[发明专利]针对DNS服务的防DDOS攻击方法和系统

说明书

技术领域

本发明涉及一种网络防攻击的技术，尤其涉及针对DNS服务的防DDOS攻击方法和系统。

背景技术

在网络中需要防止DDOS的攻击，申请号为“CN201010572112.6”，发明名称为“一种WiMAX系统及其防御DDoS攻击的装置和方法”的专利申请公开了：在WiMAX系统中配置一个或多个非法包拦截模块，非法包拦截模块配置于基站和接入网关之间，所述非法包拦截模块对终端经基站发送的上行数据进行合法性检测，若判断为合法数据，则直接转发给接入网关通过主干网络发送给应用服务器；若判断为非法数据，则将上行数据进行拦截。进一步用于在拦截非法数据后，通知基站对发送该非法数据的终端进行带宽限制，记录检测日志及生成告警。本发明能有效防御由网内大量终端发起的DDoS攻击，增强网络的安全性，保证了无线网络的稳定。

而DNS服务的现有技术较少，且存在以下一个或多个缺点：仅针对单个IP攻击检测及过滤，这在IPv6中及伪造来访IP中将严重失效；仅根据最近两个时间片的访问情况来检测和防御攻击，其精度性不高；根据多个特征向量来识别和区分攻击，存在较大的不确定性，且不够实时。

发明内容

本发明的目的在于解决上述问题，提供了一种针对DNS服务的防DDOS攻击的方法，实时、准确地检测和防御针对DNS服务的DDOS攻击。

本发明的另一目的在于提供了一种针对DNS服务的防DDOS攻击的系统，实时、准确地检测和防御针对DNS服务的DDOS攻击。

本发明的技术方案为：本发明揭示了一种针对DNS服务的防DDOS攻击方法，包括：

步骤1：监听来访IP的DNS请求；

步骤2：确定来访IP所属IP段和当前时间所属时间段，并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量；

步骤3：检测当前是否受到DDOS攻击；

步骤4：若检测到DDOS攻击，则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求，若未检测到DDOS攻击，则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量，接着转发来访IP的DNS请求。

根据本发明的针对DNS服务的防DDOS攻击方法的一实施例，在步骤1和2之间来包括：

根据预先配置的许可IP段和非法IP段来过滤来访的IP请求，若来访IP不属于许可IP段或者属于非法IP段，则拒绝来访IP的DNS请求。

根据本发明的针对DNS服务的防DDOS攻击方法的一实施例，步骤2进一步包括：

根据预设的IP段划分获得来访IP的所属IP段；

根据预设的时间模式获得当前时间所属时间段；

统计当前时间片的总体访问次数和来访IP所属IP段的访问次数；

在当前时间片结束后，计算当前定时时间片的总体访问流量为当前时间片总体访问次数除以时间片的值，计算来访IP所属IP段访问流量为当前时间片来访IP所属IP段访问次数除以时间片的值。

根据本发明的针对DNS服务的防DDOS攻击方法的一实施例，步骤3进一步包括：

如果当前定时时间片的总体访问流量超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数，或者当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数，则判断为受到DDOS攻击，否则判断为没有受到DDOS攻击。

根据本发明的针对DNS服务的防DDOS攻击方法的一实施例，步骤4进一步包括：

若检测到受到DDOS攻击，则判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数，若超过则累加当前时间片来访IP所属IP段的成功请求次数，接着转发来访IP的DNS请求，否则拒绝来访IP的DNS请求，其中时间片间隔为当前时间和当前时间片的起始时间的差值，若小于1秒则设置为1秒；

若没有检测到DDOS攻击，则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量，接着转发来访IP的DNS请求。

本发明还揭示了一种针对DNS服务的防DDOS攻击的系统，包括监听装置、流量统计装置、攻击检测装置、处理装置，其中：

所述监听装置监听来访IP的DNS请求；

所述流量统计装置连接所述监听装置，确定来访IP所属IP段和当前时间所属时间段，并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量；