[发明专利]拒绝服务攻击防护方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种拒绝服务攻击防护方法及装置。

背景技术

DOS(Denial of Service)为拒绝服务，凡是导致合法用户不能正常访问网络服务的行为都算是拒绝服务攻击；DDOS(Distributed Denial of Service)即分布式拒绝服务，DDOS主要是通过大量的“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或者服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦实施，攻击网络就会像洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器资源。因此，拒绝服务攻击又被称作“泛洪攻击”。

UDP Flood是日益猖獗的流量型DOS/DDOS攻击，原理很简单。常见的情况是利用大量的UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP是无连接的协议，因此攻击者可以仿造无数个IP地址发送数据包。

UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而目前，在一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS服务器的脆弱性。

为解决DNS服务器遭受DOS/DDOS攻击从而造成网络阻塞或者服务器资源耗尽而导致拒绝服务，合法用户无法正常访问服务器资源的技术问题，相关技术提供了一种通过防护设备做基于访问频率的限速功能来限制对服务器的访问量的技术方案，具体的，主要是基于访问频率的阈值的限制，当访问频率达到用户设定的阈值后，便丢弃后续数据。

其示意图请参见图1，DNS请求包经防火墙Firewall到达域名服务器DNS server，其中，虚线代表共计流量，而实线代表正常流量，即非攻击流量。假如用户设置的阈值为N(次)/秒，当流经Firewall的DNS请求包次数达到N次/秒这个频率后，Firewall会丢弃超过这个阈值的DNS请求包。在超出N次/秒这个频率Firewall并不会去识别是否是DDOS的攻击流量，将所有的DNS请求包都抛弃。

相关技术缺点在于，无法识别虚假IP地址，同时识别攻击流量不够准确，会有大量的攻击流量流向服务器，同时会丢弃大量正常访问流量。

相关技术还提供了另外一种解决方法，通过增加带宽、增加DNS Server冗余设备来保障正常服务的提供。但是，第二种解决方法大大增加运营成本，随着黑客用来攻击的肉鸡数量的增加，需要增加更多的冗余设备来提供服务。

针对相关技术中DNS服务器遭受DOS/DDOS攻击从而造成网络阻塞或者服务器资源耗尽而导致拒绝服务，合法用户无法正常访问服务器资源的技术问题，目前尚未提出有效的解决方案。

发明内容

针对DNS服务器遭受DOS/DDOS攻击从而造成网络阻塞或者服务器资源耗尽而导致拒绝服务，合法用户无法正常访问服务器资源的技术问题，本发明提供了一种拒绝服务攻击防护方法及装置，以至少解决上述问题。

根据本发明的一个方面，提供了一种拒绝服务攻击防护方法，包括：防火墙Firewall接收个人电脑Local PC发送的域名服务器DNS请求包；所述Firewall向所述Local PC返回应答消息；所述Firewall判断所述Local PC是否对所述应答消息进行反馈，如果反馈，则验证通过；所述Firewall将验证通过的DNS请求包发送至所述DNS服务器server。

优选的，所述应答消息包括：所述Firewall构造的缓存COOKIE，其中，所述COOKIE为DNS转介回应的域名。