CN109413220B - 一种以别名方式接入ddos云防护系统中避免dns传播的方法 - Google Patents
一种以别名方式接入ddos云防护系统中避免dns传播的方法 Download PDFInfo
- Publication number
- CN109413220B CN109413220B CN201811019609.8A CN201811019609A CN109413220B CN 109413220 B CN109413220 B CN 109413220B CN 201811019609 A CN201811019609 A CN 201811019609A CN 109413220 B CN109413220 B CN 109413220B
- Authority
- CN
- China
- Prior art keywords
- domain name
- record
- cloud
- dns
- cloud protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络云安全防护技术领域,具体涉及一种以别名方式接入DDOS云防护系统中避免DNS传播的方法,DDOS云防护系统包括资源管理中心、域名解析服务器、云防护节点,具体包括如下步骤资源管理中心在域名接入时将域名解析服务器中A记录信息写入数据库、修改域名解析服务器中防护域名对应的A记录的记录值为目标值、资源管理中心通过查询数据库获取之前A记录信息,检测DNS传播状态,若完全生效则请求云防护节点删除分配的IP地址与服务器地址的对应关系,否则继续检测。本发明的有益效果:利用云防护体系中防护IP资源对源站地址提供持续的服务,从而保证被防护域名正常稳定的访问,即,防止DNS传播。
Description
技术领域
本发明涉及网络云安全防护技术领域,具体涉及一种以别名方式接入DDOS云防护系统中避免DNS传播的方法。
背景技术
DNS是域名系统(Domain Name System)的缩写,是因特网的一项基础核心服务,它可以将域名和IP地址之间相互对应起来,这种将域名转换成IP地址的过程就是域名解析。使用DNS系统的域名解析功能,人们可方便的通过域名访问互联网,而无需记住枯燥无味的IP地址。在DNS系统中,存在一个DNS数据库记录,用于答复用户的解析请求,其中最基础的为主机A记录,用于将域名指向一个IP地址。如果需要将域名指向另一个域名,再由另一个域名提供IP地址,就需要添加CNAME记录。当前云安全产品大多数提供CNAME方式接入,即云安全产品服务商会提供给用户一个接入域名的CNAME,云安全产品服务商会在自己的DNS服务系统中加入一条A记录,使CNAME对应于防护IP,之后用户只需要到接入域名的DNS服务商处完成CNAME配置,访问该域名就会被解析到云安全产品服务商提供的防护IP,从而完成流量清洗等防护措施。DNS传播即为DNS记录更新生效的过程。由于ISP(Internet ServiceProvider),即互联网服务提供商,会缓存DNS记录,用于减少通信和加快域名查找速度,并且每个ISP更新DNS记录缓存的时间周期不一致,因此也会造成DNS传播时间的不确定性,在互联网飞速发展的今天,提供稳定的网络服务极其重要,因此如何避免DNS传播是一个需要解决的问题。
发明内容
本发明的目的在于克服现有技术中存在的问题,提供一种以别名方式接入DDOS云防护系统中避免DNS传播的方法,它可以实现利用云防护体系中防护IP资源对源站地址提供持续的服务,从而保证被防护域名正常稳定的访问,可以有效增强DNS解析的有效性,改善用户体验,增强服务的稳定性。
为实现上述技术目的,达到上述技术效果,本发明是通过以下技术方案实现的:
一种以别名方式接入DDOS云防护系统中避免DNS传播的方法,所述DDOS云防护系统包括资源管理中心、域名解析服务器、云防护节点,所述资源管理中心负责存储及调度防护域名、云防护节点IP及域名解析信息,所述域名解析服务器负责将域名解析到云防护节点分配的IP地址,所述云防护节点负责分配防护IP资源及流量清洗,具体实施方法包括如下步骤:
步骤1、所述资源管理中心在域名接入时将域名解析服务器中A记录信息写入数据库;
步骤2、修改所述域名解析服务器中防护域名对应的A记录的记录值为目标值;
步骤3、所述资源管理中心通过查询数据库获取之前A记录信息,检测DNS传播状态,若完全生效则请求云防护节点删除分配的IP地址与服务器地址的对应关系,否则继续检测。
进一步地,所述步骤1域名接入中通过云安全服务提供者分配的Cname别名,使用该服务者到域名注册商处修改解析记录,以使访问域名时能被解析到别名地址。
进一步地,所述步骤1中还包括:向所述域名解析服务器中添加A记录,所述域名解析服务器中的主机将A记录设为别名,其中所述A记录的记录值为云防护节点分配的IP地址,所述资源管理中心记录域名、A记录及云防护节点分配的IP地址对应关系。
进一步地,所述步骤3中检测DNS传播状态具体包括:定期发送请求至各区域DNS服务器,查询域名信息,若所有区域域名对应IP地址与所述域名解析服务器中A记录的记录值一致,则删除资源管理中心数据库中域名与云防护节点分配的IP之间的对应关系,删除云防护节点分配的IP地址与服务器之间的对应关系。
本发明的有益效果:1、利用云防护体系中防护IP资源对源站地址提供持续的服务,从而保证被防护域名正常稳定的访问,即,防止DNS传播;2、通过检测域名DNS传播的状态,以保证防护IP资源回收不影响域名的正常访问,最大程度地降低DNS传播带来的影响。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
一种以别名方式接入DDOS云防护系统中避免DNS传播的方法,所述DDOS云防护系统包括资源管理中心、域名解析服务器、云防护节点,所述资源管理中心负责存储及调度防护域名、云防护节点IP及域名解析信息,所述域名解析服务器负责将域名解析到云防护节点分配的IP地址,所述云防护节点负责分配防护IP资源及流量清洗,具体实施方法包括如下步骤:
步骤1、所述资源管理中心在域名接入时将域名解析服务器中A记录信息写入数据库,域名接入后,通过DNS域名解析服务将会把接入防护的域名与防护IP相关联,也就是在DNS服务器中创建A记录,记录值为防护IP,因此用户访问域名会被解析到防护IP,防护IP具有流量清洗的功能,并且会代理访问源站地址,从而保护源站地址不被攻击;
步骤2、修改所述域名解析服务器中防护域名对应的A记录的记录值为目标值,由于防护IP资源采用分布式的部署才易提供足够强大的防御能力,因此需要全局调度才能保证各防御节点的正常运转,此时就需要更改所述云防护体系中DNS服务器上该域名所对应的A记录,当修改记录值为其它防护IP后,原防护IP继续提供清洗及代理功能,从而使DNS记录未及时更新的区域用户仍然正常能够访问域名,并且该域名仍然受到保护,消除了DNS传播造成的延时影响。不释放所述防护IP资源,所述防护IP资源继续提供防护所述源站地址的服务,通过对源站地址的持续防护,延长原DNS记录的有效性,从而使DNS记录未及时更新的区域也能正常访问域名;
步骤3、所述资源管理中心通过查询数据库获取之前A记录信息,检测DNS传播状态,若完全生效则请求云防护节点删除分配的IP地址与服务器地址的对应关系,否则继续检测;
所述步骤1域名接入中通过云安全服务提供者分配的Cname别名,使用该服务者到域名注册商处修改解析记录,以使访问域名时能被解析到别名地址;
所述步骤1中还包括:向所述域名解析服务器中添加A记录,所述域名解析服务器中的主机将A记录设为别名,其中所述A记录的记录值为云防护节点分配的IP地址,所述资源管理中心记录域名、A记录及云防护节点分配的IP地址对应关系;
所述步骤3中检测DNS传播状态具体包括:定期发送请求至各区域DNS服务器,查询域名信息,若所有区域域名对应IP地址与所述域名解析服务器中A记录的记录值一致,则删除资源管理中心数据库中域名与云防护节点分配的IP之间的对应关系,删除云防护节点分配的IP地址与服务器之间的对应关系,通过检测更新后DNS记录的有效性,确定是否释放原DNS记录所对应的防护IP地址,当更新所述DNS解析服务中域名所对应的IP时,通过原IP继续提供服务功能,并且定期检测DNS记录是否完全同步后,才停止原IP的服务功能,从而避免DNS传播带来的影响。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (2)
1.一种以别名方式接入DDOS云防护系统中避免DNS传播的方法,其特征在于,所述DDOS云防护系统包括资源管理中心、域名解析服务器、云防护节点,所述资源管理中心负责存储及调度防护域名、云防护节点IP及域名解析信息,所述域名解析服务器负责将域名解析到云防护节点分配的IP地址,所述云防护节点负责分配防护IP资源及流量清洗,具体实施方法包括如下步骤:
步骤1、所述资源管理中心在域名接入时将域名解析服务器中A记录信息写入数据库;
步骤1.1、向所述域名解析服务器中添加A记录,所述域名解析服务器中的主机将A记录设为别名,其中所述A记录的记录值为云防护节点分配的IP地址,所述资源管理中心记录域名、A记录及云防护节点分配的IP地址对应关系;
步骤2、修改所述域名解析服务器中防护域名对应的A记录的记录值为目标值;
步骤3、所述资源管理中心通过查询数据库获取之前A记录信息,检测DNS传播状态,若完全生效则请求云防护节点删除分配的IP地址与服务器地址的对应关系,否则继续检测;
步骤3.1、定期发送请求至各区域DNS服务器,查询域名信息,若所有区域域名对应IP地址与所述域名解析服务器中A记录的记录值一致,则删除资源管理中心数据库中域名与云防护节点分配的IP之间的对应关系,删除云防护节点分配的IP地址与服务器之间的对应关系。
2.根据权利要求1所述的一种以别名方式接入DDOS云防护系统中避免DNS传播的方法,其特征在于,所述步骤1域名接入中通过云安全服务提供者分配的Cname别名,使用该服务者到域名注册商处修改解析记录,以使访问域名时能被解析到别名地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811019609.8A CN109413220B (zh) | 2018-09-03 | 2018-09-03 | 一种以别名方式接入ddos云防护系统中避免dns传播的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811019609.8A CN109413220B (zh) | 2018-09-03 | 2018-09-03 | 一种以别名方式接入ddos云防护系统中避免dns传播的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109413220A CN109413220A (zh) | 2019-03-01 |
| CN109413220B true CN109413220B (zh) | 2022-03-15 |
Family
ID=65463854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811019609.8A Active CN109413220B (zh) | 2018-09-03 | 2018-09-03 | 一种以别名方式接入ddos云防护系统中避免dns传播的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413220B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347139B (zh) * | 2020-03-02 | 2022-11-22 | 深信服科技股份有限公司 | 一种识别安全信息的方法、装置、系统和介质 |
| CN113315853B (zh) * | 2021-05-26 | 2023-03-24 | 杭州安恒信息技术股份有限公司 | 一种云防护节点调度方法、系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106131031A (zh) * | 2016-07-19 | 2016-11-16 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN106888280A (zh) * | 2017-03-29 | 2017-06-23 | 北京奇虎科技有限公司 | Dns更新方法、装置及系统 |
| CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
-
2018
- 2018-09-03 CN CN201811019609.8A patent/CN109413220B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107104921A (zh) * | 2016-02-19 | 2017-08-29 | 阿里巴巴集团控股有限公司 | DDoS攻击防御方法及装置 |
| CN106131031A (zh) * | 2016-07-19 | 2016-11-16 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN106888280A (zh) * | 2017-03-29 | 2017-06-23 | 北京奇虎科技有限公司 | Dns更新方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109413220A (zh) | 2019-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10911399B2 (en) | Robust domain name resolution | |
| US10148612B2 (en) | Method and system for increasing speed of domain name system resolution within a computing device | |
| US8489724B2 (en) | CNAME-based round-trip time measurement in a content delivery network | |
| US8935744B2 (en) | White listing DNS top-talkers | |
| Callahan et al. | On modern DNS behavior and properties | |
| CN103338279B (zh) | 基于域名解析的优化排序方法及系统 | |
| US11044262B2 (en) | Method, apparatus and system for anti-attacking in domain name system (DNS) | |
| US9954815B2 (en) | Domain name collaboration service using domain name dependency server | |
| CN107104921B (zh) | DDoS攻击防御方法及装置 | |
| CN110324295B (zh) | 一种域名系统泛洪攻击的防御方法和装置 | |
| US10560422B2 (en) | Enhanced inter-network monitoring and adaptive management of DNS traffic | |
| CN105472056B (zh) | Dns递归服务器分层缓存方法和系统 | |
| CN108124020B (zh) | 域名解析方法、系统及设备 | |
| CN103428302A (zh) | 一种域名解析方法、域名解析服务器及域名解析系统 | |
| CN109413220B (zh) | 一种以别名方式接入ddos云防护系统中避免dns传播的方法 | |
| EP2779591A2 (en) | Method and apparatus for creating a list of trustworthy DNS clients | |
| JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
| CN104125238A (zh) | 一种DNS递归服务器抗DoS、DDoS攻击的方法 | |
| CN112600868A (zh) | 域名解析方法、域名解析装置及电子设备 | |
| CN110177103B (zh) | 一种基于网页地址转换的动态web安全防护方法与系统 | |
| Allman | On eliminating root nameservers from the DNS | |
| CN107222588A (zh) | 一种提高dns可用性的方法及系统 | |
| Pappas et al. | Enhancing DNS resilience against denial of service attacks | |
| KR101645222B1 (ko) | 어드밴스드 도메인 네임 시스템 및 운용 방법 | |
| CN114268605B (zh) | 一种智能dns实现方法、装置及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |