技術領域

本發明是關于網絡安全領域，特別涉及一種基于DNS進行防CC攻擊的方法。

背景技術

HTTP CC是一種針對應用層為HTTP協議的DDoS攻擊，目的是消耗web服務器的系統資源，使其無法正常提供web服務。對于CC攻擊，通常采用的是ISP近源清洗、云清洗、本地安全網關防CC的縱深防御體系，對惡意流量進行逐層次過濾，達到對CC攻擊的防護和抑制。但CC攻擊只能緩解而不能完全防御，因為不論是ISP近源清洗，云清洗，或者是在OS/AP的網絡層處理，都需要去識別攻擊流量。

在攻擊流量足夠大時，單單識別攻擊流量所消耗的系統資源，都足以使防護設備無法應對，從而放過攻擊流量，導致web服務器遭受攻擊。我們如何在縱深防御體系進行加強，以更大程度上緩解CC攻擊，市場前景看好。

發明內容

本發明的主要目的在于克服現有技術中的不足，提供一種能作為現有HTTP CC縱深防護體系的一個擴展，且能利用較小的系統計算資源從根本上完成大量的HTTP CC攻擊防護的方法。為解決上述技術問題，本發明的解決方案是：

提供一種基于DNS進行防CC攻擊的方法，當用戶IP發起對目標服務器的訪問前，須先向權威DNS服務器發起DNS查詢，用于獲取目標服務器的IP地址，所述基于DNS進行防CC攻擊的方法具體是指：在該權威DNS服務器上收到用戶IP的DNS查詢請求后，在DNS域名解析過程中加入下述步驟：

將攻擊IP列表加入到權威DNS服務器的黑名單，若進行DNS查詢的用戶IP在黑名單中，該用戶IP為惡意IP，則不將目標服務器的IP地址返回給該惡意IP，返回給該惡意IP的是和目標服務器的IP地址不相關的地址(即對中識別為惡意IP的查詢請求，將域名解析結果重寫成一個確認不危害公網的IP地址，比如私有IP，環回IP地址等，即返回的重寫的IP地址并非實際的WEB服務器IP地址，這些惡意IP的攻擊流量就再也不會發送到期望的攻擊目標)；

所述攻擊IP列表中是訪問速率異常或者集中訪問某些頁面的源IP(作為一套完整的防御DDOS解決方案的一部分，總會在被保護的WEB服務器前部署安全網關，即部署在本地的安全網關；安全網關通常都會具有防CC功能模塊，在本地安全網關處會進行CC防護，安全網關使用一些基于源IP訪問web服務器的諸如訪問速率、訪問某個頁面的集中程度等行為可以判定該IP是否為正常用戶；訪問速率異常或者集中訪問某些頁面的源IP即可被列入攻擊IP列表)。

在本發明中，所述權威DNS服務器還內置有第三方IP地址庫，來識別源IP(用戶IP)的區域位置，實現只允許特定區域的用戶訪問，丟棄其他區域用戶的非法訪問；

所述第三方IP地址庫中包含每個IP地址的區域位置，從而能用于識別源IP的區域位置(可采用ipip.net地址庫、淘寶IP地址庫或者百度IP地址庫等第三方IP地址庫實現)。

提供一種權威DNS服務器，包括處理器，適于實現各指令；以及存儲設備，適于存儲多條指令，所述指令適用于由處理器加載并執行：

在該權威DNS服務器上收到用戶IP的DNS查詢請求后，在DNS域名解析過程中加入下述步驟：

將攻擊IP列表加入到權威DNS服務器的黑名單，若進行DNS查詢的用戶IP在黑名單中，該用戶IP為惡意IP，則不將目標服務器的IP地址返回給該惡意IP，返回給該惡意IP的是和目標服務器的IP地址不相關的地址(即對中識別為惡意IP的查詢請求，將域名解析結果重寫成一個確認不危害公網的IP地址，比如私有IP，環回IP地址等，即返回的重寫的IP地址并非實際的WEB服務器IP地址，這些惡意IP的攻擊流量就再也不會發送到期望的攻擊目標)；

所述攻擊IP列表中是訪問速率異常或者集中訪問某些頁面的源IP(作為一套完整的防御DDOS解決方案的一部分，總會在被保護的WEB服務器前部署安全網關，即部署在本地的安全網關；安全網關通常都會具有防CC功能模塊，在本地安全網關處會進行CC防護，安全網關使用一些基于源IP訪問web服務器的諸如訪問速率、訪問某個頁面的集中程度等行為可以判定該IP是否為正常用戶；訪問速率異常或者集中訪問某些頁面的源IP即可被列入攻擊IP列表)。