本申請(qǐng)涉及網(wǎng)絡(luò)安全，尤其涉及一種ddos攻擊的處理方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、近年來(lái)，攻擊者對(duì)頂級(jí)域的攻擊規(guī)模和攻擊力度都日漸增加。以頂級(jí)域“.cn”為例，其出口帶寬通常在1gbps以內(nèi)，這意味著頂級(jí)域名系統(tǒng)(domain?name?system，dns)能夠處理的數(shù)據(jù)流量上限大約為1gbps。

2、相關(guān)技術(shù)中，針對(duì)域名解析系統(tǒng)采取的網(wǎng)絡(luò)安全措施主要是基于邊緣的抗ddos攻擊手段，如防火墻和入侵檢測(cè)系統(tǒng)(intrusion?detection?system，ids)等，這類方法常依賴于預(yù)設(shè)規(guī)則來(lái)阻止未授權(quán)的訪問(wèn)，但無(wú)法有效區(qū)分合法網(wǎng)絡(luò)流量和惡意網(wǎng)絡(luò)流量，一旦規(guī)則設(shè)置不當(dāng)，可能導(dǎo)致合法訪問(wèn)被錯(cuò)誤地?cái)r截，已經(jīng)不足以防御大規(guī)模的ddos攻擊，同時(shí)，其性能限制導(dǎo)致在高流量攻擊面前變得不堪一擊。

技術(shù)實(shí)現(xiàn)思路

1、本申請(qǐng)實(shí)施例提供一種ddos攻擊的處理方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，用以解決相關(guān)技術(shù)中ddos攻擊會(huì)使頂級(jí)dns無(wú)法正常提供服務(wù)的問(wèn)題。

2、第一方面，本申請(qǐng)實(shí)施例提供一種ddos攻擊的處理方法，包括：

3、控制端接收鏈路切換請(qǐng)求，所述鏈路切換請(qǐng)求是在頂級(jí)dns發(fā)生ddos攻擊后觸發(fā)的；

4、向第一代理發(fā)送第一鏈路查詢請(qǐng)求，所述第一鏈路查詢請(qǐng)求用于查詢遞歸dns使用的到所述頂級(jí)dns間的鏈路，所述第一代理部署在所述遞歸dns上；

5、接收所述第一代理發(fā)送的第一鏈路信息；

6、若基于所述第一鏈路信息，確定所述遞歸dns使用的是常規(guī)鏈路，則向所述第一代理發(fā)送鏈路切換指令，以將所述遞歸dns使用的所述常規(guī)鏈路切換為到所述頂級(jí)dns間的備用鏈路，所述備用鏈路和所述常規(guī)鏈路對(duì)應(yīng)的所述頂級(jí)dns的服務(wù)資源不同。

7、第二方面，本申請(qǐng)實(shí)施例提供一種ddos攻擊的處理方法，包括：

8、第一代理接收第一鏈路查詢請(qǐng)求，所述第一鏈路查詢請(qǐng)求用于查詢遞歸dns使用的到所述頂級(jí)dns間的鏈路，所述第一鏈路查詢請(qǐng)求是控制端在接收到鏈路切換請(qǐng)求后發(fā)送的，所述鏈路切換請(qǐng)求是在頂級(jí)dns發(fā)生ddos攻擊后觸發(fā)的，所述第一代理部署在遞歸dns上；

9、向所述控制端發(fā)送第一鏈路信息；

10、接收所述控制端發(fā)送的鏈路切換請(qǐng)求，所述鏈路切換請(qǐng)求是所述控制端在基于所述第一鏈路信息，確定所述遞歸dns使用的是常規(guī)鏈路后發(fā)送的；

11、將所述遞歸dns使用的所述常規(guī)鏈路切換為到所述頂級(jí)dns間的備用鏈路，所述備用鏈路和所述常規(guī)鏈路對(duì)應(yīng)的所述頂級(jí)dns的服務(wù)資源不同。

12、第三方面，本申請(qǐng)實(shí)施例提供一種ddos攻擊的處理裝置，包括：

13、第一接收模塊，用于接收鏈路切換請(qǐng)求，所述鏈路切換請(qǐng)求是在頂級(jí)dns發(fā)生ddos攻擊后觸發(fā)的；

14、第一發(fā)送模塊，用于向第一代理發(fā)送第一鏈路查詢請(qǐng)求，所述第一鏈路查詢請(qǐng)求用于查詢遞歸dns使用的到所述頂級(jí)dns間的鏈路，所述第一代理部署在所述遞歸dns上；

15、第二接收模塊，用于接收所述第一代理發(fā)送的第一鏈路信息；

16、第二發(fā)送模塊，用于若基于所述第一鏈路信息，確定所述遞歸dns使用的是常規(guī)鏈路，則向所述第一代理發(fā)送鏈路切換指令，以將所述遞歸dns使用的所述常規(guī)鏈路切換為到所述頂級(jí)dns間的備用鏈路，所述備用鏈路和所述常規(guī)鏈路對(duì)應(yīng)的所述頂級(jí)dns的服務(wù)資源不同。

17、第四方面，本申請(qǐng)實(shí)施例提供一種ddos攻擊的處理裝置，包括：

18、第一接收模塊，用于接收第一鏈路查詢請(qǐng)求，所述第一鏈路查詢請(qǐng)求用于查詢遞歸dns使用的到所述頂級(jí)dns間的鏈路，所述第一鏈路查詢請(qǐng)求是控制端在接收到鏈路切換請(qǐng)求后發(fā)送的，所述鏈路切換請(qǐng)求是在頂級(jí)dns發(fā)生ddos攻擊后觸發(fā)的，所述第一代理部署在遞歸dns上；

19、第一發(fā)送模塊，用于向所述控制端發(fā)送第一鏈路信息；

20、第二接收模塊，用于接收所述控制端發(fā)送的鏈路切換請(qǐng)求，所述鏈路切換請(qǐng)求是所述控制端在基于所述第一鏈路信息，確定所述遞歸dns使用的是常規(guī)鏈路后發(fā)送的；

21、第二發(fā)送模塊，用于將所述遞歸dns使用的所述常規(guī)鏈路切換為到所述頂級(jí)dns間的備用鏈路，所述備用鏈路和所述常規(guī)鏈路對(duì)應(yīng)的所述頂級(jí)dns的服務(wù)資源不同。

22、第五方面，本申請(qǐng)實(shí)施例提供一種電子設(shè)備，包括：至少一個(gè)處理器，以及與所述至少一個(gè)處理器通信連接的存儲(chǔ)器，其中：

23、存儲(chǔ)器存儲(chǔ)有可被至少一個(gè)處理器執(zhí)行的計(jì)算機(jī)程序，該計(jì)算機(jī)程序被所述至少一個(gè)處理器執(zhí)行，以使所述至少一個(gè)處理器能夠執(zhí)行上述任一ddos攻擊的處理方法。

24、第六方面，本申請(qǐng)實(shí)施例提供一種存儲(chǔ)介質(zhì)，當(dāng)所述存儲(chǔ)介質(zhì)中的計(jì)算機(jī)程序由電子設(shè)備的處理器執(zhí)行時(shí)，所述電子設(shè)備能夠執(zhí)行上述任一ddos攻擊的處理方法。

25、第七方面，本申請(qǐng)實(shí)施例提供一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述任一ddos攻擊的處理方法。

26、本申請(qǐng)實(shí)施例中，在頂級(jí)dns發(fā)生ddos攻擊后，控制端會(huì)接收到鏈路切換請(qǐng)求，之后，可向第一代理查詢遞歸dns使用的到頂級(jí)dns間的鏈路，若確定遞歸dns使用的鏈路是常規(guī)鏈路，則可向第一代理發(fā)送鏈路切換指令，以將遞歸dns使用的常規(guī)鏈路切換為到頂級(jí)dns間的備用鏈路，其中，備用鏈路和常規(guī)鏈路對(duì)應(yīng)的頂級(jí)dns的服務(wù)資源不同。這樣，相當(dāng)于將頂級(jí)dns的服務(wù)資源分成了兩份，一份對(duì)應(yīng)常規(guī)鏈路另一份對(duì)應(yīng)備用鏈路，當(dāng)頂級(jí)dns遭遇ddos攻擊時(shí)，僅會(huì)消耗常規(guī)鏈路對(duì)應(yīng)的服務(wù)資源，而不會(huì)影響備用鏈路對(duì)應(yīng)的服務(wù)資源，因此，將遞歸dns使用的鏈路從常規(guī)鏈路切換至備用鏈路后，頂級(jí)dns仍然能夠?yàn)檫f歸dns正常提供服務(wù)。

技術(shù)特征：

1.一種ddos攻擊的處理方法，其特征在于，包括：

2.如權(quán)利要求1所述的方法，其特征在于，所述鏈路切換請(qǐng)求是第二代理在確定所述頂級(jí)dns的報(bào)文處理負(fù)載，與ddos攻擊時(shí)的負(fù)載特征匹配后發(fā)送的，所述第二代理部署在所述頂級(jí)dns上，或者，所述鏈路切換請(qǐng)求是第三代理在確定骨干網(wǎng)上傳輸?shù)木W(wǎng)絡(luò)流量，與ddos攻擊時(shí)的流量特征匹配后發(fā)送的，所述第三代理部署在骨干網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備上。

3.如權(quán)利要求2所述的方法，其特征在于，還包括：

4.如權(quán)利要求3所述的方法，其特征在于，所述鏈路恢復(fù)請(qǐng)求包括第一鏈路恢復(fù)請(qǐng)求和第二鏈路恢復(fù)請(qǐng)求，所述第一鏈路恢復(fù)請(qǐng)求是所述第二代理在確定所述頂級(jí)dns的報(bào)文處理負(fù)載，與ddos攻擊時(shí)的負(fù)載特征不匹配后發(fā)送的，所述第二鏈路恢復(fù)請(qǐng)求是所述第三代理在確定骨干網(wǎng)上傳輸?shù)木W(wǎng)絡(luò)流量，與ddos攻擊時(shí)的流量特征不匹配后發(fā)送的。

5.一種ddos攻擊的處理方法，其特征在于，包括：

6.如權(quán)利要求5所述的方法，其特征在于，還包括：

7.一種ddos攻擊的防御裝置，應(yīng)用于控制端，其特征在于，包括：

8.一種ddos攻擊的防御裝置，應(yīng)用于第一代理端，其特征在于，包括：

9.一種電子設(shè)備，其特征在于，包括：至少一個(gè)處理器，以及與所述至少一個(gè)處理器通信連接的存儲(chǔ)器，其中：

10.一種存儲(chǔ)介質(zhì)，其特征在于，當(dāng)所述存儲(chǔ)介質(zhì)中的計(jì)算機(jī)程序由電子設(shè)備的處理器執(zhí)行時(shí)，所述電子設(shè)備能夠執(zhí)行如權(quán)利要求1-6任一所述的方法。

11.一種計(jì)算機(jī)程序產(chǎn)品，其特征在于，包括計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-6任一所述的方法。

技術(shù)總結(jié)
本申請(qǐng)公開一種DDoS攻擊的處理方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，該方法中，在頂級(jí)DNS發(fā)生DDoS攻擊后，控制端會(huì)接收到鏈路切換請(qǐng)求，之后，可向第一代理查詢遞歸DNS使用的到頂級(jí)DNS間的鏈路，若確定遞歸DNS使用的鏈路是常規(guī)鏈路，則向第一代理發(fā)送鏈路切換指令，以將遞歸DNS使用的常規(guī)鏈路切換為到頂級(jí)DNS間的備用鏈路，其中，備用鏈路和常規(guī)鏈路對(duì)應(yīng)的頂級(jí)DNS的服務(wù)資源不同。這樣，當(dāng)頂級(jí)DNS遭遇DDoS攻擊時(shí)，僅會(huì)消耗常規(guī)鏈路對(duì)應(yīng)的服務(wù)資源而不會(huì)影響備用鏈路對(duì)應(yīng)的服務(wù)資源，因此，將遞歸DNS使用的鏈路從常規(guī)鏈路切換至備用鏈路后，頂級(jí)DNS仍然可為遞歸DNS正常提供服務(wù)。

技術(shù)研發(fā)人員：郝逸航,楊成,常力元,孫琦,佟欣哲,郭俊言,白旭
受保護(hù)的技術(shù)使用者：中國(guó)電信股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19