一种域名请求攻击的防御方法及系统与流程

本发明涉及通信技术领域，特别涉及一种域名请求攻击的防御方法及系统。

背景技术：

现有技术中域名解析查询通常都是基于UDP协议的，因此在域名解析查询过程中缺少验证机制，这一点很容易被黑客利用。其中域名解析请求洪水就是一种业界比较常见的一种域名解析攻击行为。他的原理主要是黑客控制僵尸网络向域名解析服务器发送大量的不存在的域名解析请求，导致域名服务器性能耗尽，无法响应正常用户的域名解析请求，甚至发生服务器瘫痪宕机。

在实现本发明的过程中，发明人发现现有的防御方法，由于其不能分别正常用户域名还是非正常用户域名，因此在避免域名解析请求洪水攻击行为带来的域名服务器瘫痪宕机等危害的同时，一些正常用户的域名请求报文可能也会被拦截。

技术实现要素：

本发明实施例的目的是提供一种域名请求攻击的防御方法及系统，通过防火墙对第一域名解析查询报文进行重定向的方法，生成重定向域名，然后客户端再以重定向域名重新发送第二域名解析查询报文，如果防火墙能接收第二域名解析查询报文，则说明该源IP地址是正常的，如果防火墙不能能接收第二域名解析查询报文，则说明该源IP地址是非正常的，通过这种方法能有效防御域名请求中的攻击行为，并且不会将正常的域名请求拦截。

根据本发明实施例的一个方面提供了一种域名请求攻击的防御方法，应用于防火墙，包括：对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截，提取所述第一域名解析查询报文的源IP地址；判断所述源IP地址是否在白名单中；若所述源IP地址不在白名单中，则基于随机产生的第一字符串和所述第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名；若能够接收到基于所述重定向域名返回的第二域名解析查询报文，对所述第二域名解析查询报文进行第二次重定向，重定向到原始域名，并将所述源IP地址添加到白名单中，原始域名对应于第一域名解析查询报文所查询的域名。

其中，在所述对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截的步骤之前，还包括：检测接收到的第一域名解析查询报文的数量；当检测到所述第一域名解析查询报文的数量超过预定报文数量时，开启域名解析请求洪水防御业务对超过报文阈值后的第一域名解析查询报文进行拦截。

其中，当所述源IP地址在白名单中时，提取第一域名解析查询请求的目标IP地址；基于目标IP地址，将所述第三域名解析查询请求发送给目标IP地址对应的域名解析服务器。

其中，在所述重定向到原始域名的步骤之后，还包括：提取所述第一域名解析查询的目标IP地址；基于所述目标IP地址，将所述第二域名解析查询请求发送给目标IP地址对应的域名解析服务器。

根据本发明实施例的另一个方面提供了一种域名请求攻击的防御系统，应用于防火墙，包括：提取模块，用于对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截，提取所述第一域名解析查询报文的源IP地址；判断模块，用于判断所述源IP地址是否在白名单中；重定向域名模块，用于若所述源IP地址不在白名单中，则基于随机产生的第一字符串和所述第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名；第一接收模块，用于接收到基于所述重定向域名返回的第二域名解析查询报文；所述重定向域名模块，还用于若接收模块能够接收到所述第二域名解析查询报文，对所述第二域名解析查询报文进行第二次重定向，重定向到原始域名，并将所述源IP地址添加到白名单中，原始域名对应于第一域名解析查询报文所查询的域名。

其中，所述提取模块，还包括：检测单元，用于检测接收到的第一域名解析查询报文的数量；拦截单元，用于当所述检测单元检测到所述第一域名解析查询报文的数量超过预定报文数量时，开启域名解析请求洪水防御业务对超过报文阈值后的第一域名解析查询报文进行拦截。

其中，所述提取模块，还用于当所述源IP地址在白名单中时，提取第一域名解析查询请求的目标IP地址。

其中，所述系统还包括：第一发送模块，用于基于目标IP地址，将所述第三域名解析查询请求发送给目标IP地址对应的域名解析服务器。

其中，所述提取模块，还用于提取所述第一域名解析查询的目标IP地址；第一发送模块，还用于基于所述目标IP地址，将所述第二域名解析查询请求发送给目标IP地址对应的域名解析服务器。

根据本发明实施例的又一方面提供了一种防火墙，所述防火墙内设置有权利要求5-9所述的域名请求攻击的防御系统。

本发明实施例的有益效果在于能有效防御域名请求中的攻击行为，并且不会将正常的域名请求拦截，因为通过采用防火墙对第一域名解析查询报文进行重定向的方法，生成重定向域名，然后客户端再以重定向域名重新发送第二域名解析查询报文，如果防火墙能接收第二域名解析查询报文，则说明该源IP地址是正常的，如果防火墙不能能接收第二域名解析查询报文，则说明该源IP地址是非正常的技术手段，所以克服了域名请求中的攻击问题，并且还达到了不会将正常的域名请求拦截效果。

附图说明

图1是本发明应用环境的示意图；

图2是本发明第一实施例的一种域名请求攻击的防御方法的流程图；

图3是本发明第二实施例提供的一种域名请求攻击的防御方法的流程图；

图4是本发明实施例三的一种域名请求攻击的防御系统的模块关系示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

在说明本发明的具体实施方式前，需首先说明本发明的实施环境，如图1所示，本发明主要包括客户端、防火墙和域名服务器。其中本发明实施例的客户端可以为：PC、平板电脑、手机、智能手机、电子阅读器、笔记本电脑等终端设备中的任一种；或者，可以为终端设备中的客户端模块，例如：浏览器客户端等等。

本发明实施例的防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，防火墙，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

实施例一

图1是本发明应用环境的示意图；

图2是本发明第一实施例提供的一种域名请求攻击的防御方法的流程图。

如图1所示，本发明提供了一种域名请求攻击的防御方法，应用于防火墙，包括：

步骤S11：对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截，提取所述第一域名解析查询报文的源IP地址。

具体的，本步骤S11中原始域名指的是用户在客户端中输入的需要查询的域名，如果用户需要查询www.test.com网址，在客户端的域名查询输入栏中输入，则“www.test.com”即为用户本次查询的原始域名。用户输入域名后，域名是以报文的形式发送给防火墙的。

步骤S12：判断所述源IP地址是否在白名单中。

具体的，在本步骤中，白名单指的是已经经防火墙确认，没有危险性的源IP地址。当所述源IP地址在白名单中时，提取第一域名解析查询请求的目标IP地址，其中目标IP地址指的是所请求域名的IP地址，然后防火墙基于目标IP地址，将所述第三域名解析查询请求发送给目标IP地址对应的域名解析服务器。若源IP地址不在白名单中，再转入步骤S13。

步骤S13：若所述源IP地址不在白名单中，则基于随机产生的第一字符串和所述第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名。

具体的，如果源IP地址不在白名单中表示存在危险的可能性，防火墙会随机生成第一字符串，该第一字符串和第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名。例如：域名解析查询报文中的查询域名是www.test.com，如果该查询域名的源IP地址不在白名单中，防火墙随机生成第一字符串，假设生成的第一字符串为“jakdhsadj.”，则该第一字符串和第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名即重定向到一个新的域名jakdhsadj.www.test.com。

防火墙对第一域名解析查询报文进行第一次重定向后，将生成的重定向域名发送给客户端，然后客户端对重定向域名发送新的请求,客户端发送新的请求时，会生成第二域名解析查询报文。

步骤S14，若能够接收到基于所述重定向域名返回的第二域名解析查询报文，对所述第二域名解析查询报文进行第二次重定向，重定向到原始域名，并将所述源IP地址添加到白名单中，原始域名对应于第一域名解析查询报文所查询的域名。

具体的，若防火墙能够接收到基于所述重定向域名返回的第二域名解析查询报文，即如果防火墙接收到查询客户端发送来的重定向域名，则说明这个查询客户端通过了防火墙的源认证，然后防火墙对第二域名解析查询报文进行第二次重定向，重定向到原始域名。承接上述例子，如果防火墙接收到了客户端对域名jakdhsadj.www.test.com的请求报文，防火墙就会对该请求报文进行第二次重定向，将其重定向到原始域名即www.test.com。

防火墙将第二域名解析查询报文重定向到原始域名后，将该源IP地址加入到白名单，当这个源IP地址再次发起原始域名查询请求时，由于其已经被防火墙加入到了白名单，则防火墙不会对其进行拦截，即会将其发送给域名解析服务器执行。

如果防火墙不能接收到基于所述重定向域名返回的第二域名解析查询报文，则将该源IP地址加入到黑名单中。

需要说明的是，防火墙中的白名单有时间限制，白名单时间限制可以有默认值，也可以自行设置，即防火墙中的白名单如果超过时间限制，则会删除相应的记录，之后再来请求的报文，重新按照上述步骤进行处理。

进一步的，在所述重定向到原始域名的步骤之后，防火墙提取所述第一域名解析查询的目标IP地址，基于提取的目标IP地址，防火墙将第二域名解析查询请求发送给目标IP地址对应的域名解析服务器。

本发明实施例中，客户端的流程如下：

本发明实施例一种第一域名解析查询报文通过客户端传输给防火墙，如果第一域名解析查询报文中的源IP地址不在防火墙的白名单中，则防火墙对第一域名解析查询报文进行第一次重定向，生成重定向域名，然后防火墙将重定向域名传输给客户端，客户端对重定向域名再次发送请求，即将第二域名解析查询报文发送给防火墙。能有效防御域名请求中的攻击行为，并且不会将正常的域名请求拦截。

实施例二

在实施例一的基础上，本发明还包括如图2所示的步骤S11前防火墙检测第一域名解析查询报文的数量的流程。

图2是步骤S11前防火墙检测第一域名解析查询报文的数量的流程图。

如图2所示，

S111，检测接收到的第一域名解析查询报文的数量；

S112，判断所述第一域名解析查询报文的数量超过预定报文数量

S113，若所述第一域名解析查询报文的数量超过预定报文数量，开启域名解析请求洪水防御业务对超过报文阈值后的第一域名解析查询报文进行拦截

具体的，在所述对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截的步骤之前，防火墙首先会设定一个预定报文数量，该预定报文数量是用来记录可通过防火墙而防火墙不会对其进行拦截的数值，防火墙接收到客户端发送的原始域名查询时，会实时检测接收到的第一域名解析查询报文的数量，当检测到所述第一域名解析查询报文的数量超过预定报文数量时，开启域名解析请求洪水防御业务对超过报文数值后的第一域名解析查询报文进行拦截，然后防火墙提取其拦截的第一域名解析查询报文中的源IP地址，其中，源IP地址指的是客户端的IP地址。

若请求原始域名的第一域名解析查询报文不超过预定报文数量时，防火墙不会对第一域名解析查询报文进行拦截，就会将第一域名解析查询报文发送给域名解析服务器。这种情况下，即第一域名解析查询报文数量不超过预定报文数量，则表示没有风险，只有超过预定报文数量才会存在风险。

实施例三

图3是本发明实施例三的一种域名请求攻击的防御系统的模块关系示意图。

如图3所示，本发明实施例提供了一种域名请求攻击的防御系统，应用于防火墙，包括：

提取模块100，用于对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截，提取所述第一域名解析查询报文的源IP地址；

具体的，原始域名指的是用户在客户端中输入的需要查询的域名，如果用户需要查询www.test.com网址，在客户端的域名查询输入栏中输入，则“www.test.com”即为用户本次查询的原始域名。用户输入域名后，域名是以报文的形式发送给防火墙的。

其中，在所述对请求原始域名的超过预定报文数量的第一域名解析查询报文拦截之前，防火墙首先会设定一个预定报文数量，该预定报文数量是用来记录可通过防火墙而防火墙不会对其进行拦截的数值，防火墙接收到客户端发送的原始域名查询时，提取模块中的检测单元会实时检测接收到的第一域名解析查询报文的数量，当检测到所述第一域名解析查询报文的数量超过预定报文数量时，提取模块中的拦截单元开启域名解析请求洪水防御业务对超过报文数值后的第一域名解析查询报文进行拦截，然后防火墙的提取模块提取拦截单元拦截的第一域名解析查询报文中的源IP地址，其中源IP地址指的是客户端的IP地址。

若请求原始域名的第一域名解析查询报文不超过预定报文数量时，拦截单元不会对第一域名解析查询报文进行拦截，即第一域名解析查询报文数量不超过预定报文数量，则表示没有风险，只有超过预定报文数量才会有风险。

判断模块200，用于判断所述源IP地址是否在白名单中。

需说明的是，白名单指的是已经经防火墙确认，没有危险性的源IP地址。当所述源IP地址在白名单中时，提取模块100提取第一域名解析查询请求的目标IP地址，其中目标IP地址指的是，所请求域名的IP地址，然后发送模块基于目标IP地址，将所述第三域名解析查询请求发送给目标IP地址对应的域名解析服务器。

若源IP地址不在防火墙白名单中，则重定向域名模块300，用基于随机产生的第一字符串和所述第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名。

具体的，如果源IP地址不在白名单中，重定向域名模块会随机生成第一字符串，该第一字符串和第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名。例如：域名解析查询报文中的查询域名是www.test.com，如果该查询域名的源IP地址不在白名单中，重定向域名模块随机生成第一字符串，假设生成的第一字符串为jakdhsadj.，则该第一字符串和第一域名解析查询报文对所述第一域名解析查询报文进行第一次重定向，生成重定向域名即重定向到一个新的域名jakdhsadj.www.test.com。

重定向域名模块300对第一域名解析查询报文进行第一次重定向后，将生成的重定向域名发送给客户端，然后客户端对重定向域名发送新的请求,客户端发送新的请求时，会生成第二域名解析查询报文。

进一步的，第一接收模块400，用于接收到基于所述重定向域名返回的第二域名解析查询报文；若第一接收模块400能够接收所述第二域名解析查询报文，重定向域名模块300对所述第二域名解析查询报文进行第二次重定向，重定向到原始域名，并将所述源IP地址添加到白名单中，原始域名对应于第一域名解析查询报文所查询的域名。

具体的，若接收模块400能够接收到基于所述重定向域名返回的第二域名解析查询报文，即如果第一接收模块400接收到查询客户端发送来的重定向域名，则说明这个查询客户端通过了防火墙的源认证，然后重定向域名模块300对第二域名解析查询报文进行第二次重定向，重定向到原始域名。承接上述例子，如果第一接收模块400接收到了客户端对域名jakdhsadj.www.test.com的请求报文，重定向域名模块300就会对该请求报文进行第二次重定向，将其重定向到原始域名即www.test.com。

重定向域名模块300将第二域名解析查询报文重定向到原始域名后，将该源IP地址加入到白名单，当这个源IP地址再次发起原始域名查询请求时，由于其已经被防火墙加入到了白名单，则防火墙拦截单元120不会对其进行拦截，就会将其发送给域名服务器执行。

需要说明的是，防火墙中的白名单有时间限制，白名单时间限制可以有默认值，也可以自行设置即防火墙中的白名单如果超过时间限制，则会删除相应的记录，之后再来请求的报文，重新按照上述处理方法进行处理。

进一步的，重定向域名模块300将第二域名解析查询报文重定向到原始域名后，提取模块100提取所述第一域名解析查询的目标IP地址；第一发送模块500基于目标IP地址，将第二域名解析查询请求发送给目标IP地址对应的域名解析服务器。

本发明实施例三中，客户端包括：

第二发送模块600，用于将第一域名解析查询报文通过客户端传输给防火墙。

如果第一域名解析查询报文中的源IP地址不在防火墙的白名单中，则防火墙的重定向域名模块300对第一域名解析查询报文进行第一次重定向，生成重定向域名，然后防火墙将重定向域名传输给客户端。

第二接收模块700接收到防火墙的重定向域名模块300传输来的重定向域名，第二发送模块600对重定向域名再次发送请求，即将第二域名解析查询报文发送给防火墙。

本发明实施例三中第一域名解析查询报文通过客户端第二发送模块600传输给防火墙，如果第一域名解析查询报文中的源IP地址不在防火墙的白名单中，则防火墙的重定向域名模块300对第一域名解析查询报文进行第一次重定向，生成重定向域名，然后防火墙的第一发送模块500将重定向域名传输给客户端，客户端的第二发送模块600对重定向域名再次发送请求，即将第二域名解析查询报文发送给防火墙。本实施例能有效防御域名请求中的攻击行为，并且不会将正常的域名请求拦截。

实施例四

本发明实施例四提供的一种防火墙，该防火墙包括实施例三中的一种域名请求攻击的防御系统，实施例三中已经对域名请求攻击的防御系统进行了详述，再次不在进行赘述。

如上所述，详细介绍了本发明的一种域名请求攻击的防御方法及系统，通过客户端将第一域名解析查询报文传输给防火墙，如果第一域名解析查询报文中的源IP地址不在防火墙的白名单中，则防火墙对第一域名解析查询报文进行第一次重定向，生成重定向域名，然后防火墙将重定向域名传输给客户端，客户端对重定向域名再次发送请求，即将第二域名解析查询报文发送给防火墙，解决了防御域名请求中的攻击行为，并且不会将正常的域名请求拦截。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。