技術領域

本發明涉及一種網絡防攻擊的技術，尤其涉及針對DNS服務的防DDOS攻擊方法和系統。

背景技術

在網絡中需要防止DDOS的攻擊，申請號為“CN201010572112.6”，發明名稱為“一種WiMAX系統及其防御DDoS攻擊的裝置和方法”的專利申請公開了：在WiMAX系統中配置一個或多個非法包攔截模塊，非法包攔截模塊配置于基站和接入網關之間，所述非法包攔截模塊對終端經基站發送的上行數據進行合法性檢測，若判斷為合法數據，則直接轉發給接入網關通過主干網絡發送給應用服務器；若判斷為非法數據，則將上行數據進行攔截。進一步用于在攔截非法數據后，通知基站對發送該非法數據的終端進行帶寬限制，記錄檢測日志及生成告警。本發明能有效防御由網內大量終端發起的DDoS攻擊，增強網絡的安全性，保證了無線網絡的穩定。

而DNS服務的現有技術較少，且存在以下一個或多個缺點：僅針對單個IP攻擊檢測及過濾，這在IPv6中及偽造來訪IP中將嚴重失效；僅根據最近兩個時間片的訪問情況來檢測和防御攻擊，其精度性不高；根據多個特征向量來識別和區分攻擊，存在較大的不確定性，且不夠實時。

發明內容

本發明的目的在于解決上述問題，提供了一種針對DNS服務的防DDOS攻擊的方法，實時、準確地檢測和防御針對DNS服務的DDOS攻擊。

本發明的另一目的在于提供了一種針對DNS服務的防DDOS攻擊的系統，實時、準確地檢測和防御針對DNS服務的DDOS攻擊。

本發明的技術方案為：本發明揭示了一種針對DNS服務的防DDOS攻擊方法，包括：

步驟1：監聽來訪IP的DNS請求；

步驟2：確定來訪IP所屬IP段和當前時間所屬時間段，并統計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量；

步驟3：檢測當前是否受到DDOS攻擊；

步驟4：若檢測到DDOS攻擊，則根據當前時間段來訪IP所屬IP段的歷史訪問流量過濾來訪IP請求，若未檢測到DDOS攻擊，則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量，接著轉發來訪IP的DNS請求。

根據本發明的針對DNS服務的防DDOS攻擊方法的一實施例，在步驟1和2之間來包括：

根據預先配置的許可IP段和非法IP段來過濾來訪的IP請求，若來訪IP不屬于許可IP段或者屬于非法IP段，則拒絕來訪IP的DNS請求。

根據本發明的針對DNS服務的防DDOS攻擊方法的一實施例，步驟2進一步包括：

根據預設的IP段劃分獲得來訪IP的所屬IP段；

根據預設的時間模式獲得當前時間所屬時間段；

統計當前時間片的總體訪問次數和來訪IP所屬IP段的訪問次數；

在當前時間片結束后，計算當前定時時間片的總體訪問流量為當前時間片總體訪問次數除以時間片的值，計算來訪IP所屬IP段訪問流量為當前時間片來訪IP所屬IP段訪問次數除以時間片的值。

根據本發明的針對DNS服務的防DDOS攻擊方法的一實施例，步驟3進一步包括：

如果當前定時時間片的總體訪問流量超過總體預設值或者超過當前時間段歷史總體訪問流量的預設倍數，或者當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP段預設值或者超過當前時間段此IP段歷史訪問流量的預設倍數，則判斷為受到DDOS攻擊，否則判斷為沒有受到DDOS攻擊。

根據本發明的針對DNS服務的防DDOS攻擊方法的一實施例，步驟4進一步包括：

若檢測到受到DDOS攻擊，則判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬IP段的成功請求次數，若超過則累加當前時間片來訪IP所屬IP段的成功請求次數，接著轉發來訪IP的DNS請求，否則拒絕來訪IP的DNS請求，其中時間片間隔為當前時間和當前時間片的起始時間的差值，若小于1秒則設置為1秒；

若沒有檢測到DDOS攻擊，則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量，接著轉發來訪IP的DNS請求。

本發明還揭示了一種針對DNS服務的防DDOS攻擊的系統，包括監聽裝置、流量統計裝置、攻擊檢測裝置、處理裝置，其中：

所述監聽裝置監聽來訪IP的DNS請求；

所述流量統計裝置連接所述監聽裝置，確定來訪IP所屬IP段和當前時間所屬時間段，并統計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量；