CN103152357A - 一种针对dns服务的防御方法、装置和系统 - Google Patents
一种针对dns服务的防御方法、装置和系统 Download PDFInfo
- Publication number
- CN103152357A CN103152357A CN2013100949727A CN201310094972A CN103152357A CN 103152357 A CN103152357 A CN 103152357A CN 2013100949727 A CN2013100949727 A CN 2013100949727A CN 201310094972 A CN201310094972 A CN 201310094972A CN 103152357 A CN103152357 A CN 103152357A
- Authority
- CN
- China
- Prior art keywords
- dns
- data query
- query request
- address
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种DNS服务的防御方法、装置及系统,方法包括:监测单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量;判断DNS数据查询请求报文流量超过预定安全访问流量阈值时;获取包含一级域名地址的DNS数据查询请报文的个数与DNS数据查询请求报文流量的比例值;判断比例值超过了预置数值时,记录一级域名地址为被攻击地址;将域名地址不是被攻击地址的DNS数据查询请求报文正常转发;判断被攻击地址对应DNS数据查询请求报文中的二级域名地址是否存在正常域名列表中;将二级域名地址不存在于正常域名列表中的DNS数据查询请求报文进行防御处理。可以有效的降低攻击报文的转发,实现对DNS服务器的防御,同时不影响正常DNS数据查询请求。
Description
技术领域
本发明涉及DNS服务领域,特别涉及一种针对DNS服务的防御方法、装置及系统。
背景技术
随着科学技术水平的不断提高,互联网已经超越了传统媒体,成为人们日常工作生活中的重要组成部分。但在互联网高速发展的同时,一些网络病毒、恶意程序、黑客软件也大量的出现,至此互联网网络安全的问题越来越被人们所重视。
在互联网网络安全问题中,防范恶意攻击网络中的服务器,是其中的重要的内容之一。
下面对互联网中常见的DNS服务以及针对DNS服务的常见攻击进行介绍:
DNS,中文名为计算机域名系统(Domain Name System或Domain NameService),它是由解析器以及域名服务器组成的。
DNS将便于记忆的域名和枯燥难记的IP地址联系起来,方便人们访问互联网,是互联网中一项重要的服务。域名空间为树状结构,相应地,域名的各个级别被“.”分开。顶级域名在开头有一个点,如“.com”;一级域名就是在顶级域名前加一级,如“baidu.com”,“sohu.com”。
一般的DNS服务器保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能。
DNS进行查询时,对本地资源记录和本地缓存都不存在的域名查询请求,将进行递归查询,会从根服务器开始迭代查找,直到找到能够给出授权回答的服务器为止。因而同一个一级域名的查询请求最终都会递归到同一个授权服务器上。
下面参照图1,对以上介绍的DNS查询步骤进一步举例说明:
(1)DNS客户端先向递归服务器查询www.test.com。
(2)DNS递归服务器检查本地资源记录,若存在则作授权回答;若不存在,则检查本地缓存,若存在则直接返问结果。若本地资源记录和缓存中都不存在时,则向DNS根服务器递归查询。
(3)DNS根服务器返回com域的授权服务器的地址,DNS递归服务器继续向.com授权服务器迭代查询。
(4)com授权服务器返回test.com域的授权服务器的地址,DNS递归服务器继续向test.com的授权服务器迭代查询。
(5)test.com授权服务器对域名www.test.com进行授权回答,所述DNS递归服务器将收到的授权回答保存在本地缓存中,并返回给DNS客户端,完成此次查询。
可见,DNS服务器作为互联网络基础设施,对于网络应用十分重要,即使是几分钟的瘫痪也会对网络的其他应用产生巨大的影响。
众所周知,DoS和DDoS是网络中一种常用来使服务器或网络瘫痪的网络攻击,实施手段更是多种多样,危害严重。将DNS中的拒绝服务攻击分为以下三类:
第一类:直接DDoS攻击
攻击者请求大量不存在的域名,使递归服务器进行大量递归查询,导致崩溃。这里受攻击对象多为递归服务器。攻击者的惯用手段通常有伪造源IP、随机化IP数据包TTL、随机化请求域名的特点。产生大量随机域名,耗尽递归解析器的资源,从而使正常域名请求无法得到递归解析。
第二类:放大攻击
攻击者的攻击目标不是DNS服务器,只是利用DNS服务器攻击其他系统。放大攻击使用针对无辜的第三方的欺骗性的数据包来放大通信流量,其目的是耗尽受害者的全部带宽。对于此类攻击的检测是比较易于做到的,但是往往流量聚集在一起之后就比较难以控制,即使分析也需要耗费大量资源,对于此类攻击防御的难点在于如何限速和探索攻击源,而不是如何监测。
第三类:跳板攻击
参照图2,攻击者以DNS递归服务器为跳板,对DNS授权服务器实施DDoS攻击,故称其为DNS跳板攻击。其具体方式如下:在攻击者的控制下,由多个DNS客户端同时,大量地向某个DNS递归服务器查询一个并不存在的域名,这个域名的特点即一级域名全部相同,二级域名随机构造,例如:aaa.test.com、bbbb.test.com、12345.test.com等等。由于这些域名本地缓存是查找不到的,因此势必会触发递归查询。而全部的递归请求都会发送到test.com这个授权服务器上,造成其系统瘫痪,DDoS攻击成功。
可见,跳板攻击的防御难度比前两类攻击都要大。
综上所述,DDoS攻击会造成DNS服务器的服务瘫痪、死机等结果,严重影响用户对网络的正常使用。
现有技术中,针对DNS攻击防御的方法有:DNS重定向、不支持域外解析请求的递归查询、限制每秒域名解析请求次数、统计域名解析的频度等多种方式,但这些方法只能防御针对DNS递归服务器实施的DDoS攻击。而对于检测报文长度、同一请求的查询个数、建立流量模型这几种方法,其缺点是只能防御采用DNS服务器为跳板对DNS外的系统实施的放大攻击,而不能有效防御以上所述第三类的跳板攻击。
发明内容
本发明要解决的技术问题是提供一种可以防御跳板攻击的防御方法、装置和系统,能够通过对报文过滤实现DNS服务器跳板攻击的防御。
一种DNS服务的防御方法,其特征在于,包括:
监测单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量;
判断所述DNS数据查询请求报文流量超过预定安全访问流量阈值时,检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的所述DNS数据查询请求报文对应的一级域名地址;
获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值;
判断所述比例值超过了预置数值时,记录所述一级域名地址为被攻击地址;将域名地址不是所述被攻击地址的所述DNS数据查询请求报文正常转发;
判断所述被攻击地址对应DNS数据查询请求报文中的二级域名地址是否存在正常域名列表中,所述正常域名列表中的二级域名地址是在非攻击状态下记录的正常二级域名地址;
将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文进行防御处理。
优选地,所述预定安全访问流量阈值,具体为:
在非攻击状态下,计算所述DNS递归服务器网络出口的DNS数据查询请求报文流量在N个周期中的平均值,以所述平均值与警告系数的乘积作为所述预定安全访问流量阈值;所述N为大于1的整数;
所述警告系数是预先设定的数值。
优选地,还包括:
判断所述DNS数据查询请求报文流量没有超过预定安全访问流量阈值时,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
一种DNS服务的防御装置,包括:正常转发模块、监测模块、流量判断模块、集中域名检测模块、域名比例计算模块、攻击地址判定模块、一级地址筛选模块、二级地址筛选模块和攻击处理模块;
所述监测模块,用于监测单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量;
所述流量判断模块,用于判断所述DNS数据查询请求报文流量是否超过预定安全访问流量阈值;
所述集中域名检测模块,用于当所述流量判断模块判断所述DNS数据查询请求报文流量超过预定安全访问流量阈值时,用于检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的DNS数据查询请求报文对应的一级域名地址;
所述域名比例计算模块,用于获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值;
所述攻击地址判定模块,用于判断所述比例值超过了预置数值时,记录所述一级域名地址为被攻击地址;
所述一级地址筛选模块,用于将域名地址不是所述被攻击地址的所述DNS数据查询请求报文筛选出来发送给正常转发模块;
所述正常转发模块,用于将所述一级地址筛选模块筛选出来的所述DNS数据查询请求报文进行正常转发;
所述二级地址筛选模块,用于判断所述被攻击地址对应的DNS数据查询请求报文中的二级域名地址是否存在于正常域名列表中,所述正常域名列表中的二级域名地址是在非攻击状态下预先记录的正常二级域名地址;
所述攻击处理模块,用于将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文进行防御处理弃。
优选地,还包括:
预定安全访问流量阈值确定模块,用于在非攻击状态下,计算所述DNS递归服务器网络出口的DNS数据查询请求报文流量在N个周期中的平均值,以所述平均值与警告系数的乘积作为所述预定安全访问流量阈值;所述N为大于1的整数;
所述警告系数是预先设定的数值。
优选地,还包括:
正常域名地址确定模块,用于判断所述DNS数据查询请求报文流量没有超过预定安全访问流量阈值时,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
一种DNS服务的防御系统,其特征在于,包括:DNS客户端、防御装置、DNS递归服务器和DNS授权服务器;
所述DNS客户端,用于向所述DNS递归服务器发送DNS数据查询请求报文,进行DNS域名数据查询;
所述DNS递归服务器,用于接收所述DNS客户端发送所述DNS数据查询请求报文,所述DNS递归服务器首先检查本地资源是否可以正常解析所述报文中的域名地址,如果本地资源中可以正常解析,则将解析结果通过应答报文发送给所述DNS客户端。若发现本地资源无法解析以上的域名地址,则将上述地址转发到DNS授权服务器,由所述DNS授权服务器进行解析。在所述授权服务器解析后,所述DNS递归服务器将应答的结果通过应答报文发送给DNS客户端。
所述DNS授权服务器,用于接收所述DNS数据查询请求报文,提供DNS查询服务;
所述防御装置,用于监测单位时间内所述DNS递归服务器网络出口的DNS数据查询请求报文流量;判断所述DNS数据查询请求报文流量超过预定安全访问流量阈值时,检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的所述DNS数据查询请求报文对应的一级域名地址;获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值;判断所述比例值超过了预置数值时,记录所述一级域名地址为被攻击地址;将域名地址不是所述被攻击地址的所述DNS数据查询请求报文正常转发;判断所述被攻击地址对应的DNS数据查询请求报文中二级域名地址是否存在正常域名列表中,所述正常域名列表中的二级域名地址是在非攻击状态下预先记录的正常二级域名地址;将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文进行防御处理。
优选地,所述防御装置,还用于获得所述预定安全访问流量阈值,具体为:
在非攻击状态下,计算所述DNS递归服务器网络出口的DNS数据查询请求报文流量在N个周期中的平均值,以所述平均值与警告系数的乘积作为所述预定安全访问流量阈值;所述N为大于1的整数;
所述警告系数是预先设定的数值。
优选地,所述防御装置,还用于获得正常域名地址,具体为:
判断所述DNS数据查询请求流量没有超过预定安全访问流量阈值时,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
优选地,所述防御装置放置在所述DNS递归服务器的网络出口端。
与现有技术相比,本发明具有以下优点:
通过对单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量进行监测,在判定发生DNS攻击时,对DNS数据查询请求报文进行统计,在计算出请求数量最多的域名地址并判断超过了预置的数值时,将所述请求数量最多的域名作为被攻击地址,将不是被攻击地址的DNS数据查询请求进行正常转发,将与被攻击地址相同报文与正常域名列表中的二级域名地址进行匹配,最终将认为是攻击报文的请求进行过滤,本发明可以有效的降低攻击报文的转发,实现对DNS服务器的防御;将不是攻击的报文通过域名过滤进行正常转发,实现了在攻击状态下,进行DNS防御的同时不影响网络中的正常DNS数据查询请求。
附图说明
图1是DNS服务进行数据查询请求的原理框图;
图2是针对DNS服务器进行的DDOS跳板攻击原理框图;
图3是本发明提供的一种DNS服务的防御方法的实施例一的流程图;
图4是本发明提供的一种DNS服务的防御方法的实施例二的流程图;
图5是本发明提供的一种DNS服务的防御装置的实施例一的示意图;
图6是本发明提供的一种DNS服务的防御装置的实施例二的示意图;
图7是本发明提供的一种DNS服务的防御系统的实施例一的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。
参照图3,该图是本发明提供的一种DNS服务的防御方法的实施例一流程图。
S301:正常转发DNS数据查询请求报文。
S302:监测单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量。
例如,监测到单位时间内当前DNS递归服务器网络出口的DNS数据查询请求报文流量为100个。
S303:判断所述DNS数据查询请求报文流量是否超过预定安全访问流量阈值。如果是,则执行S303;如果否,将监测到的全部所述DNS数据查询请求报文执行S301。
例如,将监测到的DNS数据查询请求报文流量100与预定安全访问流量阈值进行比较,假设所述预定安全访问流量阈值为80个,则监测到的所述DNS数据查询请求报文流量超过了该预定安全访问流量阈值。
S304:检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的DNS数据查询请求报文对应的一级域名地址。
对100个DNS数据查询请求报文中需要查询的一级域名地址进行统计,统计出哪一个一级域名地址是出现次数是最多的。例如,检测到100个报文中一级域名为test.com的DNS数据查询请求报文有70个,报文中一级域名为shopping.com的DNS数据查询请求报文有20个,报文中一级域名为travel.com的DNS数据查询请求报文有10个。则确定出现次数最多的DNS数据查询请求报文对应的一级域名地址为test.com。
S305:获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值。
计算出现次数最多的一级域名地址test.com的报文个数70个与单位时间内总的DNS数据查询请求报文流量100个的比例值。在本实施例中,将70除以100,得出所述比例值为0.7。
S306:判断所述比例值是否超过了预置数值。如果是,则执行S306;如果否,则执行S301。
假设预置数值为0.5。所述比例值0.7超过了所述预置数值0.5。若没有超过预置数值,将则将监测到的全部所述DNS数据查询请求报文执行S301。若超过了预置数值,执行S307操作。
S307:记录所述一级域名地址为被攻击地址。将所述一级域名地址作为攻击地址进行记录。
即将以上例子中的test.com作为被攻击地址进行记录。
S308:将一级域名地址不是所述被攻击地址的所述DNS数据查询请求报文执行S301。将一级域名地址是所述被攻击地址的所述DNS数据查询请求执行S309操作。
逐一将全部所述DNS数据查询请求报文进行比较,判断每一个DNS数据查询请求报文中的一级域名地址是否与被攻击地址test.com相同,若与被攻击地址不同,如shopping.com或travel.com,则正常转发该报文。剩余70个一级域名为test.com的报文执行S309的操作。
S309:判断所述被攻击地址对应的DNS数据查询请求报文中的二级域名地址是否存在正常域名列表中,若与正常域名列表中的二级域名地址相同,则将所述报文执行S301。将不相同的报文认为是攻击报文,对所述不相同的报文执行S310。
所述正常域名列表中的二级域名地址是在非攻击状态下记录的正常二级域名地址。
例如,将剩余70个报文逐一比较,判断每一个报文中的二级地址是否与正常域名列表中的二级域名地址相同,如正常域名列表中的二级域名地址为music.test.com和map.test.com。对70个剩余报文逐一进行判断后,其中有10个域名为music.test.com报文,另有10个域名为map.test.com,则将这20个报文进行正常转发,剩下的50个报文执行S310操作。
S310:将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文进行防御处理。
所述防御处理,可以是在单位时间内只正常转发规定的数量,其余进行丢弃。所述规定的数量是指预先设置的单位时间内正常转发所述DNS数据查询请求的个数值,如5或10,也可以是0。若为0值,则全部进行丢弃。
假设所述规定的数量的值为5个,将剩余的50个报文在单位时间内只正常转发5个,其余45个进行丢弃,以实现过滤攻击的目的。
根据上述提供的一种DNS服务的防御方法实施例一,具有以下优点:通过对单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量进行监测,在判定发生DNS攻击时,对DNS数据查询请求报文进行统计,在计算出请求数量最多的域名地址并判断超过了预置的数值时,将所述请求数量最多的域名作为被攻击地址,将不是被攻击地址的DNS数据查询请求进行正常转发,将与被攻击地址相同报文与正常域名列表中的二级域名地址进行匹配,最终将认为是攻击报文的请求进行过滤,本发明可以有效的降低攻击报文的转发,实现对DNS服务器的防御;将不是攻击的报文通过域名过滤进行正常转发,实现了在攻击状态下,进行DNS防御的同时不影响网络中的正常DNS数据查询请求。
参照图4,该图是本发明提供的一种DNS服务的防御方法实施例二的流程图。
在方法实施例一的基础上,本实施例还包括:
本实施例中的S401到S410与方法实施例一的步骤完全相同。
若判断所述DNS数据查询请求报文流量没有超过预定安全访问流量阈值时,执行S411,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
将监测到的全部所述DNS数据查询请求报文执行S401进行正常转发。以下举例说明:监测到单位时间内当前DNS递归服务器网络出口的DNS数据查询请求报文流量为60个。
由于所述DNS数据查询请求报文流量60个没有超过预定安全访问流量阈值80个,因此执行S411,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
将监测到的全部所述DNS数据查询请求报文执行S401。
所述DNS授权服务器或所述DNS递归服务器正常响应DNS数据查询请求的应答报文内容为:域名www.test.com,对应的IP地址10.10.10.1,则将www.test.com存入正常域名列表中。
所述DNS授权服务器或所述DNS递归服务器正常响应DNS数据查询请求的应答报文内容为:域名order.music.test.com,对应的IP地址10.10.20.35,则将music.test.com存入正常域名列表中。
当所述DNS授权服务器或所述DNS递归服务器响应的应答报文为非正常应答时,则不将二级域名地址存入正常域名列表中。如:
所述DNS授权服务器或所述DNS递归服务器正常响应DNS数据查询请求的应答报文内容为:域名booking.test.com,对应的IP地址为null(可能因为地址输入错误,或网页内容已经不存在等原因不能正常解析),则不将booking.test.com存入正常域名列表中。
将监测到的全部所述DNS数据查询请求报文执行S401进行正常转发。
本实施例在实现所述防御方法实施例一的优点基础上,通过在网络正常状态下对所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文的学习,可以有效的收集到正确的二级域名地址,作为在DNS攻击时进行报文过滤的依据。
基于上述的一种DNS服务的防御方法,本发明还提供了一种DNS服务的防御装置,下面结合具体实施例来详细说明其组成部分。
参照图5,该图是本发明提供的一种DNS服务的防御装置的实施例一的示意图。
所述一种DNS服务的防御装置,包括:正常转发模块501、监测模块502、流量判断模块503、集中域名检测模块504、域名比例计算模块505、攻击地址判定模块506、一级地址筛选模块507、二级地址筛选模块508和攻击处理模块509;
所述正常转发模块501,用于将DNS数据查询请求报文进行正常转发。
所述监测模块502,用于监测单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量。
以下举例说明:监测到单位时间内当前DNS递归服务器网络出口的DNS数据查询请求报文流量为100个。
所述流量判断模块503,用于判断所述DNS数据查询请求报文流量是否超过预定安全访问流量阈值。若所述DNS数据查询请求报文流量是否超过预定安全访问流量阈值,将监测到的全部所述DNS数据查询请求报文发送到正常转发模块501进行正常转发。
将监测到的报文流量100与预定安全访问流量阈值进行比较,假设所述预定安全访问流量阈值为80个,则监测到的所述DNS数据查询请求报文流量超过了所述阈值。
所述集中域名检测模块504,当第一判断模块判断所述DNS数据查询请求报文流量超过预定安全访问流量阈值时,检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的所述DNS数据查询请求报文对应的一级域名地址。
对100个DNS数据查询请求报文中需要查询的一级域名地址进行统计,统计出哪一个一级域名地址是出现次数是最多的。例如,检测到100个报文中一级域名为test.com的DNS数据查询请求报文有70个,报文中一级域名为shopping.com的DNS数据查询请求报文有20个,报文中一级域名为travel.com的DNS数据查询请求报文有10个。
所述域名比例计算模块505,获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值;
计算出现次数最多的一级域名地址test.com的报文个数70个与单位时间内总的DNS数据查询请求报文数量100个的比例值。在本实施例中,将70除以100,得出所述比例值为0.7。
所述攻击地址判定模块506,用于判断所述比例值超过了预置数值时,记录所述一级域名地址为被攻击地址。若没有超过预置数值,将监测到的全部所述DNS数据查询请求报文发送到正常转发模块501进行正常转发。
假设预置数值为0.5。所述比例值0.7超过了预置数值0.5。则将所述一级域名地址作为攻击地址进行记录。
所述一级地址筛选模块507,用于将域名地址不是所述被攻击地址的所述DNS数据查询请求报文筛选出来发送到正常转发模块501进行正常转发。
逐一将全部所述DNS数据查询请求报文进行比较,判断每一个DNS数据查询请求报文中的一级域名地址是否与被攻击地址test.com进行比较,若存在部分报文中的一级域名地址与被攻击地址不同,如有20个报文为shopping.com、10个报文为travel.com,则将所述部分报文发送到正常转发模块进行正常转发。。剩余70个一级域名为test.com的报文发送到二级地址筛选模块进行处理。
所述二级地址筛选模块508,用于判断所述DNS数据查询请求报文中二级域名地址是否存在正常域名列表中,所述正常域名列表中的二级域名地址是在非攻击状态下记录的正常二级域名地址。若与正常域名列表中的二级域名地址相同,则发送到正常转发模块501进行正常转发。若不相同,则认为该报文是攻击报文。。
将剩余70个报文逐一比较,判断每一个报文中的二级地址是否与正常域名列表中的二级域名地址相同,如正常域名列表中的二级域名地址为music.test.com和map.test.com。对70个剩余报文进行判断后,其中有10个域名为music.test.com报文,另有10个域名为map.test.com,则将这20个报文发送到正常转发模块501正常转发,剩下的50个报文发送到攻击处理模块进行处理。
所述攻击处理模块509:将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文,进行防御处理。
所述规定的数量是指预先设置的单位时间内正常转发所述DNS数据查询请求的个数值,如5或10,也可以是0。若为0值,则全部进行丢弃。假设所述规定的数量是5个,因此将剩余的50个报文在单位时间内只发送5个报文到正常转发模块501进行正常转发,其余45个进行丢弃,以实现过滤攻击的目的。
根据上述提供的一种DNS服务的防御装置的实施例一,具有以下优点:监测模块502通过对单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量进行监测,通过流量判断模块503、集中域名检测模块504、域名比例计算模块505、攻击地址判定模块506来确定是否发生DNS攻击以及攻击的地址,再将DNS数据查询请求报文发送到一级地址筛选模块507和二级地址筛选模块508进行筛选,将正常的DNS数据查询请求报文发送到正常转发模块501进行正常转发,将剩余的攻击报文发送到攻击处理模块509进行处理。通过以上手段,可以有效的降低攻击报文的转发,实现对DNS服务器的防御;将不是攻击的报文通过域名过滤进行正常转发,实现了在攻击状态下,进行DNS防御的同时不影响网络中的正常DNS数据查询请求报文的传送。
参照图6,该图是本发明提供的一种DNS服务的防御装置的实施例二的示意图。
在所述防御装置的实施例一的基础上,本实施例还包括:
本实施例中601至609中的各模块与所述防御装置实施例一中的模块完全相同。
正常域名地址确定模块610,用于判断所述DNS数据查询请求报文流量没有超过预定安全访问流量阈值时,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
以下举例说明:
监测到单位时间内当前DNS递归服务器网络出口的DNS数据查询请求报文流量为60个。
所述流量判断模块603,用于判断所述DNS数据查询请求报文流量是否超过预定安全访问流量阈值。若所述DNS数据查询请求报文流量是否超过预定安全访问流量阈值,将监测到的全部所述DNS数据查询请求报文发送到正常转发模块601进行正常转发。
将监测到的报文流量60与预定安全访问流量阈值进行比较,假设所述预定安全访问流量阈值为80个,没有超过所述阈值。
向所述正常域名地址确定模块610发送指令,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
将则监测到的所述DNS数据查询请求报文发送到正常转发模块601进行处理。
本实施例在实现所述防御装置实施例一的优点基础上,通过在网络正常状态下,由所述正常域名地址确定模块610对所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文的学习,可以有效的收集到正确的二级域名地址,作为在DNS攻击时进行报文过滤的依据。
图7是本发明提供的一种DNS服务的防御系统的实施例一的示意图。
所述一种DNS服务的防御系统,包括:DNS客户端701、DNS递归服务器702、防御装置703和DNS授权服务器704;
所述DNS客户端601,用于向所述DNS递归服务器发送DNS数据查询请求报文,进行DNS域名数据查询。以下举例说明:所述DNS客户端向DNS递归服务器发送请求,请求查询如www.test.com、www.shopping.com、www.travel.com等地址。
所述DNS递归服务器702,用于接收所述DNS客户端发送所述DNS数据查询请求报文,所述DNS递归服务器首先检查本地资源是否可以正常解析所述报文中的域名地址,如果本地资源中可以正常解析,则将解析结果通过应答报文发送给所述DNS客户端。若发现本地资源无法解析以上的域名地址时,则将上述地址转发到DNS授权服务器,由所述DNS授权服务器进行解析。在所述授权服务器解析后,所述DNS递归服务器将应答的结果通过应答报文发送给DNS客户端。
所述DNS授权服务器704,用于接收所述DNS数据查询请求报文,提供DNS查询服务。DNS授权服务器接收所述DNS递归服务器发来的请求解析www.test.com、www.shopping.com、www.travel.com的请求,分别进行解析并以应答报文回复给递归服务器。
所述防御装置703,用于监测单位时间内所述DNS递归服务器网络出口的DNS数据查询请求报文流量(监测到流量为单位时间内100个);判断所述DNS数据查询请求报文流量超过预定安全访问流量阈值(如所述安全访问流量阈值为80个)时,检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的所述DNS数据查询请求报文对应的一级域名地址(检测后确定出现次数最多的报文对应的一级域名为test.com);获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值(其中有70个报文中是test.com,另外有20个报文是shopping.com,以及10个报文为travel.com。将70除以100,得到所述比例值为0.7);判断所述比例值超过了预置数值(预置数值为0.5)时,记录所述一级域名地址为被攻击地址(将test.com做为被攻击地址进行保存);将域名地址不是所述被攻击地址的所述DNS数据查询请求报文筛选出来进行正常转发(将shopping.com和travel.com域名的请求报文进行正常转发);判断所述DNS数据查询请求报文中二级域名地址是否存在正常域名列表(在正常域名列表中保存的域名地址为music.test.com和map.test.com)中,所述正常域名列表中的二级域名地址是在非攻击状态下记录的正常二级域名地址;将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文(在70个报文中有10个是music.test.com的报文,有10个是map.test.com的报文,将这20个报文进行正常转发,其余50个进行防御处理),进行防御处理。如在单位时间内所述DNS授权服务器只正常转发规定的数量,所述规定的数量是指预先设置的单位时间内正常转发所述DNS数据查询请求的个数值,如5或10,也可以是0。若为0值,则全部进行丢弃。(如预先设置为5个,将50个报文中只转发5个,其余的报文进行丢弃)。
本系统实施例一实现了在DNS数据查询请求过程中对恶意请求的过滤,同时能够实现对正常的DNS查询请求的正常转发。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (10)
1.一种DNS服务的防御方法,其特征在于,包括:
监测单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量;
判断所述DNS数据查询请求报文流量超过预定安全访问流量阈值时,检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的所述DNS数据查询请求报文对应的一级域名地址;
获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值;
判断所述比例值超过了预置数值时,记录所述一级域名地址为被攻击地址;将域名地址不是所述被攻击地址的所述DNS数据查询请求报文正常转发;
判断所述被攻击地址对应DNS数据查询请求报文中的二级域名地址是否存在正常域名列表中,所述正常域名列表中的二级域名地址是在非攻击状态下记录的正常二级域名地址;
将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文进行防御处理。
2.根据权利要求1所述的DNS服务的防御方法,其特征在于,所述预定安全访问流量阈值,具体为:
在非攻击状态下,计算所述DNS递归服务器网络出口的DNS数据查询请求报文流量在N个周期中的平均值,以所述平均值与警告系数的乘积作为所述预定安全访问流量阈值;所述N为大于1的整数;
所述警告系数是预先设定的数值。
3.根据权利要求1所述的DNS服务的防御方法,其特征在于,还包括:
判断所述DNS数据查询请求报文流量没有超过预定安全访问流量阈值时,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
4.一种DNS服务的防御装置,其特征在于,包括:正常转发模块、监测模块、流量判断模块、集中域名检测模块、域名比例计算模块、攻击地址判定模块、一级地址筛选模块、二级地址筛选模块和攻击处理模块;
所述监测模块,用于监测单位时间内DNS递归服务器网络出口的DNS数据查询请求报文流量;
所述流量判断模块,用于判断所述DNS数据查询请求报文流量是否超过预定安全访问流量阈值;
所述集中域名检测模块,用于当所述流量判断模块判断所述DNS数据查询请求报文流量超过预定安全访问流量阈值时,用于检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的DNS数据查询请求报文对应的一级域名地址;
所述域名比例计算模块,用于获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值;
所述攻击地址判定模块,用于判断所述比例值超过了预置数值时,记录所述一级域名地址为被攻击地址;
所述一级地址筛选模块,用于将域名地址不是所述被攻击地址的所述DNS数据查询请求报文筛选出来发送给正常转发模块;
所述正常转发模块,用于将所述一级地址筛选模块筛选出来的所述DNS数据查询请求报文进行正常转发;
所述二级地址筛选模块,用于判断所述被攻击地址对应的DNS数据查询请求报文中的二级域名地址是否存在于正常域名列表中,所述正常域名列表中的二级域名地址是在非攻击状态下预先记录的正常二级域名地址;
所述攻击处理模块,用于将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文进行防御处理弃。
5.根据权利要求4所述的DNS服务的防御装置,其特征在于,还包括:
预定安全访问流量阈值确定模块,用于在非攻击状态下,计算所述DNS递归服务器网络出口的DNS数据查询请求报文流量在N个周期中的平均值,以所述平均值与警告系数的乘积作为所述预定安全访问流量阈值;所述N为大于1的整数;
所述警告系数是预先设定的数值。
6.根据权利要求4所述的DNS服务的防御装置,其特征在于,还包括:
正常域名地址确定模块,用于判断所述DNS数据查询请求报文流量没有超过预定安全访问流量阈值时,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
7.一种DNS服务的防御系统,其特征在于,包括:DNS客户端、防御装置、DNS递归服务器和DNS授权服务器;
所述DNS客户端,用于向所述DNS递归服务器发送DNS数据查询请求报文,进行DNS域名数据查询;
所述DNS递归服务器,用于接收所述DNS客户端发送所述DNS数据查询请求报文,所述DNS递归服务器首先检查本地资源是否可以正常解析所述报文中的域名地址,如果本地资源中可以正常解析,则将解析结果通过应答报文发送给所述DNS客户端。若发现本地资源无法解析以上的域名地址,则将上述地址转发到DNS授权服务器,由所述DNS授权服务器进行解析。在所述授权服务器解析后,所述DNS递归服务器将应答的结果通过应答报文发送给DNS客户端。
所述DNS授权服务器,用于接收所述DNS数据查询请求报文,提供DNS查询服务;
所述防御装置,用于监测单位时间内所述DNS递归服务器网络出口的DNS数据查询请求报文流量;判断所述DNS数据查询请求报文流量超过预定安全访问流量阈值时,检测所有所述DNS数据查询请求报文中的域名地址,确定出现次数最多的所述DNS数据查询请求报文对应的一级域名地址;获取包含所述一级域名地址的所述DNS数据查询请报文的个数与所述DNS数据查询请求报文流量的比例值;判断所述比例值超过了预置数值时,记录所述一级域名地址为被攻击地址;将域名地址不是所述被攻击地址的所述DNS数据查询请求报文正常转发;判断所述被攻击地址对应的DNS数据查询请求报文中二级域名地址是否存在正常域名列表中,所述正常域名列表中的二级域名地址是在非攻击状态下预先记录的正常二级域名地址;将二级域名地址不存在于所述正常域名列表中的DNS数据查询请求报文进行防御处理。
8.根据权利要求7所述的DNS服务的防御系统,其特征在于,所述防御装置,还用于获得所述预定安全访问流量阈值,具体为:
在非攻击状态下,计算所述DNS递归服务器网络出口的DNS数据查询请求报文流量在N个周期中的平均值,以所述平均值与警告系数的乘积作为所述预定安全访问流量阈值;所述N为大于1的整数;
所述警告系数是预先设定的数值。
9.根据权利要求7所述的DNS服务的防御系统,其特征在于,所述防御装置,还用于获得正常域名地址,具体为:
判断所述DNS数据查询请求流量没有超过预定安全访问流量阈值时,记录在下一周期内由所述DNS递归服务器发出的正常响应DNS数据查询请求的应答报文中的二级域名地址,将所述二级域名地址保存在正常域名列表中。
10.根据权利要求7所述的DNS服务的防御系统,其特征在于,所述防御装置放置在所述DNS递归服务器的网络出口端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310094972.7A CN103152357B (zh) | 2013-03-22 | 2013-03-22 | 一种针对dns服务的防御方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310094972.7A CN103152357B (zh) | 2013-03-22 | 2013-03-22 | 一种针对dns服务的防御方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103152357A true CN103152357A (zh) | 2013-06-12 |
CN103152357B CN103152357B (zh) | 2015-09-30 |
Family
ID=48550219
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310094972.7A Active CN103152357B (zh) | 2013-03-22 | 2013-03-22 | 一种针对dns服务的防御方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103152357B (zh) |
Cited By (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104202344A (zh) * | 2014-09-28 | 2014-12-10 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对DNS服务防DDoS攻击的方法及装置 |
CN104243408A (zh) * | 2013-06-14 | 2014-12-24 | 中国移动通信集团公司 | 域名解析服务dns系统中监控报文的方法、装置及系统 |
CN105306416A (zh) * | 2014-06-17 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 重发漏洞的检测方法和装置 |
CN105991557A (zh) * | 2015-02-05 | 2016-10-05 | 精硕世纪科技(北京)有限公司 | 基于dns智能解析系统的网络攻击防御方法 |
CN106888181A (zh) * | 2015-12-15 | 2017-06-23 | 精硕科技(北京)股份有限公司 | 一种能防御DDoS的数据采集方法和系统 |
CN107707569A (zh) * | 2017-11-10 | 2018-02-16 | 北京知道创宇信息技术有限公司 | Dns请求处理方法及dns系统 |
CN107872434A (zh) * | 2016-09-27 | 2018-04-03 | 阿里巴巴集团控股有限公司 | 一种访问点的筛选方法和装置 |
CN108206814A (zh) * | 2016-12-20 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
CN108667782A (zh) * | 2017-04-01 | 2018-10-16 | 贵州白山云科技有限公司 | 一种用于DNS服务的DDoS攻击防御方法及系统 |
CN108683686A (zh) * | 2018-06-21 | 2018-10-19 | 中国科学院信息工程研究所 | 一种随机子域名DDoS攻击检测方法 |
CN105245630B (zh) * | 2015-09-25 | 2019-04-23 | 互联网域名系统北京市工程研究中心有限公司 | 识别和防御dns servfail攻击的方法及装置 |
CN109983752A (zh) * | 2016-10-05 | 2019-07-05 | 亚马逊技术有限公司 | 带有编码dns级信息的网络地址 |
CN110138684A (zh) * | 2019-04-01 | 2019-08-16 | 贵州力创科技发展有限公司 | 一种基于dns日志的流量监控方法及系统 |
CN110347517A (zh) * | 2018-04-04 | 2019-10-18 | 厦门雅迅网络股份有限公司 | 双系统的通信方法及计算机可读存储介质 |
CN110581842A (zh) * | 2019-08-19 | 2019-12-17 | 网宿科技股份有限公司 | Dns请求的处理方法及服务器 |
CN110944027A (zh) * | 2018-09-21 | 2020-03-31 | 阿里巴巴集团控股有限公司 | 访问处理方法、装置、设备以及系统 |
CN111385248A (zh) * | 2018-12-28 | 2020-07-07 | 华为技术有限公司 | 攻击防御方法和攻击防御设备 |
CN111614617A (zh) * | 2020-04-17 | 2020-09-01 | 国网浙江省电力有限公司电力科学研究院 | 一种基于dns缓存探测的物联网终端安全管控方法及装置 |
CN111654487A (zh) * | 2020-05-26 | 2020-09-11 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量与行为特征dga域名识别方法 |
CN112910839A (zh) * | 2021-01-12 | 2021-06-04 | 杭州迪普科技股份有限公司 | 一种dns攻击的防御方法和装置 |
CN113660256A (zh) * | 2021-08-13 | 2021-11-16 | 全球能源互联网研究院有限公司 | 一种dns水刑攻击检测模型构建方法及流量清洗方法 |
US11245770B2 (en) | 2008-03-31 | 2022-02-08 | Amazon Technologies, Inc. | Locality based content distribution |
US11283715B2 (en) | 2008-11-17 | 2022-03-22 | Amazon Technologies, Inc. | Updating routing information based on client location |
US11290418B2 (en) | 2017-09-25 | 2022-03-29 | Amazon Technologies, Inc. | Hybrid content request routing system |
US11297140B2 (en) | 2015-03-23 | 2022-04-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
US11303717B2 (en) | 2012-06-11 | 2022-04-12 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
US11336712B2 (en) | 2010-09-28 | 2022-05-17 | Amazon Technologies, Inc. | Point of presence management in request routing |
US11362986B2 (en) | 2018-11-16 | 2022-06-14 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
US11381487B2 (en) | 2014-12-18 | 2022-07-05 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US11451472B2 (en) | 2008-03-31 | 2022-09-20 | Amazon Technologies, Inc. | Request routing based on class |
US11457088B2 (en) | 2016-06-29 | 2022-09-27 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
US11463550B2 (en) | 2016-06-06 | 2022-10-04 | Amazon Technologies, Inc. | Request management for hierarchical cache |
US11461402B2 (en) | 2015-05-13 | 2022-10-04 | Amazon Technologies, Inc. | Routing based request correlation |
US11604667B2 (en) | 2011-04-27 | 2023-03-14 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
CN115883254A (zh) * | 2023-01-28 | 2023-03-31 | 北京亿赛通科技发展有限责任公司 | 一种DoS攻击防御方法、装置、电子设备及存储介质 |
US11762703B2 (en) | 2016-12-27 | 2023-09-19 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102413201A (zh) * | 2011-11-10 | 2012-04-11 | 上海牙木通讯技术有限公司 | 一种dns查询请求的处理方法及设备 |
CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
CN102868669A (zh) * | 2011-07-08 | 2013-01-09 | 上海寰雷信息技术有限公司 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
US20130031626A1 (en) * | 2011-07-29 | 2013-01-31 | Electronics And Telecommunications Research Institute | Methods of detecting dns flooding attack according to characteristics of type of attack traffic |
-
2013
- 2013-03-22 CN CN201310094972.7A patent/CN103152357B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102868669A (zh) * | 2011-07-08 | 2013-01-09 | 上海寰雷信息技术有限公司 | 一种针对不断变化前缀域名攻击的防护方法及装置 |
US20130031626A1 (en) * | 2011-07-29 | 2013-01-31 | Electronics And Telecommunications Research Institute | Methods of detecting dns flooding attack according to characteristics of type of attack traffic |
CN102413201A (zh) * | 2011-11-10 | 2012-04-11 | 上海牙木通讯技术有限公司 | 一种dns查询请求的处理方法及设备 |
CN102594825A (zh) * | 2012-02-22 | 2012-07-18 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
Cited By (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11909639B2 (en) | 2008-03-31 | 2024-02-20 | Amazon Technologies, Inc. | Request routing based on class |
US11451472B2 (en) | 2008-03-31 | 2022-09-20 | Amazon Technologies, Inc. | Request routing based on class |
US11245770B2 (en) | 2008-03-31 | 2022-02-08 | Amazon Technologies, Inc. | Locality based content distribution |
US11283715B2 (en) | 2008-11-17 | 2022-03-22 | Amazon Technologies, Inc. | Updating routing information based on client location |
US11811657B2 (en) | 2008-11-17 | 2023-11-07 | Amazon Technologies, Inc. | Updating routing information based on client location |
US11336712B2 (en) | 2010-09-28 | 2022-05-17 | Amazon Technologies, Inc. | Point of presence management in request routing |
US11604667B2 (en) | 2011-04-27 | 2023-03-14 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
US11303717B2 (en) | 2012-06-11 | 2022-04-12 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
US11729294B2 (en) | 2012-06-11 | 2023-08-15 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
CN104243408A (zh) * | 2013-06-14 | 2014-12-24 | 中国移动通信集团公司 | 域名解析服务dns系统中监控报文的方法、装置及系统 |
CN104243408B (zh) * | 2013-06-14 | 2017-11-21 | 中国移动通信集团公司 | 域名解析服务dns系统中监控报文的方法、装置及系统 |
CN105306416A (zh) * | 2014-06-17 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 重发漏洞的检测方法和装置 |
CN104202344B (zh) * | 2014-09-28 | 2018-02-27 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对DNS服务防DDoS攻击的方法及装置 |
CN104202344A (zh) * | 2014-09-28 | 2014-12-10 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对DNS服务防DDoS攻击的方法及装置 |
US11863417B2 (en) | 2014-12-18 | 2024-01-02 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US11381487B2 (en) | 2014-12-18 | 2022-07-05 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
CN105991557B (zh) * | 2015-02-05 | 2019-05-10 | 精硕科技(北京)股份有限公司 | 基于dns智能解析系统的网络攻击防御方法 |
CN105991557A (zh) * | 2015-02-05 | 2016-10-05 | 精硕世纪科技(北京)有限公司 | 基于dns智能解析系统的网络攻击防御方法 |
US11297140B2 (en) | 2015-03-23 | 2022-04-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
US11461402B2 (en) | 2015-05-13 | 2022-10-04 | Amazon Technologies, Inc. | Routing based request correlation |
CN105245630B (zh) * | 2015-09-25 | 2019-04-23 | 互联网域名系统北京市工程研究中心有限公司 | 识别和防御dns servfail攻击的方法及装置 |
CN106888181B (zh) * | 2015-12-15 | 2021-04-02 | 北京明略昭辉科技有限公司 | 一种能防御DDoS的数据采集方法和系统 |
CN106888181A (zh) * | 2015-12-15 | 2017-06-23 | 精硕科技(北京)股份有限公司 | 一种能防御DDoS的数据采集方法和系统 |
US11463550B2 (en) | 2016-06-06 | 2022-10-04 | Amazon Technologies, Inc. | Request management for hierarchical cache |
US11457088B2 (en) | 2016-06-29 | 2022-09-27 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
CN107872434B (zh) * | 2016-09-27 | 2020-12-01 | 阿里巴巴集团控股有限公司 | 一种访问点的筛选方法和装置 |
CN107872434A (zh) * | 2016-09-27 | 2018-04-03 | 阿里巴巴集团控股有限公司 | 一种访问点的筛选方法和装置 |
CN109983752A (zh) * | 2016-10-05 | 2019-07-05 | 亚马逊技术有限公司 | 带有编码dns级信息的网络地址 |
US11330008B2 (en) | 2016-10-05 | 2022-05-10 | Amazon Technologies, Inc. | Network addresses with encoded DNS-level information |
US11057404B2 (en) | 2016-12-20 | 2021-07-06 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for defending against DNS attack, and storage medium |
CN108206814A (zh) * | 2016-12-20 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
CN108206814B (zh) * | 2016-12-20 | 2021-03-16 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
US11762703B2 (en) | 2016-12-27 | 2023-09-19 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
CN108667782B (zh) * | 2017-04-01 | 2021-03-23 | 贵州白山云科技股份有限公司 | 一种用于DNS服务的DDoS攻击防御方法及系统 |
CN108667782A (zh) * | 2017-04-01 | 2018-10-16 | 贵州白山云科技有限公司 | 一种用于DNS服务的DDoS攻击防御方法及系统 |
US11290418B2 (en) | 2017-09-25 | 2022-03-29 | Amazon Technologies, Inc. | Hybrid content request routing system |
CN107707569A (zh) * | 2017-11-10 | 2018-02-16 | 北京知道创宇信息技术有限公司 | Dns请求处理方法及dns系统 |
CN110347517B (zh) * | 2018-04-04 | 2023-05-30 | 厦门雅迅网络股份有限公司 | 双系统的通信方法及计算机可读存储介质 |
CN110347517A (zh) * | 2018-04-04 | 2019-10-18 | 厦门雅迅网络股份有限公司 | 双系统的通信方法及计算机可读存储介质 |
CN108683686A (zh) * | 2018-06-21 | 2018-10-19 | 中国科学院信息工程研究所 | 一种随机子域名DDoS攻击检测方法 |
CN110944027A (zh) * | 2018-09-21 | 2020-03-31 | 阿里巴巴集团控股有限公司 | 访问处理方法、装置、设备以及系统 |
US11362986B2 (en) | 2018-11-16 | 2022-06-14 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
CN111385248A (zh) * | 2018-12-28 | 2020-07-07 | 华为技术有限公司 | 攻击防御方法和攻击防御设备 |
CN111385248B (zh) * | 2018-12-28 | 2021-07-09 | 华为技术有限公司 | 攻击防御方法和攻击防御设备 |
CN110138684A (zh) * | 2019-04-01 | 2019-08-16 | 贵州力创科技发展有限公司 | 一种基于dns日志的流量监控方法及系统 |
CN110138684B (zh) * | 2019-04-01 | 2022-04-29 | 贵州力创科技发展有限公司 | 一种基于dns日志的流量监控方法及系统 |
CN110581842A (zh) * | 2019-08-19 | 2019-12-17 | 网宿科技股份有限公司 | Dns请求的处理方法及服务器 |
CN111614617A (zh) * | 2020-04-17 | 2020-09-01 | 国网浙江省电力有限公司电力科学研究院 | 一种基于dns缓存探测的物联网终端安全管控方法及装置 |
CN111614617B (zh) * | 2020-04-17 | 2022-05-13 | 国网浙江省电力有限公司电力科学研究院 | 一种基于dns缓存探测的物联网终端安全管控方法及装置 |
CN111654487B (zh) * | 2020-05-26 | 2022-04-19 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量与行为特征dga域名识别方法 |
CN111654487A (zh) * | 2020-05-26 | 2020-09-11 | 南京云利来软件科技有限公司 | 一种基于旁路网络全流量与行为特征dga域名识别方法 |
CN112910839A (zh) * | 2021-01-12 | 2021-06-04 | 杭州迪普科技股份有限公司 | 一种dns攻击的防御方法和装置 |
CN113660256B (zh) * | 2021-08-13 | 2023-04-18 | 全球能源互联网研究院有限公司 | 一种dns水刑攻击检测模型构建方法及流量清洗方法 |
CN113660256A (zh) * | 2021-08-13 | 2021-11-16 | 全球能源互联网研究院有限公司 | 一种dns水刑攻击检测模型构建方法及流量清洗方法 |
CN115883254B (zh) * | 2023-01-28 | 2023-05-23 | 北京亿赛通科技发展有限责任公司 | 一种DoS攻击防御方法、装置、电子设备及存储介质 |
CN115883254A (zh) * | 2023-01-28 | 2023-03-31 | 北京亿赛通科技发展有限责任公司 | 一种DoS攻击防御方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN103152357B (zh) | 2015-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103152357B (zh) | 一种针对dns服务的防御方法、装置和系统 | |
US20200244689A1 (en) | Detection and mitigation of recursive domain name system attacks | |
Passerini et al. | Fluxor: Detecting and monitoring fast-flux service networks | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
Anagnostopoulos et al. | DNS amplification attack revisited | |
JP6006788B2 (ja) | ドメイン名をフィルタリングするためのdns通信の使用 | |
US6738814B1 (en) | Method for blocking denial of service and address spoofing attacks on a private network | |
Klein et al. | Internet-wide study of DNS cache injections | |
Yu et al. | Discriminating DDoS flows from flash crowds using information distance | |
US20150350229A1 (en) | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data | |
CN107124434B (zh) | 一种dns恶意攻击流量的发现方法及系统 | |
CN117321966A (zh) | 用于网络保护的高效威胁上下文感知数据包过滤的方法和系统 | |
Kambourakis et al. | A fair solution to dns amplification attacks | |
US9300684B2 (en) | Methods and systems for statistical aberrant behavior detection of time-series data | |
CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
MacFarland et al. | The best bang for the byte: Characterizing the potential of DNS amplification attacks | |
CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
Satam et al. | Anomaly Behavior Analysis of DNS Protocol. | |
CN103856487A (zh) | 一种对授权域dns服务器的防护方法及系统 | |
Ghafir et al. | DNS query failure and algorithmically generated domain-flux detection | |
Rajendran | DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches | |
Nawrocki et al. | Transparent forwarders: an unnoticed component of the open DNS infrastructure | |
CN110061998B (zh) | 一种攻击防御方法及装置 | |
US20170180401A1 (en) | Protection Against Malicious Attacks | |
Hasegawa et al. | FQDN-based whitelist filter on a DNS cache server against the DNS water torture attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |