网络攻击的防护方法及装置制造方法及图纸

本发明专利技术适用于通信领域，提供了一种网络攻击的防护方法，包括：接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和第一域名；基于所述第一域名生成包含所述用户端的cookie的第二域名；向所述用户端返回第一响应，该第一响应中携带了第二域名；在所述第二域名解析请求中提取源地址和所述第二域名；判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配，是则向所述用户端返回第二响应，该第二响应中携带了第一域名；将所述第三域名解析请求转发给权威DNS服务器。本发明专利技术实施例在不需要强制用户端改用TCP协议进行通信的前提下，有效地保障了用户端与服务器之间的正常通信。

【技术实现步骤摘要】
网络攻击的防护方法及装置
本专利技术属于通信领域，尤其涉及一种网络攻击的防护方法及装置。
技术介绍
域名服务系统(Domain Name System, DNS)洪水(Flood)攻击是一种拒绝服务(Denial of Sdrvice, DoS)攻击,通过构造大量恶意的域名解析请求发送到服务器,消耗服务器带宽或者服务器中央处理器(Central Processing Unit, CPU)资源,使之无法正常对外服务。 为了防护上述网络攻击，通常在服务器端配置安全防护设备，其在接收到用户端的域名解析请求之后，通过构造带TC标记位的DNS响应包，强制用户将非可靠的用户数据报协议(User Datagram Protocol, UDP)更改为可靠的传输控制协议(Transmiss1nControl Protocol, TCP),再次发送域名解析请求，由此来实现对正常用户端和攻击用户端的区分，为服务器过滤掉攻击用户端的域名解析请求，实现对网络攻击的阻断。 然而，由于目前大部分用户端的本地缓存域名服务器(Local Domain NameSystem, LDNS)并不支持对带TC标记位的DNS响应包的识别功能，因此，上述防护方式会导致服务器无法处理正常用户端的域名解析请求，严重影响了正常用户端与服务器之间的网络通信。
技术实现思路
本专利技术实施例的目的在于提供一种网络攻击的防护方法，旨在解决现有的针对DNS洪水攻击的防护方法会导致服务器无法处理正常用户端的域名解析请求的问题。 本专利技术实施例是这样实现的，一种网络攻击的防护方法，包括: 接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和所述第一域名； 基于所述第一域名生成包含所述用户端的cookie的第二域名，所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到； 向所述用户端返回第一响应，所述第一响应中携带了所述第二域名，以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求； 在所述第二域名解析请求中提取源地址和所述第二域名； 判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配，是则向所述用户端返回第二响应，所述第二响应中携带了所述第一域名，以使所述用户端根据所述第二响应返回关于所述第一域名的第三域名解析请求； 将所述第三域名解析请求转发给权威域名服务系统DNS服务器。 本专利技术实施例的另一目的在于提供一种网络攻击的防护装置，包括: 第一接收单元，用于接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和所述第一域名； 生成单元，用于基于所述第一域名生成包含所述用户端的cookie的第二域名，所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到； 第一返回单元，用于向所述用户端返回第一响应，所述第一响应中携带了所述第二域名，以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求； 提取单元，用于在所述第二域名解析请求中提取源地址和所述第二域名； 第二返回单元，用于判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配，是则向所述用户端返回第二响应，所述第二响应中携带了所述第一域名，以使所述用户端根据所第二响应返回第三域名解析请求； 第一转发单元，用于将所述第三域名解析请求转发给权威域名服务系统DNS服务器。 本专利技术实施例针对DNS洪水攻击提供了一种防护方法，在不需要强制用户端改用TCP协议的前提下，能够有效地识别出正常发送域名解析请求的用户端，为服务器过滤掉攻击用户端发送的域名解析请求，有效地保障了用户端与服务器之间的正常通信。 【附图说明】 图1是本专利技术实施例提供的网络攻击的防护方法的实现流程图； 图2是本专利技术实施例提供的网络攻击的防护方法S105的具体实现流程图； 图3是本专利技术另一实施例提供的网络攻击的防护方法的实现流程图； 图4是本专利技术另一实施例提供的网络攻击的防护方法的实现流程图； 图5是本专利技术实施例提供的网络攻击的防护方法的交互流程图； 图6是本专利技术实施例提供的网络攻击的防护装置的结构框图； 图7是本专利技术另一实施例提供的网络攻击的防护装置的结构框图； 图8是本专利技术另一实施例提供的网络攻击的防护装置的结构框图。 【具体实施方式】 为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。 本专利技术实施例针对DNS洪水攻击提供了一种防护方法，在不需要强制用户端改用TCP协议的前提下，能够有效地识别出正常发送域名解析请求的用户端，为服务器过滤掉攻击用户端发送的域名解析请求，有效地保障了用户端与服务器之间的正常通信。 本专利技术实施例基于“用户端-服务器”的网络架构实现，且执行网络攻击防护的可以为在用户端与服务器之间独立存在的防护设备，其在服务器处理域名解析请求之前，先对来自不同用户端的域名解析请求进行过滤，从中识别出正常发送的域名解析请求，过滤掉用于攻击服务器的域名解析请求，从而保障服务器与用户端之间的正常通信。 需要说明的是，在本专利技术实施例执行网络攻击防护的整个过程中，用户端和服务器均可以遵循现有的通信协议来完成通信过程，不需要更改通信协议或者通信方法。 图1示出了本专利技术实施例提供的网络攻击的防护方法的实现流程，详述如下: 在SlOl中，接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和所述第一域名。 无论是正常用户端还是攻击用户端，都会向服务器发送域名解析请求，以使服务器在接收到该域名解析请求后，将其中要求解析的域名解析成相应的IP地址。 本实施例中，在服务器接收域名解析请求之前，相关的防护设备会先于服务器截取到用户端发送的第一域名解析请求，并从中提取出用户端的源地址和用户端请求解析的第一域名，其中，源地址为该用户端在网络中的IP地址，能够唯一标识该用户端，使之区别于其他用户端。 在S102中，基于所述第一域名生成包含所述用户端的cookie的第二域名，所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到。 通过预设算法对SlOl中提取出的源地址进行计算，得到该用户端的cookie，该cookie为一个字符串，且由于源地址是唯一的，因此，用户端的cookie也是唯一的。在本实施例中，预设算法可以为哈希算法。 在计算出用户端的cookie之后，基于SlOl中提取出的第一域名，生成包含了用户端的cookie的第二域名。 例如，第一域名为WWW.A.com,则生成的第二域名可以为cookie, www.A.com。 [0041 ] 在本实施例中，对基于第一域名生成上述第二域名的生成规则不作限定。 在S103中，向所述用户端返回第一响应，所述第一响应中携带了所述第二域名，以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求。 在生成第二域名之后，向用户端返回针对第一域名解析请求的第一响应，且在第一响应中携本文档来自技高网...

【技术保护点】
一种网络攻击的防护方法，其特征在于，包括：接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和所述第一域名；基于所述第一域名生成包含所述用户端的cookie的第二域名，所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到；向所述用户端返回第一响应，所述第一响应中携带了所述第二域名，以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求；在所述第二域名解析请求中提取源地址和所述第二域名；判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配，是则向所述用户端返回第二响应，所述第二响应中携带了所述第一域名，以使所述用户端根据所述第二响应返回关于所述第一域名的第三域名解析请求；将所述第三域名解析请求转发给权威域名服务系统DNS服务器。

【技术特征摘要】
1.一种网络攻击的防护方法，其特征在于，包括: 接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和所述第一域名； 基于所述第一域名生成包含所述用户端的cookie的第二域名，所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到； 向所述用户端返回第一响应，所述第一响应中携带了所述第二域名，以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求； 在所述第二域名解析请求中提取源地址和所述第二域名； 判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配，是则向所述用户端返回第二响应，所述第二响应中携带了所述第一域名，以使所述用户端根据所述第二响应返回关于所述第一域名的第三域名解析请求； 将所述第三域名解析请求转发给权威域名服务系统DNS服务器。2.如权利要求1所述的方法，其特征在于，在所述接收用户端发送的关于第一域名的第一域名解析请求之前，所述方法还包括: 接收并记录所述用户端发送的关于所述第一域名的第四域名解析请求； 丢弃所述第四域名解析请求，以使所述用户端在预设的时间间隔内发送关于所述第一域名的所述第一域名解析请求； 则所述接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和所述第一域名包括: 接收所述用户端发送的所述第一域名解析请求； 判断所述第一域名解析请求是否为所述用户端在所述预设的时间间隔内再次发送的关于所述第一域名的域名解析请求； 当判断出所述第一域名解析请求为所述用户端在所述预设的时间间隔内再次发送的关于所述第一域名的域名解析请求时，提取出所述第一域名解析请求中的源地址和所述第一域名。3.如权利要求1所述的方法，其特征在于，所述判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配包括: 根据所述预设算法计算所述第二域名解析请求中的源地址，得到计算结果； 判断所述计算结果与所述第二域名中包含的所述用户端的cookie是否匹配。4.如权利要求1所述的方法，其特征在于，所述方法还包括: 将所述用户端的源地址加入至白名单中； 当接收到所述用户端发送的第五域名解析请求时，检测所述第五域名解析请求中的源地址是否位于所述白名单中； 当检测出所述第五域名解析请求中的源地址位于所述白名单之后，直接将所述第五域名解析请求转发至所述权威DNS服务器。5.如权利要求1?4任一项所述的方法，其特征在于，所述第一响应包括NS响应，所述第二响应包括CNAME响应。6.一种网络攻击的防护装置，其特...

【专利技术属性】
技术研发人员：罗喜军，白惊涛，
申请(专利权)人：深圳市腾讯计算机系统有限公司，
类型：发明
国别省市：广东;44