本发明涉及安全防护技术领域,具体涉及一种基于多层级自行调整限速的流量控制安全防护技术。
背景技术
dns(domainnamesystem)域名系统,作为互联网的基础服务设施,为域名和精确ip地址建立映射关系,实现用户访问互联网上的网站、应用与业务。近年来,随着网络应用和业务的不断发展,网络攻击事件日益频繁。进行dns攻击的主要方式包括:dns服务内容被篡改和dns服务器受到流量攻击两种类型。无论是哪种攻击方式,都会对dns服务器的正常运作及互联网的正常访问造成比较大的影响。目前针对dns攻击已经有很多种防御措施,各种防御措施的方法、特点及局限性如下:
一、常用的dns安全防护技术及其局限性
(一)加强dns的安全管理
主要是加强对域名服务器的安全管理,将对外提供服务的dns解析服务器和管理服务器分离,利用自身服务器的安全加固技术,结合定期更改密码、加强漏洞修复等手段,从而可以防范攻击者通过黑客手段获取管理权限,能有效防范诸如域名劫持之类的常见攻击,但无法应用于流量攻击。
(二)应用httpdns技术
dns协议默认均采用udp协议传输,udp协议本身的无连接特性,使得dns服务器无法确定其查询用户的真实性,间接上为ddos攻击、放大攻击、反射攻击提供了相当程度的便利。
httpdns技术通过http协议承载dns协议,除了能有效解决流量调度的问题之外,它还可以利用tcp协议的特性,有效地确认查询用户的真实性,通过该方法可以有效防范类似缓存投毒、ddos攻击、放大攻击、反射攻击等攻击手段。但是httpdns技术在应用方面具有很大的局限性,只能应用于类似移动app之类的特殊客户端,而无法为海量的普通用户提供大规模的查询服务。
(三)tc标志位重传技术
dns标准协议中,有一个tc标志位字段,当dns应答结果超过512字节udp协议无法承载时,会在应答报文中将该标志字段置1,dns查询客户端收到该dns应答后,会重新发起基于tcp协议的dns查询,dns服务器将所有应答结果基于tcp协议回复给客户端。
tc标志位重传技术就是利用dns协议的这一特性,确认dns查询客户端的真实性,有效防护ddos攻击。该技术是一种针对客户响应的方法,但是tcp协议的自身特性会对系统资源消耗巨大,同时在dns查询流量比较大的情况下该技术会产生较大误差,实际上在大容量dns缓存服务器中难以使用。
(四)cname类型重传技术
类似tc标志位重传技术类型,它利用dns协议的特性,dns递归服务器收到dns权威服务器的cname应答结果后,会重新发起对这个cname结果的dns查询请求,以此来确认dns查询客户端的真实性。这种技术同样有很大的局限性,只能应用于dns权威服务器,以此来确认dns递归服务器的真实性。其无法应用于普通的dns缓存服务器和递归服务器,实际上无法实现对流量攻击的有效保护。
(五)dns限速技术
dns限速技术有分为ip限速和域名限速。ip限速是指限定每个ip用户的每秒钟dns查询次数。ip限速可以有效的抑制dns放大攻击和dns反射攻击,对ddos攻击有一定的缓解作用,但对于有大量僵尸网络的ddos攻击并不能起到很好的防护作用。域名限速是指限定某个特定域名或泛域名的每秒钟dns查询次数。域名限速主要是为了防护前缀变化的dns递归攻击,有效的保护dns递归服务器,但是针对全散列的错误域名攻击无法防护。
综前所述,各种防护技术都具有其自身的局限性,从而形成在当前网络环境中针对大量僵尸网络的不同类别ddos攻击难以实现有效防护的局面。同时在复杂的现网环境下也可能难以精确溯源攻击者,因此如何有效应对大量的运行在udp协议上全散列域名的ddos攻击是网络运营商所面临的重大难题。
技术实现要素:
针对现有技术的不足,本发明公开了一种基于多层级自行调整限速的流量控制安全防护技术,用于解决各种防护技术都具有其自身的局限性,从而形成在当前网络环境中针对大量僵尸网络的不同类别ddos攻击难以实现有效防护的局面。同时在复杂的现网环境下也可能难以精确溯源攻击者。
本发明通过以下技术方案予以实现:
基于多层级防御自行调整的dns安全防护技术,其特征在于:所述技术通过多层级自行调整限速防止某一地址段或者对某些域名的查询流量占用太多资源,所述多层级自行调整限速过滤技术实现中,在每一层级别都有不同的过滤策略,不同的过滤策略针对不同的ddos攻击流量,每一层级别的过滤策略都是一个限速过滤矩阵,dns请求包依次通过这些限速过滤矩阵做判断,通过的为正常请求包,过滤的为异常的ddos攻击包。
优选的,所述限速过滤矩阵包括:源ip限速过滤矩阵、域名限速矩阵、授信域名过滤矩阵和泛域限速过滤矩阵。
优选的,所述源ip限速过滤矩阵判断识别每个源ip的请求是否超过限速阈值,超过的丢弃,具体是将源ip范围划分成各种网段,通过ip网段或单个ip来控制dns查询。
优选的,所述域名限速矩阵判断识别每个域名的请求是否超过限速阈值,超过的丢弃,不同的域名有不同的限速阈值,可进行配置,防止系统遭受单个域名大量dns请求的流量攻击。
优选的,所述授信域名过滤矩阵通过分析一定时间内现网所有的dns请求应答数据,得到所有应答结果为noerror的域名清单,将这份清单作为可信的域名列表,dns请求域名在这份可信的列表中的,不做过滤并正常通过。
优选的,域名不在这份列表中的dns查询请求,授信域名过滤矩阵通过聚合分析域名的三级后缀、二级后缀,再做限速过滤。
优选的,所述泛域限速过滤矩阵中,如果授信域名列表不全或者不存在,为了应对前缀变化的泛域递归攻击,将通过泛域限速功能进行防护,从域名三级后缀、二级后缀的角度进行聚合统计分析,丢弃递归流量较大的域,在递归性能有限的情况下,保证正常域名的递归。
优选的,还包括矩阵的顺序自行调节技术,所述技术在一定的周期内,统计各个矩阵所丢弃的数据包的数量,并依照数据的大小进行排序,依照这种规则,丢弃数据包越多的矩阵排在最前面,次多的排在第二位,以此类推,丢弃数据包最少的矩阵排在最后一位,在下一个周期内,数据包将按照以上顺序依次经过矩阵的检测,并在周期结束时重新统计各个矩阵所丢弃数据包的情况,并根据这些情况调整矩阵的排位顺序。
本发明的有益效果为:
本发明能有效过滤不同类型ddos攻击流量,最大限度保证正常用户的dns访问。多层级自行调整限速可防止某一地址段或者对某些域名的查询流量占用太多资源,从而影响整体系统性能。当出现局部ip段或域名段查询流量异常变大,则可能是ddos攻击所造成,则可通过多层级限速实现防御功能,设置矩阵的顺序自行调节技术,保证了在新的周期内,数据包首先经过丢弃数据包最多的矩阵,这样就尽可能地减少了数据经历矩阵的数量,从而节省了系统计算资源的开销。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的限速过滤矩阵流程图;
图2是本发明的授信域名过滤流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明针对目前常见的大规模ddos域名流量攻击,提出了一种基于多层级自行调整限速的流量控制安全防护技术,该技术方案能有效过滤不同类型ddos攻击流量,最大限度保证正常用户的dns访问。多层级自行调整限速可防止某一地址段或者对某些域名的查询流量占用太多资源,从而影响整体系统性能。当出现局部ip段或域名段查询流量异常变大,则可能是ddos攻击所造成,则可通过多层级限速实现防御功能。
在多层级自行调整限速过滤技术实现中,在每一层级别都有不同的过滤策略,不同的过滤策略针对不同的ddos攻击流量,每一层级别的过滤策略都是一个限速过滤矩阵,dns请求包依次通过这些限速过滤矩阵做判断,通过的为正常请求包,过滤的为异常的ddos攻击包。
本发明提供的限速过滤矩阵有如下几种:
(1)源ip限速过滤矩阵
判断识别每个源ip的请求是否超过限速阈值,超过的丢弃。具体是将源ip范围划分成各种网段,通过ip网段或单个ip来控制dns查询。在系统遭受单个ip或ip段发起大量dns请求的攻击下,有较好的防护作用。
(2)域名限速矩阵
判断识别每个域名的请求是否超过限速阈值,超过的丢弃。不同的域名有不同的限速阈值,可进行配置,防止系统遭受单个域名大量dns请求的流量攻击。
(3)授信域名过滤矩阵
通过分析一定时间内现网所有的dns请求应答数据,得到所有应答结果为noerror的域名清单,将这份清单作为可信的域名列表,dns请求域名在这份可信的列表中的,不做过滤并正常通过;域名不在这份列表中的dns查询请求,授信域名过滤矩阵通过聚合分析域名的三级后缀、二级后缀,再做限速过滤。
(4))泛域限速过滤矩阵
如果授信域名列表不全或者不存在,为了应对前缀变化的泛域递归攻击,例如:xxx.abc.com,xxx.abc.com.cn攻击,将通过泛域限速功能进行防护。泛域限速是为了控制递归流量,从域名三级后缀、二级后缀的角度进行聚合统计分析,丢弃递归流量较大的域。在递归性能有限的情况下,保证正常域名的递归。
本发明还设计了一种矩阵的顺序自行调节技术,在图1中我们可以看到矩阵是按照1、2、3、4…n这样的顺序进行排序,数据包过来的时候也是按照这种顺序进行过滤,当数据包通过矩阵1的过滤以后,再由矩阵2进行过滤,以此类推。如果按照这种方式,一个数据包如果没有被前面的矩阵丢弃,那这个数据包必须按照预定的顺序经过这些矩阵,直至被丢弃或者通过。具体来说,如果在一个时间段以内,有大量的数据包被矩阵3丢弃,而在此之前这些数据包都要经过矩阵1、矩阵2的检查,这样就会对系统的计算能力造成了一定程度上的浪费。如果一开始这些数据包就被矩阵3进行检查并被丢弃掉,这样就避免了再被矩阵1、矩阵2进行过滤,从而节省了系统的计算能力开销。针对以上情况,本发明还设计了一种矩阵顺序自动调整机制,具体内容如下:
在一定的周期内(如一周,这个周期可以灵活设置),统计各个矩阵所丢弃的数据包的数量,并依照数据的大小进行排序,依照这种规则,丢弃数据包越多的矩阵排在最前面,次多的排在第二位,以此类推,丢弃数据包最少的矩阵排在最后一位。在下一个周期内,数据包将按照以上顺序依次经过矩阵的检测,并在周期结束时重新统计各个矩阵所丢弃数据包的情况,并根据这些情况调整矩阵的排位顺序。
通过以上方式保证了在新的周期内,数据包首先经过丢弃数据包最多的矩阵,这样就尽可能地减少了数据经历矩阵的数量,从而节省了系统计算资源的开销。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。