[发明专利]基于多层级自行调整限速的流量控制安全防护方法

说明书

本发明涉及安全防护技术领域，具体涉及一种基于多层级自行调整限速的流量控制安全防护技术，该技术方案能有效过滤不同类型DDoS攻击流量，最大限度保证正常用户的DNS访问。多层级自行调整限速可防止某一地址段或者对某些域名的查询流量占用太多资源，从而影响整体系统性能。当出现局部IP段或域名段查询流量异常变大，则可能是DDoS攻击所造成，则可通过多层级限速实现防御功能，设置矩阵的顺序自行调节技术，保证了在新的周期内，数据包首先经过丢弃数据包最多的矩阵，这样就尽可能地减少了数据经历矩阵的数量，从而节省了系统计算资源的开销。

技术领域

本发明涉及安全防护技术领域，具体涉及一种基于多层级自行调整限速的流量控制安全防护技术。

背景技术

DNS(Domain Name System)域名系统，作为互联网的基础服务设施，为域名和精确IP地址建立映射关系，实现用户访问互联网上的网站、应用与业务。近年来，随着网络应用和业务的不断发展，网络攻击事件日益频繁。进行DNS攻击的主要方式包括：DNS服务内容被篡改和DNS服务器受到流量攻击两种类型。无论是哪种攻击方式，都会对 DNS服务器的正常运作及互联网的正常访问造成比较大的影响。目前针对DNS攻击已经有很多种防御措施，各种防御措施的方法、特点及局限性如下：

一、常用的DNS安全防护技术及其局限性

(一)加强DNS的安全管理

主要是加强对域名服务器的安全管理，将对外提供服务的DNS解析服务器和管理服务器分离，利用自身服务器的安全加固技术，结合定期更改密码、加强漏洞修复等手段，从而可以防范攻击者通过黑客手段获取管理权限，能有效防范诸如域名劫持之类的常见攻击，但无法应用于流量攻击。

(二)应用HTTP DNS技术

DNS协议默认均采用UDP协议传输，UDP协议本身的无连接特性，使得DNS服务器无法确定其查询用户的真实性，间接上为DDoS攻击、放大攻击、反射攻击提供了相当程度的便利。

HTTP DNS技术通过HTTP协议承载DNS协议，除了能有效解决流量调度的问题之外，它还可以利用TCP协议的特性，有效地确认查询用户的真实性，通过该方法可以有效防范类似缓存投毒、DDoS攻击、放大攻击、反射攻击等攻击手段。但是HTTP DNS技术在应用方面具有很大的局限性，只能应用于类似移动APP之类的特殊客户端，而无法为海量的普通用户提供大规模的查询服务。

(三)TC标志位重传技术

DNS标准协议中，有一个TC标志位字段，当DNS应答结果超过512 字节UDP协议无法承载时，会在应答报文中将该标志字段置1，DNS查询客户端收到该DNS应答后，会重新发起基于TCP协议的DNS查询， DNS服务器将所有应答结果基于TCP协议回复给客户端。

TC标志位重传技术就是利用DNS协议的这一特性，确认DNS查询客户端的真实性，有效防护DDoS攻击。该技术是一种针对客户响应的方法，但是TCP协议的自身特性会对系统资源消耗巨大，同时在DNS 查询流量比较大的情况下该技术会产生较大误差，实际上在大容量DNS 缓存服务器中难以使用。

(四)CNAME类型重传技术

类似TC标志位重传技术类型，它利用DNS协议的特性，DNS递归服务器收到DNS权威服务器的CNAME应答结果后，会重新发起对这个 CNAME结果的DNS查询请求，以此来确认DNS查询客户端的真实性。这种技术同样有很大的局限性，只能应用于DNS权威服务器，以此来确认DNS递归服务器的真实性。其无法应用于普通的DNS缓存服务器和递归服务器，实际上无法实现对流量攻击的有效保护。

(五)DNS限速技术