本發明公開一種針對DNS服務器的DDOS防御攻擊系統，包括信息提取模塊、對比檢測模塊和決策判斷模塊，信息提取模塊通過對比檢測模塊與決策判斷模塊連接；決策判斷模塊包括檢測模式單元、過濾模式單元和模式轉換單元，模式轉換單元分別與檢測模式單元和過濾模式單元連接。本發明提供的針對DNS服務器的DDOS防御攻擊系統，通過統計DNS包到達服務器跳數的信息提取模塊、以及判斷DNS包是否為源IP地址偽造包的對比檢測模塊并結合決策判斷模塊對源IP地址偽造包的檢測模式進行篩選，能夠有效地提高對源IP地址偽造包的檢測效率和識別準確性，降低誤報率，以消除源IP地址偽造包對DNS服務器的攻擊，提高了抵御能力。

技術領域

本發明屬于服務器防御技術領域，涉及到一種針對DNS服務器的DDOS防御攻擊系統。

背景技術

隨著網絡技術和網絡應用的發展，網絡安全問題顯得越來越重要。分布式拒絕服務(DDoS)攻擊由于實現容易、追蹤困難、后果嚴重等而成為網絡安全的一大難題。

域名系統(DNS)是互聯網的地址簿，主要負責將域名轉化為IP地址，幾乎所有的互聯網服務都依賴于DNS服務器，因此，直接向DNS服務器發動DDoS攻擊或利用DNS服務向其它受害者發動DDoS攻擊，產生的破壞性遠大于其它類型的攻擊。

針對DNS服務器的DDoS攻擊流的合法性導致無法區分攻擊流量和合法流量，并且開放遞歸服務的DNS服務器等資源的易得性，以及DNS協議在設計時存在缺陷，導致近年來針對DNS服務器的DDoS攻擊頻頻發生，且存在DNS服務器在遭到攻擊時易發生癱瘓，間接導致了全國大范圍斷網。因此，針對DNS服務器的DDoS攻擊已成為互聯網的重大安全威脅之一，深入分析針對DNS服務器的DDoS攻擊原理，并提出有效的防范策略，對互聯網的通信安全具有重要的意義。

發明內容

本發明的目的在于提供的針對DNS服務器的DDOS防御攻擊系統，通過信息提取模塊、對比檢測模塊并結合決策判斷模塊，解決了現有DNS服務器存在的抵御能力差、安全性差的問題。

本發明的目的可以通過以下技術方案實現：

一種針對DNS服務器的DDOS防御攻擊系統，包括信息提取模塊、對比檢測模塊和決策判斷模塊，信息提取模塊通過對比檢測模塊與決策判斷模塊連接；

所述信息提取模塊用于對訪問服務器的DNS包進行信息處理，提取DNS包中的源IP地址字段和TTL值，且統計該DNS包到達服務器所經過的跳數，并將DNS包中的源IP地址字段以及跳數發送至對比檢測模塊；

所述對比檢測模塊用于接收信息提取模塊發送的DNS包中的源IP地址字段以及跳數，并將接收的跳數作為比對檢測算法的輸入，通過與IPH_Bloom結構中存儲的跳數進行對比來確定待檢測的DNS包是否為源IP地址偽造包；

決策判斷模塊包括檢測模式單元、過濾模式單元和模式轉換單元，模式轉換單元分別與檢測模式單元和過濾模式單元連接，檢測模式單元采用檢測模式，用于抽樣檢測訪問服務器的DNS包中是否存在源IP地址偽造包，過濾模式單元采用過濾模式，用于逐個檢測訪問服務器的每個DNS包是否存在源IP地址偽造包，模式轉換單元用于對檢測模式單元和過濾模式單元的檢測進行轉換。

進一步地，數據包訪問服務器的跳數，采用TTL值推算方法進行統計，以確定待檢測的DNS包是否為源IP地址偽造包，所述TTL值推算跳數的方法，包括以下步驟：

S1、從待檢測的DNS包中提取源IP地址S和最終TTL值Tf；

S2、根據Tf推出初始TTL值Ti，并計算其跳數值Hc，以S和跳數值Hc為關鍵檢索IPH_Bloom中存儲的標準跳數Hs；

S3、判斷跳數值Hc與標準跳數Hs是否相等，若相等，則DNS包未合法包，反之，則為源IP地址偽造包。