【技术实现步骤摘要】
网络攻击的防护方法及装置
本专利技术属于通信领域,尤其涉及一种网络攻击的防护方法及装置。
技术介绍
域名服务系统(Domain Name System, DNS)洪水(Flood)攻击是一种拒绝服务(Denial of Sdrvice, DoS)攻击,通过构造大量恶意的域名解析请求发送到服务器,消耗服务器带宽或者服务器中央处理器(Central Processing Unit, CPU)资源,使之无法正常对外服务。 为了防护上述网络攻击,通常在服务器端配置安全防护设备,其在接收到用户端的域名解析请求之后,通过构造带TC标记位的DNS响应包,强制用户将非可靠的用户数据报协议(User Datagram Protocol, UDP)更改为可靠的传输控制协议(Transmiss1nControl Protocol, TCP),再次发送域名解析请求,由此来实现对正常用户端和攻击用户端的区分,为服务器过滤掉攻击用户端的域名解析请求,实现对网络攻击的阻断。 然而,由于目前大部分用户端的本地缓存域名服务器(Local Domain NameSystem, LDNS)并不支持对带TC标记位的DNS响应包的识别功能,因此,上述防护方式会导致服务器无法处理正常用户端的域名解析请求,严重影响了正常用户端与服务器之间的网络通信。
技术实现思路
本专利技术实施例的目的在于提供一种网络攻击的防护方法,旨在解决现有的针对DNS洪水攻击的防护方法会导致服务器无法处理正常用户端的域名解析请求的问题。 本专利技术实施例是这样实现的,一种网络攻击的防护方法 ...
【技术保护点】
一种网络攻击的防护方法,其特征在于,包括:接收用户端发送的关于第一域名的第一域名解析请求,提取出其中的源地址和所述第一域名;基于所述第一域名生成包含所述用户端的cookie的第二域名,所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到;向所述用户端返回第一响应,所述第一响应中携带了所述第二域名,以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求;在所述第二域名解析请求中提取源地址和所述第二域名;判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配,是则向所述用户端返回第二响应,所述第二响应中携带了所述第一域名,以使所述用户端根据所述第二响应返回关于所述第一域名的第三域名解析请求;将所述第三域名解析请求转发给权威域名服务系统DNS服务器。
【技术特征摘要】
1.一种网络攻击的防护方法,其特征在于,包括: 接收用户端发送的关于第一域名的第一域名解析请求,提取出其中的源地址和所述第一域名; 基于所述第一域名生成包含所述用户端的cookie的第二域名,所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到; 向所述用户端返回第一响应,所述第一响应中携带了所述第二域名,以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求; 在所述第二域名解析请求中提取源地址和所述第二域名; 判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配,是则向所述用户端返回第二响应,所述第二响应中携带了所述第一域名,以使所述用户端根据所述第二响应返回关于所述第一域名的第三域名解析请求; 将所述第三域名解析请求转发给权威域名服务系统DNS服务器。2.如权利要求1所述的方法,其特征在于,在所述接收用户端发送的关于第一域名的第一域名解析请求之前,所述方法还包括: 接收并记录所述用户端发送的关于所述第一域名的第四域名解析请求; 丢弃所述第四域名解析请求,以使所述用户端在预设的时间间隔内发送关于所述第一域名的所述第一域名解析请求; 则所述接收用户端发送的关于第一域名的第一域名解析请求,提取出其中的源地址和所述第一域名包括: 接收所述用户端发送的所述第一域名解析请求; 判断所述第一域名解析请求是否为所述用户端在所述预设的时间间隔内再次发送的关于所述第一域名的域名解析请求; 当判断出所述第一域名解析请求为所述用户端在所述预设的时间间隔内再次发送的关于所述第一域名的域名解析请求时,提取出所述第一域名解析请求中的源地址和所述第一域名。3.如权利要求1所述的方法,其特征在于,所述判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配包括: 根据所述预设算法计算所述第二域名解析请求中的源地址,得到计算结果; 判断所述计算结果与所述第二域名中包含的所述用户端的cookie是否匹配。4.如权利要求1所述的方法,其特征在于,所述方法还包括: 将所述用户端的源地址加入至白名单中; 当接收到所述用户端发送的第五域名解析请求时,检测所述第五域名解析请求中的源地址是否位于所述白名单中; 当检测出所述第五域名解析请求中的源地址位于所述白名单之后,直接将所述第五域名解析请求转发至所述权威DNS服务器。5.如权利要求1?4任一项所述的方法,其特征在于,所述第一响应包括NS响应,所述第二响应包括CNAME响应。6.一种网络攻击的防护装置,其特...
【专利技术属性】
技术研发人员:罗喜军,白惊涛,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。