本發明提供了一種DDoS攻擊防御方法、裝置、電子設備及介質，所述方法包括：啟動DNS服務器，加載區文件，并設置初始應答閾值；接收DNS請求流量；基于DNS協議檢索區數據，生成與所述DNS請求流量中各DNS請求報文對應的應答包，同時根據各應答包的應答價值和應答成本生成與各應答包對應的應答權重碼；當檢測到因存在攻擊流量而導致DNS服務器無法正常解析時，根據攻擊流量的特征調整應答閾值，并根據調整后的應答閾值和各應答包的應答權重碼對各應答包進行過濾處理，以過濾掉相應的攻擊流量。本發明采用基于攻擊流量應答后的特征進行分類的思路，按照應答特征中的應答價值和應答成本對DNS請求流量進行分類，達到針對不同攻擊流量進行有效精準清洗的防御功效。

技術領域

本發明涉及計算機技術領域，具體涉及一種DDoS攻擊防御方法、裝置、電子設備及介質。

背景技術

域名系統(Domain Name System，簡稱DNS)主要用于完成從域名到互聯網協議(Internet Protocol，簡稱IP)地址的映射及其他互聯網資源的解析，是互聯網中重要的基礎設施。分布式拒絕服務(Distributed Denial of Service，簡稱DDoS)攻擊，通常由黑客控制傀儡集群向目標發送大量合法請求，導致目標的系統資源耗盡無法提供正常服務。DDoS攻擊的主要目標是網絡基礎架構，隨著互聯網的高速發展，DDoS攻擊已成為DNS目前面臨的重要威脅，對DNS防御能力的要求也與日俱增。針對DNS網絡服務的DDoS攻擊最主要的就是利用放大(Amplification)或反射(Reflection)方式所產生的巨量DDoS攻擊。其中DNS放大攻擊是一種拒絕服務攻擊，利用回復包比請求包大的特點(放大流量)，偽造請求包的源IP地址，產生針對一個目標的大量的虛假的通信，目的是耗盡攻擊目標的系統資源。

DNS包含遞歸解析系統和權威解析系統。針對權威解析系統存在一種遞歸代理放大攻擊：黑客控制傀儡集群向遞歸解析系統發送大量攻擊請求，以遞歸解析系統為跳板，攻擊目標權威解析系統。這種攻擊存在兩個特點：1)由于直接攻擊源是真實的遞歸解析系統，因此權威解析系統不能針對源IP進行清洗，否則會導致使用相關遞歸解析系統的正常用戶無法上網；2)DNS請求包含域名(name)、類型(type)、類(class，一般為IN)三元組，遞歸解析系統以三元組為主鍵緩存資源記錄，傀儡集群發送的攻擊請求，三元組需隨機變化，以避免命中遞歸緩存，從而達到攻擊權威服務系統的目的。

針對權威解析系統的DDoS攻擊，目前業內普遍基于特征庫，按性質(正常流量和攻擊流量)對DNS查詢流量進行分類，清洗攻擊流量，避免系統資源耗盡。在遞歸代理攻擊的情況下，這種方式的主要問題是：由于直接攻擊源是真實的遞歸解析系統，而查詢流量的三元組又是隨機變化的，源IP和域名等主要特征失效，導致分類準確率大幅降低，防御能力顯著減弱。

發明內容

針對現有技術中的問題，本發明提供一種DDoS攻擊防御方法、裝置、電子設備及介質。

為解決上述技術問題，本發明提供以下技術方案：

第一方面，本發明提供了一種DDoS攻擊防御方法，包括：

啟動DNS服務器，加載區文件，并設置初始應答閾值；其中，所述初始應答閾值不對DNS請求流量進行任何過濾；

接收DNS請求流量；

基于DNS協議檢索區數據，生成與所述DNS請求流量中各DNS請求報文對應的應答包，同時根據各應答包的應答價值和應答成本生成與各應答包對應的應答權重碼；

當檢測到因存在攻擊流量而導致DNS服務器無法正常解析時，根據攻擊流量的特征調整應答閾值，并根據調整后的應答閾值和各應答包的應答權重碼對各應答包進行過濾處理，以過濾掉相應的攻擊流量。