[发明专利]DNS请求处理方法及DNS系统

说明书

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种DNS请求处理方法及DNS系统。

背景技术

CC(Challenge Collapsar)攻击是DDoS(Distributed Denial of Service，分布式拒绝服务)攻击的一种，属于黑客常用的一种攻击手法。黑客通常会通过大量代理服务器或傀儡机，向目标服务器同时发起大量的请求，造成目标服务器资源或带宽资源耗尽，从而妨碍目标服务器的正常运行。现有对抗超过自身防御能力的大规模CC攻击的方法时，常采用堆叠服务器或者增加带宽的方式来应对，新增的资源在没有收到攻击时被闲置，从而导致运营成本增加，浪费了资源。

发明内容

为了克服现有技术中的上述不足，本发明的目的在于提供一种DNS请求处理方法，应用于DNS系统，所述方法包括：

获取DNS请求；

对该DNS请求进行解析，获得该DNS请求的危险程度参数；

当所述危险程度参数低于第一预设阈值时，向该用户终端反馈所述DNS请求对应的互联网IP地址；

当所述危险程度参数高于所述第一预设阈值时，将该DNS请求作为危险DNS请求，向该用户终端反馈一个预设IP地址。

可选地，在上述方法中，所述DNS请求包括发送该DNS请求的用户终端的IP地址；所述DNS系统预存有白名单及黑名单；在所述对该DNS请求进行解析的步骤之前，所述方法还包括：

查询发送所述DNS请求的用户终端的IP地址在所述白名单或黑名单中是否有记录；

当所述用户终端的IP地址在所述白名单中有记录时，响应该DNS请求，向该用户终端反馈该DNS请求对应的网站IP地址；

当所述用户终端的IP地址在所述黑名单中有记录时，向该用户终端反馈一个预设IP地址；

当所述用户终端在所述白名单及黑名单中均没有记录时，再执行对该DNS请求进行解析的步骤。

可选地，在上述方法中，所述DNS系统预存危险程度判断规则，所述危险程度判断规则包括不同预设条件对应的危险值；所述对该DNS请求进行解析，获得该DNS请求的危险程度参数的步骤，包括：

解析所述DNS请求，针对每个所述预设条件，判断该DNS请求是否符合该预设条件，当所述DNS请求符合所述预设条件时，对该DNS请求对应的危险程度参数增加相应的危险值。

可选地，在上述方法中，所述针对每个所述预设条件，判断该DNS请求是否符合该预设条件，当所述DNS请求符合所述预设条件时，对该DNS请求对应的危险程度参数增加相应的危险值的步骤，包括：

判断所述DNS请求中是否包括非标准HTTP头，若是，则将该DNS请求对应的危险程度参数增加第一危险值；

判断发送所述DNS请求的IP地址是否在预设时间内的访问频率超过第二预设阈值，若是，则将该DNS请求对应的危险程度参数增加第二危险值；

判断所述DNS请求是否请求访问预设的URL，若是，则将该DNS请求对应的危险程度参数增加第二危险值；

判断所述DNS请求是否请求并发访问同一文件，若是，则将该DNS请求对应的危险程度参数增加第二危险值；

判断所述DNS请求访问的URL地址是否为随机生成，若是，则将该DNS请求对应的危险程度参数增加第一危险值；

判断发送所述DNS请求的用户终端是否使用代理IP，若是，则将该DNS请求对应的危险程度参数增加第二危险值；

其中，所述第一危险值大于所述第二危险值。

可选地，在上述方法中，向所述用户终端反馈的预设IP地址为回送地址，使该用户终端的访问请求指向该用户终端本身。

可选地，在上述方法中，所述DNS系统与公共DNS服务器通信，所述方法还包括：

针对目标网站的域名设置NS记录，使公共DNS服务器将针对所述目标网站的域名发起的DNS请求发送给所述DNS系统。

可选地，在上述方法中，所述DNS系统支持edns-client-subnet扩展协议，通过所述edns-client-subnet扩展协议从公共DNS服务器获取发送所述DNS请求的用户终端的IP地址。

可选地，在上述方法中，在将该DNS请求作为危险DNS请求，向该用户终端反馈一个预设IP地址的步骤之后，所述方法还包括：

将该用户终端的IP地址记录入所述黑名单。