[发明专利]网络攻击的防护方法及装置

说明书

技术领域

本发明属于通信领域，尤其涉及一种网络攻击的防护方法及装置。

背景技术

域名服务系统（Domain Name System，DNS）洪水（Flood）攻击是一种拒绝服务（Denial of Sdrvice，DoS）攻击，通过构造大量恶意的域名解析请求发送到服务器，消耗服务器带宽或者服务器中央处理器（Central Processing Unit，CPU）资源，使之无法正常对外服务。

为了防护上述网络攻击，通常在服务器端配置安全防护设备，其在接收到用户端的域名解析请求之后，通过构造带TC标记位的DNS响应包，强制用户将非可靠的用户数据报协议（User Datagram Protocol，UDP）更改为可靠的传输控制协议（Transmission Control Protocol，TCP），再次发送域名解析请求，由此来实现对正常用户端和攻击用户端的区分，为服务器过滤掉攻击用户端的域名解析请求，实现对网络攻击的阻断。

然而，由于目前大部分用户端的本地缓存域名服务器（Local Domain Name System，LDNS）并不支持对带TC标记位的DNS响应包的识别功能，因此，上述防护方式会导致服务器无法处理正常用户端的域名解析请求，严重影响了正常用户端与服务器之间的网络通信。

发明内容

本发明实施例的目的在于提供一种网络攻击的防护方法，旨在解决现有的针对DNS洪水攻击的防护方法会导致服务器无法处理正常用户端的域名解析请求的问题。

本发明实施例是这样实现的，一种网络攻击的防护方法，包括：

接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和所述第一域名；

基于所述第一域名生成包含所述用户端的cookie的第二域名，所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到；

向所述用户端返回第一响应，所述第一响应中携带了所述第二域名，以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求；

在所述第二域名解析请求中提取源地址和所述第二域名；

判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配，是则向所述用户端返回第二响应，所述第二响应中携带了所述第一域名，以使所述用户端根据所述第二响应返回关于所述第一域名的第三域名解析请求；

将所述第三域名解析请求转发给权威域名服务系统DNS服务器。

本发明实施例的另一目的在于提供一种网络攻击的防护装置，包括：

第一接收单元，用于接收用户端发送的关于第一域名的第一域名解析请求，提取出其中的源地址和所述第一域名；

生成单元，用于基于所述第一域名生成包含所述用户端的cookie的第二域名，所述用户端的cookie为根据预设算法计算所述第一域名解析请求中的源地址得到；

第一返回单元，用于向所述用户端返回第一响应，所述第一响应中携带了所述第二域名，以使所述用户端根据所述第一响应返回关于所述第二域名的第二域名解析请求；

提取单元，用于在所述第二域名解析请求中提取源地址和所述第二域名；

第二返回单元，用于判断所述第二域名解析请求中的源地址与所述第二域名中包含的所述用户端的cookie是否匹配，是则向所述用户端返回第二响应，所述第二响应中携带了所述第一域名，以使所述用户端根据所第二响应返回第三域名解析请求；

第一转发单元，用于将所述第三域名解析请求转发给权威域名服务系统DNS服务器。

本发明实施例针对DNS洪水攻击提供了一种防护方法，在不需要强制用户端改用TCP协议的前提下，能够有效地识别出正常发送域名解析请求的用户端，为服务器过滤掉攻击用户端发送的域名解析请求，有效地保障了用户端与服务器之间的正常通信。

附图说明

图1是本发明实施例提供的网络攻击的防护方法的实现流程图；

图2是本发明实施例提供的网络攻击的防护方法S105的具体实现流程图；

图3是本发明另一实施例提供的网络攻击的防护方法的实现流程图；

图4是本发明另一实施例提供的网络攻击的防护方法的实现流程图；

图5是本发明实施例提供的网络攻击的防护方法的交互流程图；

图6是本发明实施例提供的网络攻击的防护装置的结构框图；

图7是本发明另一实施例提供的网络攻击的防护装置的结构框图；