CN102075592A - 一种筛选dns请求的方法 - Google Patents
一种筛选dns请求的方法 Download PDFInfo
- Publication number
- CN102075592A CN102075592A CN2010106150729A CN201010615072A CN102075592A CN 102075592 A CN102075592 A CN 102075592A CN 2010106150729 A CN2010106150729 A CN 2010106150729A CN 201010615072 A CN201010615072 A CN 201010615072A CN 102075592 A CN102075592 A CN 102075592A
- Authority
- CN
- China
- Prior art keywords
- dns
- request
- time
- domain name
- dns request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种适用于通信技术领域的筛选域名请求的方法,此方法可抛弃伪造的域名请求、减小域名系统的负载,提高域名系统的安全可靠性。本发明按照事先预设的时间规则筛选域名请求,选取符合时间规则的域名请求,抛弃不符合时间规则的域名请求。本发明可广泛应用于各种通信网络系统。
Description
技术领域
本发明涉及一种通信领域的筛选DNS请求的方法。
背景技术
域名系统(DNS)的主要作用是把易于记忆的域名转换成不易记忆、但技术上真正使用的网络地址(IP地址),便于用户或网络应用访问网络资源。DNS作为互联网的基础服务系统,一旦出现故障,将导致互联网上大量应用无法正常运行,对于普通用户而言,DNS故障基本等同于网络中断,因而DNS常被比喻为互联网的中枢神经系统。目前DNS服务系统的保护工作主要依赖于传统的网络安全设备,它们基本上都靠检查源IP地址的合法性,或检查IP头Identification字段是否有规律、Fragment offset、TTL字段是否合理,或检查UDP的源端口号是否有规律,或检查DNS的Transaction ID是否有规律等方法拦截伪造的DNS攻击,攻击者可以采用随机算法或取常规值轻易地越过传统网络安全设备的检查,部分网络安全设备采用UDP或ICMP探测的方法,也因为绝大部分用户端设备安装了防火墙而失去实用意义,总之,传统的网络安全设备对DNS服务系统实质上起不到保护作用。
DNS数据可用数据报协议(UDP)或传输控制协议(TCP)承载,在实际的互联网环境下,DNS数据主要以UDP承载,一般只有在DNS响应包含的数据量比较大的时候,才使用TCP。当使用UDP的时候,DNS客户端仅需发出一个以UDP承载的DNS请求,DNS服务端就应该应答一个以UDP承载的DNS响应,这一简单的DNS请求应答机制,给DNS系统的安全留下了巨大的隐患:攻击者可用较小的CPU开销发出大量的DNS请求,而DNS服务系统响应这些DNS请求所需的CPU开销却比较大,特别是当攻击者发出的DNS请求所解析的域名不在DNS服务系统的缓存之内时,DNS服务系统将按DNS协议通过逐级解析的方法进行递归解析,其CPU开销将远远大于攻击者,因而攻击者采用四两拨千斤的方法可以很容易地将DNS服务系统攻瘫。由于很难从单个DNS请求的IP头、UDP头及其请求的内容中识别其真伪,如何筛选出真实的DNS请求、抛弃攻击者的DNS请求成为困扰全世界DNS服务系统的一个技术难题。
发明内容
发明目的:本发明的目的是提供一种筛选DNS请求的方法,筛选出真实的DNS请求、抛弃伪造的DNS请求,以减小DNS服务系统的负载,从而提高DNS服务系统的安全可靠性。
技术方案:实现本发明是通过以下技术方案实现的,首先,预设时间规则:在时间轴上以相对时间零为起点,按需要预设若干个相对的时间片段,在这些时间片段内出现称为符合时间规则,否则称为不符合时间规则;然后选取和抛弃:当两次或多次收到来源于同一个IP地址的相同的DNS请求时,以第一次收到的时间为相对零点,如果后续的DNS请求符合时间规则,那么就选取,否则就抛弃。
有益效果:是正常的设备发出DNS请求后,如果等待短暂的时间之后没有收到响应,就会按一定的时间规律重发相同的DNS请求,例如Windows操作系统发出的第2个DNS请求与第1个DNS请求的时间间隔为1秒,第3个DNS请求与第1个DNS请求的时间间隔为2秒,第4个DNS请求与第1个DNS请求的时间间隔为4秒,这些DNS请求经过网络最终到达DNS服务系统的时候,由于网络延时或抖动,DNS服务系统看到的时间间隔会发生变化,不再是比较准确的1、2、4秒间隔,例如是0.95、2.01、4.07秒。如果事先预设3个相对的时间片段,例如0.9~1.1、1.9~2.1、3.9~4.1,如附图一所示的阴影部分,凡是来源于同一个IP地址的相同的DNS请求,只要在上述时间片内重复出现的都选取,不在上述时间片内重复出现的都抛弃,那么Windows操作系统重复发出的DNS请求,第2个将被选取,假设第2个在网络途中由于其他原因丢失了则第3个将被选取,假设第2、第3个在网络途中由于其他原因都丢失了则第4个将被选取(如果考虑第1个请求被丢失的情况,上例中还应该增加1个时间片段例如2.9~3.1)。攻击者发出的随机DNS请求一般都不符合上述时间规则,因而将被抛弃。本发明能简单而有效地筛选出真实的DNS请求、抛弃伪造的DNS请求,对保护DNS服务系统有较高的实用价值。
附图说明
图1是预设时间规则示例图;
图2是域名筛选方法应用逻辑连接示例图。
具体实施方式
下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,例如Windows操作系统发出的第2个DNS请求与第1个DNS请求的时间间隔为1秒,第3个DNS请求与第1个DNS请求的时间间隔为2秒,第4个DNS请求与第1个DNS请求的时间间隔为4秒,这些DNS请求经过网络最终到达DNS服务系统的时候,由于网络延时或抖动,DNS服务系统看到的时间间隔会发生变化,不再是比较准确的1、2、4秒间隔,例如是0.95、2.01、4.07秒。如果事先预设3个相对的时间片段,例如0.9~1.1、1.9~2.1、3.9~4.1,如图所示的阴影部分,凡是来源于同一个IP地址的相同的DNS请求,只要在上述时间片内重复出现的都选取,不在上述时间片内重复出现的都抛弃,那么Windows操作系统重复发出的DNS请求,第2个将被选取,假设第2个在网络途中由于其他原因丢失了则第3个将被选取,假设第2、第3个在网络途中由于其他原因都丢失了则第4个将被选取。
如图2所示,域名筛选系统透明地串接在DNS服务系统与互联网之间(无需IP地址),可利用计算机作为域名筛选系统的硬件实现平台,域名筛选计算机通过A接口接收来自于互联网的DNS请求后进行判断及处理。 当域名筛选计算机在A接口重复接收到来源于同一个IP地址的DNS请求时,判断是否为相同DNS请求的条件,可粗略地仅看DNS请求所解析的域名是否相同,也可按需要增加源端口号是否相同、DNS的Transaction ID是否相同、DNS的请求类型是否相同等更多的条件。预设的时间规则可以按需要调整,例如除了满足Windows操作系统重发DNS请求的时间规则外,还可增加满足Unix类操作系统重发DNS请求的时间规则。域名筛选计算机将符合时间规则的DNS请求通过B接口转发给DNS服务系统,不符合时间规则的DNS请求直接被抛弃。
Claims (2)
1.一种筛选DNS请求的方法,其特征在于:按照事先预设的时间规则筛选DNS请求。
2.根据权利要求1所述的一种筛选DNS请求的方法,其特征在于:该请求方法包括以下步骤:
(1)在时间轴上以相对时间零为起点,按需要预设若干个相对的时间片段,在这些时间片段内出现称为符合时间规则,否则称为不符合时间规则;
(2)当两次或多次收到来源于同一个IP地址的相同的DNS请求时,以第一次收到的时间为相对零点,如果后续的DNS请求符合时间规则,那么就选取,否则就抛弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010615072 CN102075592B (zh) | 2010-12-30 | 2010-12-30 | 一种筛选dns请求的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010615072 CN102075592B (zh) | 2010-12-30 | 2010-12-30 | 一种筛选dns请求的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102075592A true CN102075592A (zh) | 2011-05-25 |
| CN102075592B CN102075592B (zh) | 2013-02-20 |
Family
ID=44033932
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010615072 Expired - Fee Related CN102075592B (zh) | 2010-12-30 | 2010-12-30 | 一种筛选dns请求的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102075592B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102420833A (zh) * | 2011-12-27 | 2012-04-18 | 华为技术有限公司 | 一种网络协议识别的方法、装置及其系统 |
| CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| CN103294720A (zh) * | 2012-03-01 | 2013-09-11 | 腾讯科技(北京)有限公司 | 一种网络请求事件筛选方法及装置 |
| CN103973827A (zh) * | 2013-02-05 | 2014-08-06 | 中国移动通信集团公司 | 一种域名解析方法及装置 |
| WO2017024977A1 (zh) * | 2015-08-13 | 2017-02-16 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
| TWI787168B (zh) * | 2017-01-19 | 2022-12-21 | 香港商阿里巴巴集團服務有限公司 | 網路攻擊的防禦方法、裝置及系統 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282209A (zh) * | 2008-05-13 | 2008-10-08 | 杭州华三通信技术有限公司 | 防范dns请求报文泛洪攻击的方法及设备 |
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
| CN101729291A (zh) * | 2009-06-11 | 2010-06-09 | 中兴通讯股份有限公司 | 一种域名查询方法和系统 |
-
2010
- 2010-12-30 CN CN 201010615072 patent/CN102075592B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282209A (zh) * | 2008-05-13 | 2008-10-08 | 杭州华三通信技术有限公司 | 防范dns请求报文泛洪攻击的方法及设备 |
| CN101729291A (zh) * | 2009-06-11 | 2010-06-09 | 中兴通讯股份有限公司 | 一种域名查询方法和系统 |
| CN101702660A (zh) * | 2009-11-12 | 2010-05-05 | 中国科学院计算技术研究所 | 异常域名检测方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102420833A (zh) * | 2011-12-27 | 2012-04-18 | 华为技术有限公司 | 一种网络协议识别的方法、装置及其系统 |
| CN102624706A (zh) * | 2012-02-22 | 2012-08-01 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| CN102624706B (zh) * | 2012-02-22 | 2015-07-15 | 上海交通大学 | 一种dns隐蔽信道的检测方法 |
| CN103294720A (zh) * | 2012-03-01 | 2013-09-11 | 腾讯科技(北京)有限公司 | 一种网络请求事件筛选方法及装置 |
| CN103294720B (zh) * | 2012-03-01 | 2017-03-15 | 腾讯科技(北京)有限公司 | 一种网络请求事件筛选方法及装置 |
| CN103973827A (zh) * | 2013-02-05 | 2014-08-06 | 中国移动通信集团公司 | 一种域名解析方法及装置 |
| WO2017024977A1 (zh) * | 2015-08-13 | 2017-02-16 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
| CN106453215A (zh) * | 2015-08-13 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
| CN106453215B (zh) * | 2015-08-13 | 2019-09-10 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
| TWI787168B (zh) * | 2017-01-19 | 2022-12-21 | 香港商阿里巴巴集團服務有限公司 | 網路攻擊的防禦方法、裝置及系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102075592B (zh) | 2013-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102075592B (zh) | 一种筛选dns请求的方法 | |
| CN103825881B (zh) | 基于无线访问控制器ac实现wlan用户的重定向方法及装置 | |
| CN101110821B (zh) | 防止arp地址欺骗攻击的方法及装置 | |
| CN104168339A (zh) | 防止域名劫持的方法及设备 | |
| CN102655509B (zh) | 一种网络攻击识别方法及装置 | |
| CN102413105A (zh) | 防范cc攻击的方法和装置 | |
| CN103067404B (zh) | 一种用户访问嵌入式web服务器的方法 | |
| CN102143177B (zh) | 一种Portal认证方法、装置、设备及系统 | |
| CN101257450A (zh) | 网络安全防护方法、网关设备、客户端及网络系统 | |
| CN110099129B (zh) | 一种数据传输方法以及设备 | |
| CN101741846B (zh) | 文件下载的方法、装置及系统 | |
| CN106657035B (zh) | 一种网络报文传输方法及装置 | |
| CA2384772A1 (en) | An access control method | |
| CN101296223B (zh) | 一种实现防火墙芯片参与syn代理的方法 | |
| US20110280247A1 (en) | System and method for reducing latency via multiple network connections | |
| CN105516061A (zh) | 远程访问服务器的方法及web服务器 | |
| CN101112046A (zh) | Ip共享器检测和拦截系统和方法 | |
| CN102404345A (zh) | 分布式攻击阻止方法及装置 | |
| CN101651711B (zh) | 基于串口通信的http网络访问实现方法 | |
| CN102510386B (zh) | 分布式攻击阻止方法及装置 | |
| CN101547134B (zh) | 一种udp连接和tcp连接相互转化的方法、系统及中转服务器 | |
| CN108768841A (zh) | Afdx安全网关系统及其传输方法 | |
| CN106878251B (zh) | 一种用于分布式的网站程序漏洞扫描系统、方法和装置 | |
| CN102223266A (zh) | 一种协议代理检测方法和装置 | |
| KR102298736B1 (ko) | 네트워크 은닉 장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130220 Termination date: 20191230 |