[发明专利]一种基于分布式层级化的DNS防御系统和方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于分布式层级化的DNS防御系统和方法。

背景技术

DNS 是域名系统 (Domain Name System) 的缩写，它是由解析器和域名服务器组成的。DNS服务器是指保存有该网络中所有主机的域名和对应IP 地址，并具有将域名转换为IP 地址功能的服务器。

普通的DNS服务器只负责为用户解析出IP记录，而不去判断用户从哪里来，这样会造成所有用户都只能解析到固定的IP地址上。随着技术的更新换代，智能DNS的出现颠覆了这个概念。智能DNS会判断用户的来路，而做出一些智能化的处理，然后把智能化判断后的IP返回给用户，而不需要用户进行选择。比如一个企业的站点同时拥有三个运营商的带宽：电信、网通、移动，如果访问者是网通用户，智能DNS服务器会把该企业网站的域名对应的网通IP地址解析给这个访问者；其他的也同理。有些网站在国外和国内都放置了服务器，使用智能DNS可以让国外的网络用户链接到国外的服务器，国内的用户链接到国内的服务器，从而使国内外的用户都能迅速的访问到该网站的服务器。

然而，现在大多数的DNS系统没有提供智能DNS解析的功能，提供了智能DNS解析功能的DNS系统又无法提供在大流量或大量恶意查询的情况下提供正常DNS服务的保障。常见的智能DNS系统都会使用单一的服务IP组，当该组IP受到攻击时，不但被攻击的域名无法正常解析，同样使用该组IP的所有域名都会出现区域访问的故障。

因此，如何增强智能DNS系统在遭遇大量恶意查询时的抵抗能力，提高智能DNS系统对大流量查询的承受力，成为了亟待解决的问题。

发明内容

有鉴于此，有必要针对上述问题，提供一种基于分布式层级化的DNS防御系统和方法，在大流量及大量恶意查询的情况下，为DNS服务系统的正常查询服务提供保障，保证DNS解析不受影响。

为此，本发明采用以下技术方案：

一种基于分布式层级化的DNS防御系统，包括前端防御系统和多个智能DNS服务系统，每一个智能DNS服务系统的输入端与前端防御系统的输出端连接，前端防御系统的输入端与网络连接。

所述前端防御系统包括：

流量防御模块，用于对输入到前端防御系统的查询数据包进行流量清洗；

数据包过滤模块，用于滤除输入到前端防御系统中的恶意查询数据包；

流量防御模块和数据包过滤模块依次连接。

所述智能DNS服务系统包括：

定时扫描模块，用于定时扫描输入到智能DNS服务系统的查询数据包，统计各域名数据被查询数据包查询的频率，将被查询频率超过阈值的域名数据反馈给数据包过滤模块；

DNS解析模块，用于对输入到智能DNS服务系统的查询数据包的查询请求进行响应，完成DNS解析工作；

定时扫描模块和DNS解析模块依次连接，各智能DNS服务系统的定时扫描模块分别与前端防御系统的数据包过滤模块连接。

所述数据包过滤模块收到定时扫描模块反馈回的域名数据后，将正在查询所述域名数据的查询数据包滤除。

所述阈值大于500次每10秒，小于1000次每10秒。

一种基于分布式层级化的DNS防御方法，包括：

S1、将多个智能DNS服务系统的输入端分别与一前端防御系统的输出端连接，所有查询数据包均由所述前端防御系统的输入端接收；

S2、所述前端防御系统对收到的查询数据包进行流量清洗；

S3、所述前端防御系统滤除查询数据包中的恶意查询数据包；

S4、所述前端防御系统根据查询数据包所指定的地址，将过滤后的访问数据分别发送到各自指向的目标智能DNS服务系统，进行DNS解析工作。

所述方法还包括：

S5、定时扫描输入到智能DNS服务系统的查询数据包，统计各域名数据被查询数据包查询的频率，将被查询频率超过阈值的域名数据反馈给前端防御系统；

S6、前端防御系统收到反馈回的域名数据后，将正在查询所述域名数据的查询数据包滤除。

在S2中，前端防御系统滤除不符合FQDN规则的查询数据包。

在S3中，前端防御系统滤除不符合DNS查询包构建规则的查询数据包。

在S5中，所述阈值大于500次每10秒，小于1000次每10秒。