本发明专利技术提供了一种DDoS攻击防御方法、装置、电子设备及介质,所述方法包括:启动DNS服务器,加载区文件,并设置初始应答阈值;接收DNS请求流量;基于DNS协议检索区数据,生成与所述DNS请求流量中各DNS请求报文对应的应答包,同时根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码;当检测到因存在攻击流量而导致DNS服务器无法正常解析时,根据攻击流量的特征调整应答阈值,并根据调整后的应答阈值和各应答包的应答权重码对各应答包进行过滤处理,以过滤掉相应的攻击流量。本发明专利技术采用基于攻击流量应答后的特征进行分类的思路,按照应答特征中的应答价值和应答成本对DNS请求流量进行分类,达到针对不同攻击流量进行有效精准清洗的防御功效。
A DDoS Attack Defense Method, Device, Electronic Equipment and Media
【技术实现步骤摘要】
一种DDoS攻击防御方法、装置、电子设备及介质
本专利技术涉及计算机
,具体涉及一种DDoS攻击防御方法、装置、电子设备及介质。
技术介绍
域名系统(DomainNameSystem,简称DNS)主要用于完成从域名到互联网协议(InternetProtocol,简称IP)地址的映射及其他互联网资源的解析,是互联网中重要的基础设施。分布式拒绝服务(DistributedDenialofService,简称DDoS)攻击,通常由黑客控制傀儡集群向目标发送大量合法请求,导致目标的系统资源耗尽无法提供正常服务。DDoS攻击的主要目标是网络基础架构,随着互联网的高速发展,DDoS攻击已成为DNS目前面临的重要威胁,对DNS防御能力的要求也与日俱增。针对DNS网络服务的DDoS攻击最主要的就是利用放大(Amplification)或反射(Reflection)方式所产生的巨量DDoS攻击。其中DNS放大攻击是一种拒绝服务攻击,利用回复包比请求包大的特点(放大流量),伪造请求包的源IP地址,产生针对一个目标的大量的虚假的通信,目的是耗尽攻击目标的系统资源。DNS包含递归解析系统和权威解析系统。针对权威解析系统存在一种递归代理放大攻击:黑客控制傀儡集群向递归解析系统发送大量攻击请求,以递归解析系统为跳板,攻击目标权威解析系统。这种攻击存在两个特点:1)由于直接攻击源是真实的递归解析系统,因此权威解析系统不能针对源IP进行清洗,否则会导致使用相关递归解析系统的正常用户无法上网;2)DNS请求包含域名(name)、类型(type)、类(class,一般为IN)三元组,递归解析系统以三元组为主键缓存资源记录,傀儡集群发送的攻击请求,三元组需随机变化,以避免命中递归缓存,从而达到攻击权威服务系统的目的。针对权威解析系统的DDoS攻击,目前业内普遍基于特征库,按性质(正常流量和攻击流量)对DNS查询流量进行分类,清洗攻击流量,避免系统资源耗尽。在递归代理攻击的情况下,这种方式的主要问题是:由于直接攻击源是真实的递归解析系统,而查询流量的三元组又是随机变化的,源IP和域名等主要特征失效,导致分类准确率大幅降低,防御能力显著减弱。
技术实现思路
针对现有技术中的问题,本专利技术提供一种DDoS攻击防御方法、装置、电子设备及介质。为解决上述技术问题,本专利技术提供以下技术方案:第一方面,本专利技术提供了一种DDoS攻击防御方法,包括:启动DNS服务器,加载区文件,并设置初始应答阈值;其中,所述初始应答阈值不对DNS请求流量进行任何过滤;接收DNS请求流量;基于DNS协议检索区数据,生成与所述DNS请求流量中各DNS请求报文对应的应答包,同时根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码;当检测到因存在攻击流量而导致DNS服务器无法正常解析时,根据攻击流量的特征调整应答阈值,并根据调整后的应答阈值和各应答包的应答权重码对各应答包进行过滤处理,以过滤掉相应的攻击流量。进一步地,在根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码时,以应答价值为第一优先级,应答成本为第二优先级,生成与各应答包对应的应答权重码;其中,应答权重码越大,优先级越高。进一步地,所述根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码,包括:按照各应答包的应答价值的高低和应答成本的高低生成与各应答包对应的应答权重码;其中,应答价值从低到高,依次为:查询域名的父域无NS记录且无DNAME记录,查询域名不存在,查询域名无匹配的泛域名;查询域名的父域无NS记录且无DNAME记录,查询域名存在或有匹配的泛域名;查询域名或匹配的泛域名无NS记录、无CNAME记录且无查询类型记录;查询域名的父域无NS记录且无DNAME记录,查询域名存在或有匹配的泛域名,查询域名或匹配的泛域名有NS记录、有CNAME记录或有查询类型记录;查询域名的父域有NS记录或有DNAME记录;其中,应答成本从低到高,依次为:非DNSSEC应答流量、DNSSEC肯定应答流量和DNSSEC否定应答流量。进一步地,所述按照各应答包的应答价值的高低和应答成本的高低生成与各应答包对应的应答权重码,包括:对于每个应答包,根据应答包与八个预设应答特征的符合情况以及八个预设应答特征的优先级程度,生成对应的应答权重码;其中,所述八个预设应答特征按照优先级程度由高到低的顺序依次为:查询域名的父域是否有NS记录、查询域名的父域是否有DNAME记录、查询域名或匹配的泛域名是否存在、查询域名或匹配的泛域名是否有NS记录、查询域名或匹配的泛域名是否有CNAME记录、查询域名或匹配的泛域名是否有查询类型记录、应答包是否需要DNSSEC应答和应答包是否为否定应答。进一步地,所述根据调整后的应答阈值和各应答包的应答权重码对各应答包进行过滤处理,以过滤掉相应的攻击流量,包括:将应答权重码低于调整后的应答阈值的应答包进行过滤处理,以过滤掉相应的攻击流量。进一步地,所述根据攻击流量的特征调整应答阈值,包括:获取攻击流量中占比较高的一种攻击流量,并根据占比较高的攻击流量的特征调整应答阈值,使得调整后的应答阈值能够滤除占比较高的攻击流量,或,在滤除占比较高的攻击流量之外,还滤除应答权重码低于所述占比较高的攻击流量的其他流量。进一步地,所述方法还包括:当检测到攻击停止时,将应答阈值恢复至初始应答阈值,DNS服务器恢复到正常解析服务。第二方面,本专利技术还提供了一种DDoS攻击防御装置,包括:初始化模块,用于启动DNS服务器,加载区文件,并设置初始应答阈值;其中,所述初始应答阈值不对DNS请求流量进行任何过滤;接收模块,用于接收DNS请求流量;处理模块,用于基于DNS协议检索区数据,生成与所述DNS请求流量中各DNS请求报文对应的应答包,同时根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码;防御模块,用于当检测到因存在攻击流量而导致DNS服务器无法正常解析时,根据攻击流量的特征调整应答阈值,并根据调整后的应答阈值和各应答包的应答权重码对各应答包进行过滤处理,以过滤掉相应的攻击流量。第三方面,本专利技术还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述DDoS攻击防御方法的步骤。第四方面,本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述DDoS攻击防御方法的步骤。由上述技术方案可知,本专利技术提供的DDoS攻击防御方法,启动DNS服务器,加载区文件,并设置初始应答阈值;其中,所述初始应答阈值不对DNS请求流量进行任何过滤;接收DNS请求流量;基于DNS协议检索区数据,生成与所述DNS请求流量中各DNS请求报文对应的应答包,同时根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码;当检测到因存在攻击流量而导致DNS服务器无法正常解析时,根据攻击流量的特征调整应答阈值,并根据调整后的应答阈值和各应答包的应答权重码对各应答包进行过滤处理,以过滤掉相应的攻击流量。可见,本专利技术提供的DDoS攻击防御方法,区别于目前业内常用的基于攻击流量解析前的特征进行分类的流量清洗方式,采用基于攻本文档来自技高网...
【技术保护点】
1.一种DDoS攻击防御方法,其特征在于,包括:启动DNS服务器,加载区文件,并设置初始应答阈值;其中,所述初始应答阈值不对DNS请求流量进行任何过滤;接收DNS请求流量;基于DNS协议检索区数据,生成与所述DNS请求流量中各DNS请求报文对应的应答包,同时根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码;当检测到因存在攻击流量而导致DNS服务器无法正常解析时,根据攻击流量的特征调整应答阈值,并根据调整后的应答阈值和各应答包的应答权重码对各应答包进行过滤处理,以过滤掉相应的攻击流量。
【技术特征摘要】
1.一种DDoS攻击防御方法,其特征在于,包括:启动DNS服务器,加载区文件,并设置初始应答阈值;其中,所述初始应答阈值不对DNS请求流量进行任何过滤;接收DNS请求流量;基于DNS协议检索区数据,生成与所述DNS请求流量中各DNS请求报文对应的应答包,同时根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码;当检测到因存在攻击流量而导致DNS服务器无法正常解析时,根据攻击流量的特征调整应答阈值,并根据调整后的应答阈值和各应答包的应答权重码对各应答包进行过滤处理,以过滤掉相应的攻击流量。2.根据权利要求1所述的方法,其特征在于,在根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码时,以应答价值为第一优先级,应答成本为第二优先级,生成与各应答包对应的应答权重码;其中,应答权重码越大,优先级越高。3.根据权利要求2所述的方法,其特征在于,所述根据各应答包的应答价值和应答成本生成与各应答包对应的应答权重码,包括:按照各应答包的应答价值的高低和应答成本的高低生成与各应答包对应的应答权重码;其中,应答价值从低到高,依次为:查询域名的父域无NS记录且无DNAME记录,查询域名不存在,查询域名无匹配的泛域名;查询域名的父域无NS记录且无DNAME记录,查询域名存在或有匹配的泛域名;查询域名或匹配的泛域名无NS记录、无CNAME记录且无查询类型记录;查询域名的父域无NS记录且无DNAME记录,查询域名存在或有匹配的泛域名,查询域名或匹配的泛域名有NS记录、有CNAME记录或有查询类型记录;查询域名的父域有NS记录或有DNAME记录;其中,应答成本从低到高,依次为:非DNSSEC应答流量、DNSSEC肯定应答流量和DNSSEC否定应答流量。4.根据权利要求3所述的方法,其特征在于,所述按照各应答包的应答价值的高低和应答成本的高低生成与各应答包对应的应答权重码,包括:对于每个应答包,根据应答包与八个预设应答特征的符合情况以及八个预设应答特征的优先级程度,生成对应的应答权重码;其中,所述八个预设应答特征按照优先级程度由高到低的顺序依次为:查询域名的父域是否有NS记录、查...
【专利技术属性】
技术研发人员:闫夏莉,叶崛宇,张海阔,吕万波,贺明,
申请(专利权)人:中国互联网络信息中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。