本发明专利技术涉及一种基于分布式层级化的DNS防御系统和方法,包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接。本发明专利技术实施例提供的一种基于分布式层级化的DNS防御系统和方法,提高了智能DNS服务系统对大流量查询的承受力,增强了智能DNS服务系统在遭遇大量恶意查询时的抵抗能力,能够在大流量及大量恶意查询的情况下,为智能DNS服务系统的正常服务提供保障,保证DNS解析不受影响。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种基于分布式层级化的DNS防御系统和方法。
技术介绍
DNS是域名系统(Domain Name System)的缩写,它是由解析器和域名服务器组成的。DNS服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。普通的DNS服务器只负责为用户解析出IP记录,而不去判断用户从哪里来,这样会造成所有用户都只能解析到固定的IP地址上。随着技术的更新换代,智能DNS的出现颠覆了这个概念。智能DNS会判断用户的来路,而做出一些智能化的处理,然后把智能化判断后的IP返回给用户,而不需要用户进行选择。比如一个企业的站点同时拥有三个运营商的带宽电信、网通、移动,如果访问者是网通用户,智能DNS服务器会把该企业网站的域名对应的网通IP地址解析给这个访问者;其他的也同理。有些网站在国外和国内都放置了服务器,使用智能DNS可以让国外的网络用户链接到国外的服务器,国内的用户链接到国内的服务器,从而使国内外的用户都能迅速的访问到该网站的服务器。然而,现在大多数的DNS系统没有提供智能DNS解析的功能,提供了智能DNS解析功能的DNS系统又无法提供在大流量或大量恶意查询的情况下提供正常DNS服务的保障。常见的智能DNS系统都会使用单一的服务IP组,当该组IP受到攻击时,不但被攻击的域名无法正常解析,同样使用该组IP的所有域名都会出现区域访问的故障。 因此,如何增强智能DNS系统在遭遇大量恶意查询时的抵抗能力,提高智能DNS系统对大流量查询的承受力,成为了亟待解决的问题。
技术实现思路
有鉴于此,有必要针对上述问题,提供一种基于分布式层级化的DNS防御系统和方法,在大流量及大量恶意查询的情况下,为DNS服务系统的正常查询服务提供保障,保证DNS解析不受影响。为此,本专利技术采用以下技术方案一种基于分布式层级化的DNS防御系统,包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接。所述前端防御系统包括流量防御模块,用于对输入到前端防御系统的查询数据包进行流量清洗;数据包过滤模块,用于滤除输入到前端防御系统中的恶意查询数据包;流量防御模块和数据包过滤模块依次连接。所述智能DNS服务系统包括定时扫描模块,用于定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给数据包过滤模块;DNS解析模块,用于对输入到智能DNS服务系统的查询数据包的查询请求进行响应,完成DNS解析工作;定时扫描模块和DNS解析模块依次连接,各智能DNS服务系统的定时扫描模块分别与前端防御系统的数据包过滤模块连接。所述数据包过滤模块收到定时扫描模块反馈回的域名数据后,将正在查询所述域名数据的查询数据包滤除。所述阈值大于500次每10秒,小于1000次每10秒。一种基于分布式层级化的DNS防御方法,包括51、将多个智能DNS服务系统的输入端分别与一前端防御系统的输出端连接,所有查询数据包均由所述前端防御系统的输入端接收;52、所述前端防御系统对收到的查询数据包进行流量清洗;53、所述前端防御系统滤除查询数据包中的恶意查询数据包;54、所述前端防御系统根据查询数据包所指定的地址,将过滤后的访问数据分别发送到各自指向的目标智能DNS服务系统,进行DNS解析工作。所述方法还包括55、定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈`值的域名数据反馈给前端防御系统;56、前端防御系统收到反馈回的域名数据后,将正在查询所述域名数据的查询数据包滤除。在S2中,前端防御系统滤除不符合FQDN规则的查询数据包。在S3中,前端防御系统滤除不符合DNS查询包构建规则的查询数据包。在S5中,所述阈值大于500次每10秒,小于1000次每10秒。本专利技术实施例提供的一种基于分布式层级化的DNS防御系统和方法,将前端防御系统架设在多个智能DNS服务系统的前端,用于进行流量清洗及恶意查询数据包的过滤,在这一层处理掉95%以上的恶意数据。而连接于前端防御系统下的各智能DNS服务系统,一方面为用户提供智能DNS解析服务,另一方面则对穿透的小部分恶意数据进行定时扫描统计,并将存在问题的查询项目向前端防御系统反馈,辅助过滤恶意查询数据包。本专利技术实施例提供的一种基于分布式层级化的DNS防御系统和方法,为智能DNS服务系统提供了两层防御,在首层防御大流量的攻击,并滤除大部分的恶意访问数据,然后在服务层处理少量遗漏的恶意查询数据。这种分层设计大大降低了防御过程中智能DNS服务系统的资源消耗,既提高了防御的效果,又提高了 DNS解析效率。综上所述,本专利技术实施例提供的一种基于分布式层级化的DNS防御系统和方法,提高了智能DNS服务系统对大流量查询的承受力,增强了智能DNS服务系统在遭遇大量恶意查询时的抵抗能力,能够在大流量及大量恶意查询的情况下,为智能DNS服务系统的正常服务提供保障,保证DNS解析不受影响。附图说明图1为本专利技术实施例提供的一种基于分布式层级化的DNS防御系统的结构示意图。图2为本专利技术实施例提供的一种基于分布式层级化的DNS防御系统的其中一条支路的具体功能模块示意图。图3为本专利技术实施例提供的一种基于分布式层级化的DNS防御方法的流程示意图。具体实施例方式下面将结合附图和具体的实施例对本专利技术进行进一步的详细说明。如图1所示,本专利技术实施例提供的一种基于分布式层级化的DNS防御系统包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接。图2示出了前端防御系统和其中一个智能DNS服务系统的连接关系及具体功能模块结构。其他智能DNS服务系统的结构与图2所示的结构相同,在本实施例中不再一一列举。具体地,所述前端防御系统包括依次连接的流量防御模块和数据包过滤模块。流量防御模块用于对输入到前端防御系统的查询数据包进行流量清洗。数据包过滤模块用于滤除输入到前端防御系统中的恶意查 询数据包。所述智能DNS服务系统包括依次连接的定时扫描模块和DNS解析模块。各智能DNS服务系统的定时扫描模块分别与前端防御系统的数据包过滤模块连接。定时扫描模块用于定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给数据包过滤模块。DNS解析模块用于对输入到智能DNS服务系统的查询数据包的查询请求进行响应,完成DNS解析工作。相应地,本专利技术还提供了一种基于分布式层级化的DNS防御方法,该方法也是上述实施例中的DNS防御系统的工作原理,具体包括以下步骤。S1、将多个智能DNS服务系统的输入端分别与一前端防御系统的输出端连接,所有查询数据包均由所述前端防御系统的输入端接收。S2、所述前端防御系统对收到的查询数据包进行流量清洗。进入到前端防御系统的查询数据包首先会在流量防御模块中进行流量清洗,防止下一级的各智能DNS服务系统收到大流量的攻击数据或恶意查询数据。流量清洗主要是针对采用带宽占用、服务处理能力消耗等方式的DDOS攻击本文档来自技高网...
【技术保护点】
一种基于分布式层级化的DNS防御系统,其特征在于,包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接。
【技术特征摘要】
1.一种基于分布式层级化的DNS防御系统,其特征在于,包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接。2.根据权利要求1所述的基于分布式层级化的DNS防御系统,其特征在于,所述前端防御系统包括流量防御模块,用于对输入到前端防御系统的查询数据包进行流量清洗;数据包过滤模块,用于滤除输入到前端防御系统中的恶意查询数据包;流量防御模块和数据包过滤模块依次连接。3.根据权利要求3所述的基于分布式层级化的DNS防御系统,其特征在于,所述智能 DNS服务系统包括定时扫描模块,用于定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给数据包过滤模块;DNS解析模块,用于对输入到智能DNS服务系统的查询数据包的查询请求进行响应,完成DNS解析工作;定时扫描模块和DNS解析模块依次连接,各智能DNS服务系统的定时扫描模块分别与前端防御系统的数据包过滤模块连接。4.根据权利要求3所述的基于分布式层级化的DNS防御系统,其特征在于,所述数据包过滤模块收到定时扫描模块反馈回的域名数据后,将正在查询所述域名数据的查询数据包滤除。5.根据权利要求3所述的基于分布...
【专利技术属性】
技术研发人员:黄鹏波,邹定洲,庾明超,黄勤,林茂海,梁生,
申请(专利权)人:茂名市群英网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。