CN102868669B - 一种针对不断变化前缀域名攻击的防护方法及装置 - Google Patents
一种针对不断变化前缀域名攻击的防护方法及装置 Download PDFInfo
- Publication number
- CN102868669B CN102868669B CN201110190540.7A CN201110190540A CN102868669B CN 102868669 B CN102868669 B CN 102868669B CN 201110190540 A CN201110190540 A CN 201110190540A CN 102868669 B CN102868669 B CN 102868669B
- Authority
- CN
- China
- Prior art keywords
- dns
- adminportal
- tomcat
- server
- domain name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种针对不断变化前缀域名攻击的防护方法及装置,该方法包括以下步骤:1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据,并对数据进行统计和计算,然后将统计和计算出的数据发送到管理系统服务器;2)管理系统服务器将统计的数据与设定的阈值进行比较;3)管理系统服务器根据防护策略发送指令到DNS服务器,使得DNS服务器不向超过阈值的目的IP发起递归查询,同时清除DNS服务器的当前递归查询队列中的数据;该装置包括旁路分析系统服务器和管理系统服务器。与现有技术相比,本发明具有针对不断变化前置域名攻击的防护具有实时性高、效率高和误判率低等优点。
Description
技术领域
本发明涉及网络防护领域,尤其是涉及一种针对不断变化前缀域名攻击的防护方法及装置。
背景技术
DNS(DomainNameSystem)是域名系统的意思,其作用就是协调IP地址和主机名之间的双向切换。DNS是当今Internet的基础架构,众多的网络服务(如Http、Ftp、Email等等)都是建立在DNS体系基础之上的。各省级运营商(包括固网或者移动运营商)为上网用户提供了DNS网络的运营服务,通常情况下,每个省级运营商的DNS网络分为若干节点,每个节点是由路由器、交换机和若干台服务器组成,每台服务器运行DNS软件,提供DNS查询的解析工作,因此服务器被称之为DNS服务器。
DNS服务器包括DNS授权服务器和DNS递归服务器。
DNS授权服务器:被授予对域名空间中的一部分进行管理的服务器。该部份域名空间中的所有域名由该服务器管理,服务器负责所有域名的更新以及对该部分域名查询的响应。授权服务器分为主授权服务器和辅授权服务器。主授权服务器是区域源数据存放的地方。辅授权服务器不直接存放区域源数据,但通过跟主授权服务器的数据同步,从而获得最新数据去响应域名解析请求。辅授权器对数据的备份是很重要的,并且它们也应答查询,从而减轻了主授权服务器的负担。
DNS递归服务器:递归服务器不对域名空间的域名进行管理,专门用来缓存查询的地址。该服务器的配置文件中只有到根服务器的路径,当域名请求不在缓存中时,即向根服务器发出该域名的请求;当获得该域名的响应时,会把数据进行缓存,当下次出现同样的域名请求时,就直接用缓存的内容进行应答。递归服务器能大大减少授权服务器的压力。
我们通常上网所使用的DNS服务器均是运营商提供的DNS递归服务器。
DNS递归服务器的查询机制如图1所示,从图中可以看出,DNS递归服务器和上层授权服务器进行了3、4、6、7、9和10等6个步骤的交互。DNS递归服务器和上层授权服务器之间的交互是最耗资源的。一个域名查询(例如:上述zk9bu5mkk6r.9960sf.com域名)在得到最终应答之前始终会占据DNS递归服务器的递归队列(递归队列参数通常可以设置)。
不断变化前缀域名,顾名思义,域名的后缀不变,前缀随机变化,例如:
zk9bu5mkk6r.9960sf.com
zkkntbj2gk8.9960sf.com
zl0bsxwz894.9960sf.com
zl2cdthz5xh.9960sf.com
zodt5pqtxrs.9960sf.com
zq2nuo7l3b7.9960sf.com
zt6u4n7p0dn.9960sf.com
zxl3vovzvnb.9960sf.com
zyrkcvut9j1.9960sf.com
zzwsf41r3p3.9960sf.com
这些域名不能在DNS递归服务器中的缓存找到,使得DNS递归服务器一直需要和这些域名所属的上层授权服务器进行交互,而上层授权服务器由于某种原因(例如:网络不可达)一直不能回复DNS递归服务器,同时不断又有新的类似域名查询到达DNS递归服务器,最终导致DNS递归服务器递归队列占满。一旦DNS递归服务器队列被占满,那么DNS递归服务器就不能和上层授权服务器进行交互,更为严重的会导致DNS递归服务器程序退出,从而不能提供DNS查询。此时的流程图如图2所示。
鉴于不断变化前缀域名攻击造成的严重后果,需要对该类攻击进行防护。现有的防护方式主要是分析域名,得出域名所属的域(即保持不变的域名后缀),然后下发策略到DNS服务器屏蔽该域。这种方式存在几个显著的缺点:
1、效率很低。一个符合协议规范的域名最多可以有63级(域名字符两个之间的字符称为一级),每一级域名字符都存在随机变化的可能,在有限的时间内(例如:1分钟)对最多达63级的域名进行分析几乎是不可能完成的事情;
2、误判率很高。不断变化的前缀几乎没有规律可循,因此存在把正常的域名作为攻击的域名进行防护的可能。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种实时性高、效率高和误判率低的针对不断变化前缀域名攻击的防护方法及装置。
本发明的目的可以通过以下技术方案来实现:一种针对不断变化前缀域名攻击的防护方法,其特征在于,该方法包括以下步骤:
1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据,并统计当前时间段内递归查询包中的目的IP查询总次数,同时计算出当前时间段内的目的IP查询总次数与前一时间段内的目的IP查询总次数的变化幅度值,然后将目的IP查询总次数和变化幅度值发送到管理系统服务器;
2)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目的IP查询总次数阈值,同时比较判断变化幅度值是否大于设定的变化幅度阈值,如果有一个判断为是,则进行步骤3),否则返回步骤1);3)管理系统服务器根据防护策略发送指令到DNS服务器,使得DNS服务器不向超过阈值的目的IP发起递归查询,同时清除DNS服务器的当前递归查询队列中的数据。
所述的步骤1)中的设定时间段优选一分钟。
所述的步骤3)中的防护策略为:A、丢弃查询,即丢弃所有向此目的IP查询的数据包;B、拒绝响应,即回复所有向此目的IP查询的数据包REFUSED响应;或C、假记录响应,即回复所有向此目的IP查询的数据包一个假的记录响应。
该装置包括旁路分析系统服务器和管理系统服务器,所述的旁路分析系统服务器与DNS节点的上联网络设备连接,所述的管理系统服务器分别与旁路分析系统服务器、上联网络设备和DNS服务器连接。
所述的上联网络设备为交换机或路由器。
与现有技术相比,本发明具有以下优点:
1、本发明是以1分钟为最小粒度对于所有DNS数据包进行分析,保证了DNS数据分析的实时性;
2、本发明是以DNS递归查询的目的IP为主要分析对象,保证了DNS数据分析的高效性;
3、本发明考虑了多种统计指标结合作为判断依据,同时结合了自动防护和手动防护,误判率很低。
附图说明
图1为DNS递归服务器的正常查询流程图;
图2为DNS递归服务器的受到不断变化前缀域名攻击时的查询流程图;
图3为本发明的流程示意图;
图4为本发明的硬件结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
如图3所示,一种针对不断变化前缀域名攻击的防护方法,该方法包括以下步骤:
步骤301)旁路流量分析系统服务器每隔一分钟采集一次通过DNS节点的所有递归查询包的数据,并统计当前一分钟内递归查询包中的目的IP查询总次数,同时计算出当前一分钟内的目的IP查询总次数与前一分钟内的目的IP查询总次数的变化幅度值,然后将目的IP查询总次数和变化幅度值发送到管理系统服务器;
步骤302)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目的IP查询总次数阈值,同时比较判断变化幅度值是否大于设定的变化幅度阈值,如果有一个判断为是,则进行步骤303),否则返回步骤301);
步骤303)管理系统服务器根据防护策略发送指令到DNS服务器,使得DNS服务器不向超过阈值的目的IP发起递归查询,同时清除DNS服务器的当前递归查询队列中的数据。防护策略为A、丢弃查询,即丢弃所有向此目的IP查询的数据包;B、拒绝响应,即回复所有向此目的IP查询的数据包REFUSED响应;或C、假记录响应,即回复所有向此目的IP查询的数据包一个假的记录响应。
本发明还涉及一种针对不断变化前缀域名攻击的防护装置,如图4所示,该装置包括旁路分析系统服务器3和管理系统服务器4。旁路分析系统服务器3与DNS节点的上联网络设备2连接,管理系统服务器4分别与旁路分析系统服务器3、上联网络设备2和DNS服务器1连接。上联网络设备为交换机或路由器。与DNS节点连接的旁路流量分析系统服务器3每整分钟统计一次刚经过的一分钟内所有递归查询包中的目的IP查询总次数,同时统计刚经过的一分钟与刚经过的一分钟的前一分钟内的目的IP查询总次数的变化幅度值,然后汇总到管理系统服务器4,然后管理系统服务器4将事先设定的递归查询包中的目的IP查询总次数阈值以及变化幅度阈值与上述得出的目的IP查询总次数和目的IP查询总次数的变化幅度两个指标进行比较并预警,最后管理系统服务器4下发防护策略到DNS服务器1进行自动防护或者手动防护(对于预先设定的属于目的IP白名单中的IP启用手动防护,防止误操作),使得DNS服务器不向超过阈值的目的IP发起递归查询,同时清除DNS服务器的当前递归查询队列中的数据。
Claims (3)
1.一种针对不断变化前缀域名攻击的防护方法,其特征在于,该方法包括以下步骤:
1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据,并统计当前时间段内递归查询包中的目的IP查询总次数,同时计算出当前时间段内的目的IP查询总次数与前一时间段内的目的IP查询总次数的变化幅度值,然后将目的IP查询总次数和变化幅度值发送到管理系统服务器;
2)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目的IP查询总次数阈值,同时比较判断变化幅度值是否大于设定的变化幅度阈值,如果有一个判断为是,则进行步骤3),否则返回步骤1);
3)管理系统服务器根据防护策略发送指令到DNS服务器,使得DNS服务器不向超过阈值的目的IP发起递归查询,同时清除DNS服务器的当前递归查询队列中的数据;
所述的步骤1)中的设定时间段为一分钟;
所述的步骤3)中的防护策略为:
A、丢弃查询,即丢弃所有向此目的IP查询的数据包;
B、拒绝响应,即回复所有向此目的IP查询的数据包REFUSED响应;
或C、假记录响应,即回复所有向此目的IP查询的数据包一个假的记录响应。
2.一种实施权利要求1所述的针对不断变化前缀域名攻击的防护方法的装置,其特征在于,该装置包括旁路分析系统服务器和管理系统服务器,所述的旁路分析系统服务器与DNS节点的上联网络设备连接,所述的管理系统服务器分别与旁路分析系统服务器、上联网络设备和DNS服务器连接。
3.根据权利要求2所述的一种针对不断变化前缀域名攻击的防护装置,其特征在于,所述的上联网络设备为交换机或路由器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110190540.7A CN102868669B (zh) | 2011-07-08 | 2011-07-08 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110190540.7A CN102868669B (zh) | 2011-07-08 | 2011-07-08 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102868669A CN102868669A (zh) | 2013-01-09 |
CN102868669B true CN102868669B (zh) | 2016-04-06 |
Family
ID=47447267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110190540.7A Active CN102868669B (zh) | 2011-07-08 | 2011-07-08 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102868669B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152357B (zh) * | 2013-03-22 | 2015-09-30 | 北京网御星云信息技术有限公司 | 一种针对dns服务的防御方法、装置和系统 |
CN104079421B (zh) * | 2013-03-27 | 2017-09-15 | 中国移动通信集团北京有限公司 | 一种域名系统防护的方法和系统 |
CN104065766B (zh) * | 2014-07-14 | 2018-01-30 | 吴兴利 | 一种旁路缓存域名解析方法 |
CN104320272B (zh) * | 2014-10-21 | 2019-03-15 | 中国联合网络通信集团有限公司 | 一种传递设备信息的方法和网络设备 |
CN104618354B (zh) * | 2015-01-19 | 2018-04-27 | 中国科学院信息工程研究所 | 一种抵抗持续性变域名前缀攻击的缓存优化方法和系统 |
CN105025025B (zh) * | 2015-07-22 | 2019-09-27 | 国家计算机网络与信息安全管理中心 | 一种基于云平台的域名主动检测方法和系统 |
CN107172064B (zh) * | 2017-06-08 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 数据访问控制方法、装置及服务器 |
CN110636006B (zh) * | 2018-06-25 | 2021-11-02 | 中国电信股份有限公司 | 域名查询方法和系统、路由节点、控制节点和防护节点 |
CN113556342A (zh) * | 2021-07-21 | 2021-10-26 | 江南信安(北京)科技有限公司 | 一种dns缓存服务器前缀变化攻击防护方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
CN101986642A (zh) * | 2010-10-18 | 2011-03-16 | 中国科学院计算技术研究所 | 一种Domain Flux数据流的检测系统和方法 |
-
2011
- 2011-07-08 CN CN201110190540.7A patent/CN102868669B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
CN101986642A (zh) * | 2010-10-18 | 2011-03-16 | 中国科学院计算技术研究所 | 一种Domain Flux数据流的检测系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102868669A (zh) | 2013-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102868669B (zh) | 一种针对不断变化前缀域名攻击的防护方法及装置 | |
US9935974B2 (en) | Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation | |
US8281397B2 (en) | Method and apparatus for detecting spoofed network traffic | |
JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
Dietzel et al. | Blackholing at ixps: On the effectiveness of ddos mitigation in the wild | |
US8438639B2 (en) | Apparatus for detecting and filtering application layer DDoS attack of web service | |
US10735501B2 (en) | System and method for limiting access request | |
US20120297478A1 (en) | Method and system for preventing dns cache poisoning | |
RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
CN108092940B (zh) | 一种dns的防护方法及相关设备 | |
WO2005038598A2 (en) | Policy-based network security management | |
CN102137111A (zh) | 一种防御cc攻击的方法、装置和内容分发网络服务器 | |
Rozekrans et al. | Defending against DNS reflection amplification attacks | |
CN102624750B (zh) | 抵御dns递归攻击的方法和系统 | |
CN106534043A (zh) | 一种流量处理方法,设备和系统 | |
KR100533785B1 (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
KR20170102708A (ko) | 플로우 정보를 이용한 분산 반사 서비스 거부 공격 검출 장치 및 방법 | |
CN101257502B (zh) | 一种保护服务器和网络方法 | |
Yi et al. | Source-based filtering scheme against DDOS attacks | |
US9813159B2 (en) | Method for setting maintenance association MA, apparatus, and system | |
KR101351998B1 (ko) | 봇넷 탐지 방법 및 장치 | |
Fang et al. | A Comprehensive Analysis of DDoS attacks based on DNS | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
Vaidyanathan et al. | On the use of BGP AS numbers to detect spoofing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |