一种防御DDOS攻击的方法和系统技术方案

本发明专利技术涉及一种防御DDOS攻击的方法和系统。在本发明专利技术中，在遭到DDOS攻击时，用户主机侧在发送的正常DNS解析请求中包含校验值；位于外网的DNS服务侧，对于大量的同源DNS解析请求进行过滤，同时识别来自真正用户的DNS解析请求，只将校验值正确的响应消息返回至用户主机。由此，本发明专利技术在不改变原有DNS解析流程的前提下，根据DDOS攻击的行为特征，当发生DDOS攻击时，能够及时启动过滤机制，保证用户主机的网络不会因为海量的响应消息造成网络问题，同时还保证了用户主机的正常请求不会被域名服务器过滤，能够被正常响应。能够被正常响应。能够被正常响应。

【技术实现步骤摘要】
一种防御DDOS攻击的方法和系统


[0001]本专利技术涉及网络技术与安全领域。

技术介绍

[0002]域名系统(英文：Domain Name System，缩写：DNS)是互联网的一项基础服务。它作为将域名和IP地址相互映射的一个分布式数据库，使得其他应用程序能够通过域名来访问互联网中的主机。
[0003]一般而言，用户程序通过解析器(本地DNS)与域名服务器交互，通常解析器需要对几个不同的域名服务器进行多个查询，才能响应用户程序的查询，因此域名查询过程可能涉及对多个网络的访问，需要较长的时间。例如，当用户程序向本地DNS解析器发出DNS请求时，如果该本地DNS解析器无法解析，则会将DNS请求转发给外网的其他DNS服务器，由此层层递归，直到权威服务器返回IP地址。
[0004]正常的DNS服务器递归询问过程可能被利用成DDOS攻击，若攻击者获得了被攻击设备的IP地址，就可以伪装成该地址发送大量的域名查询请求，经过DNS服务器递归查询后，所有的响应信息会返回给最初用户，造成DDOS攻击。
[0005]现有技术通过设置阈值或添加电子凭证等方式来预防DDOS攻击，但是有可能过滤了用户主机自身的正常请求且验证繁琐。
[0006]因此，希望提供一种能够在不影响用户主机的正常DNS解析的情况下有效防止DNS服务器递归询问过程被利用成DDOS攻击的解决方案。

技术实现思路

[0007]提供本
技术实现思路
以便以简化形式介绍将在以下具体实施方式中进一步的描述一些概念。本
技术实现思路
并非旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。
[0008]本专利技术在不改变原有DNS解析流程的前提下，根据DDOS攻击的行为特征，当发生DDOS攻击时，能够及时启动过滤机制，保证用户主机的网络不会因为海量的响应消息造成网络问题，同时还保证了用户主机的正常请求不会被域名服务器过滤，能够被正常响应。
[0009]根据本专利技术的一个实施例，提供了一种用于防御DDOS攻击的方法，包括：外网DNS服务系统监视来自同一IP的同源的DNS解析请求的请求频率以判断所述请求频率是否超过设定的过滤阈值；在检测到所述请求频率超过所述设定的过滤阈值之际，通过DNS解析响应来向与所述IP相对应的用户主机告知所述外网DNS服务系统进入服务器侧非正常状态，其中在进入所述服务器侧非正常状态后，所述DNS服务系统仅对包含正确校验值的DNS解析请求进行响应；所述外网DNS服务系统对从所述用户主机接收到的DNS解析请求进行校验；如果所述DNS解析请求包含正确的校验值，则外网DNS服务系统对所述DNS解析请求进行响应；如果所述DNS解析请求未包含正确的校验值或未包含校验值，则外网DNS服务系统丢弃所述DNS解析请求；以及在检测到所述请求频率低于所述设定的过滤阈值之际，所述外网DNS服
务系统通过DNS解析响应来向所述用户主机告知退出服务器侧非正常状态。
[0010]根据本专利技术的一个实施例，提供了一种用于防御DDOS攻击的外网DNS服务系统，包括：一个或多个DNS服务器，所述一个或多个DNS服务器被配置为对DNS解析请求进行解析；防御服务器，所述防御服务器被配置为：监视来自同一IP的同源的DNS解析请求的请求频率以判断所述请求频率是否超过设定的过滤阈值；在检测到所述请求频率超过所述设定的过滤阈值之际，通过DNS解析响应来向与所述IP相对应的用户主机告知所述外网DNS服务系统进入服务器侧非正常状态，其中在进入所述服务器侧非正常状态后，所述DNS服务系统仅对包含正确校验值的DNS解析请求进行响应；对从所述用户主机接收到的DNS解析请求进行校验；如果所述DNS解析请求包含正确的校验值，则对所述DNS解析请求进行响应；如果所述DNS解析请求未包含正确的校验值或未包含校验值，则丢弃所述DNS解析请求；以及在检测到所述请求频率低于所述设定的过滤阈值之际，通过DNS解析响应来向所述用户主机告知退出服务器侧非正常状态。
[0011]根据本专利技术的另一个实施例，提供了一种用于防御DDOS攻击的用户主机，包括：用户程序；本地DNS解析器，所述本地DNS解析器被配置将来自用户程序的DNS请求传送到防御客户端，由所述防御客户端与外网DNS服务系统进行交互以对来自所述用户程序的DNS解析请求进行响应；所述防御客户端，所述防御客户端被配置为：基于包含在接收到的来自外网DNS服务系统的DNS解析响应中的指示所述外网DNS服务系统进入服务器侧非正常状态的标记，进入用户主机侧非正常状态；在进入所述用户主机侧非正常状态后，将校验值附加到接收自所述本地DNS解析器的DNS解析请求，以向所述外网DNS服务系统发送包含校验值的DNS解析请求；基于包含在接收到的来自外网DNS服务系统的DNS解析响应中的指示所述外网DNS服务系统退出服务器侧非正常状态的标记，退出所述用户主机侧非正常状态。
[0012]根据本专利技术的一个实施例，提供了一种用于防御DDOS攻击的系统，包括：如上所述的外网DNS服务系统；以及如上所述的用户主机。
[0013]通过阅读下面的详细描述并参考相关联的附图，这些及其他特点和优点将变得显而易见。应该理解，前面的概括说明和下面的详细描述只是说明性的，不会对所要求保护的各方面形成限制。
附图说明
[0014]为了能详细地理解本专利技术的上述特征所用的方式，可以参照各实施例来对以上简要概述的内容进行更具体的描述，其中一些方面在附图中示出。然而应该注意，附图仅示出了本专利技术的某些典型方面，故不应被认为限定其范围，因为该描述可以允许有其它等同有效的方面。
[0015]图1示出了现有技术中的用户主机未受到DDOS攻击时的正常DNS解析流程的示意图100；
[0016]图2示出了用户主机遭受到DDOS攻击时的异常DNS解析流程的示意图200；
[0017]图3示出了根据本专利技术的一个实施例的用于防御DDOS攻击的系统300的示意图；
[0018]图4示出了根据本专利技术的一个实施例的用于防御DDOS攻击的方法400的流程图；以及
[0019]图5示出了根据本专利技术的一个实施例的示例性计算设备的框图500。
具体实施方式
[0020]下面结合附图详细描述本专利技术，本专利技术的特点将在以下的具体描述中得到进一步的显现。
[0021]以下具体描述参考示出本专利技术的示例性实施例的附图。但是，本专利技术的范围不限于这些实施例，而是由所附权利要求书定义。因此，诸如所示实施例的修改版本之类的在附图所示之外的实施例仍然由本专利技术所包含。
[0022]本说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用指的是该实施例可包括特定的特征、结构或特点，但是每一实施例不一定包括该特定的特征、结构或特点。此外，这些短语不一定指相同的实施例。此外，当结合实施例描述具体特征、结构或特性时，应当理解在相关领域的技术人员的知识范围内能够结合其他实施例来实现具体特征、结构或特性，无论是否被显式地描述。...

【技术保护点】

【技术特征摘要】
1.一种用于防御DDOS攻击的方法，包括：外网DNS服务系统监视来自同一IP的同源的DNS解析请求的请求频率以判断所述请求频率是否超过设定的过滤阈值；在检测到所述请求频率超过所述设定的过滤阈值之际，通过DNS解析响应来向与所述IP相对应的用户主机告知所述外网DNS服务系统进入服务器侧非正常状态，其中在进入所述服务器侧非正常状态后，所述DNS服务系统仅对包含正确校验值的DNS解析请求进行响应；所述外网DNS服务系统对从所述用户主机接收到的DNS解析请求进行校验；如果所述DNS解析请求包含正确的校验值，则外网DNS服务系统对所述DNS解析请求进行响应；如果所述DNS解析请求未包含正确的校验值或未包含校验值，则外网DNS服务系统丢弃所述DNS解析请求；以及在检测到所述请求频率低于所述设定的过滤阈值之际，所述外网DNS服务系统通过DNS解析响应来向所述用户主机告知退出服务器侧非正常状态。2.如权利要求1所述的方法，其特征在于，所述过滤阈值与所述用户主机侧的用户带宽相关联。3.如权利要求1所述的方法，其特征在于，通过DNS解析响应来向与所述IP相对应的用户主机告知所述外网DNS服务系统进入服务器侧非正常状态，进一步包括：所述外网DNS服务系统在进入所述服务器侧非正常状态后，对从所述用户主机接收到的最新的一条DNS解析请求进行响应以向所述用户主机发送与该最新的一条DNS解析请求相对应的一条DNS解析响应，该条DNS解析响应包括指示所述外网DNS服务系统进入所述服务器侧非正常状态的标记。4.如权利要求3所述的方法，其特征在于，进一步包括：所述用户主机基于包含在接收到的该条DNS解析响应中的所述标记，进入用户主机侧非正常状态，其中在进入所述用户主机侧非正常状态后，所述用户主机向所述外网DNS服务系统发送的DNS解析请求均包括校验值。5.如权利要求1所述的方法，其特征在于，所述外网DNS服务系统通过DNS解析响应来向所述用户主机告知退出服务器侧非正常状态进一步包括：在检测到所述请求频率低于所述设定的过滤阈值之后，在对从所述用户主机接收到的最新的一条DNS解析请求进行响应的最新的一条DNS解析响应中包括指示所述外网DNS服务系统退出服务器侧非正常状态的标记；所述用户主机基于接收到的所述最新的一条DNS解析响应中的所述标记，退出所述用户主机侧非正常状...

【专利技术属性】
技术研发人员：薛豪俊，钟美燕，刘向辉，秦旭日，
申请(专利权)人：天翼数字生活科技有限公司，
类型：发明
国别省市：