文中問題格式
[0026] 參考表1和表2,發(fā)明人認(rèn)為DNS查詢包中的標(biāo)識(shí)、查詢名和查詢類型可以用于確定 一個(gè)唯一的DNS查詢包，因此還可以把標(biāo)識(shí)、查詢名和查詢類型作為三元組用于判斷DNS響 應(yīng)包與查詢包是否匹配，以便測(cè)試DNS服務(wù)器的平均響應(yīng)時(shí)間和查詢成功率。由此，在接收 到DNS響應(yīng)包時(shí)，可以找到相應(yīng)的DNS查詢包，從而計(jì)算出響應(yīng)時(shí)間，以及獲知沒有查詢成功 的DNS查詢包。
[0027] 由此，發(fā)明人期望能夠通過比較測(cè)試服務(wù)器在不同網(wǎng)絡(luò)環(huán)境下的平均響應(yīng)時(shí)間和 查詢成功率，分析并判斷出DNS服務(wù)器能否防御DoS/DDoS攻擊。
[0028]參考圖1，根據(jù)本發(fā)明的一個(gè)實(shí)施例，提供一種檢測(cè)DNS服務(wù)器是否防DoS/DDoS攻 擊的方法，包括：
[0029] Sl-a:確定在未受到網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)環(huán)境下的DNS服務(wù)器的平均響應(yīng)時(shí)間和查詢 成功率。
[0030] 其中，響應(yīng)時(shí)間是信息傳輸?shù)耐禃r(shí)間，即從客戶端發(fā)出查詢包到收到響應(yīng)包的 耗時(shí)，平均響應(yīng)時(shí)間是所有查詢包響應(yīng)時(shí)間的平均值;查詢成功率是收到響應(yīng)包占查詢包 的百分比。
[0031] si-b:確定在步驟si-a的網(wǎng)絡(luò)遭受諸如DoS/DDoS的檢測(cè)的網(wǎng)絡(luò)攻擊的環(huán)境下的 DNS服務(wù)器的平均響應(yīng)時(shí)間和查詢成功率，并保存測(cè)試結(jié)果。
[0032] 在不改變服務(wù)器部署的情況下，將不改變DNS服務(wù)器是否防網(wǎng)絡(luò)攻擊的結(jié)果。如果 測(cè)試結(jié)果說明DNS服務(wù)器可以防攻擊，那么在不改變?cè)揇NS服務(wù)器部署的情況下，其還會(huì)繼 續(xù)防攻擊。在改變?cè)揇NS服務(wù)器部署之后，可以根據(jù)服務(wù)器提供商自己的意愿，看是否需要 再次進(jìn)行測(cè)試。
[0033]本領(lǐng)域的技術(shù)人員應(yīng)理解，還可以模擬其他類型的檢測(cè)的網(wǎng)絡(luò)攻擊環(huán)境，并且記 錄所測(cè)試出的DNS服務(wù)器的平均響應(yīng)時(shí)間和查詢成功率。由此，可以確定是否能夠防御特定 類型的攻擊。
[0034]為了實(shí)施上述的方法，可以首先構(gòu)建大量的分別采用相同域名和不同域名的不同 的DNS查詢包。然后，使用相同的IP地址分別發(fā)送所述相同域名和不同域名的DNS查詢包，對(duì) DNS服務(wù)器形成DoS攻擊，測(cè)試并記錄其平均響應(yīng)時(shí)間和查詢成功率。還可以，使用不同的IP 地址發(fā)送所述不同域名的DNS查詢包以及利用反射攻擊的原理，對(duì)DNS服務(wù)器形成DDoS攻 擊，測(cè)試其平均響應(yīng)時(shí)間和查詢成功率。所有測(cè)試結(jié)果的保存形式可以例如表3。
[0035]表3.保存評(píng)價(jià)結(jié)果表
[0037] S2:比較所述未受到網(wǎng)絡(luò)攻擊與所述遭受諸如DoS/DDoS的檢測(cè)的網(wǎng)絡(luò)攻擊的DNS 服務(wù)器的平均響應(yīng)時(shí)間和/或查詢成功率，確定測(cè)試的疑似遭受諸如網(wǎng)絡(luò)攻擊的DNS服務(wù)器 是否防網(wǎng)絡(luò)攻擊。
[0038]比較DNS服務(wù)器在未受到網(wǎng)絡(luò)攻擊時(shí)和遭受DoS/DDoS攻擊時(shí)的平均響應(yīng)時(shí)間和/ 或查詢成功率，如果為同一數(shù)量級(jí)，則認(rèn)為DNS服務(wù)器能夠抵御DoS和DDoS攻擊，如否則認(rèn)為 其不能抵御DoS/DDoS攻擊。
[0039] 由此，通過上述方法可達(dá)到檢測(cè)DNS服務(wù)器是否防網(wǎng)絡(luò)攻擊的效果。
[0040] 根據(jù)本發(fā)明的一個(gè)實(shí)施例，提供了一種用于確定在前述實(shí)施例的步驟si-a和si-b 中所述的DNS服務(wù)器的平均響應(yīng)時(shí)間和查詢成功率的方法，包括：
[0041] Sl-xl:在被發(fā)出時(shí)為每一個(gè)DNS查詢包打上時(shí)間戳，記錄該DNS查詢包的標(biāo)識(shí)、查 詢名和查詢類型，并累計(jì)