[发明专利]一种域名系统泛洪攻击的防御方法和装置

说明书

本申请提供一种域名系统泛洪攻击的防御方法和装置；其中，域名系统泛洪攻击的防御方法包括：根据预定时间长度内收到的域名系统DNS请求的统计数据，确定合法源IP地址；当发生DNS泛洪攻击时，在所收到的符合预定条件的DNS请求中，将源IP地址为所述合法源IP地址的DNS请求转发给相应的DNS权威服务器。本申请可以实现更加精确的防御，减少对正常DNS请求的影响。

技术领域

本发明涉及网络防御领域，尤其涉及一种域名系统泛洪攻击的防御方法和装置。

背景技术

云解析服务是一种高可用性、高可扩展的权威域名系统(Domain Name System，DNS)服务和DNS管理服务，目的是为企业和开发者提供稳定、安全、智能、便利的DNS服务，极大的方便了互联网用户；其中，DNS是互联网的一项重要服务，是将域名和IP地址相互映射的一个分布式数据库。云解析服务上往往有着数以万计的域名(包括网站的域名、应用资源的域名)，这些域名通过云解析快速的实现域名到互联网协议(Internet Protocol，IP)地址的转换。

但是云解析服务上的DNS泛洪攻击问题一直困扰云解析服务商多年，因为域名众多，良莠不齐，个别域名如果遭受泛洪攻击特别是DNS泛洪攻击，往往会对云解析服务上其他域名用户造成严重的影响。其中，DNS泛洪攻击(DNS-flood)是DNS分布式拒绝服务(Distributed Denial of Service，DDoS)攻击的一种，是使用DNS协议报文发动的DDoS攻击。

DDoS攻击一般是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力；通常，攻击者将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击；利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。DDoS攻击的原理是找到被攻击者的资源瓶颈，通过消耗资源的方式达到被攻击者业务不可用的目的。目前互联网业务中，服务器的中央处理器(Central Processing Unit，CPU)，内存，带宽，数据库等都可能成为资源瓶颈。

常见的DNS DDoS包括以下两类：

(1)利用僵尸网络发起，攻击者通过控制肉鸡(可以被黑客远程控制的机器)群或者僵尸网络(控制者一对多控制大量感染僵尸程序病毒的主机)发起攻击，这类攻击的特点是DNS请求端都是伪造的，攻击包易识别。

(2)利用递归服务器发起跳板攻击，攻击者通过请求递归服务器(又可以称为本地(local)DNS服务器)，利用递归服务器作为跳板攻击权威服务器，这类攻击的特点是权威服务器看到的请求端都是真实的，不易区分真实包和攻击包，而且可能导致递归服务器屏蔽被攻击域名。

公共云解析服务能否正常服务，可能受限于以下情况：

(1)DNS响应的服务性能，当响应的服务性能耗尽的情况下可能影响诸多域名的访问。

(2)递归服务器是否正常运行。因为绝大多数用户的DNS访问依赖于递归服务器，当递归服务器无法正常运行时，将导致部分区域的DNS访问不可用。

目前常用的DNS泛洪攻击防御方案包括：

(1)将疑似的攻击流量从原始网络路径中重定向后进行恶意流量的识别和剥离，还原出合法流量。

该解决方案精确性低，会误杀正常的DNS请求流量；特别是在云解析服务中，一个目的IP对应的DNS权威服务器可能会为多个域名提供解析服务，如果将发给某个DNS权威服务器的DNS请求都重定向，则会影响该DNS权威服务器解析的其它未受攻击的域名。