技術領域

本發明涉及互聯網安全技術領域，特別涉及一種檢測虛假攻擊源的方法以及一種檢測虛假攻擊源的系統。

背景技術

DNS(Domain?Name?System，域名服務系統)是互聯網的重要基礎設施，其完成從域名到IP地址的映射功能，其中，權威域名服務器是指提供權威名字解析的域名服務器。目前針對DNS服務器的一種常見攻擊方式是虛假源泛洪攻擊，虛假源泛洪攻擊是指假冒IP地址對DNS服務器發起大量域名查詢請求，使其負載遠遠超過DNS服務器的承受能力，從而導致DNS服務器無法正常提供服務，影響網絡可用性。現有技術中針對權威域名服務器的虛假攻擊源進行檢測時，所采用的架構如圖1所示，緩存域名服務器發出的域名查詢請求會通過核心交換機轉發給防護設備，防護設備向緩存域名服務器返回的查詢響應中將TC(Truncate，截斷)標志置位，從而將基于UDP協議(User?Datagram?Protocol，用戶數據包協議，是一種無連接的傳輸層通信協議)的域名查詢請求強制轉換為基于TCP協議(Transmission?Control?Protocol，傳輸控制協議，是一種面向連接的、可靠的、基于字節流的運輸層通信協議)的請求，然后利用TCP協議基于連接的特性，對源IP地址的真實性進行驗證，在通過驗證后，將該源IP地址加入白名單表，同一源IP地址再次查詢時，防護設備查詢白名單表，將查詢請求直接經由核心交換機轉發給被保護的權威域名服務器。

現有技術中的這種方式，是將基于UDP協議的請求強制轉換為基于TCP協議的請求，然而，現有大部分的緩存域名服務器的現網環境并不支持基于TCP協議的查詢，導致其無法通過認證，無法得到域名的查詢結果，影響了用戶的使用體驗。另一方面，應用現有技術中的這種方式，要求被保護的權威域名服務器必須支持基于TCP協議的查詢，部分沒有支持基于TCP協議進行查詢的被保護的權威域名服務器需要升級后才能實施，對方案的實施造成不便。

發明內容

針對上述現有技術中存在的問題，本發明的其中一個目的在于提供一種檢測虛假攻擊源的方法，另一目的在于提供一種檢測虛假攻擊源的系統，其可以有效地保護權威域名服務器不受虛假IP源的攻擊，保證權威域名服務器的正常工作，且不會影響正常的域名查詢請求。

為達到上述目的，本發明采用以下技術方案：

一種檢測虛假攻擊源的方法，包括步驟：

攔截接收緩存域名服務器向權威域名服務器發送的第一域名查詢請求信息，該第一域名查詢請求信息中包括目的域名信息；

根據所述第一域名查詢請求信息的源IP地址、目的IP地址確定第一cookie值，根據第一cookie值生成虛擬權威域名服務器域名信息后向緩存域名服務器返回;

攔截接收緩存域名服務器向權威域名服務器發送的第二域名查詢請求信息，該第二域名查詢請求信息中包括所述虛擬權威域名服務器域名信息；

根據所述第二域名查詢請求信息的源IP地址、目的IP地址確定第二cookie值，并對該第二cookie值與第二域名查詢請求信息中所攜帶的第一cookie值進行比較。

一種檢測虛假攻擊源的系統，包括：

信息接收模塊，用于攔截接收向被保護的權威域名服務器發送的域名查詢請求信息，該域名查詢請求信息包括第一域名查詢請求信息、第二域名查詢請求信息，第一域名查詢請求信息中包括目的域名信息，第二域名查詢請求信息中包括虛擬權威域名服務器域名信息；

cookie值確定模塊，用于根據所述域名查詢請求信息的源IP地址、目的IP地址確定cookie值；

虛擬域名信息生成模塊，用于根據第一cookie值生成虛擬權威域名服務器域名信息，并將該虛擬權威域名服務器域名信息向緩存域名服務器返回，所述第一cookie值由cookie值確定模塊根據第一域名查詢請求信息確定；

cookie值比較模塊，用于對第二cookie值與第二域名查詢請求信息中所攜帶的第一cookie值進行比較，所述第二cookie值由cookie值確定模塊根據第二域名查詢請求信息確定。