技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于分布式層級化的DNS防御系統和方法。

背景技術

DNS?是域名系統?(Domain?Name?System)?的縮寫，它是由解析器和域名服務器組成的。DNS服務器是指保存有該網絡中所有主機的域名和對應IP?地址，并具有將域名轉換為IP?地址功能的服務器。

普通的DNS服務器只負責為用戶解析出IP記錄，而不去判斷用戶從哪里來，這樣會造成所有用戶都只能解析到固定的IP地址上。隨著技術的更新換代，智能DNS的出現顛覆了這個概念。智能DNS會判斷用戶的來路，而做出一些智能化的處理，然后把智能化判斷后的IP返回給用戶，而不需要用戶進行選擇。比如一個企業的站點同時擁有三個運營商的帶寬：電信、網通、移動，如果訪問者是網通用戶，智能DNS服務器會把該企業網站的域名對應的網通IP地址解析給這個訪問者；其他的也同理。有些網站在國外和國內都放置了服務器，使用智能DNS可以讓國外的網絡用戶鏈接到國外的服務器，國內的用戶鏈接到國內的服務器，從而使國內外的用戶都能迅速的訪問到該網站的服務器。

然而，現在大多數的DNS系統沒有提供智能DNS解析的功能，提供了智能DNS解析功能的DNS系統又無法提供在大流量或大量惡意查詢的情況下提供正常DNS服務的保障。常見的智能DNS系統都會使用單一的服務IP組，當該組IP受到攻擊時，不但被攻擊的域名無法正常解析，同樣使用該組IP的所有域名都會出現區域訪問的故障。

因此，如何增強智能DNS系統在遭遇大量惡意查詢時的抵抗能力，提高智能DNS系統對大流量查詢的承受力，成為了亟待解決的問題。

發明內容

有鑒于此，有必要針對上述問題，提供一種基于分布式層級化的DNS防御系統和方法，在大流量及大量惡意查詢的情況下，為DNS服務系統的正常查詢服務提供保障，保證DNS解析不受影響。

為此，本發明采用以下技術方案：

一種基于分布式層級化的DNS防御系統，包括前端防御系統和多個智能DNS服務系統，每一個智能DNS服務系統的輸入端與前端防御系統的輸出端連接，前端防御系統的輸入端與網絡連接。

所述前端防御系統包括：

流量防御模塊，用于對輸入到前端防御系統的查詢數據包進行流量清洗；

數據包過濾模塊，用于濾除輸入到前端防御系統中的惡意查詢數據包；

流量防御模塊和數據包過濾模塊依次連接。

所述智能DNS服務系統包括：

定時掃描模塊，用于定時掃描輸入到智能DNS服務系統的查詢數據包，統計各域名數據被查詢數據包查詢的頻率，將被查詢頻率超過閾值的域名數據反饋給數據包過濾模塊；

DNS解析模塊，用于對輸入到智能DNS服務系統的查詢數據包的查詢請求進行響應，完成DNS解析工作；

定時掃描模塊和DNS解析模塊依次連接，各智能DNS服務系統的定時掃描模塊分別與前端防御系統的數據包過濾模塊連接。

所述數據包過濾模塊收到定時掃描模塊反饋回的域名數據后，將正在查詢所述域名數據的查詢數據包濾除。

所述閾值大于500次每10秒，小于1000次每10秒。

一種基于分布式層級化的DNS防御方法，包括：

S1、將多個智能DNS服務系統的輸入端分別與一前端防御系統的輸出端連接，所有查詢數據包均由所述前端防御系統的輸入端接收；

S2、所述前端防御系統對收到的查詢數據包進行流量清洗；

S3、所述前端防御系統濾除查詢數據包中的惡意查詢數據包；

S4、所述前端防御系統根據查詢數據包所指定的地址，將過濾后的訪問數據分別發送到各自指向的目標智能DNS服務系統，進行DNS解析工作。

所述方法還包括：

S5、定時掃描輸入到智能DNS服務系統的查詢數據包，統計各域名數據被查詢數據包查詢的頻率，將被查詢頻率超過閾值的域名數據反饋給前端防御系統；

S6、前端防御系統收到反饋回的域名數據后，將正在查詢所述域名數據的查詢數據包濾除。

在S2中，前端防御系統濾除不符合FQDN規則的查詢數據包。

在S3中，前端防御系統濾除不符合DNS查詢包構建規則的查詢數據包。

在S5中，所述閾值大于500次每10秒，小于1000次每10秒。