CN104052755B - 基于云平台的dns欺骗攻击探测及定位的系统和方法 - Google Patents
基于云平台的dns欺骗攻击探测及定位的系统和方法 Download PDFInfo
- Publication number
- CN104052755B CN104052755B CN201410300176.9A CN201410300176A CN104052755B CN 104052755 B CN104052755 B CN 104052755B CN 201410300176 A CN201410300176 A CN 201410300176A CN 104052755 B CN104052755 B CN 104052755B
- Authority
- CN
- China
- Prior art keywords
- detection
- result
- url
- dns
- subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于云平台的DNS欺骗攻击探测及定位的系统和方法,所述云平台包括运行在覆盖全国所有省市各运营商的虚拟资源;所述系统包括探测子系统和定位子系统;所述探测子系统下发探测任务,分析探测的数据,并将探测结果递至所述定位子系统;所述定位子系统接收所述探测结果,并进行定位和警示。本发明提供的系统和方法带有位置信息,便于分析定位攻击发生的位置;本发明不仅能探测出DNS攻击,还能根据探测结果的位置信息,分析定位出攻击发生的具体位置;利用云平台快速部署的特性,本发明可以方便快捷地对全国各个省市各运营商的DNS解析结果进行检测并警示,从而在第一时间发现对于关键域名的攻击。
Description
技术领域
本发明涉及一种信息安全技术,具体讲涉及一种基于云平台的DNS欺骗攻击探测及定位的系统与方法。
背景技术
随着因特网技术在全球范围内的发展,用户对网络的需求越来越大。一般情况下,用户通过域名访问的方式连接网络站点,计算机之间的通信则是通过IP地址进行的,此时就会涉及到域名解析问题。DNS(域名系统,Domain Name System)是因特网的一项核心服务,它作为将域名和IP地址相互映射的一个分布式数据库,存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址的功能,使用户更方便地访问互联网,而不用去记忆直接被机器读取的IP地址数字串。几乎每个用户的每次访问都会使用到域名解析,因此域名解析的准确程度对整个网络的服务质量的影响非常大。
DNS是大部分网络应用的基础,对它的攻击将影响整个网络的正常运转。DNS欺骗攻击是攻击者常用的手法,它具有隐蔽性强、打击面广、攻击效果明显等特点,因此十分需要提供一种有效的防范策略。
发明内容
为了克服现有技术的不足,本发明提供一种基于云平台的DNS欺骗攻击探测及定位的系统与方法。
为了实现上述发明目的,本发明采取如下技术方案:本发明的一方面,提供一种基于云平台的DNS欺骗攻击探测及定位的系统,所述云平台包括运行在覆盖全国所有省市各运营商的虚拟资源;其特征在于,所述系统包括探测子系统和定位子系统;所述探测子系统下发探测任务,分析探测的数据,并将探测结果递至所述定位子系统;所述定位子系统接收所述探测结果,并进行定位和警示。
优选地,所述本地DNS服务器为测试机配置的DNS服务器;所述探测子系统设于测试机上,所述测试机为所述云平台上的虚拟资源;所述探测子系统将探测任务参数转换为目标格式下发到测试机上,并接收所述测试机返回的探测结果。
优选地,所述分析探测的数据包括:所述探测子系统根据待探测URL列表进行DNS解析,并将DNS解析结果与注册URL列表中预存登记的IP地址进行比较,返回探测结果;所述DNS解析结果为对待监测URL列表进行DNS解析后得到的IP地址;所述探测子系统设置延时,对每个URL进行解析;所述探测结果包括:
1)若收到的DNS解析结果数目为2,则记为收到两条解析结果;
2)若收到的DNS解析结果与注册URL列表中预存登记的IP地址不符,则记为错误;
3)若收到的DNS解析结果与注册URL列表中预存登记的IP地址相符,则记为正确。
优选地,所述定位子系统定位的受攻击位置包括:网络用户终端、某级DNS服务器和URL所对应的web应用服务器。
本发明的另一方面,提供一种基于云平台的DNS欺骗攻击探测及定位的方法,所述云平台包括运行在覆盖全国所有省市各运营商的虚拟资源;其特征在于,所述方法包括如下步骤:
A.探测子系统下发探测任务;
B.探测子系统分析探测的数据,将探测结果递至所述定位子系统;
C.定位子系统接收所述探测结果,并进行定位和警示。
优选地,所述本地DNS服务器为测试机配置的DNS服务器;所述探测子系统设于测试机上,所述测试机为所述云平台上的虚拟资源;步骤A包括:所述探测子系统将探测任务参数转换为目标格式下发到测试机上,并接受所述测试机返回的探测结果。
优选地,步骤B包括:根据待探测URL列表进行DNS解析,并将DNS解析结果与注册URL列表中预存登记的IP地址进行比较,返回探测结果;所述DNS解析结果为对待监测URL列表进行DNS解析后得到的IP地址;所述探测子系统设置延时,对每个URL进行解析;探测结果包括:
B-1.若收到的DNS解析结果数目为2,则标记为收到两条解析结果;
B-2.若收到的DNS解析结果与注册URL列表中预存登记的IP地址不符,则标记为错误;
B-3.若收到的DNS解析结果与注册URL列表中预存登记的IP地址相符,则标记为正确。
优选地,步骤C中,定位的受攻击位置包括:网络用户终端、某级DNS服务器和URL所对应的web应用服务器。
优选地,所述步骤C包括:
C-1.若定位子系统收到两条解析结果,则记为对应测试机终端劫持;
C-2.若定位子系统收到的针对某条URL的探测结果中存在被标记为正确和被标记为错误两种情况,则记为探测结果标记为错误的测试机本地DNS服务器受到攻击;
C-3.若定位子系统收到的针对某条URL的探测结果都被标记为错误,则进一步判断与该URL的顶级域名相同的其他URL的探测结果;
C-4.若C-3中所述其他URL的探测结果存在被标记为正确的情况,则记为URL所对应的web应用服务器受到攻击;
C-5.若C-3中所述其他URL的探测结果不存在被标记为正确的情况;则记为GTLD域名服务器受到攻击。
与现有技术相比,本发明的有益效果在于:
本发明利用云平台上分布在全国所有省、运营商的虚拟资源,获得探测结果;与现有方法相比,带有位置信息(所属省、运营商),便于分析定位攻击发生的位置;
与现有技术相比,本发明不仅能探测出DNS攻击,还能根据探测结果的位置信息,分析定位出攻击发生的具体位置;
利用云平台快速部署的特性,本发明可以方便快捷地对全国各个省市各运营商的DNS解析结果进行检测并警示,从而在第一时间发现对于关键域名的攻击。
附图说明
图1是本发明的DNS解析流程图;
图2是本发明的DNS攻击定位方法流程图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明基于云平台覆盖全国各省、主要运营商中的虚拟资源,提供了进行DNS攻击探测和定位的系统和方法。
一、本发明的系统主要包括攻击探测部分和分析定位攻击的部分。
探测部分采用的方法是将探测任务下发到云平台所有省、运营商的虚拟资源上,每个虚拟资源对待检测URL列表进行DNS解析,接收DNS解析结果。如果收到两个DNS解析结果,可以判断为终端DNS劫持;如果收到的DNS解析结果与预存的登记IP地址不符,则判断为服务器侧DNS受到DNS攻击;如果收到的DNS解析结果与预存登记的IP地址相符,则判断DNS工作正常。将结果返回系统的分析定位攻击部分。
系统的分析定位攻击部分收到所有返回结果后,进行攻击定位,针对某个待测URL,如果所有虚拟资源的返回结果都为受到攻击,则定位该目标域名所属的域名服务器受到攻击,或根据DNS解析过程定位某级DNS服务器受到攻击,或该URL对应的web应用服务器受到攻击;如果某部分虚拟资源返回结果为受到攻击,则定位该部分虚拟资源所使用域名服务器受到攻击。
二、本发明实施环境
参见图1,以访问163网站为例,DNS域名解析过程一般涉及到以下5个元素:
测试机:本发明运行在云平台上,测试机为覆盖全国所有省市各运营商的虚拟资源;
本地域名服务器:测试机所配置的DNS服务器;
主根域名服务器:用来管理互联网的主目录;
GTLD域名服务器:通用顶级域(Generic top-level domain)是供一些特定组织使用的顶级域,以其代表组织英文名称的头几个英文字母代表,如.com代表商业机构;
web应用服务器:实现动态网页技术(URL)的服务器;
本发明按照待检测URL列表进行DNS解析,列表中每个注册URL对应一个IP。本发明设置延时,对每个URL进行一次解析,异常情况下将返回一个错误IP或者两个不同IP。
本发明包括DNS欺骗攻击检测系统部分和攻击定位部分,目的是当DNS解析出现异常情况时,定位出受到攻击的具体位置。
三、参见图1的DNS域名解析过程,本发明提供的DNS欺骗攻击探测系统的方法包
括以下步骤:
步骤1对云平台下达任务。将任务参数转换为目标格式下发到云平台所有省、运营商的虚拟资源上,平台返回用户所下发任务的任务ID,在平台上运行的用户应用将这个任务ID作为唯一标识来返回结果;
步骤2在每个测试机上,按照待检测URL列表进行DNS解析,返回解析得到的IP地址;
步骤3对DNS解析结果与列表中注册URL对应的IP地址进行比较,返回探测结果:
1)如果收到两个DNS解析结果,则记录结果为“收到两条解析结果”;
2)如果收到的DNS解析结果与预存登记的IP地址不符,则记录结果为“错误”;
3)如果收到的DNS解析结果与预存登记的IP地址相符,则记录结果为“正确”。
参见图2,本发明提供的DNS欺骗攻击定位系统的方法包括以下步骤:
步骤4接收DNS欺骗攻击检测系统的全部返回结果;
步骤5分析接收到的所有结果,进行攻击定位并警示。定位的受攻击位置包括:网络用户终端、某级DNS服务器和URL所对应的web应用服务器。
1)当测试机N收到探测结果为“收到两条解析结果”时,说明网络用户终端出现了问题,标记为“测试机N终端劫持”。
2)当测试机N的某条URL的探测结果中出现被记录为“错误”的结果,则进一步判断该URL在其他测试机上的探测结果,如果结果存在“正确”,说明本地域名服务器受到了攻击,标记为“测试机N的本地域名服务器受到攻击”;
3)当所有测试机针对某条URL的探测结果全部为“错误”时,进一步判断与该URL的顶级域名相同的其他URL的探测结果;
4)如果3)的探测结果中存在“正确”时,说明web应用服务器受到了攻击,标记为“该URL所对应的web应用服务器受到攻击”;
5)如果3)的所有探测结果全为“错误”时,说明相对应的顶级域名服务器受到了攻击,标记为“该GTLD(如:.com/.cn/.edu.)域名服务器受到攻击”。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
Claims (4)
1.一种基于云平台的DNS欺骗攻击探测及定位的系统,所述云平台包括运行在覆盖全国所有省市各运营商的虚拟资源;其特征在于,所述系统包括探测子系统和定位子系统;所述探测子系统下发探测任务,分析探测的数据,并将探测结果递至所述定位子系统;所述定位子系统接收所述探测结果,并进行定位和警示;
DNS欺骗攻击探测子系统的方法包括以下步骤:
1)在每个测试机上,按照待检测URL列表进行DNS解析,返回解析得到的IP地址;
2)对DNS解析结果与列表中注册URL对应的IP地址进行比较,返回探测结果:
3)如果收到两个DNS解析结果,则记录结果为“收到两条解析结果”;
4)如果收到的DNS解析结果与预存登记的IP地址不符,则记录结果为“错误”;
5)如果收到的DNS解析结果与预存登记的IP地址相符,则记录结果为“正确”;DNS欺骗攻击定位子系统的方法包括以下步骤:
6)当测试机N收到探测结果为“收到两条解析结果”时,说明网络用户终端出现了问题,标记为“测试机N终端劫持”;
7)当测试机N的某条URL的探测结果中出现被记录为“错误”的结果,则进一步判断该URL在其他测试机上的探测结果,如果结果存在“正确”,说明本地域名服务器受到了攻击,标记为“测试机N的本地域名服务器受到攻击”;
8)当所有测试机针对某条URL的探测结果全部为“错误”时,进一步判断与该URL的顶级域名相同的其他URL的探测结果;
9)如果8)的探测结果中存在“正确”时,说明web应用服务器受到了攻击,标记为“该URL所对应的web应用服务器受到攻击”;
10)如果8)的所有探测结果全为“错误”时,说明相对应的顶级域名服务器受到了攻击,标记为“该GTLD域名服务器受到攻击”;
所述探测子系统设于测试机上,所述测试机为所述云平台上的虚拟资源;所述探测子系统将探测任务参数转换为目标格式下发到测试机上,并接收所述测试机返回的探测结果。
2.如权利要求1所述的系统,其特征在于:所述DNS解析结果为对待监测URL列表进行DNS解析后得到的IP地址;所述探测子系统设置延时,对每个URL进行解析。
3.如权利要求1所述的系统,其特征在于,所述定位子系统定位的受攻击位置包括:网络用户终端、某级DNS服务器和URL所对应的web应用服务器。
4.一种基于云平台的DNS欺骗攻击探测及定位的方法,所述云平台包括运行在覆盖全国所有省市各运营商的虚拟资源;其特征在于,所述方法包括如下步骤:
A.探测子系统下发探测任务;
B.探测子系统分析探测的数据,将探测结果递至定位子系统;
C.定位子系统接收所述探测结果,并进行定位和警示;
所述探测子系统设于测试机上,所述测试机为所述云平台上的虚拟资源;步骤A包括:所述探测子系统将探测任务参数转换为目标格式下发到测试机上,并接收所述测试机返回的探测结果;
步骤B包括:根据待探测URL列表进行DNS解析,并将DNS解析结果与注册URL列表中预存登记的IP地址进行比较,返回探测结果;所述DNS解析结果为对待监测URL列表进行DNS解析后得到的IP地址;所述探测子系统设置延时,对每个URL进行解析;探测结果包括:
B-1.若收到的DNS解析结果数目为2,则标记为收到两条解析结果;
B-2.若收到的DNS解析结果与注册URL列表中预存登记的IP地址不符,则标记为错误;
B-3.若收到的DNS解析结果与注册URL列表中预存登记的IP地址相符,则标记为正确;
步骤C中,定位的受攻击位置包括:网络用户终端、某级DNS服务器和URL所对应的web应用服务器;
所述步骤C包括:
C-1.若定位子系统收到两条解析结果,则记为测试机终端劫持;
C-2.若定位子系统收到的针对某条URL的探测结果中存在被标记为正确和被标记为错误两种情况,则记为探测结果为错误的测试机本地DNS服务器受到攻击;
C-3.若定位子系统收到的针对某条URL的探测结果都被标记为错误,则进一步判断与该URL的顶级域名相同的其他URL的探测结果;
C-4.若C-3中所述其他URL的探测结果存在被标记为正确的情况,则记为URL所对应的web应用服务器受到攻击;
C-5.若C-3中所述其他URL的探测结果不存在被标记为正确的情况;则记为GTLD域名服务器受到攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410300176.9A CN104052755B (zh) | 2014-06-26 | 2014-06-26 | 基于云平台的dns欺骗攻击探测及定位的系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410300176.9A CN104052755B (zh) | 2014-06-26 | 2014-06-26 | 基于云平台的dns欺骗攻击探测及定位的系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104052755A CN104052755A (zh) | 2014-09-17 |
CN104052755B true CN104052755B (zh) | 2018-01-19 |
Family
ID=51505119
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410300176.9A Active CN104052755B (zh) | 2014-06-26 | 2014-06-26 | 基于云平台的dns欺骗攻击探测及定位的系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104052755B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468860B (zh) * | 2014-12-04 | 2018-06-26 | 北京奇虎科技有限公司 | 域名解析服务器危险性的识别方法和装置 |
CN105025025B (zh) * | 2015-07-22 | 2019-09-27 | 国家计算机网络与信息安全管理中心 | 一种基于云平台的域名主动检测方法和系统 |
CN107517195B (zh) * | 2016-06-17 | 2021-01-29 | 阿里巴巴集团控股有限公司 | 一种内容分发网络定位攻击域名的方法和装置 |
CN105978890B (zh) * | 2016-06-23 | 2019-03-29 | 贵州白山云科技股份有限公司 | Syn攻击域名定位方法和装置 |
CN106506727B (zh) * | 2016-12-28 | 2019-04-12 | 北京奇艺世纪科技有限公司 | 一种定位域名解析错误的本地域名系统的方法及系统 |
CN107682734A (zh) * | 2017-10-20 | 2018-02-09 | 国信嘉宁数据技术有限公司 | 一种电子证据的取证方法及相关装置和可读存储介质 |
CN110351234B (zh) * | 2018-04-08 | 2021-12-14 | 中国移动通信集团安徽有限公司 | 网页非法重定向的定位方法、装置、系统和设备 |
CN109413015B (zh) * | 2018-04-28 | 2021-06-08 | 武汉思普崚技术有限公司 | 一种dns劫持的防御方法和装置 |
CN108965277B (zh) * | 2018-07-02 | 2022-01-25 | 杭州安恒信息技术股份有限公司 | 一种基于dns的感染主机分布监测方法与系统 |
CN112769835B (zh) * | 2021-01-13 | 2023-04-18 | 网宿科技股份有限公司 | 一种访问请求的发起方法及终端设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护系统 |
CN201919010U (zh) * | 2010-12-22 | 2011-08-03 | 中国工商银行股份有限公司 | 一种网站访问性能监测系统 |
CN103248725A (zh) * | 2013-05-23 | 2013-08-14 | 中国科学院计算机网络信息中心 | 一种安全可靠的域名解析修复方法和系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8266295B2 (en) * | 2005-02-24 | 2012-09-11 | Emc Corporation | System and method for detecting and mitigating DNS spoofing trojans |
US9369437B2 (en) * | 2010-04-01 | 2016-06-14 | Cloudflare, Inc. | Internet-based proxy service to modify internet responses |
-
2014
- 2014-06-26 CN CN201410300176.9A patent/CN104052755B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035809A (zh) * | 2009-09-29 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 缓存中毒的防护方法和防护设备及防护系统 |
CN201919010U (zh) * | 2010-12-22 | 2011-08-03 | 中国工商银行股份有限公司 | 一种网站访问性能监测系统 |
CN103248725A (zh) * | 2013-05-23 | 2013-08-14 | 中国科学院计算机网络信息中心 | 一种安全可靠的域名解析修复方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104052755A (zh) | 2014-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104052755B (zh) | 基于云平台的dns欺骗攻击探测及定位的系统和方法 | |
Liu et al. | Who is answering my queries: Understanding and characterizing interception of the {DNS} resolution path | |
Guo et al. | Ip-based iot device detection | |
EP2104901B1 (en) | Method and apparatus for detecting computer fraud | |
CN103685598B (zh) | 在IPv6网络中发现活跃IP地址的方法及装置 | |
CN104468860B (zh) | 域名解析服务器危险性的识别方法和装置 | |
US20090182864A1 (en) | Method and apparatus for fingerprinting systems and operating systems in a network | |
CN107645573B (zh) | 一种探测递归域名服务器转发配置的方法 | |
CN102868773B (zh) | 检测dns黑洞劫持的方法、装置及系统 | |
CN105635064B (zh) | Csrf攻击检测方法及装置 | |
KR102231726B1 (ko) | 취약점 진단방법 및 이를 위한 진단장치 | |
CN104935551B (zh) | 一种网页篡改防护装置及方法 | |
CN105025025A (zh) | 一种基于云平台的域名主动检测方法和系统 | |
US10574674B2 (en) | Host level detect mechanism for malicious DNS activities | |
CN108270722A (zh) | 一种攻击行为检测方法和装置 | |
CN114050943B (zh) | 一种基于dns代理方式的威胁情报匹配方法与系统 | |
US10764307B2 (en) | Extracted data classification to determine if a DNS packet is malicious | |
CN106899586A (zh) | 一种基于机器学习的dns服务器软件指纹识别系统和方法 | |
CN109639705A (zh) | 云平台安全检测方法 | |
Piredda et al. | Deepsquatting: Learning-based typosquatting detection at deeper domain levels | |
CN109495471A (zh) | 一种对web攻击结果判定方法、装置、设备及可读存储介质 | |
Shivayogimath | An overview of network penetration testing | |
JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
CN105162624B (zh) | 一种网卡设备的错误检测方法与系统 | |
CN109547294A (zh) | 一种基于固件分析的联网设备型号探测方法、装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |