[发明专利]一种攻击防范方法和装置

说明书

技术领域

本发明涉及网络安全领域，尤其是一种攻击防范方法和装置。

背景技术

DNS(Domain Name System，域名系统)是一种用于TCP/IP应用程序的分布式数据库，提供主机名字和IP地址之间的转换及有关电子邮件的选路信息。DNS服务器在internet应用中起重要的作为，一旦DNS服务器受到DDOS攻击，将严重影响人们的正常网络应用。

DNS flood是一种基于特定应用协议的UDP flood，攻击方向DNS服务器发送大量域名解析请求，致使DNS服务器严重超载，无法继续响应正常用户的DNS请求，从而达到攻击的目的。一般情况下攻击方发送的DNS请求是随机生成的网络中根本不存在的域名，受攻击的DNS服务器接收到此请求时，对该域名进行解析，解析不成功，则该DNS服务器通过递归查询向其上级DNS服务器递交解析请求，进而形成对上级DNS服务器的攻击，形成连锁反应。域名解析的过程会给DNS服务器带来很大的负载，一般一台DNS服务器的域名解析上限是9000个/秒，当超过此值时，将造成DNS服务器解析超时直至瘫痪。

为了保护DNS服务器，进而保证网络的正常应用，产生了DNS flood防范技术。现有技术中的常用防范技术包括：在保护设备上建立DNS cache，在保护设备上引入域名信誉机制以及二者的结合，其主要工作原理如下：

(1)在保护设备上采用DNS cache技术：

保护设备在没有检测到发生攻击时主动学习域名解析结果，记录域名和ip的对应关系，建立DNS cache；

在检测到发生攻击时，保护设备在接收到域名解析请求时，首先查询DNScache，根据查询结果响应域名解析请求，对于不在DNS cache中的域名解析请求交由DNS服务器解析，并在DNS cache中记录解析结果。从而减轻DNS服务器负载。

(2)在保护设备上采用域名信誉机制：

保护设备在没有检测到发生攻击时主动学习域名解析结果，统计同一域名解析次数及域名解析失败的次数，建立域名信誉机制；对于域名解析失败次数或者请求同一域名次数超过一定值的，相应得调低其域名信誉等级。

在检测到发生攻击时，保护设备在接收到域名解析请求时，查询域名信誉等级表，根据域名信誉机制，过滤部分域名解析请求；限制发起信誉等级低的域名解析请求的源ip的带宽。例如可以将域名等级分为不信任级、中间级、信任级，对于不信任级的源发送的域名解析请求全部丢弃，进而实现过滤。对于中间级的源发送的域名解析请求，根据情况限制其带宽。

当然，这两种技术可以结合使用。

上述技术方案在发生攻击时能在一定程度上降低对DNS服务器的影响。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

对于目前在DNS flood中占绝大多数的伪造源ip的DNS flood攻击，域名解析请求都在随机变化的情况下，由于这些域名大多不存在，DNS cache这时将起不到任何作用。而通过域名信誉机制，要么全部丢弃信誉级别低的源的域名请求，要么只过滤部分，其余的交由DNS服务器解析。对于全部丢弃的情况，影响部分正常用户的DNS请求，间接达到攻击目的；而只过滤部分，则仍会对服务器造成很大冲击，不能很好的保护服务器。可见这两种技术不能很好的识别伪造源ip的攻击，因而不能有效防范DNS flood攻击。

对于第二种技术，由于域名信誉机制的建立需要较长时间的学习，而且学习结果的准确性很大程度上依赖于学习期间不存在任何攻击的前提条件；而且域名信誉机制需要维护大量数据，信誉评估算法又较为复杂，评估结果直接影响防御的有效性。可见，该技术实施复杂，不利于有效的实现DNS flood攻击。

发明内容

本发明实施例提出一种攻击防范方法和装置，提高DNS flood攻击防范的能力。

根据本发明的一方面，提供一种攻击防范方法，包括：

接收来自客户端的域名解析请求，并获得所述域名解析请求的源地址；

验证所述源地址是真实的源地址；

向DNS服务器转发所述域名解析请求。

根据本发明的另一方面，提供一种检测设备，包括：

接收单元，用于接收来自客户端的域名解析请求，并获得所述域名解析请求的源地址；

验证单元，用于验证所述源地址是真实的源地址；

转发单元，用于根据验证单元的输出结果，向DNS服务器转发所述域名解析请求。