CN102291411B - 针对dns服务的防ddos攻击方法和系统 - Google Patents
针对dns服务的防ddos攻击方法和系统 Download PDFInfo
- Publication number
- CN102291411B CN102291411B CN 201110237997 CN201110237997A CN102291411B CN 102291411 B CN102291411 B CN 102291411B CN 201110237997 CN201110237997 CN 201110237997 CN 201110237997 A CN201110237997 A CN 201110237997A CN 102291411 B CN102291411 B CN 102291411B
- Authority
- CN
- China
- Prior art keywords
- visiting
- section
- access
- ddos
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了针对DNS服务的防DDOS攻击方法和系统,实时、准确地检测和防御针对DNS服务的DDOS攻击。其技术方案为:监听来访IP的DNS请求;确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量;检测当前是否受到DDOS攻击;若检测到DDOS攻击,则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求,若未检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
Description
技术领域
本发明涉及一种网络防攻击的技术,尤其涉及针对DNS服务的防DDOS攻击方法和系统。
背景技术
在网络中需要防止DDOS的攻击,申请号为“CN201010572112.6”,发明名称为“一种WiMAX系统及其防御DDoS攻击的装置和方法”的专利申请公开了:在WiMAX系统中配置一个或多个非法包拦截模块,非法包拦截模块配置于基站和接入网关之间,所述非法包拦截模块对终端经基站发送的上行数据进行合法性检测,若判断为合法数据,则直接转发给接入网关通过主干网络发送给应用服务器;若判断为非法数据,则将上行数据进行拦截。进一步用于在拦截非法数据后,通知基站对发送该非法数据的终端进行带宽限制,记录检测日志及生成告警。本发明能有效防御由网内大量终端发起的DDoS攻击,增强网络的安全性,保证了无线网络的稳定。
而DNS服务的现有技术较少,且存在以下一个或多个缺点:仅针对单个IP攻击检测及过滤,这在IPv6中及伪造来访IP中将严重失效;仅根据最近两个时间片的访问情况来检测和防御攻击,其精度性不高;根据多个特征向量来识别和区分攻击,存在较大的不确定性,且不够实时。
发明内容
本发明的目的在于解决上述问题,提供了一种针对DNS服务的防DDOS攻击的方法,实时、准确地检测和防御针对DNS服务的DDOS攻击。
本发明的另一目的在于提供了一种针对DNS服务的防DDOS攻击的系统,实时、准确地检测和防御针对DNS服务的DDOS攻击。
本发明的技术方案为:本发明揭示了一种针对DNS服务的防DDOS攻击方法,包括:
步骤1:监听来访IP的DNS请求;
步骤2:确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量;
步骤3:检测当前是否受到DDOS攻击;
步骤4:若检测到DDOS攻击,则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求,若未检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
根据本发明的针对DNS服务的防DDOS攻击方法的一实施例,在步骤1和2之间来包括:
根据预先配置的许可IP段和非法IP段来过滤来访的IP请求,若来访IP不属于许可IP段或者属于非法IP段,则拒绝来访IP的DNS请求。
根据本发明的针对DNS服务的防DDOS攻击方法的一实施例,步骤2进一步包括:
根据预设的IP段划分获得来访IP的所属IP段;
根据预设的时间模式获得当前时间所属时间段;
统计当前时间片的总体访问次数和来访IP所属IP段的访问次数;
在当前时间片结束后,计算当前定时时间片的总体访问流量为当前时间片总体访问次数除以时间片的值,计算来访IP所属IP段访问流量为当前时间片来访IP所属IP段访问次数除以时间片的值。
根据本发明的针对DNS服务的防DDOS攻击方法的一实施例,步骤3进一步包括:
如果当前定时时间片的总体访问流量超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数,或者当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数,则判断为受到DDOS攻击,否则判断为没有受到DDOS攻击。
根据本发明的针对DNS服务的防DDOS攻击方法的一实施例,步骤4进一步包括:
若检测到受到DDOS攻击,则判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数,若超过则累加当前时间片来访IP所属IP段的成功请求次数,接着转发来访IP的DNS请求,否则拒绝来访IP的DNS请求,其中时间片间隔为当前时间和当前时间片的起始时间的差值,若小于1秒则设置为1秒;
若没有检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
本发明还揭示了一种针对DNS服务的防DDOS攻击的系统,包括监听装置、流量统计装置、攻击检测装置、处理装置,其中:
所述监听装置监听来访IP的DNS请求;
所述流量统计装置连接所述监听装置,确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量;
所述攻击检测装置连接所述流量统计装置,检测当前是否受到DDOS攻击;
所述处理装置连接所述攻击检测装置,若检测到DDOS攻击,则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求,若未检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
根据本发明的针对DNS服务的防DDOS攻击的系统的一实施例,所述系统还包括:
过滤装置,连接在所述监听装置和所述流量统计装置之间,根据预先配置的许可IP段和非法IP段来过滤来访的IP请求,若来访IP不属于许可IP段或者属于非法IP段,则拒绝来访IP的DNS请求。
根据本发明的针对DNS服务的防DDOS攻击的系统的一实施例,所述流量统计装置进一步包括来访IP所属IP段获取单元、当前时间所属时间段获取单元、访问次数统计单元、计算单元,其中:
所述来访IP所属IP段获取单元,根据预设的IP段划分获得来访IP的所属IP段;
所述当前时间所属时间段获取单元,根据预设的时间模式获得当前时间所属时间段;
所述访问次数统计单元,统计当前时间片的总体访问次数和来访IP所属IP段的访问次数;
所述计算单元,在当前时间片结束后,计算当前定时时间片的总体访问流量为当前时间片总体访问次数除以时间片的值,计算来访IP所属IP段访问流量为当前时间片来访IP所属IP段访问次数除以时间片的值。
根据本发明的针对DNS服务的防DDOS攻击的系统的一实施例,在所述攻击检测装置中,如果当前定时时间片的总体访问流量超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数,或者当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数,则判断为受到DDOS攻击,否则判断为没有受到DDOS攻击。
根据本发明的针对DNS服务的防DDOS攻击的系统的一实施例,所述处理装置包括:
受到DDOS攻击后处理单元,在检测到受到DDOS攻击后运行,判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数,若超过则累加当前时间片来访IP所属IP段的成功请求次数,接着转发来访IP的DNS请求,否则拒绝来访IP的DNS请求,其中时间片间隔为当前时间和当前时间片的起始时间的差值,若小于1秒则设置为1秒;
未受DDOS攻击后处理单元,在没有检测到DDOS攻击后运行,更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
本发明对比现有技术有如下的有益效果:本发明的方案是步骤监听来访IP的DNS请求,确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量,检测当前是否受到DDOS攻击,若检测到DDOS攻击,则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求,若未检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。对比现有技术,本发明可以实时、准确地检测和防御针对DNS服务的DDOS攻击。
附图说明
图1示例性的示出了本发明的针对DNS服务的防DDOS攻击的方法的第一实施例的流程图。
图2示例性的示出了本发明的针对DNS服务的防DDOS攻击的方法的第二实施例的流程图。
图3示出了图1实施例中的步骤S 11以及图2实施例中的步骤S22的细化流程图。
图4示出了图1实施例中的步骤S 12以及图2实施例中的步骤S23的细化流程图。
图5示出了图1实施例中的步骤S 13以及图2实施例中的步骤S24的细化流程图。
图6示出了图1实施例中的步骤S 14以及图2实施例中的步骤S25的细化流程图。
图7示出了图2实施例中的步骤S21的细化流程图。
图8示出了本发明的针对DNS服务的防DDOS攻击的系统的第一实施例的原理图。
图9示出了本发明的针对DNS服务的防DDOS攻击的系统的第二实施例的原理图。
具体实施方式
下面结合附图和实施例对本发明作进一步的描述。
针对DNS服务的防DDOS攻击的方法的第一实施例
图1示出了本发明的针对DNS服务的防DDOS攻击的方法的第一实施例的流程。请参见图1,本实施例的方法的详细步骤如下详述。
步骤S 10:监听来访IP的DNS请求。
步骤S11:确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量。
对于这一步骤,其细化步骤如图3所示,详述如下。
第一步,根据预设的IP段划分来获得来访IP的所属IP段。
例如,根据来访IP和255.255.255.0的与操作来获得来访IP的所属IP段。
第二步:根据预设的时间模式获得当前时间所属时间段。
由于DNS的访问流量在周期上是相对稳定的,特别是7*24的周期,故采用7*24小时来获得当前时间所属时间段,当然可以根据实际应用场景的需求加大或减少这个周期粒度。另各个IP段在指定时间段上DNS的访问流量也是相对稳定的,这里采用/24来获得来访IP所属IP段,当然可可以根据实际应用场景的需求来调整这个规则,如针对某些重要的IP可分为一个或多个IP段,而其他一些不怎么重要的IP可归于同一个IP段,这样受攻击后有效减少受影响的重要IP。当时间片结束时(时间片可设置为60秒),统计当前时间段的总体访问流量及当前时间段来访IP所属IP段的访问流量。
第三步:统计当前时间片的总体访问次数和来访IP所属IP段的访问次数;
第四步:等待当前时间片是否结束。
第五步:在当前时间片结束后,计算当前定时时间片的总体访问流量和来访IP所属IP段访问流量。
其中总体访问流量=当前时间片总体访问次数/时间片;
来访IP所属IP段访问流量=当前时间片来访IP所属IP段访问次数/时间片。
步骤S12:检测当前是否受到DDOS攻击,如果是受到攻击则转入步骤S14,如果未受到攻击则转入步骤S13。
对于检测是否受到DDOS攻击的细化步骤请参见图4所示,以下为结合图4的详细描述。
第一步:判断当前定时时间片的总体访问流量是否超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数。如果超过则判定为受到DDOS攻击,如果没有则进入第二步的判断。
第二步:判断当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数。如果超过则判定为受到DDOS攻击,如果没有则判断为没有受到DDOS攻击。
步骤S13:更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,然后进入步骤S15。
这一步骤的细化如图5所示,结合图5说明该步骤的具体实现。
第一步,初始时加载所有历史访问流量信息:各时间段总体以及所有IP段的历史访问流量。
第二步:若备份历史访问流量时间片结束,则备份所有历史访问流量信息:各时间段总体及所有IP段的历史访问流量。
自动加载和备份各时间段总体及所有IP段的历史访问流量,允许人工调整各时间段上总体和所有IP段的历史访问流量,具备较大的人工操作空间。
第三步:判断预设时间段内是否受到攻击,如果未受到攻击,则继续下面的步骤。
将预设时间段设置为24小时,从而保证服务已经回归正常运行状态。
第四步:计算当前时间段总体历史访问流量。
当前时间段总体历史访问流量=当前时间段总体历史访问流量×系数+当前时间总体访问流量×(1-系数)。
第五步:计算当前时间段来访IP所属IP段历史访问流量,然后进入步骤S15。
当前时间段来访IP所属IP段历史访问流量=当前时间段来访IP所属IP段历史访问流量×系数+当前时间来访IP所属IP段访问流量×(1-系数)。
其中加权系数可设为0.85,当然也可用其他加权方式,或者根据各种数据模型来计算获得。
步骤S 14:根据当前时间段来访IP所属IP段的历史访问流量来确定是否需要过滤来访IP请求。如果需要过滤则转入步骤S16,如果不需要过滤则转入步骤S15。
这一步骤的细化流程如图6所示,结合如图6描述如下。
第一步,设置时间片间隔。
例如,时间片间隔=当前时间-当前时间片的起始时间。若小于1秒则设置为1秒。
第二步:判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数。
若超过则进入第三步,若未超过则进入步骤S16。
第三步:累加当前时间片来访IP所属IP段的成功请求次数,接着进入步骤S15。
步骤S15:转发来访IP的DNS请求。流程结束。
步骤S16:拒绝来访IP的DNS请求。
针对DNS服务的防DDOS攻击的方法的第二实施例
图2示出了本发明的针对DNS服务的防DDOS攻击的方法的第二实施例的流程。请参见图2,本实施例的方法的详细步骤如下详述。
步骤S20:监听来访IP的DNS请求。
步骤S21:根据预先配置的许可IP段和非法IP段来过滤来访的IP请求,若来访IP不属于许可IP段或者属于非法IP段,则进入步骤S27。
本步骤的细化如图7所示。
第一步:判定来访IP是否属于白名单列表(即许可IP段),若白名单为空则默认属于。如果不属于则进入步骤S27,如果属于则进入下一步的判断。
第二步:判定来访IP是否属于黑名单列表(即非法IP段),若黑名单列表为空则默认不属于,如果属于则进入步骤S27,如果不属于则进入步骤S22的处理。
步骤S22:确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量。
对于这一步骤,其细化步骤如图3所示,详述如下。
第一步,根据预设的IP段划分获得来访IP的所属IP段。
例如,根据来访IP和255.255.255.0的与操作来获得来访IP的所属IP段。
第二步:根据预设的时间模式获得当前时间所属时间段。
由于DNS的访问流量在周期上是相对稳定的,特别是7*24的周期,故采用7*24小时来获得当前时间所属时间段,当然可以根据实际应用场景的需求加大或减少这个周期粒度。另各个IP段在指定时间段上DNS的访问流量也是相对稳定的,这里采用/24来获得来访IP所属IP段,当然可可以根据实际应用场景的需求来调整这个规则,如针对某些重要的IP可分为一个或多个IP段,而其他一些不怎么重要的IP可归于同一个IP段,这样受攻击后有效减少受影响的重要IP。当时间片结束时(时间片可设置为60秒),统计当前时间段的总体访问流量及当前时间段来访IP所属IP段的访问流量。
第三步:统计当前时间片的总体访问次数和来访IP所属IP段的访问次数;
第四步:等待当前时间片是否结束。
第五步:在当前时间片结束后,计算当前定时时间片的总体访问流量和来访IP所属IP段访问流量。
其中总体访问流量=当前时间片总体访问次数/时间片;
来访IP所属IP段访问流量=当前时间片来访IP所属IP段访问次数/时间片。
步骤S23:检测当前是否受到DDOS攻击,如果是受到攻击则转入步骤S25,如果未受到攻击则转入步骤S24。
对于检测是否受到DDOS攻击的细化步骤请参见图4所示,以下为结合图4的详细描述。
第一步:判断当前定时时间片的总体访问流量是否超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数。如果超过则判定为受到DDOS攻击,如果没有则进入第二步的判断。
第二步:判断当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数。如果超过则判定为受到DDOS攻击,如果没有则判断为没有受到DDOS攻击。
步骤S24:更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,然后进入步骤S26。
这一步骤的细化如图5所示,结合图5说明该步骤的具体实现。
第一步,初始时加载所有历史访问流量信息:各时间段总体以及所有IP段的历史访问流量。
第二步:若备份历史访问流量时间片结束,则备份所有历史访问流量信息:各时间段总体及所有IP段的历史访问流量。
自动加载和备份各时间段总体及所有IP段的历史访问流量,允许人工调整各时间段上总体和所有IP段的历史访问流量,具备较大的人工操作空间。
第三步:判断预设时间段内是否受到攻击,如果未受到攻击,则继续下面的步骤。
将预设时间段设置为24小时,从而保证服务已经回归正常运行状态。
第四步:计算当前时间段总体历史访问流量。
当前时间段总体历史访问流量=当前时间段总体历史访问流量×系数+当前时间总体访问流量×(1-系数)。
第五步:计算当前时间段来访IP所属IP段历史访问流量,然后进入步骤S26。
当前时间段来访IP所属IP段历史访问流量=当前时间段来访IP所属IP段历史访问流量×系数+当前时间来访IP所属IP段访问流量×(1-系数)。
其中加权系数可设为0.85,当然也可用其他加权方式,或者根据各种数据模型来计算获得。
步骤S25:根据当前时间段来访IP所属IP段的历史访问流量来确定是否需要过滤来访IP请求。如果需要过滤则转入步骤S27,如果不需要过滤则转入步骤S26。
这一步骤的细化流程如图6所示,结合如图6描述如下。
第一步,设置时间片间隔。
例如,时间片间隔=当前时间-当前时间片的起始时间。若小于1秒则设置为1秒。
第二步:判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数。
若超过则进入第三步,若未超过则进入步骤S27。
第三步:累加当前时间片来访IP所属IP段的成功请求次数,接着进入步骤S15。
步骤S26:转发来访IP的DNS请求。流程结束。
步骤S27:拒绝来访IP的DNS请求。
针对DNS服务的防DDOS攻击的系统的第一实施例
图8示出了本发明的针对DNS服务的防DDOS攻击的系统的第一实施例。请参见图8,本实施例的系统包括依序连接的监听装置10、流量统计装置11、攻击检测装置12、处理装置13。
监听装置10监听来访IP的DNS请求。
流量统计装置11确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量。
流量统计装置11进一步包括来访IP所属IP段获取单元110、当前时间所属时间段获取单元111、访问次数统计单元112、计算单元113。
来访IP所属IP段获取单元110根据预设的IP段划分获得来访IP的所属IP段。例如根据来访IP和255.255.255.0的与操作来获得来访IP的所属IP段。
当前时间所属时间段获取单元111根据预设的时间模式获得当前时间所属时间段。
访问次数统计单元112统计当前时间片的总体访问次数和来访IP所属IP段的访问次数。
计算单元113中,在当前时间片结束后,计算当前定时时间片的总体访问流量为当前时间片总体访问次数除以时间片的值,计算来访IP所属IP段访问流量为当前时间片来访IP所属IP段访问次数除以时间片的值。
攻击检测装置12检测当前是否受到DDOS攻击。在攻击检测装置12中,如果当前定时时间片的总体访问流量超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数,或者当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数,则判断为受到DDOS攻击,否则判断为没有受到DDOS攻击。
处理装置13中,若检测到DDOS攻击,则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求,若未检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
处理装置13包括受到DDOS攻击后处理单元130和未受DDOS攻击后处理单元131。
受到DDOS攻击后处理单元130在检测到受到DDOS攻击后运行,判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数,若超过则累加当前时间片来访IP所属IP段的成功请求次数,接着转发来访IP的DNS请求,否则拒绝来访IP的DNS请求,其中时间片间隔为当前时间和当前时间片的起始时间的差值,若小于1秒则设置为1秒。
未受DDOS攻击后处理单元131在没有检测到受到DDOS攻击后运行,更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
针对DNS服务的防DDOS攻击的系统的第二实施例
图9示出了本发明的针对DNS服务的防DDOS攻击的系统的第二实施例。请参见图9,本实施例的系统包括依序连接的监听装置20、过滤装置24、流量统计装置21、攻击检测装置22、处理装置23。
监听装置20监听来访IP的DNS请求。
过滤装置24根据预先配置的许可IP段和非法IP段来过滤来访的IP请求,若来访IP不属于许可IP段或者属于非法IP段,则拒绝来访IP的DNS请求。
流量统计装置21确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量。
流量统计装置21进一步包括来访IP所属IP段获取单元210、当前时间所属时间段获取单元211、访问次数统计单元212、计算单元213。
来访IP所属IP段获取单元210根据预设的IP段划分获得来访IP的所属IP段。例如根据来访IP和255.255.255.0的与操作来获得来访IP的所属IP段。
当前时间所属时间段获取单元211根据预设的时间模式获得当前时间所属时间段。
访问次数统计单元212统计当前时间片的总体访问次数和来访IP所属IP段的访问次数。
计算单元213中,在当前时间片结束后,计算当前定时时间片的总体访问流量为当前时间片总体访问次数除以时间片的值,计算来访IP所属IP段访问流量为当前时间片来访IP所属IP段访问次数除以时间片的值。
攻击检测装置22检测当前是否受到DDOS攻击。在攻击检测装置22中,如果当前定时时间片的总体访问流量超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数,或者当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数,则判断为受到DDOS攻击,否则判断为没有受到DDOS攻击。
处理装置23中,若检测到DDOS攻击,则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求,若未检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
处理装置23包括受到DDOS攻击后处理单元230和未受DDOS攻击后处理单元231。
受到DDOS攻击后处理单元230在检测到受到DDOS攻击后运行,判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数,若超过则累加当前时间片来访IP所属IP段的成功请求次数,接着转发来访IP的DNS请求,否则拒绝来访IP的DNS请求,其中时间片间隔为当前时间和当前时间片的起始时间的差值,若小于1秒则设置为1秒。
未受DDOS攻击后处理单元231在没有检测到受到DDOS攻击后运行,更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
上述实施例是提供给本领域普通技术人员来实现和使用本发明的,本领域普通技术人员可在不脱离本发明的发明思想的情况下,对上述实施例做出种种修改或变化,因而本发明的发明范围并不被上述实施例所限,而应该是符合权利要求书所提到的创新性特征的最大范围。
Claims (8)
1.一种针对DNS服务的防DDOS攻击方法,包括:
步骤1:监听来访IP的DNS请求;
步骤2:确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量;
步骤3:检测当前是否受到DDOS攻击;
步骤4:若检测到DDOS攻击,则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求,若未检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求;
其中步骤2进一步包括:
根据预设的IP段划分获得来访IP的所属IP段;根据预设的时间模式获得当前时间所属时间段;
统计当前时间片的总体访问次数和来访IP所属IP段的访问次数;
在当前时间片结束后,计算当前定时时间片的总体访问流量为当前时间片总体访问次数除以时间片的值,计算来访IP所属IP段访问流量为当前时间片来访IP所属IP段访问次数除以时间片的值。
2.根据权利要求1所述的针对DNS服务的防DDOS攻击方法,其特征在于,在步骤1和2之间来包括:
根据预先配置的许可IP段和非法IP段来过滤来访的IP请求,若来访IP不属于许可IP段或者属于非法IP段,则拒绝来访IP的DNS请求。
3.根据权利要求1所述的针对DNS服务的防DDOS攻击方法,其特征在于,步骤3进一步包括:
如果当前定时时间片的总体访问流量超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数,或者当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数,则判断为受到DDOS攻击,否则判断为没有受到DDOS攻击。
4.根据权利要求1所述的针对DNS服务的防DDOS攻击方法,其特征在于,步骤4进一步包括:
若检测到受到DDOS攻击,则判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数,若超过则累加当前时间片来访IP所属IP段的成功请求次数,接着转发来访IP的DNS请求,否则拒绝来访IP的DNS请求,其中时间片间隔为当前时间和当前时间片的起始时间的差值,若小于1秒则设置为1秒;
若没有检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
5.一种针对DNS服务的防DDOS攻击的系统,包括监听装置、流量统计装置、攻击检测装置、处理装置,其中:
所述监听装置监听来访IP的DNS请求;
所述流量统计装置连接所述监听装置,确定来访IP所属IP段和当前时间所属时间段,并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量;
所述攻击检测装置连接所述流量统计装置,检测当前是否受到DDOS攻击;
所述处理装置连接所述攻击检测装置,若检测到DDOS攻击,则根据当前时间段来访IP所属IP段的历史访问流量过滤来访IP请求,若未检测到DDOS攻击,则更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求;
其中所述流量统计装置进一步包括来访IP所属IP段获取单元、当前时间所属时间段获取单元、访问次数统计单元、计算单元,其中:
所述来访IP所属IP段获取单元,根据预设的IP段划分获得来访IP的所属IP段;
所述当前时间所属时间段获取单元,根据预设的时间模式获得当前时间所属时间段;
所述访问次数统计单元,统计当前时间片的总体访问次数和来访IP所属IP段的访问次数;
所述计算单元,在当前时间片结束后,计算当前定时时间片的总体访问流量为当前时间片总体访问次数除以时间片的值,计算来访IP所属IP段访问流量为当前时间片来访IP所属IP段访问次数除以时间片的值。
6.根据权利要求5所述的针对DNS服务的防DDOS攻击的系统,其特征在于,所述系统还包括:
过滤装置,连接在所述监听装置和所述流量统计装置之间,根据预先配置的许可IP段和非法IP段来过滤来访的IP请求,若来访IP不属于许可IP段或者属于非法IP段,则拒绝来访IP的DNS请求。
7.根据权利要求5所述的针对DNS服务的防DDOS攻击的系统,其特征在于,在所述攻击检测装置中,如果当前定时时间片的总体访问流量超过总体预设值或者超过当前时间段历史总体访问流量的预设倍数,或者当前定时时间片的来访IP所属IP段的访问流量超过此IP段预设值或者超过当前时间段此IP段历史访问流量的预设倍数,则判断为受到DDOS攻击,否则判断为没有受到DDOS攻击。
8.根据权利要求5所述的针对DNS服务的防DDOS攻击的系统,其特征在于,所述处理装置包括:
受到DDOS攻击后处理单元,在检测到受到DDOS攻击后运行,判定时间片间隔与当前时间段来访IP所属IP段的历史访问流量的乘积是否超过当前时间片来访IP所属IP段的成功请求次数,若超过则累加当前时间片来访IP所属IP段的成功请求次数,接着转发来访IP的DNS请求,否则拒绝来访IP的DNS请求,其中时间片间隔为当前时间和当前时间片的起始时间的差值,若小于1秒则设置为1秒;
未受DDOS攻击后处理单元,在没有检测到DDOS攻击后运行,更新当前时间段历史总体访问流量以及当前时间段来访IP所属IP段的历史访问流量,接着转发来访IP的DNS请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110237997 CN102291411B (zh) | 2011-08-18 | 2011-08-18 | 针对dns服务的防ddos攻击方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110237997 CN102291411B (zh) | 2011-08-18 | 2011-08-18 | 针对dns服务的防ddos攻击方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102291411A CN102291411A (zh) | 2011-12-21 |
| CN102291411B true CN102291411B (zh) | 2013-11-06 |
Family
ID=45337519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110237997 Active CN102291411B (zh) | 2011-08-18 | 2011-08-18 | 针对dns服务的防ddos攻击方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102291411B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694696B (zh) * | 2012-05-14 | 2015-09-09 | 中国科学院计算机网络信息中心 | Dns服务器异常检测的方法及装置 |
| CN103475637B (zh) * | 2013-04-24 | 2018-03-27 | 携程计算机技术(上海)有限公司 | 基于ip访问行为的网络访问控制方法及系统 |
| CN103701794A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的识别方法和装置 |
| EP3043534B1 (en) * | 2015-01-07 | 2020-03-18 | Efficient IP SAS | Managing traffic overload on a dns server |
| CN106161395B (zh) * | 2015-04-20 | 2020-03-06 | 阿里巴巴集团控股有限公司 | 一种防止暴力破解的方法、装置及系统 |
| CN106888182B (zh) * | 2015-12-15 | 2020-02-04 | 精硕科技(北京)股份有限公司 | 一种能防御DDoS的数据采集方法和系统 |
| CN105721494B (zh) * | 2016-03-25 | 2019-04-19 | 中国互联网络信息中心 | 一种异常流量攻击检测处置的方法和装置 |
| CN105847281B (zh) * | 2016-05-12 | 2019-02-19 | 中国联合网络通信集团有限公司 | 一种dns防御攻击的方法及系统 |
| CN107360196B (zh) * | 2017-09-08 | 2020-06-26 | 杭州安恒信息技术股份有限公司 | 攻击检测方法、装置及终端设备 |
| TWI657681B (zh) * | 2018-02-13 | 2019-04-21 | 愛迪爾資訊有限公司 | 網路流分析方法及其相關系統 |
| CN110545333B (zh) * | 2018-05-28 | 2021-01-22 | 大唐移动通信设备有限公司 | 消息处理方法及装置、网络系统 |
| CN109347796A (zh) * | 2018-09-11 | 2019-02-15 | 聚好看科技股份有限公司 | 业务访问控制方法及装置 |
| CN113014529B (zh) * | 2019-12-19 | 2023-09-26 | 北京数安鑫云信息技术有限公司 | 网络攻击的识别方法、装置、介质及设备 |
| CN111291425B (zh) * | 2020-05-09 | 2020-12-25 | 南京芯驰半导体科技有限公司 | 芯片保护方法、装置、存储介质及车载芯片 |
| CN113347205B (zh) * | 2021-06-30 | 2022-10-28 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
| CN113630394A (zh) * | 2021-07-28 | 2021-11-09 | 江苏网擎信息技术有限公司 | 一种防御ddos流量攻击检测的方法 |
| CN114338168A (zh) * | 2021-12-29 | 2022-04-12 | 赛尔网络有限公司 | Ip地址动态阻断方法、装置、设备及介质 |
| CN115987639B (zh) * | 2022-12-23 | 2024-04-09 | 中国联合网络通信集团有限公司 | 攻击防御方法、装置、电子设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101540761A (zh) * | 2009-04-24 | 2009-09-23 | 成都市华为赛门铁克科技有限公司 | 一种分布式拒绝服务攻击的监控方法和监控设备 |
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4667437B2 (ja) * | 2007-10-02 | 2011-04-13 | 日本電信電話株式会社 | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム |
-
2011
- 2011-08-18 CN CN 201110237997 patent/CN102291411B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101540761A (zh) * | 2009-04-24 | 2009-09-23 | 成都市华为赛门铁克科技有限公司 | 一种分布式拒绝服务攻击的监控方法和监控设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102291411A (zh) | 2011-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102291411B (zh) | 针对dns服务的防ddos攻击方法和系统 | |
| US9231967B2 (en) | Apparatus and method for detecting in-vehicle network attack | |
| KR101077135B1 (ko) | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 | |
| CN101355463B (zh) | 网络攻击的判断方法、系统和设备 | |
| CN102821081B (zh) | 监测小流量ddos攻击的方法和系统 | |
| JP4654092B2 (ja) | Sipサーバにおける攻撃防御方法、システム及びプログラム | |
| CN110730195B (zh) | 一种数据处理方法、装置以及计算机可读存储介质 | |
| CN101150586A (zh) | Cc攻击防范方法及装置 | |
| CN101505219B (zh) | 一种防御拒绝服务攻击的方法和防护装置 | |
| CN101505218A (zh) | 攻击报文的检测方法和装置 | |
| EP3025538A1 (en) | Detecting fraudulent traffic in a telecommunications system | |
| CN108737433A (zh) | 基于物联网的传感器节点监测系统及传感器节点监测方法 | |
| CN102833263B (zh) | 入侵检测和防护的方法及设备 | |
| CN102026199B (zh) | 一种WiMAX系统及其防御DDoS攻击的装置和方法 | |
| CN112040501A (zh) | 移动网络质量的检测预警方法、装置、设备及存储介质 | |
| CN102780688A (zh) | 在传输控制协议tcp下防止攻击的方法和装置 | |
| CN101917309B (zh) | 软交换平台下公共服务号码的拒绝服务攻击检测方法 | |
| CN109657463A (zh) | 一种报文洪泛攻击的防御方法及装置 | |
| CN101662389B (zh) | 一种统计性能数据的方法及装置 | |
| CN102075535B (zh) | 一种应用层分布式拒绝服务攻击过滤方法及系统 | |
| CN108322354B (zh) | 一种偷跑流量账户识别方法及装置 | |
| CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
| CN105991632A (zh) | 网络安全防护方法及装置 | |
| CN105991557B (zh) | 基于dns智能解析系统的网络攻击防御方法 | |
| CN107547561B (zh) | 一种进行ddos攻击防护处理的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 200030 Shanghai city Xuhui District Xietu Road No. 2899 Building 5 floor A Kuangchi Cultural Square Patentee after: ChinaNetCenter Co., Ltd. Address before: 200030 Shanghai Xuhui District Xietu Road No. 2669 15 Floor Patentee before: ChinaNetCenter Co., Ltd. |