CN102404318B - 一种防范dns缓存攻击的方法及装置 - Google Patents
一种防范dns缓存攻击的方法及装置 Download PDFInfo
- Publication number
- CN102404318B CN102404318B CN201110337375.3A CN201110337375A CN102404318B CN 102404318 B CN102404318 B CN 102404318B CN 201110337375 A CN201110337375 A CN 201110337375A CN 102404318 B CN102404318 B CN 102404318B
- Authority
- CN
- China
- Prior art keywords
- dns
- message
- response message
- attack
- buffer memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种防范DNS缓存攻击的装置,其应用于DNS安全设备中,该装置包括:攻击检测单元,用于检测是否存在针对DNS服务器缓存进行攻击的行为,如果存在,则将被攻击的域名加入保护名单;缓存防护单元,用于在所述攻击的行为发生时检查DNS响应报文中的域名是否在保护名单中,如果是,则将该域名对应的生存时间修改为更短的生存时间,并将修改后的响应报文发送出去。本发明对防范采用穷举方式攻击DNS缓存的效果非常显著。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种防范DNS缓存攻击的方法及装置。
背景技术
DNS 是域名系统 (Domain Name System) 的缩写,它是由解析器和域名服务器组成的。域名服务器(DNS Server)是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。请参考图1,一次正常的域名解析流程大体包括以下处理:首先由客户端发起域名解析请求,本地DNS服务器收到客户端的域名请求后,会去查找自己的管辖域,如果请求的是自己管辖域的域名,就将结果返回给客户端;如果不是自己管辖域的,会在缓存中查找,若没有找到,则会向上一级DNS 服务器发起请求,上一级服务器将解析结果通过DNS Reply报文返回给本地DNS服务器,此时本地DNS服务器将解析结果存入缓存,以便以后再有请求解析该域名时,可以直接返回解析结果,同时会将解析结果返回给本次请求解析该域名的客户端。
近年来DNS攻击事件屡屡发生,比如此前暴风影音DNS遭遇攻击事件。目前针对DNS缓存进行攻击式攻击的行为非常常见。DNS 缓存攻击主要有两类:
第一类,DNS服务器会按照一定的机制对自己的缓存进行更新。缓存更新时,需要向上级服务器发送请求。而攻击者则向DNS 服务器发送精心构造的DNS reply报文。比如说,如果DNS 服务器更新www.google.com域名时,攻击者向DNS 服务器发送精心构造的DNS reply报文,就有可能攻击成功,将www.google.com域名对应的IP地址改成攻击者指定的IP地址。
第二类,攻击者刻意利用一个不存在的某个域名的二级域名来发送请求,这样DNS 服务器由于无法解析自然会向上级DNS服务器发送域名解析请求;这个时候,攻击者则向DNS 服务器发送精心构造的DNS reply报文,就有可能攻击成功。如攻击者想攻击www.google.com,它就可以发送aa.google.com(仅仅是示例,假设该域名并不存在)给DNS服务器,这个时候,攻击者发送精心构造的DNS reply 报文,此报文回复的内容是“aa.google.com域名不存在,但是其在附加资源里将www.google.com改成攻击者指定的IP”,这样一来DNS 缓存攻击成功。针对目前的两种DNS缓存攻击,业界还没有简单且行之有效的解决方案。
发明内容
有鉴于此,本发明提供一种防范DNS缓存攻击的装置,其应用于DNS安全设备中,该装置包括:
攻击检测单元,用于检测是否存在针对DNS服务器缓存进行攻击的行为,如果存在,则将被攻击的域名加入保护名单;
缓存防护单元,用于在所述攻击的行为发生时检查DNS响应报文中的域名是否在保护名单中,如果是,则将该域名对应的生存时间修改为更短的生存时间,并将修改后的响应报文发送出去。。
本发明还提供一种防范DNS缓存攻击的方法,其应用于DNS安全设备中,该方法包括:
A、检测是否存在针对DNS服务器缓存进行攻击的行为,如果存在,则将被攻击的域名加入保护名单;
B、在所述攻击的行为发生时检查DNS响应报文中的域名是否在保护名单中,如果是,则将该域名对应的生存时间修改为更短的生存时间,并将修改后的响应报文发送出去。
本发明能够使得DNS缓存攻击将会被大大抑制,攻击成功的可能性将变成小概率事件。因为一方面,攻击者穷举攻击成功一次的可能性很低,即便成功了,攻击成功的生效时间又大幅度缩短了,所以本发明可以非常有效地防范DNS缓存攻击。
附图说明
图1典型的DNS请求的处理流程。
图2是一种DNS缓存攻击的原理示意图。
图3是另一种DNS缓存攻击的原理示意图。
图4是本发明防范DNS缓存攻击装置的逻辑结构图。
图5是本发明另一种防范DNS缓存攻击装置逻辑结构图。
图6是本发明两种防范DNS缓存攻击装置融合的逻辑结构图。
图7是本发明两种防范DNS缓存攻击装置融合的处理流程图。
具体实施方式
本发明旨在大幅度提高攻击者对DNS缓存进行攻击的难度,相应使得DNS服务在网络中处于更加安全的境地。通常来说,本地DNS服务器接收到上一级DNS服务器返回的响应报文(DNS reply)报文后会对报文做如下处理:
i.检查reply报文目的端口,在DNS 服务器发起的域名请求(DNS Request)中包含了它自身的UDP端口号,在收到上一级DNS 服务器回复的DNS reply报文后,它会检查端口号,如果不相等的话,就说明不是对DNS 服务器发起请求的响应,协议栈则会丢弃该数据报文。
ii. 检查reply报文问题域
DNS 服务器收到上一级DNS 服务器回复的DNS reply报文,会提取DNS reply报文中的问题域,然后和发起DNS 请求中的问题域比较,如果不一致,则会丢弃该数据报文。
iii. 检查Reply报文事务ID (TID)
在DNS 服务器发出的查询请求中会包含一个TID,用来标识某个查询,在收到的DNS 回复报中同样会包含TID,表示是对某个TID查询请求的结果的响应。DNS服务器会根据TID来判断是它发出的某个请求的响应,如果两个TID不相等的话,则会丢弃该数据报文。
iv. 检查授权域和附加域
授权域和附加域中的域名必须和问题域中的域名是同属于某个域名下的子域名。
如果上述所有条件都满足了,DNS域名服务器就会接受该响应数据包是对它发出的某个查询请求的响应,使用相应数据包中的数据,并缓存结果。综上所述,如果攻击者成功对DNS 服务器缓存攻击,必须要满足上面4个条件,缺一不可。而这个四个条件中,条件二reply 报文问题域和条件四授权域及附加域是很容易满足的,关键是在于满足条件i中的端口号和条件iii中的报文事务ID(TID)。
本申请发明人通过研究攻击行为发现穷举攻击的方式是缓存攻击行为的重要方式。由于分布式攻击机制的不断发展,攻击者的障碍将变得更小。因此本发明另辟蹊径,从攻击检测与缓存生效时间两个方面进行攻击行为的防范。
本发明利用位于DNS安全设备上的防范DNS缓存攻击的装置来防御正对DNS服务器缓存的攻击。所述DNS安全设备可以是网络安全设备也可能是DNS服务器本身,这里仅仅是一个物理意义上的载体。防范DNS缓存攻击装置是一个逻辑意义上的软件和/或硬件装置,其可以前置在DNS服务处理之前的一种安全防护装置,也可以是一个位置部署不受限制的安全装置,其可以是软件实现(即通过CPU运行内存中的软件代码实现),也可以是硬件或者固件实现,或者软硬结合来实现。
请参考图4,本发明防范DNS缓存攻击装置包括:攻击检测单元11、缓存防护单元12。该装置运行在DNS安全设备时执行如下处理流程。
步骤101,检测是否存在针对DNS服务器缓存进行攻击的行为,如果存在,则将被攻击的域名加入保护名单;本步骤由攻击检测单元11执行。
本发明并不依赖攻击行为的检测方式。在现有技术中,已经有一些对于攻击行为检测的方式,比如说针对各个源IP地址进行DNS响应报文速率的统计,或者更进一步针对不可信的源IP进行速率统计;这些检测方式通常是通过对IP地址建立黑白名单的机制来防范攻击行为。然而这种方式对于分布式攻击来说防范效果并不好。本发明还可以与任何新的攻击检测方式进行配合,后文将介绍一种新的攻击检测方式。需要说明的是,攻击检测行为的存在是一种机器的判断,尽管各种攻击行为检测的结果可能存在大小不同偏差甚至误报,但其实并不影响在本发明中的运用。
DNS缓存攻击往往是用针对性的,比如攻击某个特定的网站。通过分析攻击者的报文可以轻易发现这一点,然后将被攻击的域名(如www.google.com.hk)加入到保护名单(也称为黑名单),本发明正是从被攻击者的角度来入手解决DNS缓存攻击的问题。
步骤102,在检测所述攻击的行为发生时检查DNS响应报文中的域名是否在保护名单中,如果是,则将该域名对应的生存时间修改为更短的生存时间,并将修改后的响应报文发送出去,本步骤缓存防护单元12执行。
检测到攻击行为以后,本发明的做法是针对DNS响应报文进行修改后再发送。考虑到保护名单中的被攻击的域名在DNS服务器的缓存会被攻击者更新为错误的域名,本发明并不是一味阻止攻击行为的发生,比如找到攻击者并丢弃攻击者发出的报文,而是通过对DNS协议的利用让攻击者徒劳无功。本发明将检查DNS响应报文中是否携带有被攻击的域名;如果存在,则将这个响应报文中域名的生存时间(TTL)修改为更短的时间,比如小于10秒或者是管理员根据经验配置的,较佳的方式是修改为1秒,这样DNS服务器仅仅会缓存该域名很短的时间,攻击者的目的就很难达到了。
假设www.google.com.hk被攻击,本地DNS服务器接收到修改后的响应报文之后,由于生存时间很短,那么本地DNS服务器会很快删除掉该域名的缓存。假设接下来又有用户向本地DNS服务器请求解析www.google.com.hk的时候,由于缓存中被攻击的域名更快被删除掉。本地DNS服务器还是重新向上级DNS服务器发出请求。那也就是说攻击者每次攻击成功的时间很短,例如只有1秒。攻击者本来的目的是希望通过不断地穷举攻击达到将被攻击的域名的解析结果在本地DNS服务器中缓存相当长的时间(比如30分钟或者更长)。比如把www.google.com.hk的IP地址指向自己预设的主机IP地址,从而达到欺骗的目的。但是运用本发明之后,攻击者如果想达到过往的效果,是不可能的。攻击者每成功攻击一次DNS的缓存,其都需要依靠穷举式的暴力攻击方式,除非每一秒钟攻击者都能用穷举方式攻击成功,但这显然是不可能的;攻击者往往精心布置很久,收发大量的报文才能成功,1秒钟显然是不可能做到的。
缓存防护单元12可以进一步设定缓存防护功能是否开启,当收到攻击检测单元上报攻击行为发生的时候,则可以开启缓存防护功能,即对报文的TLL进行修改。而且缓存防护单元12还可以依据预设的一些条件来关闭缓存防护功能,比如攻击检测单元上报攻击事件暂停,或者网络管理员通过远程命令来关闭。缓存防护单元12关闭之后,响应报文将会透传,也就是说这个环节将看起来像不存在一样,有利于与各种不同攻击检测机制相结合。
请参考图5,图6以及图7。图6给出了一种本发明与新的攻击检测机制结合实施方式。在这一实施方式中,本发明在此引入了一种新的通过报文修改使得攻击者难以攻击成功的防范缓存攻击的机制,在这个机制下本发明可以实施一种新的攻击检测方式。以下先介绍这种新的防范缓存攻击的机制,然后再介绍这种机制与本发明缓存防护机制的结合。
图4是本发明防范DNS缓存攻击装置中的一部分,其作用是通过报文的修改与还原来让攻击者无法成功攻击。图4中主要请求处理单元13、响应处理单元14、报文检查单元15以及存储单元(未标号)。该装置运行时执行如下处理流程。
步骤201,检查收到的报文是否为DNS请求或者响应报文,如果发现DNS请求报文,则转步骤202提交请求处理单元处理;如果发现是DNS响应报文,则转步骤203提交响应处理单元处理,本步骤由报文检查单元15执行。
以本发明运行在网络安全设备上为例,通常安全设备都有丰富的报文检查手段,针对各种应用进行安全检查。在进行检查之前通常需要区分报文到底属于哪种具体的应用,然后上送到相应的应用处理模块做处理。DNS是一种常见的应用,可以基于DNS应用的特征将报文过滤出来。而请求报文与响应报文在DNS协议中亦有规定有相应的识别标识。本步骤的实现可以参考现有技术。
进一步来说,本发明需要对本地DNS服务器发出DNS请求报文进行处理,因此可以进一步配置特定的过滤规则,比如根据报文的源IP地址或者MAC地址将本地DNS服务器发出的请求报文过滤出来送给请求处理单元处理;或者DNS服务器是从网络安全设备特定端口与上级服务器通信的,将该特定端口的报文都上送给本发明防范DNS缓存攻击装置就可以了,管理员仅仅需要配置一下ACL的报文上送规则即可。当然这一过滤并不是必须的,比如说本发明如果运行在DNS服务器上则并无此需求,因为DNS服务器本身发出的报文显然会全部经过本发明防范DNS缓存攻击装置。这种方式的好处是CPU负担比较轻,但需要用户配置,智能程度低一些。
更为通用的一种情况是,并不需要区分DNS请求到底是谁发出的,这样做的好处是对使用本发明DNS安全设备的用户而言非常简单,无需进行端口或者过滤的配置,也不需要用户过多地去考虑其组网问题,这种方式会让设备的CPU负担加重一些,因为要额外处理一些并不需要处理的任务。因此是否将属于本地DNS请求报文过滤出来有针对性进行修改,取决于用户的实际需求。
步骤202,对收到的DNS请求报文的源端口或事务ID进行随机修改,然后针对修改后的请求报文保存相应的会话特征以及相应的修改记录,并将修改后的请求报文发送给DNS服务器,其中所述会话特征包括修改后的源端口或事务ID。本步骤由请求处理单元13执行。
假设当前的DNS请求者就是本地DNS服务器向上级发出的(还可能是上网用户主机发出的,本发明可以采用相同流程进行处理),当收到DNS服务器发出的DNS请求报文时,这表明DNS服务器有可能需要更新内部的缓存,或者是DNS服务器遇到无法解析的域名需要上级的协助;这一时刻正是最容易被攻击者利用的时候。以修改源端口为例(事务ID的修改与还原的原理一致),本发明在此将DNS请求报文进行修改,使得其首先在源端口上呈现出更高的随机性。由于报文的源端口一共有16比特的长度,经过本发明的修改,其组合可能性一下子提升到了65535种可能;重要的是这一修改并不会影响正常的业务通信,因为本发明后续流程还会做还原操作。
在报文修改之后,需要将修改后的报文会话特征保存下来,并且保存该源端口的修改记录,然后再把修改后的请求报文发送给上级DNS服务器。会话特征通常是五元组(也可以是其他特征与源端口或事务ID的组合),其包括报文源IP地址、目的IP地址、源端口、目的端口以及协议类型。当响应报文返回的时候,会话特征可以帮助我们找到对应的会话。然后对进行各种检查确定响应报文是否合法。
进一步来说,考虑到有些DNS服务器可能没有对16比特的TID(报文事务ID)的随机性加以合理利用。本发明进一步可以对TID进行随机修改,并且将TID作为一个新的会话特征保存在存储单元(参考图5,未标号)中,在本实施方式中,会话特征就变成了六元组。请参考表1的示例:
| 源IP | 目的IP | 源端口 | 目的端口 | 协议类型 | TID | 原始源端口 | 原始TID |
| 1.1.1.1 | 2.2.2.2 | 123 | 456 | 11 | 789 | 111 | 222 |
| ……. | ……. | ……. | ……. | ……. | ……. | ……. | ……. |
| ……. | ……. | ……. | ……. | ……. | ……. | ……. | ……. |
表1
步骤203,检查DNS服务器返回的响应报文是否能够匹配到所述会话特征,如果是,则根据修改记录将该响应报文的目的端口还原为与原始请求报文源端口一致,然后将还原后的响应报文发送给DNS请求者;本步骤由响应处理单元14执行。
上级DNS服务器会对DNS服务器的请求进行响应。这个响应报文的目的端口与其收到的请求报文的源端口是一样的,也就是上述修改后的源端口(如表1中的123)。然而本发明防范DNS缓存攻击装置除了会收到上级DNS服务器返回的合法响应报文,还可能会收到攻击者构造的响应报文。因此本发明需要利用表1来去区分合法报文与非法攻击报文。如果报文的五元组(或者六元组)无法匹配,则说明其是非法的。在六元组的情况下,本发明将随机性提升到了65535*65535,这样的随机性被攻击的难度很高。
对于合法报文,显然需要根据表1中的记录将响应报文修改回来,主要是目的端口要修改为与原始的源端口一直,TID要修改会原始的TID。因为DNS服务器需要检查源端口以及TID,因此本发明需要通过再一次修改为DNS服务器还原出“正确”的合法响应报文。由此可见,其实本发明的修改和还原过程对于发出DNS请求的设备来说是透明的,请求者不会感知到这个过程,所以普通终端发出的DNS请求也可以被修改,而且不影响其使用;达到了防攻击的同时不影响上网用户使用,而且安全设备的管理员可以减少配置工作。步骤101中讨论了另一情况,即通过报文检查单元15将本地DNS服务器的请求报文过滤出来,因为普通上网用户的DNS请求并不需要进行修改和还原(虽然修改和还原对其使用也没有影响,但加重CPU负担),这是一种进一步针对减轻CPU负担进行的优化,如何设计取决于购买设备用户的需求。
请参考表1,极限情况下,假设DNS服务器根本未利用源端口以及TID的随机性,假设源端口固定为111,TID固定为222。在现有技术中,攻击者可以准确地构造出攻击报文,都完全不需要进行穷举攻击。而一旦运用了本发明,则攻击者就算知道DNS服务器源端口和TID是固定的,也是无济于事,因为本发明的修改机制让其随机性提升到最高65535*65535种可能,也就是说本发明可以让管理者无需关注DNS服务器自身源端口和/或TID的随机性,无论管理者如何配置和使用其DNS服务器,攻击者都可能需要面对最高65535*65535种可能性的强大障碍。即便对比于现有技术中安全措施较好的情况而言,本发明对DNS请求报文的随机性也有3-10倍的提升。
本发明与上述防攻击机制的结合主要通过两个方面。请参考图6以及图7,响应处理单元14检查DNS服务器返回的响应报文是否能够匹配到所述会话特征,如果是,则先提交给缓存防护单元12。缓存防护单元12处理之后再把这个响应报文送回给响应处理单元14,这时候响应处理单元14将根据修改记录将该缓存防护单元12发送出来的响应报文的目的端口和/或事务ID还原为与原始请求报文一致。缓存防护单元12的防护功能如果开启了,则会如之前所述的那样,对TLL进行修改,如果没有开启则就会透传回来,就好像缓存防护单元这个处理环节不存在一样。
如果没有匹配到会话特征,响应处理单元14则向攻击检测单元11报告。攻击检测单元则需要检测无法匹配(命中)会话特征的响应报文的速率,如果这个速率很高,达到了管理员配置或者软件预先设定的阈值,那么可以判定为缓存攻击行为的发生,报告给缓存防护单元12。这个时候缓存防护单元12就会开启缓存防护功能。
通过这种结合,DNS缓存攻击将会被大大抑制,攻击成功的可能性将变成小概率事件。因为一方面,攻击者穷举攻击成功一次的可能性很低,即便成功了,攻击成功的生效时间又大幅度缩短了,所以本发明可以非常有效地防范DNS缓存攻击。以上所描述的仅仅是本发明较佳的实现方式,并不用以限定本发明的保护范围,任何等同的变化和修改皆应涵盖在本发明的保护范围之内。
Claims (12)
1.一种防范DNS缓存攻击的装置,其应用于DNS安全设备中,该装置包括:
攻击检测单元,用于检测是否存在针对DNS服务器缓存进行攻击的行为,如果存在,则将被攻击的域名加入保护名单;
缓存防护单元,用于在所述攻击的行为发生时检查DNS响应报文中的域名是否在保护名单中,如果是,则将该域名对应的生存时间修改为更短的生存时间,并将修改后的响应报文发送出去;
请求处理单元,用于对收到的DNS请求报文的源端口和/或事务ID进行随机修改,然后针对修改后的请求报文保存相应的会话特征以及相应的修改记录,并将修改后的请求报文发送给DNS服务器;其中所述会话特征包括源IP地址、目的IP地址、源端口、目的端口、协议类型、源端口和/或事务ID;
响应处理单元,用于检查DNS服务器返回的响应报文是否能够匹配到所述会话特征,如果是,则提交给缓存防护单元,并将根据修改记录将该缓存防护单元发送出来的响应报文的目的端口和/或事务ID还原为与原始请求报文一致;如果否,则向攻击检测单元报告。
2.根据权利要求1所述的装置,其特征在于,所述更短的生存时间不大于10秒或者是由管理员预先配置的。
3.根据权利要求1所述的装置,其特征在于,所述攻击检测单元进一步用于判断未能匹配到会话特征的响应报文的速率超过预定的阈值,如果是,则判定为存在针对DNS服务器缓存进行攻击的行为。
4.根据权利要求1所述的装置,其特征在于,其中所述缓存防护单元,进一步用于在不存在攻击行为时,将响应报文透传回响应处理单元。
5.根据权利要求1所述的装置,其特征在于,还包括:报文检查单元,用于检查收到的报文是否为DNS请求或者响应报文,如果发现DNS请求报文则提交给请求处理单元,如果发现DNS响应报文则提交响应处理单元。
6.根据权利要求5所述的装置,其特征在于,所述报文检查单元,进一步用于将属于本地DNS服务器发出的DNS请求报文过滤出来提交给请求处理单元。
7.一种防范DNS缓存攻击的方法,其应用于DNS安全设备中,该方法包括:
A、检测是否存在针对DNS服务器缓存进行攻击的行为,如果存在,则将被攻击的域名加入保护名单;
B、在所述攻击的行为发生时检查DNS响应报文中的域名是否在保护名单中,如果是,则将该域名对应的生存时间修改为更短的生存时间,并将修改后的响应报文发送出去;
C、对收到的DNS请求报文的源端口和/或事务ID进行随机修改,然后针对修改后的请求报文保存相应的会话特征以及相应的修改记录,并将修改后的请求报文发送给DNS服务器;其中所述会话特征包括源IP地址、目的IP地址、源端口、目的端口、协议类型、源端口和/或事务ID;
D、检查DNS服务器返回的响应报文是否能够匹配到所述会话特征,如果是,则转步骤B,并将根据修改记录将该缓存防护单元发送出来的响应报文的目的端口和/或事务ID还原为与原始请求报文一致;如果否,则提交步骤A处理。
8.根据权利要求7所述的方法,其特征在于,所述更短的生存时间不大于10秒或者是由管理员预先配置的。
9.根据权利要求7所述的方法,其特征在于,步骤A进一步包括:判断未能匹配到会话特征的响应报文的速率超过预定的阈值,如果是,则判定为存在针对DNS服务器缓存进行攻击的行为。
10.根据权利要求7所述的方法,其特征在于,步骤B进一步包括:在不存在攻击行为时,将响应报文进行透传。
11.根据权利要求7所述的方法,其特征在于,还包括:
E、检查收到的报文是否为DNS请求或者响应报文,如果发现DNS请求报文则提交步骤C,如果发现DNS响应报文则提交步骤D。
12.根据权利要求11所述的方法,其特征在于,步骤E进一步包括:将属于本地DNS服务器发出的DNS请求报文过滤出来提交给步骤C处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110337375.3A CN102404318B (zh) | 2011-10-31 | 2011-10-31 | 一种防范dns缓存攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110337375.3A CN102404318B (zh) | 2011-10-31 | 2011-10-31 | 一种防范dns缓存攻击的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102404318A CN102404318A (zh) | 2012-04-04 |
| CN102404318B true CN102404318B (zh) | 2015-09-09 |
Family
ID=45886104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110337375.3A Active CN102404318B (zh) | 2011-10-31 | 2011-10-31 | 一种防范dns缓存攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102404318B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685168B (zh) * | 2012-09-07 | 2016-12-07 | 中国科学院计算机网络信息中心 | 一种dns递归服务器的查询请求服务方法 |
| CN102984286B (zh) * | 2012-11-14 | 2015-03-04 | 上海牙木通讯技术有限公司 | 一种dns服务器的缓存更新方法、装置及系统 |
| CN104219200B (zh) * | 2013-05-30 | 2017-10-17 | 杭州迪普科技股份有限公司 | 一种防范dns缓存攻击的装置和方法 |
| CN105207977A (zh) * | 2014-06-24 | 2015-12-30 | 阿里巴巴集团控股有限公司 | Tcp数据包处理方法及装置 |
| CN104836810B (zh) * | 2015-05-14 | 2017-11-03 | 江苏大学 | 一种ndn低速缓存污染攻击的协同检测方法 |
| CN107241301B (zh) * | 2016-03-29 | 2021-01-29 | 阿里巴巴集团控股有限公司 | 防御反射攻击的方法、装置和系统 |
| CN106470214B (zh) * | 2016-10-21 | 2020-03-06 | 杭州迪普科技股份有限公司 | 攻击检测方法和装置 |
| CN108881263B (zh) * | 2018-06-29 | 2022-01-25 | 北京奇虎科技有限公司 | 一种网络攻击结果检测方法及系统 |
| CN111049784B (zh) * | 2018-10-12 | 2023-08-01 | 三六零科技集团有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN110768976B (zh) * | 2019-10-21 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置及网络设备 |
| CN110830454B (zh) * | 2019-10-22 | 2020-11-17 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法 |
| CN112953895B (zh) * | 2021-01-26 | 2022-11-22 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
| CN113660256B (zh) * | 2021-08-13 | 2023-04-18 | 全球能源互联网研究院有限公司 | 一种dns水刑攻击检测模型构建方法及流量清洗方法 |
| CN117061247B (zh) * | 2023-10-11 | 2024-01-05 | 国家计算机网络与信息安全管理中心 | 基于dns的溯源定位方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924776A (zh) * | 2010-09-16 | 2010-12-22 | 网宿科技股份有限公司 | 域名解析服务器的抵御dns请求报文泛洪攻击的方法和系统 |
| CN102025795A (zh) * | 2010-01-22 | 2011-04-20 | 中国移动通信集团北京有限公司 | Dns响应报文处理方法、dns服务器及系统 |
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4950606B2 (ja) * | 2005-09-30 | 2012-06-13 | トレンドマイクロ株式会社 | 通信システム、セキュリティ管理装置およびアクセス制御方法 |
| US8806133B2 (en) * | 2009-09-14 | 2014-08-12 | International Business Machines Corporation | Protection against cache poisoning |
| FR2955405B1 (fr) * | 2010-01-19 | 2015-08-21 | Alcatel Lucent | Procede et systeme de prevention d'empoisonnement des caches dns |
-
2011
- 2011-10-31 CN CN201110337375.3A patent/CN102404318B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护系统 |
| CN102025795A (zh) * | 2010-01-22 | 2011-04-20 | 中国移动通信集团北京有限公司 | Dns响应报文处理方法、dns服务器及系统 |
| CN101924776A (zh) * | 2010-09-16 | 2010-12-22 | 网宿科技股份有限公司 | 域名解析服务器的抵御dns请求报文泛洪攻击的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102404318A (zh) | 2012-04-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102404318B (zh) | 一种防范dns缓存攻击的方法及装置 | |
| RU2668710C1 (ru) | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике | |
| US10929538B2 (en) | Network security protection method and apparatus | |
| EP3264720B1 (en) | Using dns communications to filter domain names | |
| CN110431828B (zh) | 基于域名系统dns日志和网络数据检测dns隧道 | |
| US8893278B1 (en) | Detecting malware communication on an infected computing device | |
| US8205239B1 (en) | Methods and systems for adaptively setting network security policies | |
| US8495737B2 (en) | Systems and methods for detecting email spam and variants thereof | |
| CN104219200B (zh) | 一种防范dns缓存攻击的装置和方法 | |
| US9294270B2 (en) | Detection of stale encryption policy by group members | |
| US8286239B1 (en) | Identifying and managing web risks | |
| US7899849B2 (en) | Distributed security provisioning | |
| US8170352B2 (en) | String searching facility | |
| US8850584B2 (en) | Systems and methods for malware detection | |
| US20180332057A1 (en) | Cyberattack behavior detection method and apparatus | |
| EP2933973A1 (en) | Data protection method, apparatus and system | |
| US20060037077A1 (en) | Network intrusion detection system having application inspection and anomaly detection characteristics | |
| CN102137111A (zh) | 一种防御cc攻击的方法、装置和内容分发网络服务器 | |
| WO2021017318A1 (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| CN106470214A (zh) | 攻击检测方法和装置 | |
| CN102404317A (zh) | 一种防范dns缓存攻击的方法及装置 | |
| KR101996471B1 (ko) | 네트워크 보안장치 및 보안방법 | |
| CN104935551A (zh) | 一种网页篡改防护装置及方法 | |
| CN107547566A (zh) | 一种处理业务报文的方法及装置 | |
| JP2007325293A (ja) | 攻撃検知システムおよび攻撃検知方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310000 No. 68 in the 6 storey building Patentee after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310000 No. 68 in the 6 storey building Patentee before: Hangzhou Dipu Technology Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181105 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Depp Information Technology Co., Ltd. Address before: 310000, 6 floor, Chung Cai mansion, 68 Tong he road, Binjiang District, Hangzhou, Zhejiang. Patentee before: Hangzhou Dipu Polytron Technologies Inc |