CN103051743B - 一种基于分布式层级化的dns防御系统和方法 - Google Patents
一种基于分布式层级化的dns防御系统和方法 Download PDFInfo
- Publication number
- CN103051743B CN103051743B CN201210575877.4A CN201210575877A CN103051743B CN 103051743 B CN103051743 B CN 103051743B CN 201210575877 A CN201210575877 A CN 201210575877A CN 103051743 B CN103051743 B CN 103051743B
- Authority
- CN
- China
- Prior art keywords
- defense
- dns
- data query
- end system
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于分布式层级化的DNS防御系统和方法,包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接。本发明实施例提供的一种基于分布式层级化的DNS防御系统和方法,提高了智能DNS服务系统对大流量查询的承受力,增强了智能DNS服务系统在遭遇大量恶意查询时的抵抗能力,能够在大流量及大量恶意查询的情况下,为智能DNS服务系统的正常服务提供保障,保证DNS解析不受影响。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于分布式层级化的DNS防御系统和方法。
背景技术
DNS是域名系统(DomainNameSystem)的缩写,它是由解析器和域名服务器组成的。DNS服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。
普通的DNS服务器只负责为用户解析出IP记录,而不去判断用户从哪里来,这样会造成所有用户都只能解析到固定的IP地址上。随着技术的更新换代,智能DNS的出现颠覆了这个概念。智能DNS会判断用户的来路,而做出一些智能化的处理,然后把智能化判断后的IP返回给用户,而不需要用户进行选择。比如一个企业的站点同时拥有三个运营商的带宽:电信、网通、移动,如果访问者是网通用户,智能DNS服务器会把该企业网站的域名对应的网通IP地址解析给这个访问者;其他的也同理。有些网站在国外和国内都放置了服务器,使用智能DNS可以让国外的网络用户链接到国外的服务器,国内的用户链接到国内的服务器,从而使国内外的用户都能迅速的访问到该网站的服务器。
然而,现在大多数的DNS系统没有提供智能DNS解析的功能,提供了智能DNS解析功能的DNS系统又无法提供在大流量或大量恶意查询的情况下提供正常DNS服务的保障。常见的智能DNS系统都会使用单一的服务IP组,当该组IP受到攻击时,不但被攻击的域名无法正常解析,同样使用该组IP的所有域名都会出现区域访问的故障。
因此,如何增强智能DNS系统在遭遇大量恶意查询时的抵抗能力,提高智能DNS系统对大流量查询的承受力,成为了亟待解决的问题。
发明内容
有鉴于此,有必要针对上述问题,提供一种基于分布式层级化的DNS防御系统和方法,在大流量及大量恶意查询的情况下,为DNS服务系统的正常查询服务提供保障,保证DNS解析不受影响。
为此,本发明采用以下技术方案:
一种基于分布式层级化的DNS防御系统,包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接。
所述前端防御系统包括:
流量防御模块,用于对输入到前端防御系统的查询数据包进行流量清洗;
数据包过滤模块,用于滤除输入到前端防御系统中的恶意查询数据包;
流量防御模块和数据包过滤模块依次连接。
所述智能DNS服务系统包括:
定时扫描模块,用于定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给数据包过滤模块;
DNS解析模块,用于对输入到智能DNS服务系统的查询数据包的查询请求进行响应,完成DNS解析工作;
定时扫描模块和DNS解析模块依次连接,各智能DNS服务系统的定时扫描模块分别与前端防御系统的数据包过滤模块连接。
所述数据包过滤模块收到定时扫描模块反馈回的域名数据后,将正在查询所述域名数据的查询数据包滤除。
所述阈值大于500次每10秒,小于1000次每10秒。
一种基于分布式层级化的DNS防御方法,包括:
S1、将多个智能DNS服务系统的输入端分别与一前端防御系统的输出端连接,所有查询数据包均由所述前端防御系统的输入端接收;
S2、所述前端防御系统对收到的查询数据包进行流量清洗;
S3、所述前端防御系统滤除查询数据包中的恶意查询数据包;
S4、所述前端防御系统根据查询数据包所指定的地址,将过滤后的访问数据分别发送到各自指向的目标智能DNS服务系统,进行DNS解析工作。
所述方法还包括:
S5、定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给前端防御系统;
S6、前端防御系统收到反馈回的域名数据后,将正在查询所述域名数据的查询数据包滤除。
在S2中,前端防御系统滤除不符合FQDN规则的查询数据包。
在S3中,前端防御系统滤除不符合DNS查询包构建规则的查询数据包。
在S5中,所述阈值大于500次每10秒,小于1000次每10秒。
本发明实施例提供的一种基于分布式层级化的DNS防御系统和方法,将前端防御系统架设在多个智能DNS服务系统的前端,用于进行流量清洗及恶意查询数据包的过滤,在这一层处理掉95%以上的恶意数据。而连接于前端防御系统下的各智能DNS服务系统,一方面为用户提供智能DNS解析服务,另一方面则对穿透的小部分恶意数据进行定时扫描统计,并将存在问题的查询项目向前端防御系统反馈,辅助过滤恶意查询数据包。
本发明实施例提供的一种基于分布式层级化的DNS防御系统和方法,为智能DNS服务系统提供了两层防御,在首层防御大流量的攻击,并滤除大部分的恶意访问数据,然后在服务层处理少量遗漏的恶意查询数据。这种分层设计大大降低了防御过程中智能DNS服务系统的资源消耗,既提高了防御的效果,又提高了DNS解析效率。
综上所述,本发明实施例提供的一种基于分布式层级化的DNS防御系统和方法,提高了智能DNS服务系统对大流量查询的承受力,增强了智能DNS服务系统在遭遇大量恶意查询时的抵抗能力,能够在大流量及大量恶意查询的情况下,为智能DNS服务系统的正常服务提供保障,保证DNS解析不受影响。
附图说明
图1为本发明实施例提供的一种基于分布式层级化的DNS防御系统的结构示意图。
图2为本发明实施例提供的一种基于分布式层级化的DNS防御系统的其中一条支路的具体功能模块示意图。
图3为本发明实施例提供的一种基于分布式层级化的DNS防御方法的流程示意图。
具体实施方式
下面将结合附图和具体的实施例对本发明进行进一步的详细说明。
如图1所示,本发明实施例提供的一种基于分布式层级化的DNS防御系统包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接。
图2示出了前端防御系统和其中一个智能DNS服务系统的连接关系及具体功能模块结构。其他智能DNS服务系统的结构与图2所示的结构相同,在本实施例中不再一一列举。
具体地,所述前端防御系统包括依次连接的流量防御模块和数据包过滤模块。流量防御模块用于对输入到前端防御系统的查询数据包进行流量清洗。数据包过滤模块用于滤除输入到前端防御系统中的恶意查询数据包。
所述智能DNS服务系统包括依次连接的定时扫描模块和DNS解析模块。各智能DNS服务系统的定时扫描模块分别与前端防御系统的数据包过滤模块连接。定时扫描模块用于定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给数据包过滤模块。DNS解析模块用于对输入到智能DNS服务系统的查询数据包的查询请求进行响应,完成DNS解析工作。
相应地,本发明还提供了一种基于分布式层级化的DNS防御方法,该方法也是上述实施例中的DNS防御系统的工作原理,具体包括以下步骤。
S1、将多个智能DNS服务系统的输入端分别与一前端防御系统的输出端连接,所有查询数据包均由所述前端防御系统的输入端接收。
S2、所述前端防御系统对收到的查询数据包进行流量清洗。
进入到前端防御系统的查询数据包首先会在流量防御模块中进行流量清洗,防止下一级的各智能DNS服务系统收到大流量的攻击数据或恶意查询数据。流量清洗主要是针对采用带宽占用、服务处理能力消耗等方式的DDOS攻击进行探测分析,发现有异常流量存在时,将异常流量和用户正常数据分离,将异常流量拦截或丢弃,将正常的用户数据注回到主干网中,从而保证网络畅通,保证正常业务的连续性。
本发明实施例中的流量清洗的方法使用了数据流指纹检测技术,采用的是一种基于连接的状态检测机制,将属于同一连接的所有查询数据包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。其中,所述动态连接表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息。本发明实施例采用的流量清洗方法具有优良的灵活性和安全性。流量清洗可以滤除不符合FQDN规则的查询数据包,将其拦截或丢弃;确保进入数据包过滤模块的查询数据包都是符合FQDN规则的。但是,这仍然不能确保进入到下一级的智能DNS服务系统的查询数据包一定是非异常的查询数据包,因此需要在数据包过滤模块中进一步验证查询数据包的合法性及有效性。
S3、所述前端防御系统滤除查询数据包中的恶意查询数据包。
在流量防御模块中经过流量清洗后剩下的有效访问数据被发送到数据包过滤模块,由数据包过滤模块滤除恶意查询数据包。
本发明实施例中的数据包过滤模块采用数据帧特征匹配法判断恶意查询数据包。一个正常的DNS查询包一般都是按照固定的规则和格式构建的,而特殊的异常数据包往往都不是依据规则的DNS查询包构建的。因此,通过将查询数据包与DNS查询包构建规则进行逐帧的特征对比,可以很容易地区分出恶意查询包。具体的判断依据包括:协议非UDP协议、数据帧奇偶校验码数据异常、DNS查询和返回数据非FQDN数据等等。不符合DNS查询包构建规则的查询数据包将被作为恶意查询数据,被数据包过滤模块拦截或丢弃。
S4、所述前端防御系统根据查询数据包所指定的地址,将过滤后的访问数据分别发送到各自指向的目标智能DNS服务系统,进行DNS解析工作。经过流量清洗和过滤后,剩余的查询数据包将被发送到自身指向的目标智能DNS服务系统,由智能DNS服务系统中的DNS解析模块完成正常的智能DNS解析工作。
S5、定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给前端防御系统。
这一步的工作主要由智能DNS服务系统中的定时扫描模块完成。对于正常的域名,其DNS设置的TTL(TimeToLive)值一般为600,则网站正常访问时,每60秒被查询的次数在30次以内,即每两秒该域名允许被查询一次,若超过该值,则极有可能是攻击造成。本发明实施例中,定时扫描模块将定时扫描并统计各域名数据被查询的频率,当某一域名数据的被查询的频率超过阈值时,定时扫描模块会把该域名数据反馈给前端防御系统中的数据包过滤模块。具体地,本实施例中的所述阈值大于500次每10秒,小于1000次每10秒,即如果每10秒内同一域名数据被查询的次数超过500~1000次每10秒,所有查询该域名数据的查询数据包均会被视为异常数据。
S6、前端防御系统收到反馈回的域名数据后,将正在查询所述域名数据的查询数据包滤除。
为了防止域名继续被恶意查询数据包查询,减小智能DNS服务系统负担,提高DNS解析效率,所述数据包过滤模块在收到定时扫描模块反馈回的域名数据后,会将该域名数据转换为十六进制,存储在禁止查询列表中。数据包过滤模块会将所有经过的查询数据包的相关关键字段与禁止查询列表中的数据进行匹配,匹配成功的查询数据包将被作为恶意查询数据包,被数据包过滤模块拦截或丢弃,达到辅助防御的目的。
本发明实施例提供的一种基于分布式层级化的DNS防御系统和方法,将前端防御系统架设在多个智能DNS服务系统的前端,用于进行流量清洗及恶意查询数据包的过滤,在这一层处理掉95%以上的恶意数据。而连接于前端防御系统下的各智能DNS服务系统,一方面为用户提供智能DNS解析服务,另一方面则对穿透的小部分恶意数据进行定时扫描统计,并将存在问题的查询项目向前端防御系统反馈,辅助过滤恶意查询数据包。
本发明实施例提供的一种基于分布式层级化的DNS防御系统和方法,为智能DNS服务系统提供了两层防御,在首层防御大流量的攻击,并滤除大部分的恶意访问数据,然后在服务层处理少量遗漏的恶意查询数据。这种分层设计大大降低了防御过程中智能DNS服务系统的资源消耗,既提高了防御的效果,又提高了DNS解析效率。
综上所述,本发明实施例提供的一种基于分布式层级化的DNS防御系统和方法,提高了智能DNS服务系统对大流量查询的承受力,增强了智能DNS服务系统在遭遇大量恶意查询时的抵抗能力,能够在大流量及大量恶意查询的情况下,为智能DNS服务系统的正常服务提供保障,保证DNS解析不受影响。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (2)
1.一种基于分布式层级化的DNS防御系统,其特征在于,包括前端防御系统和多个智能DNS服务系统,每一个智能DNS服务系统的输入端与前端防御系统的输出端连接,前端防御系统的输入端与网络连接;
所述前端防御系统包括:
流量防御模块,用于对输入到前端防御系统的查询数据包进行流量清洗;
数据包过滤模块,用于滤除输入到前端防御系统中的恶意查询数据包;所述数据包过滤模块收到定时扫描模块反馈回的域名数据后,将正在查询所述域名数据的查询数据包滤除;
流量防御模块和数据包过滤模块依次连接;
所述智能DNS服务系统包括:
定时扫描模块,用于定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给数据包过滤模块;所述阈值大于500次每10秒,小于1000次每10秒;
DNS解析模块,用于对输入到智能DNS服务系统的查询数据包的查询请求进行响应,完成DNS解析工作;
定时扫描模块和DNS解析模块依次连接,各智能DNS服务系统的定时扫描模块分别与前端防御系统的数据包过滤模块连接。
2.一种基于分布式层级化的DNS防御方法,其特征在于,包括:
S1、将多个智能DNS服务系统的输入端分别与一前端防御系统的输出端连接,所有查询数据包均由所述前端防御系统的输入端接收;前端防御系统滤除不符合FQDN规则的查询数据包;
S2、所述前端防御系统对收到的查询数据包进行流量清洗;
S3、所述前端防御系统滤除查询数据包中的恶意查询数据包;前端防御系统滤除不符合DNS查询包构建规则的查询数据包;
S4、所述前端防御系统根据查询数据包所指定的地址,将过滤后的访问数据分别发送到各自指向的目标智能DNS服务系统,进行DNS解析工作;
S5、定时扫描输入到智能DNS服务系统的查询数据包,统计各域名数据被查询数据包查询的频率,将被查询频率超过阈值的域名数据反馈给前端防御系统;所述阈值大于500次每10秒,小于1000次每10秒;
S6、前端防御系统收到反馈回的域名数据后,将正在查询所述域名数据的查询数据包滤除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210575877.4A CN103051743B (zh) | 2012-12-27 | 2012-12-27 | 一种基于分布式层级化的dns防御系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210575877.4A CN103051743B (zh) | 2012-12-27 | 2012-12-27 | 一种基于分布式层级化的dns防御系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051743A CN103051743A (zh) | 2013-04-17 |
| CN103051743B true CN103051743B (zh) | 2015-11-11 |
Family
ID=48064236
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210575877.4A Active CN103051743B (zh) | 2012-12-27 | 2012-12-27 | 一种基于分布式层级化的dns防御系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051743B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103634315B (zh) * | 2013-11-29 | 2017-11-10 | 哈尔滨工业大学(威海) | 域名服务器的前端控制方法及系统 |
| CN106534051B (zh) * | 2015-09-11 | 2020-02-14 | 阿里巴巴集团控股有限公司 | 一种针对访问请求的处理方法和装置 |
| CN108418780A (zh) * | 2017-02-10 | 2018-08-17 | 阿里巴巴集团控股有限公司 | Ip地址的过滤方法及装置、系统、dns服务器 |
| CN112583692B (zh) * | 2020-12-04 | 2023-03-24 | 中国移动通信集团黑龙江有限公司 | 流量清洗的方法、装置、设备及计算机存储介质 |
| CN114124442B (zh) * | 2021-09-30 | 2024-03-26 | 天翼数字生活科技有限公司 | 一种防御ddos攻击的方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101789940A (zh) * | 2010-01-28 | 2010-07-28 | 联想网御科技(北京)有限公司 | 一种防范dns请求报文洪泛攻击的方法及装置 |
| CN102055818A (zh) * | 2010-12-30 | 2011-05-11 | 北京世纪互联工程技术服务有限公司 | 分布式智能dns库系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8452874B2 (en) * | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
| CN102291268B (zh) * | 2011-09-23 | 2014-11-26 | 杜跃进 | 一种基于安全域名服务器系统的恶意域名监控方法 |
-
2012
- 2012-12-27 CN CN201210575877.4A patent/CN103051743B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
| CN101789940A (zh) * | 2010-01-28 | 2010-07-28 | 联想网御科技(北京)有限公司 | 一种防范dns请求报文洪泛攻击的方法及装置 |
| CN102055818A (zh) * | 2010-12-30 | 2011-05-11 | 北京世纪互联工程技术服务有限公司 | 分布式智能dns库系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051743A (zh) | 2013-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103051743B (zh) | 一种基于分布式层级化的dns防御系统和方法 | |
| CN101267313B (zh) | 泛洪攻击检测方法及检测装置 | |
| CN103201999B (zh) | 请求路由选择处理 | |
| CN102469167B (zh) | 域名查询的实现方法和系统 | |
| CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| CN101060493B (zh) | 一种私网内用户通过域名访问私网内服务器的方法 | |
| CN103428095B (zh) | 一种代理服务器及其代理方法 | |
| CN102624750B (zh) | 抵御dns递归攻击的方法和系统 | |
| CN106453272B (zh) | 透明反向代理模式下的ip地址还原方法 | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN101674306B (zh) | 地址解析协议报文处理方法及交换机 | |
| CN101188612A (zh) | 一种黑名单实时管理的方法及其装置 | |
| CN101753637A (zh) | 防止网络攻击的方法及网络地址转换设备 | |
| US20130080629A1 (en) | Method and apparatus for detecting devices on a local area network | |
| CN110493366A (zh) | 一种接入点加入网络管理的方法及装置 | |
| CN101009692A (zh) | 硬件地址解析方法及通信处理设备及报文处理方法 | |
| CN101662480A (zh) | 一种基于访问控制的日志系统 | |
| CN102025641B (zh) | 一种报文过滤方法和交换设备 | |
| CN102045307B (zh) | 一种网络设备管理的方法及相应的网络系统 | |
| CN1152517C (zh) | 防范网络攻击的方法 | |
| CN102882861B (zh) | 基于解析dhcp报文实现防ip地址欺诈的方法 | |
| CN105530326A (zh) | 三层接口ip地址冲突的检测方法及装置 | |
| CN109803030A (zh) | 一种匿名中间代理服务器及其通信方法 | |
| CN106411771A (zh) | 一种数据转发方法及系统 | |
| CN104065494A (zh) | 一种机架式olt设备及其实现多组播vlan的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Domain name system (DNS) prevention system based on distributed hierarchy and method Effective date of registration: 20170228 Granted publication date: 20151111 Pledgee: Bank of China Limited by Share Ltd Maoming branch Pledgor: Maoming Qunying Network Co., Ltd. Registration number: 2017990000136 |
|
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20130417 Assignee: Maoming Lian Bo network technology Co., Ltd. Assignor: Maoming Qunying Network Co., Ltd. Contract record no.: 2018440000126 Denomination of invention: Domain name system (DNS) prevention system based on distributed hierarchy and method Granted publication date: 20151111 License type: Common License Record date: 20180928 |