[发明专利]抵御DNS递归攻击的方法和系统

权利要求书

1.一种抵御DNS递归攻击的方法，包括以下步骤：

1），用户端向缓存服务器提出域名的查询请求；

2），缓存服务器设置白名单，缓存服务器查询缓存模块存储的资源记录，判断资源记录内是否有同查询请求相应的目标资源记录，如果是，将该目标资源记录写入白名单，将该资源记录反馈给用户端；如果否，进入步骤3）；

3），缓存服务器向域名服务器发送递归查询请求；

4），判断递归查询请求是否成功，如果是，将目标资源记录写入缓存模块的资源记录；如果否，进入步骤5）；

5),判断递归查询请求是否是递归攻击，如果是，启动抵御攻击模式，如果否，工作完成。

2.根据权利要求1所述的方法，其特征在于：步骤4）中判断递归查询请求成功的条件是：缓存服务器必须收到了域名服务器的递归回复包，并且递归回复包中应答代码字段的值必须为0。

3.根据权利要求2所述的方法，其特征在于：步骤5）中判断是否为递归攻击的方式为：

定义递归攻击门限 ，即递归查询请求的递归回复包为非0的次数或所占比例；如果递归回复包为非0的次数或所占比例超过了递归攻击门限，那么判定递归查询请求是递归攻击。

4.根据权利要求3所述的方法，其特征在于：抵御攻击模式包括以下步骤：

6），缓存服务器设置递归过滤模块，将该目标资源记录读入归过滤模块；

7），递归过滤模块将目标资源记录同白名单进行比对，如果目标资源记录在白名单中，进入步骤8）；如果目标资源记录不在白名单中，丢弃包含该目标资源记录的数据包；

8），缓存服务器允许将该目标资源记录写入缓存模块，并将该目标资源记录反馈给用户端。

5.一种抵御DNS递归攻击的方法，包括以下步骤：

1），用户端向缓存服务器提出域名的查询请求；

2），缓存服务器设置白名单，缓存服务器查询缓存模块存储的资源记录，判断资源记录内是否有同查询请求相应的目标资源记录，如果是，将该目标资源记录写入白名单，将该资源记录反馈给用户端；如果否，进入步骤3）；

3），缓存服务器向域名服务器发送递归查询请求；

4），判断递归查询请求是否成功，如果是，白名单生成模块将日志中递归查询请求成功的目标资源记录通过日志的方式写到白名单；如果否，进入步骤5）；

5),判断递归查询请求是否是递归攻击，如果是，启动抵御攻击模式，如果否，工作完成。

6.根据权利要求5所述的方法，其特征在于：步骤4）中判断递归查询请求成功的条件是：缓存服务器必须收到了域名服务器的递归回复包，并且递归回复包中应答代码字段的值必须为0。

7.根据权利要求6所述的方法，其特征在于：抵御攻击模式包括以下步骤：

6），缓存服务器设置递归过滤模块，将该目标资源记录读入递归过滤模块；

7），递归过滤模块将目标资源记录同白名单进行比对，如果目标资源记录在白名单中，进入步骤8）；如果目标资源记录不在白名单中，丢弃包含该目标资源记录的数据包；

8），缓存服务器允许将该目标资源记录写入缓存模块，并将该目标资源记录反馈给用户端。

8.抵御DNS递归攻击的系统，包括用户端、缓存服务器和域名服务器，用户端向缓存服务器提出域名的查询请求，其特征在于，该缓存服务器包括同处理器连接的缓存模块，缓存模块存储资源记录；还包括同处理器连接的白名单生成模块；

缓存服务器判断资源记录内是否有同查询请求相应的目标资源记录，如果是，将该目标资源记录写入白名单。

9.根据权利要求8所述的系统，其特征在于，缓存服务器判断资源记录内没有同查询请求相应的目标资源记录，缓存服务器向域名服务器发送递归查询请求；如果递归查询请求不成功，缓存服务器启动抵御攻击模式；

缓存服务器还包括同处理器连接的递归过滤模块，将递归查询请求不成功的目标资源记录读入递归过滤模块；

递归过滤模块将目标资源记录同白名单进行比对，如果目标资源记录在白名单中，将该目标资源记录写入缓存模块，如果目标资源记录不在白名单中，结束工作。