[发明专利]一种域名请求攻击的防御方法及系统

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种域名请求攻击的防御方法及系统。

背景技术

现有技术中域名解析查询通常都是基于UDP协议的，因此在域名解析查询过程中缺少验证机制，这一点很容易被黑客利用。其中域名解析请求洪水就是一种业界比较常见的一种域名解析攻击行为。他的原理主要是黑客控制僵尸网络向域名解析服务器发送大量的不存在的域名解析请求，导致域名服务器性能耗尽，无法响应正常用户的域名解析请求，甚至发生服务器瘫痪宕机。

在实现本发明的过程中，发明人发现现有的防御方法，由于其不能分别正常用户域名还是非正常用户域名，因此在避免域名解析请求洪水攻击行为带来的域名服务器瘫痪宕机等危害的同时，一些正常用户的域名请求报文可能也会被拦截。

发明内容

本发明实施例的目的是提供一种域名请求攻击的防御方法及系统，通过防火墙对第一域名解析查询报文进行重定向的方法，生成重定向域名，然后客户端再以重定向域名重新发送第二域名解析查询报文，如果防火墙能接收第二域名解析查询报文，则说明该源IP地址是正常的，如果防火墙不能能接收第二域名解析查询报文，则说明该源IP地址是非正常的，通过这种方法能有效防御域名请求中的攻击行为，并且不会将正常的域名请求拦截。

根据本发明实施例的一个方面提供了一种域名请求攻击的防御方法，应用于防火墙，包括：对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截，提取所述第一域名解析查询报文的源IP地址；判断所述源IP地址是否在白名单中；若所述源IP地址不在白名单中，则基于随机产生的第一字符串和所述第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名；若能够接收到基于所述重定向域名返回的第二域名解析查询报文，对所述第二域名解析查询报文进行第二次重定向，重定向到原始域名，并将所述源IP地址添加到白名单中，原始域名对应于第一域名解析查询报文所查询的域名。

其中，在所述对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截的步骤之前，还包括：检测接收到的第一域名解析查询报文的数量；当检测到所述第一域名解析查询报文的数量超过预定报文数量时，开启域名解析请求洪水防御业务对超过报文阈值后的第一域名解析查询报文进行拦截。

其中，当所述源IP地址在白名单中时，提取第一域名解析查询请求的目标IP地址；基于目标IP地址，将所述第三域名解析查询请求发送给目标IP地址对应的域名解析服务器。

其中，在所述重定向到原始域名的步骤之后，还包括：提取所述第一域名解析查询的目标IP地址；基于所述目标IP地址，将所述第二域名解析查询请求发送给目标IP地址对应的域名解析服务器。

根据本发明实施例的另一个方面提供了一种域名请求攻击的防御系统，应用于防火墙，包括：提取模块，用于对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截，提取所述第一域名解析查询报文的源IP地址；判断模块，用于判断所述源IP地址是否在白名单中；重定向域名模块，用于若所述源IP地址不在白名单中，则基于随机产生的第一字符串和所述第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名；第一接收模块，用于接收到基于所述重定向域名返回的第二域名解析查询报文；所述重定向域名模块，还用于若接收模块能够接收到所述第二域名解析查询报文，对所述第二域名解析查询报文进行第二次重定向，重定向到原始域名，并将所述源IP地址添加到白名单中，原始域名对应于第一域名解析查询报文所查询的域名。

其中，所述提取模块，还包括：检测单元，用于检测接收到的第一域名解析查询报文的数量；拦截单元，用于当所述检测单元检测到所述第一域名解析查询报文的数量超过预定报文数量时，开启域名解析请求洪水防御业务对超过报文阈值后的第一域名解析查询报文进行拦截。

其中，所述提取模块，还用于当所述源IP地址在白名单中时，提取第一域名解析查询请求的目标IP地址。

其中，所述系统还包括：第一发送模块，用于基于目标IP地址，将所述第三域名解析查询请求发送给目标IP地址对应的域名解析服务器。

其中，所述提取模块，还用于提取所述第一域名解析查询的目标IP地址；第一发送模块，还用于基于所述目标IP地址，将所述第二域名解析查询请求发送给目标IP地址对应的域名解析服务器。

根据本发明实施例的又一方面提供了一种防火墙，所述防火墙内设置有权利要求5-9所述的域名请求攻击的防御系统。