[发明专利]一种基于DNS进行防CC攻击的方法

说明书

技术领域

本发明是关于网络安全领域，特别涉及一种基于DNS进行防CC攻击的方法。

背景技术

HTTP CC是一种针对应用层为HTTP协议的DDoS攻击，目的是消耗web服务器的系统资源，使其无法正常提供web服务。对于CC攻击，通常采用的是ISP近源清洗、云清洗、本地安全网关防CC的纵深防御体系，对恶意流量进行逐层次过滤，达到对CC攻击的防护和抑制。但CC攻击只能缓解而不能完全防御，因为不论是ISP近源清洗，云清洗，或者是在OS/AP的网络层处理，都需要去识别攻击流量。

在攻击流量足够大时，单单识别攻击流量所消耗的系统资源，都足以使防护设备无法应对，从而放过攻击流量，导致web服务器遭受攻击。我们如何在纵深防御体系进行加强，以更大程度上缓解CC攻击，市场前景看好。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种能作为现有HTTP CC纵深防护体系的一个扩展，且能利用较小的系统计算资源从根本上完成大量的HTTP CC攻击防护的方法。为解决上述技术问题，本发明的解决方案是：

提供一种基于DNS进行防CC攻击的方法，当用户IP发起对目标服务器的访问前，须先向权威DNS服务器发起DNS查询，用于获取目标服务器的IP地址，所述基于DNS进行防CC攻击的方法具体是指：在该权威DNS服务器上收到用户IP的DNS查询请求后，在DNS域名解析过程中加入下述步骤：

将攻击IP列表加入到权威DNS服务器的黑名单，若进行DNS查询的用户IP在黑名单中，该用户IP为恶意IP，则不将目标服务器的IP地址返回给该恶意IP，返回给该恶意IP的是和目标服务器的IP地址不相关的地址(即对中识别为恶意IP的查询请求，将域名解析结果重写成一个确认不危害公网的IP地址，比如私有IP，环回IP地址等，即返回的重写的IP地址并非实际的WEB服务器IP地址，这些恶意IP的攻击流量就再也不会发送到期望的攻击目标)；

所述攻击IP列表中是访问速率异常或者集中访问某些页面的源IP(作为一套完整的防御DDOS解决方案的一部分，总会在被保护的WEB服务器前部署安全网关，即部署在本地的安全网关；安全网关通常都会具有防CC功能模块，在本地安全网关处会进行CC防护，安全网关使用一些基于源IP访问web服务器的诸如访问速率、访问某个页面的集中程度等行为可以判定该IP是否为正常用户；访问速率异常或者集中访问某些页面的源IP即可被列入攻击IP列表)。

在本发明中，所述权威DNS服务器还内置有第三方IP地址库，来识别源IP(用户IP)的区域位置，实现只允许特定区域的用户访问，丢弃其他区域用户的非法访问；

所述第三方IP地址库中包含每个IP地址的区域位置，从而能用于识别源IP的区域位置(可采用ipip.net地址库、淘宝IP地址库或者百度IP地址库等第三方IP地址库实现)。

提供一种权威DNS服务器，包括处理器，适于实现各指令；以及存储设备，适于存储多条指令，所述指令适用于由处理器加载并执行：

在该权威DNS服务器上收到用户IP的DNS查询请求后，在DNS域名解析过程中加入下述步骤：

将攻击IP列表加入到权威DNS服务器的黑名单，若进行DNS查询的用户IP在黑名单中，该用户IP为恶意IP，则不将目标服务器的IP地址返回给该恶意IP，返回给该恶意IP的是和目标服务器的IP地址不相关的地址(即对中识别为恶意IP的查询请求，将域名解析结果重写成一个确认不危害公网的IP地址，比如私有IP，环回IP地址等，即返回的重写的IP地址并非实际的WEB服务器IP地址，这些恶意IP的攻击流量就再也不会发送到期望的攻击目标)；

所述攻击IP列表中是访问速率异常或者集中访问某些页面的源IP(作为一套完整的防御DDOS解决方案的一部分，总会在被保护的WEB服务器前部署安全网关，即部署在本地的安全网关；安全网关通常都会具有防CC功能模块，在本地安全网关处会进行CC防护，安全网关使用一些基于源IP访问web服务器的诸如访问速率、访问某个页面的集中程度等行为可以判定该IP是否为正常用户；访问速率异常或者集中访问某些页面的源IP即可被列入攻击IP列表)。