[发明专利]一种DNS的防护方法及相关设备

说明书

本发明实施例公开了一种DNS的防护方法及相关设备，本发明实施例方法包括：管理设备向服务域名解析服务器DNS发送监控任务；管理设备接收服务DNS发送的监控数据，监控数据包括目标QPS数据和目标QPS数据对应的目标访问来源IP，目标QPS数据是由服务DNS根据监控任务监控的QPS数据大于阈值的数据；管理设备根据目标QPS数据确定防攻击策略；管理设备根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。本发明实施例还提供了一种管理设备和域名解析服务器。本发明实施例中，引导目标访问来源IP的攻击流量切换至备用DNS，实现了目标访问来源IP攻击行为的隔离。

技术领域

本发明涉及一种计算机网络安全领域，尤其涉及一种DNS的防护方法及相关设备。

背景技术

域名解析是网络访问过程中最重要的环节之一，域名解析服务器(Domain NameServer，缩写：DNS)主要功能为将域名转换为网络可识别的IP。由于DNS具有业务重要、安全性低的特点，近年来越来越多的DDOS攻击把目标对准DNS。如何有效防御DNS的DDOS攻击成为网络服务的重要工作。当前为了防止网络拥塞，DNS通常采用边缘化架构，该边缘化架构指通过将域名NS记录实现将DNS服务器推向网络边缘，即不同区域的DNS请求会访问到不同的DNS服务器。

当前基于DNS边缘架构防止DDOS攻击的方法为：监控单台DNS请求的每秒查询率(Queries Per Second，缩写：QPS)，当QPS大于预先设置的阀值，则启动流量清洗策略，将超过阀值的请求包丢弃，起到保护正常服务的效果。

现有技术中，当攻击流量大于网络上联带宽或DNS的处理能力时，防御策略会完全失效，DNS的服务将不可用。若攻击来源集中在某一个区域，攻击流量大于上联带宽或者服务器处理能力时，DNS边缘化结构中至少一个DNS完全不可用。当攻击流量来自于各个区域时，DNS边缘化架构中的每台DNS服务器都会受到攻击，此时当攻击流量大于网络上联带宽或服务器处理能力时，防御策略会完全失效，DNS的服务将不可用。

发明内容

本发明实施例提供了一种DNS的防护方法及相关设备，用于使目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS，实现了目标访问来源IP攻击行为的隔离。

第一方面，本发明实施例提供了一种DNS的防护方法，包括：

管理设备向服务域名解析服务器DNS发送监控任务；

所述管理设备接收所述服务DNS发送的监控数据，所述监控数据包括目标QPS数据和所述目标QPS数据对应的目标访问来源IP，所述目标QPS数据是由所述服务DNS根据所述监控任务监控QPS数据中大于阈值的数据；

所述管理设备根据所述目标QPS数据确定防攻击策略；

所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

在一种可能的实现方式中，所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS，包括：

所述管理设备将所述备用DNS的IP向所述目标访问来源IP发送。

在一种可能的实现方式中，所述管理设备根据所述目标QPS数据确定防攻击策略，包括：

所述管理设备根据所述目标QPS数据和映射关系表确定攻击类型，所述QPS数据与所述攻击类型具有映射关系表；

所述管理设备根据所述攻击类型确定防攻击策略。

在一种可能的实现方式中，所述管理设备中包括黑名单，所述黑名单指向备用DNS，所述管理设备根据所述攻击类型确定防攻击策略包括：