一种用于DNS服务的DDoS攻击防御方法及系统技术方案

本发明专利技术公开了一种用于DNS服务的DDoS攻击防御方法和系统。该方法包括：步骤1，接收包括访问目标域名信息的DNS请求报文；步骤2，从所述DNS请求报文中提取所述访问目标域名的指定级别的父域；步骤3，判断第一预定时长内指向所述指定级别的父域的DNS请求个数是否大于预设的第一阈值，如果是，则丢弃此DNS请求并将所述指定级别的父域添加到黑名单中，如果否，则向DNS服务器转发指向所述指定级别的父域的DNS请求。该方法和系统更有利于DNS系统的攻击判定以及进行更有效的攻击防御。

A DDoS attack defense method and system for DNS services

The invention discloses a DDoS attack defense method and system for DNS services. The method includes: step 1, receiving a DNS request message including access to the target domain name information; step 2, extracting the parent domain of the specified level of access to the target domain name from the DNS request message; step 3, determining whether the number of DNS requests directed to the parent domain of the specified level within the first predetermined time period is greater than the preset first threshold. Value, if so, discards the DNS request and adds the parent domain of the specified level to the blacklist. If not, forwards the DNS request to the DNS server pointing to the parent domain of the specified level. This method and system are more conducive to attack judgment of DNS system and more effective attack defense.

【技术实现步骤摘要】
一种用于DNS服务的DDoS攻击防御方法及系统
本专利技术涉及无线网络通信领域，尤其涉及一种用于DNS服务的DDoS攻击防御方法及系统。
技术介绍
DNS(DomainNameSystem，域名系统)是互联网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网。域名解析是把域名指向IP地址，让人们通过注册的域名可以方便地访问到网站的一种服务。域名解析工作由DNS服务器完成，DNS服务器是进行域名和与之相对应的IP地址转换的服务器。DoS(DenialofService，拒绝服务)攻击指造成DoS的攻击行为，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。DDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。相较DoS攻击而言，DDoS攻击成倍地提高了拒绝服务攻击的威力，且由于每个傀儡机发起的DNS服务请求数量少量且合理，DDoS攻击方式的无规律性，导致DDoS攻击源很难被确定，也就很难防御DDoS攻击。因此，需要一种能有效地防御DDoS攻击的方法和系统。
技术实现思路
为了解决现有技术中防御DDoS攻击的问题，提出了一种用于DNS服务的DDoS攻击防御方法及系统。根据本专利技术的一个方面，提供了一种用于DNS服务的DDoS攻击防御方法，所述方法包括：步骤1，接收包括访问目标域名信息的DNS请求报文；步骤2，从所述DNS请求报文中提取所述访问目标域名的指定级别的父域；步骤3，判断第一预定时长内指向所述指定级别的父域的DNS请求个数是否大于预设的第一阈值，如果是，则丢弃此DNS请求并将所述指定级别的父域添加到黑名单中，如果否，则向DNS服务器转发指向所述指定级别的父域的DNS请求。其中，所述方法还包括：在步骤1和步骤2之间执行下述步骤：判断所述访问目标的域名是否在域名白名单中，如果是，则向DNS服务器转发包括所述访问目标的域名的DNS请求，如果否，则执行步骤2。其中，所述方法还包括：在步骤2和步骤3之间还执行下述步骤：判断所述访问目标域名信息中的指定级别的父域是否在所述黑名单中，如果是，则丢弃此DNS请求，如果否，则执行步骤3。其中，所述步骤3包括：判断第一预定时长内指向所述指定级别的父域的DNS请求个数大于预设的第一阈值时，将表示所述指定级别的父域的特征字符串添加到所述黑名单中。其中，所述方法还包括：在步骤2和步骤3之间还执行下述步骤：判断第二预定时长内接收的所述访问目标的域名不在白名单中的DNS请求个数是否大于预设的第二阈值，如果是，则丢弃此DNS请求。其中，判断所述访问目标域名信息中的指定级别的父域是否在所述黑名单中包括下述两种方式：方式一，在解析所述DNS请求报文后，判断所述访问目标域名信息中是否包含存在于所述黑名单中的特征字符串，如果包含则判断所述访问目标域名信息中的指定级别的父域在所述黑名单中；方式二，通过将所述DNS请求报文中的二进制字符串与所述黑名单字符串的二进制字符串进行对比，来判断所述DNS请求报文中的二进制字符串是否包含所述黑名单字符串的二进制字符串，如果包含则判断所述访问目标域名信息中的指定级别的父域在所述黑名单中。根据本专利技术的另一个方面，提供了一种用于DNS服务的DDoS攻击防御系统，所述系统包括：接收模块，用于接收包括访问目标域名信息的DNS请求报文；提取模块，用于从所述DNS请求报文中提取所述访问目标域名的指定级别的父域；防御模块，用于判断第一预定时长内指向所述指定级别的父域的DNS请求个数是否大于预设的第一阈值，如果是，则丢弃此DNS请求并将所述指定级别的父域添加到黑名单中，如果否，则向DNS服务器转发指向所述指定级别的父域的DNS请求。其中，所述防御模块还用于：在所述接收模块接收包括访问目标域名信息的DNS请求报文后，以及在所述提取模块从所述DNS请求报文中提取所述访问目标域名的指定级别的父域前，判断所述访问目标的域名是否在域名白名单中，如果是，则向DNS服务器转发包括所述访问目标的域名的DNS请求。其中，所述防御模块还用于：在所述提取模块从所述DNS请求报文中提取所述访问目标域名的指定级别的父域后，在判断第一预定时长内指向所述指定级别的父域的DNS请求个数是否大于预设的第一阈值前，判断所述访问目标域名信息中的指定级别的父域是否在所述黑名单中，如果是，则丢弃此DNS请求。其中，所述防御模块还用于判断第一预定时长内指向所述指定级别的父域的DNS请求个数大于预设的第一阈值时，将表示所述指定级别的父域的特征字符串添加到所述黑名单中。。其中，所述防御模块还用于：在所述提取模块从所述DNS请求报文中提取所述访问目标域名的指定级别的父域后，在判断第一预定时长内指向所述指定级别的父域的DNS请求个数是否大于预设的第一阈值前，判断第二预定时长内接收的所述访问目标的域名不在白名单中的DNS请求个数是否大于预设的第二阈值，如果是，则丢弃此DNS请求。其中，所述防御模块还用于通过下述两种方式判断所述访问目标域名信息中的指定级别的父域是否在所述黑名单中：方式一，在解析所述DNS请求报文后，判断所述访问目标域名信息中是否包含存在于所述黑名单中的特征字符串，如果包含则判断所述访问目标域名信息中的指定级别的父域在所述黑名单中；方式二，通过将所述DNS请求报文中的二进制字符串与所述黑名单字符串的二进制字符串进行对比，来判断所述DNS请求报文中的二进制字符串是否包含所述黑名单字符串的二进制字符串，如果包含则判断所述访问目标域名信息中的指定级别的父域在所述黑名单中。本专利技术中的DDoS攻击防御方法及系统，通过统计指向访问目标的DNS请求的数量来判断是否拦截指向该访问目的的DNS请求。这样，即使每个傀儡机发起数量少且合理的DNS请求，也可以有效地对DDoS攻击进行防御。此外，通过白名单和黑名单对DNS请求进行管理，可以快速地判断是否转发DNS请求，增强处理时效。本专利技术中针对攻击行为技术的目标是指定级别的父域，统计粒度更精确，更有利于DNS系统的攻击判定以及进行更有效的攻击防御。具体地，本专利中采用提取指定父域特征字符串的方式，形成黑名单，并以此作为DNS请求的转发或者丢弃的依据，处理过程最大限度避免了对非攻击目标域名的影响，相对当本文档来自技高网...

【技术保护点】
1.一种用于DNS服务的DDoS攻击防御方法，其特征在于，所述方法包括：步骤1，接收包括访问目标域名信息的DNS请求报文；步骤2，从所述DNS请求报文中提取所述访问目标域名的指定级别的父域；步骤3，判断第一预定时长内指向所述指定级别的父域的DNS请求个数是否大于预设的第一阈值，如果是，则丢弃此DNS请求并将所述指定级别的父域添加到黑名单中，如果否，则向DNS服务器转发指向所述指定级别的父域的DNS请求。

【技术特征摘要】
1.一种用于DNS服务的DDoS攻击防御方法，其特征在于，所述方法包括：步骤1，接收包括访问目标域名信息的DNS请求报文；步骤2，从所述DNS请求报文中提取所述访问目标域名的指定级别的父域；步骤3，判断第一预定时长内指向所述指定级别的父域的DNS请求个数是否大于预设的第一阈值，如果是，则丢弃此DNS请求并将所述指定级别的父域添加到黑名单中，如果否，则向DNS服务器转发指向所述指定级别的父域的DNS请求。2.如权利要求1所述的方法，其特征在于，所述方法还包括：在步骤1和步骤2之间执行下述步骤：判断所述访问目标的域名是否在域名白名单中，如果是，则向DNS服务器转发包括所述访问目标的域名的DNS请求，如果否，则执行步骤2。3.如权利要求1所述的方法，其特征在于，所述方法还包括：在步骤2和步骤3之间还执行下述步骤：判断所述访问目标域名信息中的指定级别的父域是否在所述黑名单中，如果是，则丢弃此DNS请求，如果否，则执行步骤3。4.如权利要求3所述的方法，其特征在于，所述步骤3包括：判断第一预定时长内指向所述指定级别的父域的DNS请求个数大于预设的第一阈值时，将表示所述指定级别的父域的特征字符串添加到所述黑名单中。5.如权利要求2所述的方法，其特征在于，所述方法还包括：在步骤2和步骤3之间还执行下述步骤：判断第二预定时长内接收的所述访问目标的域名不在白名单中的DNS请求个数是否大于预设的第二阈值，如果是，则丢弃此DNS请求。6.如权利要求3所述的方法，其特征在于，判断所述访问目标域名信息中的指定级别的父域是否在所述黑名单中包括下述两种方式：方式一，在解析所述DNS请求报文后，判断所述访问目标域名信息中是否包含存在于所述黑名单中的特征字符串，如果包含则判断所述访问目标域名信息中的指定级别的父域在所述黑名单中；方式二，通过将所述DNS请求报文中的二进制字符串与所述黑名单字符串的二进制字符串进行对比，来判断所述DNS请求报文中的二进制字符串是否包含所述黑名单字符串的二进制字符串，如果包含则判断所述访问目标域名信息中的指定级别的父域在所述黑名单中。7.一种用于DNS服务的DDoS攻击防御系统，其特征在于，所述系统包括：接收模块，用于接收包括访问目标域名信息的DNS请求报文；提取模块，用于从所述DNS请求报文中提取所述访问目标域...

【专利技术属性】
技术研发人员：符立佳，苗辉，
申请(专利权)人：贵州白山云科技有限公司，
类型：发明
国别省市：北京,11