CN101567815B - 域名服务器dns放大攻击的有效检测与抵御方法 - Google Patents

Abstract

一种用于检测和抵御DNS放大攻击的方法，属于计算机网络安全领域，其特征在于：被保护的服务器所在网络运营商的边缘路由器或防火墙中，统计每个检测周期内DNS响应与请求包数量，通过带消退参数的累积和算法检测响应与请求数量差值的异常变化，来报告DNS放大攻击；利用基于布隆过滤器(Bloom filter)的算法记录DNS请求包的四元组信息：包括源IP、目的IP、源端口、DNS ID，并以此来判断DNS响应包是否为攻击包；该方法在10Gbps链路下仅需要75KB存储空间，计算代价小，易实现和部署，可用于高速链路。

Description

域名服务器DNS放大攻击的有效检测与抵御方法

技术领域

本发明是一种用于检测和抵御DNS放大攻击的方法，易于硬件实现，可用于高速链路，属于计算机网络安全领域。该方法包括：被保护的网络所在运营商的边缘路由器或防火墙中，统计每个检测周期内DNS响应与请求数量，通过带消退参数的累积和算法检测响应与请求数量差值的异常变化，来报告DNS放大攻击；利用基于布隆过滤器(Bloom filter)的算法记录DNS请求包的四元组信息：包括源IP、目的IP、源端口、DNS ID，并以此来判断DNS响应包是否为攻击包；该方法在10Gbps链路下仅需要75KB存储空间，计算代价小，利于实现。

背景技术

域名服务器(DNS)负责将被人们容易记忆和使用的域名转换成实际的IP地址，几乎是所有网络服务如网页、电子邮件等应用的基石，利用DNS服务器进行放大攻击危害严重，其主要步骤如图1所示：

1)预备步骤：为成功发起DNS放大攻击，攻击者事先控制某权威域名服务器，并控制大量用于发起进攻的机器，即僵尸网络，另外，还需要从网络上寻找大量开放递归(open recursive)查询的域名服务器，这类DNS服务器会响应任意的DNS查询；

2)第一步：攻击者在被控制的域名服务器上发布较大的TXT资源记录；

3)第二步：攻击者向僵尸网络发起攻击指示；

4)第三步：僵尸网络的机器向开放递归域名服务器查询第一步中发布的TXT资源记录，查询(DNS请求包)的源IP地址伪造成被攻击系统的IP地址；

5)第四步：接收到查询请求的域名服务器将DNS响应(Response)发送到被攻击系统处，消耗其接入带宽和处理资源，由于DNS响应包往往远大于DNS请求包，故被攻击系统到达的流量要大于僵尸网络所发出的请求流量，因此被称为DNS放大攻击。

DNS放大攻击产生的原因，主要包括：IP源地址伪造、开放递归的域名服务器的存在和DNS响应包长度大于请求包，从长期而言，消除这三方面尤其前两方面能彻底消除DNS放大攻击[SSAC advisory SAC008 DNS distributed denial of service(DDoS)attacks，ICANN Security and Stability Advisory Committee，March 2006.[Online].Available：http://www.icann.org/committees/security/dns-ddos-advisory-31 mar06.pdf]，但被攻击系统及其所在运营商(ISP，Internet Service Provider)无法控制并推动这三个原因的消除，其它ISP没有足够的激励去采取这类措施。DNS-Guard[F.Guo，J.Chen，and T.Chiueh，″Spoof detection for preventing DoS attacks against DNS servers，″in Proc.IEEE ICDCS，2006.]用于检测DNS请求是否为伪造，但其主要用于DNS服务器之间的验证，并增加了正常请求的延时；Kambourakis等人[G.Kambourakis，T.Moschos，D.Geneiatakis，and S.Gritzalis，″A fair solution to DNS amplification attacks，″in Proc.Internaional Workshop on Digital Forensics and Incident Analysis(WDFIA)，2007.]提出了一种公平解决DNS放大攻击的方法，但其文中也指出，存在数据库膨胀而导致难以部署的问题。

发明内容

本发明的目的在于为遭受DNS放大攻击的系统及其ISP设计一种有效、可部署的检测和抵御该攻击的方法。

本发明的特征在于，所述方法是在被保护的网络所在运营商ISP的边缘路由器中依次按以下步骤实现的：

步骤(1).初始化，设定以下参数：

检测周期t_p，该检测周期大于请求包与响应包之间的时间间隔RTT，所述t_p在10s～600s内取值，优先选择60s，s为秒的单位，

检测灵敏度α，表示攻击的响应包的个数超过正常请求包个数的倍数，在[0-2]间取值，

检测阈值th，表示能容忍的累积最大攻击速率，在[0.5-10]内取值，

w_n，表示连续出现的前一个检测周期n-1的攻击累积检测值y_n-1报告有DNS放大攻击，而当前检测周期n的攻击当前检测值x_n报告无攻击的次数，称为攻击消退参数，该攻击消退参数的递推定义如下：

其中：

x_n＝(P_n-Q_n)/Q_n-α

Q_n和P_n分别表示第n个检测周期内统计的请求包和响应包的数量，n＝0，1，2，3，...，n，...

当前检测值x_n＞0，表示第n个检测周期可能发生攻击，

当前检测值x_n≤0，表示第n个检测周期正常无攻击的情况，

攻击累积检测值y_n，表示第n个检测周期攻击的累积检测值，用于报告系统是否受到DNS放大攻击，若y_n＞th，表示系统受到DNS放大攻击，y_n由递推计算得到，若前n个检测周期，所有的当前检测值x_i，i＝1，2，...，n，均大于0，则

对于一般情况，所述攻击累积检测值y_n的递推定义如下：

$y_n=\left\{\begin{array}{cc}{(y_{n-1}+x_n)}^{+},& w_n<N\\ 0,& w_n\&GreaterEqual;N\end{array}\right.$

符号“+”表示：()内的(y_n+1+x_n)＞0时，(y_n-1+x_n)⁺＝y_n-1+x_n，否则，(y_n-1+x_n)⁺＝0，

N表示报告攻击结束的参数，为整数，在[1，10]间取值，用攻击消退参数表示，

初始时：w₀＝0，y₀＝x₀ ⁺，此时，x₀＝0，则x₀ ⁺＝0，

步骤(2).在第n个检测周期内统计DNS请求包数Q_n和DNS响应包数P_n，计算x_n＝(P_n-Q_n)/Q_n-α，

若：x_n＜0，表示情况正常，无攻击；

x_n＞0，表示可能存在攻击；

x_n＞th，表示在所述第n个检测周期存在攻击；

无论处于上述三种情况中的任何一种情况，都转入步骤(3)，

步骤(3).递推计算攻击消退参数w_n和攻击累积检测值y_n，公式见步骤(1)，

步骤(4).若y_n＞th，表示系统受到DNS放大攻击，

步骤(5).当检测到DNS放大攻击时，首先应过滤掉分片的IP包，方法为：提取IP包头的MF标志和offset域，限制该MF为1，及该MF为0但该offset域不为0的包来过滤分片的IP包，然后通过步骤(6)及步骤(7)来检测和丢弃攻击的DNS响应包，

步骤(6).提取所述请求包的四元组：源IP、目的IP、源端口、DNS ID作为元素a，插入到由k个独立的H₃哈希函数和m比特的存储位置组成的第一个布隆过滤器BF1或第二个布隆过滤器BF2中，在所述第一个布隆过滤器BF1和第二个布隆过滤器BF2中轮流存储该元素各存储1秒时间，k在[1，20]间取整数值，所述的插入到所述布隆过滤器的操作为：用该元素依次作为所述k个哈希函数h₁，h₂，...，h_k的输入，每个所述哈希函数返回值在集合{0，1，...，m-1}中，对于每一个哈希结果h_i(a)，i＝1，2，...，k，把该值对应的存储位置的值置为1，若已经为1，则保持不变，

步骤(7).对检测到的响应包，提取该响应包的四元组：目的IP、源IP、目的端口、DNS ID作为元素b，检查是否在所述两个布隆过滤器中，若都不在，则判断该响应包为攻击包，丢弃，所述检查元素b是否在所述两个布隆过滤器中的操作为：对于每一个哈希结果h_i(b)，i＝1，2，...，k，判断其对应的存储位置的值是否为1，如果任何一个结果对应的位置的值为0，则表示元素b肯定不在相应的布隆过滤器中，如果k个哈希结果对应的位置的值都是1，则判断该元素b在相应的布隆过滤器中。

本发明利用DNS请求与响应一一对应的关系，检测阶段使用总的响应数量和请求数量的差异，提出以带消退参数的累积和算法检测差异的变化，当报告DNS放大攻击后，利用精巧的数据结构布隆过滤器和算法来有效识别攻击的响应包。

附图说明

图1DNS放大攻击详细过程示例。

图2过滤策略框架图。

图3检测和抵御方法部署位置。

图4检测与抵御方案工作流程。

图5识别DNS请求与响应包。

图6DNS请求与响应归一化差值。

图7各种攻击速率下检测结果：

(a)30pps攻击速率，

(b)150pps攻击速率，

(e)20-200pps随机攻击速率。

图8各种攻击速率下检测攻击开始和结束的时间。

图9过滤策略识别攻击包的误判率。

具体实施方式

本发明的特征在于利用正常情况下DNS请求包与响应包一一匹配的关系，快速准确报告DNS放大攻击的开始和结束，当发生攻击时，启用过滤策略准确区分攻击响应包和正常响应包，并将攻击响应包丢弃。

选取检测时间间隔为t_p(t_p＞RTT，RTT为请求包与响应包之间的时间间隔)，称为检测周期，统计每个检测周期内总的出方向的DNS请求包和入方向的DNS响应包数量，因请求和响应之间有RTT的时间差，其绝对数量不会完全相等，但统计意义上，正常情况下，请求和响应的数量非常接近，而在DNS放大攻击时，会有大量没有与之对应请求的响应包，并且，DNS请求包均假定是合法的，没有伪造的问题，因此检测策略的基本思想是快速检测出总的响应包与请求包之间的差值的异常变化。

设Q_n和P_n(n＝0，1，...)为第n个检测周期内统计的请求包和响应包的数量，令Δ_n为其归一化的差值，即：

Δ_n＝(P_n-Q_n)/Q_n

因{Δ_n，n＝0，1，...}与具体的网络情况无关，仅取决于DNS协议，可近似为随机序列，使用带消退参数的累积和算法来检测Δ_n的变化。假定正常情况下，E(Δ_n)＝c，选取c的上界为α即c＜＜，定义攻击当前检测值x_n＝Δ_n-α，则正常情况下x_n均为小于0的值，当某个检测周期x_n大于0，认为可能发生攻击，当这种情况累积到一定程度，报告攻击发生。定义消退参数w_n和攻击累积检测值y_n，当y_n＞th时报告此时发生DNS放大攻击，否则，撤销已检测到的攻击的报告。th为预先定义的阈值。消退参数w_n的递推定义如下：

即代表连续出现前一个检测周期检测值报告有放大攻击，而当前检测周期无攻击(x_n＜0)的次数，当该次数超过N时，认为攻击已结束，累积检测值y_n的递推定义如下：

$y_n=\left\{\begin{array}{cc}{(y_{n-1}+x_n)}^{+},& w_n<N\\ 0,& w_n\&GreaterEqual;N\end{array}\right.$

其中，x⁺的定义为：若x＞0，x⁺＝x，否则x⁺＝0。消退参数与累积检测值的初始值为：w₀＝0，y₀＝x₀ ⁺，x₀＝0.

检测策略中，α用于将正常情况下响应与请求数量归一化差值降为0以下，同时也是检测的灵敏度，即只要攻击响应个数超过正常请求个数的α倍，理论上均可被检测算法所检测。α与正常情况下DNS响应包与请求包归一化差值的上界c相关，推荐选择0～2；th为检测阈值，表示容忍的累积最大攻击速率，可选择0.5～10；N为快速报告攻击结束的参数，为整数，可选择1～10；检测周期可选择10s～600s，推荐选取60s。

与传统的用于检测随机序列异常变化的无参数累积和算法[M.Basseville and I.V.Nikiforov.Detection of abrupt changes：theory and application.Prentice Hall，1993；B.E.Brodsky and B.S.Darkhovsky.Nonparametric methods in change-point problems.Kluwer Academic Publishers，1993；H.Wang，D.Zhang，and K.G.Shin，″Change-point monitoring for the detection of DoS attacks，″IEEE Transactions on Dependable and Secure Computing，vol.1，no.4，pp.193-208，December 2004.]相比，本发明提出的带消退参数的累积和算法，能快速报告攻击的结束，而传统的算法，攻击结束后，y_n只能以每个检测周期减小α的速率直至降到阈值以下，耗时长。

检测出DNS放大攻击后，利用过滤策略有效区分攻击响应与正常响应包。因正常情况下，IP包分片比例很小，最新的研究显示比例仅占0.06％，且在进一步减小[W.John，S.Tafvelin.Analysis of Internet backbone traffic and header anomalies observed.in Proc.ACM SIGCOMM conference on Internet measurement，2007]，DNS响应包分片的比例更小，而DNS放大攻击往往使用长的响应包，会被分片，故在检测到DNS放大攻击后，首先限制DNS分片包。限制分片包的规则为IP包头中MF域为1或偏移域(offset域)为非0。

正常情况下，请求包的四元组源IP、目的IP、源端口和DNS ID，即<SIP，DIP，SP，ID>和响应包的四元组目的IP、源IP、目的端口和DNS ID，即<DIP，SIP，DP，ID>完全匹配，过滤策略利用该特性来识别攻击响应包。为避免保存全状态信息，设计利用精巧数据结构的算法来进行识别。

图2显示了过滤策略的框架图，布隆过滤器(Bloom filter)[A.Broder and M.Mitzenmacher，″Network applications of Bloom filters：a survey，″Internet Mathematics，vol.1，no.4，pp.485-509，2004.]是用于集合查询的节省存储空间的数据结构，广泛用于网络领域中。设每个请求包的四元组(<SIP，DIP，SP，ID>)在布隆过滤器中被存储的时间最短为δ(δ＞RTT)，利用两个布隆过滤器：BF1和BF2交替存储请求包的信息，每个布隆过滤器存储信息时间长度为δ，则任意一个请求被存储的时间为[δ，2δ)。每个布隆过滤器均由k个独立的哈希函数和m比特的存储空间(Bucket)组成。

对每一个出方向的DNS请求数据包，提取其四元组(<SIP，DIP，SP，ID>)，记为元素a，视目前的时间情况插入到BF1或BF2中，插入的方式是用a作为k个哈希函数h₁，h₂，...，h_k的输入，每个哈希函数返回值在集合{0，1，...，m-1}中，对于每一个哈希结果h_i(a)，将该值对应的存储比特(每个布隆过滤器共m个存储比特)的值置为1；对于每个入方向的DNS响应包，提取其四元组(<DIP，SIP，DP，ID>)，记为元素b，同时作为BFI和BF2的k个哈希函数的输入，查询元素b是否在BF1或在BF2中，查询的方式是对每一个哈希结果h_i(b)，判断其对应存储位置值是否为1，如果任一个结果对应的位置为0，则表示元素b肯定不在该布隆过滤器中，如果k个哈希结果对应的位置都为1，则以一定的错误概率判断b在布隆过滤器中，因为可能某个位置是被与b不匹配的其它元素置为了1，这个错误的概率称为误判率(false positive rate)，设为p_f。如果判断出b不在BF1中，并且也不在BF2中，则以极大的概率判断该响应包为攻击包；如果b在任意一个布隆过滤器中，则以极大的概率判断该响应包为正常包。误判率与布隆过滤器支持的元素个数n、存储比特数m和哈希函数个数k有关，可利用下面公式计算，并可依据最小误判率选择哈希函数个数。

p_fp≈(1-e^-kn/m)^k

k＝ln2·(m/n)

布隆过滤器存储元素时间需大于0.5s，推荐选择1s。

本发明的目的是设计有效的检测和抵御DNS放大攻击的方法，推荐部署位置如图3所示，利用ISP的边缘路由器或防火墙监控出方向的DNS请求包和入方向的DNS响应包，并进行DNS攻击检测与抵御。图4示意了整个解决方案的工作流程示意图。下面介绍一种具体的实施方式。

检测策略中，选择t_p＝60作为检测周期，即统计每1分钟DNS请求包和响应包的数量，识别DNS请求包与响应包的流程如图5所示，仅识别基于UDP的DNS包。将检测周期编号为{0，1，2，3，...，n，...}，在第n个检测周期内，计算请求包数量Q_n和响应包数量P_n的归一化差值：

Δ_n＝(P_n-Q_n)/Q_n

令攻击当前检测值x_n＝Δ_n-α，再通过如下两个公式递推的计算消退参数w_n和攻击累积检测值y_n的值：

$y_n=\left\{\begin{array}{cc}{(y_{n-1}+x_n)}^{+},& w_n<N\\ 0,& w_n\&GreaterEqual;N\end{array}\right.$

其中，x⁺的定义为：若x＞0，x⁺＝x，否则x⁺＝0。选取α＝0.2，th＝1及N＝3进行检测，初始时w₀＝0，y₀＝x₀ ⁺，x₀＝0。

过滤策略中，因研究显示超过90％的TCP连接的RTT小于500ms，选取布隆过滤器保存请求包的信息的时间为：δ＝1，同时选取k＝4，此时m＝6n，而p_f＝0.0561，即布隆过滤器的误判比例最高为5.61％。

推荐选择H₃作为布隆过滤器的哈希函数组，其工作机制如下：设哈希函数输入为i比特长，输出值为j比特长，令Q代表所有可能的i×j的布尔(取值为0或1)矩阵的集合，对某个q∈Q，设q(k)是矩阵q的第k行且长度为j比特的布尔行向量；对于输入x，设x(k)为x的第k比特，则H₃哈希的定义为：

$H_3(\&CenterDot;)=(x\left(1\right)\&CenterDot;q\left(1\right))\&CirclePlus;(x\left(2\right)\&CenterDot;q\left(2\right))\&CirclePlus;...\&CirclePlus;(x\left(i\right)\&CenterDot;q\left(i\right))$

其中，代表比特间的与(AND)操作，表示异或(XOR)操作，x(k)·q(k)的结果为长度为j比特的布尔行向量，其定义如下：

$x\left(k\right)\&CenterDot;q\left(k\right)=x\left(k\right)\&CenterDot;{\left(\begin{array}{c}{q}_{k1}\\ q_{k2}\\ .\\ .\\ .\\ q_{\mathrm{kj}}\end{array}\right)}^T={\left(\begin{array}{c}x\left(k\right)\&CenterDot;q_{k1}\\ x\left(k\right)\&CenterDot;q_{k2}\\ .\\ .\\ .\\ x\left(k\right)\&CenterDot;q_{\mathrm{kj}}\end{array}\right)}^T$

更换一个布尔矩阵q就待到一个新的H₃函数，并且，每个函数都仅包含与和异或操作，非常利于硬件实现。

如图2所示，对每一个出方向的DNS请求数据包，提取其四元组(<SIP，DIP，SP，ID>)，记为元素a，视目前的时间情况插入到BF1或BF2中，插入的方式是用a作为k个哈希函数h₁，h₂，...，h_k的输入，每个哈希函数返回值在集合{0，1，...，m-1}中，对于每一个哈希结果h_i(a)，将该值对应的存储比特(每个布隆过滤器共m个存储比特)的值置为1；对于每个入方向的DNS响应包，提取其四元组(<DIP，SIP，DP，ID>)，记为元素b，同时作为BF1和BF2的k个哈希函数的输入，查询元素b是否在BF1或在BF2中，查询的方式是对每一个哈希结果h_i(b)，判断其对应存储位置值是否为1，如果任一个结果对应的位置为0，将该包识别为攻击响应包，丢弃。

布隆过滤器的存储需求与1s内DNS请求数量相关，即使DNS放大攻击时，DNS请求依然合法，CAIDA有对10Gbps的核心链路(equinix-chicago)进行实时监控并给出统计信息的项目(http://www.caida.org/data/passive/monitors/equinix-chicago.xml)，分析2007～2009年的统计数据表明，所有DNS最大包速率远低于22.51kpps。选择1s内保存的DNS请求数量为50k，则过滤策略的存储代价为：75KB，可直接使用FPGA片内存储实现。

图6给出了对网络中实际截获流量的DNS请求包与响应包归一化的差值(http://pma.nlanr.net/Special/auck8.html)，图中显示四个流量其值均小于0。

图7给出了不同攻击速率下检测结果，检测流量为实际流量中混入DNS攻击响应包，选取攻击响应的速率为30pps、150pps和20～200pps的随机速率分别生成攻击流量，每次实验均将攻击流量在1200s混入，2400s停止，即攻击开始前正常流量运行了20分钟，攻击持续20分钟，攻击结束后正常流量又运行20分钟。图中显示，检测算法在这些攻击情况下均能正常检测出攻击的开始和结束。图8给出了不同攻击速率下检测算法报告攻击开始和结束的时间，图中显示，检测算法能以不超过3个检测周期报告攻击的结束。

图9为过滤策略将攻击包识别为正常包的比例，该比例低于理论上的误判率5.61％。

Claims (3)

1.域名服务器DNS放大攻击的有效检测与抵御方法，其特征在于，所述方法是在被保护的网络所在运营商ISP的边缘路由器中依次按以下步骤实现的：

步骤(1).初始化，设定以下参数：

检测周期t_p，该检测周期大于请求包与响应包之间的时间间隔RTT，所述t_p在10s～600s内取值，s为秒的单位，

检测灵敏度α，表示攻击的响应包的个数超过正常请求包个数的倍数，在[0-2]间取值，

检测阈值th，表示能容忍的累积最大攻击速率，在[0.5-10]内取值，

w_n，表示连续出现的前一个检测周期n-1的攻击累积检测值y_n-1报告有DNS放大攻击，而当前检测周期n的攻击当前检测值x_n报告无攻击的次数，称为攻击消退参数，该攻击消退参数的递推定义如下：

其中：

x_n＝(P_n-Q_n)/Q_n-α

Q_n和P_n分别表示第n个检测周期内统计的请求包和响应包的数量，n＝0，1，2，3，...，n，...

当前检测值x_n＞0，表示第n个检测周期可能发生攻击，

当前检测值x_n≤0，表示第n个检测周期正常无攻击的情况，

攻击累积检测值y_n，表示第n个检测周期攻击的累积检测值，用于报告系统是否受到DNS放大攻击，若y_n＞th，表示系统受到DNS放大攻击，y_n由递推计算得到，若前n个检测周期，所有的当前检测值x_i，i＝1，2，...，n，均大于0，则

对于一般情况，所述攻击累积检测值y_n的递推定义如下：

$y_n=\left[\begin{array}{cc}{(y_{n-1}+x_n)}^{+},& w_n<N\\ 0,& w_n\&GreaterEqual;N\end{array}\right]$

符号“+”表示：()内的(y_n-1+x_n)＞0时，(y_n-1+x_n)⁺＝y_n-1+x_n，否则，(y_n-1+x_n)⁺＝0，

N表示报告攻击结束的参数，为整数，在[1，10]间取值，用攻击消退参数表示，

初始时：w₀＝0，y₀＝x₀ ⁺，此时，x₀＝0，则x₀ ⁺＝0，

步骤(2).在第n个检测周期内统计DNS请求包数Q_n和DNS响应包数P_n，计算x_n＝(P_n-Q_n)/Q_n-α，

若：x_n＜0，表示情况正常，无攻击；

x_n＞0，表示可能存在攻击；

x_n＞th，表示在所述第n个检测周期存在攻击；

无论处于上述三种情况中的任何一种情况，都转入步骤(3)，

步骤(3).递推计算攻击消退参数w_n和攻击累积检测值y_n，公式见步骤(1)，

步骤(4).若y_n＞th，表示系统受到DNS放大攻击，

步骤(5).当检测到DNS放大攻击时，首先应过滤掉分片的IP包，方法为：提取IP包头的MF标志和offset域，限制该MF为1，及该MF为0但该offset域不为0的包来过滤分片的IP包，然后通过步骤(6)及步骤(7)来检测和丢弃攻击的DNS响应包，

步骤(6).提取所述请求包的四元组：源IP、目的IP、源端口、DNS ID作为元素a，插入到由k个独立的H₃哈希函数和m比特的存储位置组成的第一个布隆过滤器BF1或第二个布隆过滤器BF2中，在所述第一个布隆过滤器BF1和第二个布隆过滤器BF2中轮流存储该元素各存储1秒时间，k在[1，20]间取整数值，所述的插入到所述布隆过滤器的操作为：用该元素依次作为所述k个哈希函数h₁，h₂，...，h_k的输入，每个所述哈希函数返回值在集合{0，1，...，m-1}中，对于每一个哈希结果h_i(a)，i＝1，2，..，k，把该值对应的存储位置的值置为1，若已经为1，则保持不变，

步骤(7).对检测到的响应包，提取该响应包的四元组：目的IP、源IP、目的端口、DNS ID作为元素b，检查是否在所述两个布隆过滤器中，若都不在，则判断该响应包为攻击包，丢弃，所述检查元素b是否在所述两个布隆过滤器中的操作为：对于每一个哈希结果h_i(b)，i＝1，2，...，k，判断其对应的存储位置的值是否为1，如果任何一个结果对应的位置的值为0，则表示元素b肯定不在相应的布隆过滤器中，如果k个哈希结果对应的位置的值都是1，则判断该元素b在相应的布隆过滤器中。

2.根据权利要求1所述的域名服务器DNS放大攻击的检测与抵御方法，其特征在于，所述方法也可在被保护的网络所在运营商ISP的防火墙中实现。

3.根据权利要求1所述的域名服务器DNS放大攻击的检测与抵御方法，其特征在于，所述布隆过滤器的哈希函数也可选择MD5或SHA函数。

Images