CN104125242B - 识别伪装ldns请求的ddos攻击的防护方法及装置 - Google Patents
识别伪装ldns请求的ddos攻击的防护方法及装置 Download PDFInfo
- Publication number
- CN104125242B CN104125242B CN201410406691.5A CN201410406691A CN104125242B CN 104125242 B CN104125242 B CN 104125242B CN 201410406691 A CN201410406691 A CN 201410406691A CN 104125242 B CN104125242 B CN 104125242B
- Authority
- CN
- China
- Prior art keywords
- ldns
- ttl
- value
- list
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种识别伪装LDNS请求的DDOS攻击的防护方法及装置,方法包括:向授权DNS服务器的前端或者向内部布置防护模块;防护模块存储最新的LDNS白名单列表以及TTL正常参考值;当发生异常时,解析所接收到的LDNS请求包,获得所述LDNS请求包所携带的当前TTL值,并与TTL正常参考值比较,从而判断该LDNS请求包是否为正常包。不需要依赖于网络运营商是否采取相关的路由控制策略,即可对权威DNS服务器进行有效防护,使其不被DDOS攻击,具有防护效果好、CPU消耗低的优点。
Description
技术领域
本发明属于DDOS攻击的防护方法,具体涉及一种识别伪装LDNS请求的DDOS攻击的防护方法及装置。
背景技术
DDOS(分布式拒绝服务,Distributed Denial of Service)攻击是指:借助于客户端/服务器技术,将多个计算机联合起来作为攻击平台,伪造大量合理的服务请求而占用目标服务器的过多服务资源,从而导致目标服务器无法响应合法用户的服务请求。
由于UDP缺乏建立连接握手机制,因此基于UDP的应用非常容易被伪造源IP的IP包发起DDOS攻击。例如,在域名解析领域,黑客向目标权威DNS服务器发起DDOS攻击的方式之一为:将位于不同地区的计算机联合起来,同时向目标权威DNS服务器发送大量伪装LDNS请求包,即攻击包;其中,各个伪装LDNS请求包具有同一被伪装的源IP,源IP指LDNS的IP地址;此时,目标权威DNS服务器无法识别出所接收到的大量伪装LDNS请求包为攻击包,因此,目标权威DNS服务器占用大量资源对所接收到的大量伪装LDNS请求包进行域名解析,导致目标权威DNS服务器无法处理正常的LDNS请求包,最终使目标权威DNS服务器被攻瘫。
目前解决上述问题的方法为:运营商在各级路由上进行相应控制,限制非本地源IP的数据包向外发,例如:当运营商内部网络A采用上述路由控制策略后,当其接收到LDNS请求包时,首先判断该LDNS请求包的源IP是否为本地IP地址,如果是,则将该LDNS请求包递归到权威DNS服务器,由权威DNS服务器进行域名解析;如果不是,则认识该LDNS请求包为攻击包,不将该LDNS请求包发送到权威DNS服务器,从而防止权威DNS服务器被攻击。由上可以看出,权威DNS服务器是否被攻击,需要依赖于攻击发起方所借助的网络是否被运营商采取上述路由控制策略,由于全球网络运营商数量众多,难以使全球所有网络运营商均采取上述路由控制策略,因此,上述解决方案具有较大的应用局限性,难以保证权威DNS服务器不被攻击。
发明内容
针对现有技术存在的缺陷,本发明提供一种识别伪装LDNS请求的DDOS攻击的防护方法及装置,可对权威DNS服务器进行有效防护,使其不被DDOS攻击。
本发明采用的技术方案如下:
本发明提供一种识别伪装LDNS请求的DDOS攻击的防护方法,包括以下步骤:
S1,当需要防护某一台授权DNS服务器时,向所述授权DNS服务器的前端或者向所述授权DNS服务器的内部布置防护模块;
S2,所述防护模块存储最新的LDNS白名单列表;其中,所述LDNS白名单列表存储全球正常LDNS的IP地址;
S3,所述防护模块实时获得各个正常LDNS到所述授权DNS服务器的TTL正常参考值,然后存储各个正常LDNS的IP地址与TTL正常参考值的对映关系;其中,所述防护模块实时维护最近设定时间长度内的历史TTL值列表,基于所述历史TTL值列表计算得到所述TTL正常参考值;
S4,在所述授权DNS服务器运行时,当接收到异常数量的LDNS请求包时,则将所接收到的各个LDNS请求包发送到所述防护模块;
所述防护模块解析所接收到的LDNS请求包,获得所述LDNS请求包的源IP地址;其中,所述LDNS请求包的源IP地址即为用于标识发送所述LDNS请求包的LDNS的IP地址;然后判断所述源IP地址是否为所述LDNS白名单列表所存储的IP地址;如果是,则执行S5;
S5,所述防护模块进一步解析所述LDNS请求包,获得所述LDNS请求包所携带的当前TTL值;然后查找S3获得的对映关系,获得与所接收到的LDNS请求包的源IP地址对应的TTL正常参考值;然后判断所述当前TTL值偏离所述TTL正常参考值的偏离度是否在设定范围内,如果在,则执行S6;如果不在,则执行S7;
S6,所述防护模块得出当前接收到的所述LDNS请求包为正常包,将所述LDNS请求包发送给所述授权DNS服务器,由所述授权DNS服务器对所述LDNS请求包进行域名解析;同时,将所述当前TTL值增加到所述历史TTL值列表中,并计算得到新的TTL正常参考值,用该新的TTL正常参考值更新S3存储的对映关系;
S7,所述防护模块得出当前接收到的所述LDNS请求包为攻击包,丢弃所述LDNS请求包。
优选的,S2中,所述防护模块存储最新的LDNS白名单列表,具体为:
定期对全球范围内所有的授权DNS服务器的访问日志进行分析,得到最新的LDNS白名单列表;
然后将所得到的最新的LDNS白名单列表发送给各个授权DNS服务器所配置的防护模块。
优选的,S3中,所述防护模块通过以下方法实时获得各个正常LDNS到所述授权DNS服务器的TTL正常参考值:
所述防护模块实时维护最近设定时间长度内的历史TTL值列表,所述历史TTL值列表由多个表项组成,每一个表项用于存储同一LDNS的IP地址以及按时间顺序排列的历史TTL值的映射关系,其中,所述历史TTL值指:LDNS请求包从LDNS到所述授权DNS服务器所经过的路由条数;
对于每一个LDNS所对应的多个历史TTL值,从所述多个历史TTL值中选取设定数量的历史TTL值,然后计算所选取的各个历史TTL值的波动值,如果波动值小于波动正常值,则得出所选取的设定数量的历史TTL值可作为参考样本的结论,然后再对所选取的设定数量的历史TTL值进行计算,得到TTL正常参考值;如果波动值不小于波动正常值,则得出所选取的设定数量的历史TTL值中存在异常请求包,则重新选择若干个历史TTL值,并重新判断其能否作为参考样本。
优选的,采用均方差或标准差计算方法,计算所选取的各个历史TTL值的波动值。
优选的,所述波动正常值为:0.2~0.6。
优选的,S4中,接收到异常数量的LDNS请求包是指:当在时间长度T1内接收到超过设定阈值的LDNS请求包时,则为接收到异常数量的LDNS请求包。
本发明还提供一种识别伪装LDNS请求的DDOS攻击的防护装置,所述防护装置布置于需要被防护的授权DNS服务器的前端或内部;包括:
LDNS白名单列表维护模块,用于维护最新的LDNS白名单列表;其中,所述LDNS白名单列表存储全球正常LDNS的IP地址;
历史TTL值列表维护模块,用于实时维护最近设定时间长度内的历史TTL值列表;
TTL正常参考值获取模块,用于根据所述历史TTL值列表维护模块所维护的历史TTL值列表,实时获得各个正常LDNS到所述授权DNS服务器的TTL正常参考值;
对映关系配置表,用于存储LDNS白名单列表维护模块所维护的全球正常LDNS的IP地址以及所述TTL正常参考值获取模块所获取的TTL正常参考值的对映关系;
异常情况判断模块,用于判断是否接收到异常数量的LDNS请求包;
第一解析模块,用于当所述异常情况判断模块判断结果为是时,解析所接收到的LDNS请求包,获得所述LDNS请求包的源IP地址;其中,所述LDNS请求包的源IP地址即为用于标识发送所述LDNS请求包的LDNS的IP地址;
第一判断模块,用于判断所述第一解析模块解析得到的源IP地址是否为所述LDNS白名单列表维护模块所维护的IP地址;
第二解析模块,用于当所述第一判断模块判断结果为是时,进一步解析所述LDNS请求包,获得所述LDNS请求包所携带的当前TTL值;
查找模块,用于当所述第一判断模块判断结果为是时,以所述第一解析模块解析到的源IP地址为关键词,查找所述对映关系配置表,获得与所述源IP地址对应的TTL正常参考值;
第二判断模块,用于判断所述第二解析模块解析得到的当前TTL值偏离所述查找模块查找到的TTL正常参考值的偏离度是否在设定范围内;
正常包处理模块,用于当所述第二判断模块判断结果为在时,得出当前接收到的所述LDNS请求包为正常包,将所述LDNS请求包发送给所述授权DNS服务器,由所述授权DNS服务器对所述LDNS请求包进行域名解析;同时,将所述当前TTL值增加到所述历史TTL值列表中,并计算得到新的TTL正常参考值,用该新的TTL正常参考值更新S3存储的对映关系;
攻击包处理模块,用于当所述第二判断模块判断结果为不在时,得出当前接收到的所述LDNS请求包为攻击包,丢弃所述LDNS请求包。
本发明提供的识别伪装LDNS请求的DDOS攻击的防护方法及装置具有以下优点:
不需要依赖于网络运营商是否采取相关的路由控制策略,即可对权威DNS服务器进行有效防护,使其不被DDOS攻击,具有防护效果好、CPU消耗低的优点。
附图说明
图1为本发明提供的识别伪装LDNS请求的DDOS攻击的防护方法的流程示意图;
图2为防护模块设置在授权DNS服务器内部的结构示意图;
图3为防护模块设置在授权DNS服务器前端的结构示意图;
图4为本发明提供的识别伪装LDNS请求的DDOS攻击的防护装置的结构示意图。
具体实施方式
以下结合附图对本发明进行详细说明:
结合图1,本发明提供一种识别伪装LDNS请求的DDOS攻击的防护方法,包括以下步骤:
S1,当需要防护某一台授权DNS服务器时,向所述授权DNS服务器的前端或者向所述授权DNS服务器的内部布置防护模块;
S2,所述防护模块存储最新的LDNS白名单列表;其中,所述LDNS白名单列表存储全球正常LDNS的IP地址;
本步骤具体可采用以下方法实现:
定期对全球范围内所有的授权DNS服务器的访问日志进行分析,得到最新的LDNS白名单列表;
然后将所得到的最新的LDNS白名单列表发送给各个授权DNS服务器所配置的防护模块,从而能够使各个授权DNS服务器所配置的防护模块存储最新的LDNS白名单列表,维护LDNS白名单列表的时效性,提高本发明防护方法的防效效果。
S3,所述防护模块实时获得各个正常LDNS到所述授权DNS服务器的TTL正常参考值,然后存储各个正常LDNS的IP地址与TTL正常参考值的对映关系;其中,所述防护模块实时维护最近设定时间长度内的历史TTL值列表,基于所述历史TTL值列表计算得到所述TTL正常参考值;
具体的,防护模块通过以下方法实时获得各个正常LDNS到授权DNS服务器的TTL正常参考值:
(1)防护模块实时维护最近设定时间长度内的历史TTL值列表,所述历史TTL值列表由多个表项组成,每一个表项用于存储同一LDNS的IP地址以及按时间顺序排列的历史TTL值的映射关系,其中,所述历史TTL值指:LDNS请求包从LDNS到所述授权DNS服务器所经过的路由条数;
以授权DNS服务器为授权DNS服务器-A为例,如表1所示,即为历史TTL值列表的一种具体示例,在表1中,每一列即为一个表项,T1、T2、T3、T4、T5为按时间先后顺序排列的各个历史时间点。最近设定时间长度的数值根据实际需要灵活设定,例如,可设定为最近100秒内。
表1历史TTL值列表
(2)对于每一个LDNS所对应的多个历史TTL值,从所述多个历史TTL值中选取设定数量的历史TTL值,然后计算所选取的各个历史TTL值的波动值,如果波动值小于设定值,则得出所选取的设定数量的历史TTL值可作为参考样本的结论,然后再对所选取的设定数量的历史TTL值进行计算,得到TTL正常参考值;如果波动值不小于设定值,则得出所选取的设定数量的历史TTL值中存在异常请求包,则重新选择若干个历史TTL值,并重新判断其能否作为参考样本。
例如,对于授权DNS服务器-A,在最近100秒钟内共接收到源IP为x1的LDNS请求包100个,然后,将设定数量设置为20个,则从这100个请求包中选取任意20个请求包;然后,分别计算出这20个请求包的TTL值,共对应得到20个TTL值,;统计这20个TTL值的波动情况,如果波动值小于设定值,则认为所选取的这20个请求包中不包含攻击包,计算得到的20个TTL值可作为参考样本,之后,计算这20个TTL值的平均值,该平均值即为TTL正常参考值;相反,如果波动值大于设定值,则认为所选取的这20个请求包中包含攻击包,计算得到的20个TTL值不可作为参考样本,因此,需要从这100个请求包中重新选取20个请求包,此处,重新选取的20个请求包与原来选取的20个请求包只要并不完全相同即可,可以有部分重合;再重新判断其能否作为参考样本。
通过波动值判断所选取的20个请求包中是否包含攻击包,原理为:
将源IP为x1的LDNS记为LDNS-1;对于从不同时刻发出的各个正常的LDNS-1请求包,其在从LDNS-1到授权DNS服务器A所经过的路由条数应该基本相等,此处基本相等的含义为:在大多数情况下,LDNS请求包从LDNS-1到授权DNS服务器A所经过的路由条数均相等;只有在链路拥堵的情况下,才会智能调整其从LDNS-1到授权DNS服务器A的路径,导致LDNS请求包从LDNS-1到授权DNS服务器A所经过的路由条数发生小的波动情况,例如,在一段时间内,对于各个正常的LDNS请求包,从LDNS-1到授权DNS服务器A所经过的路由条数按时间先后顺序排列,依次为100、100、100、99、101。
而对于攻击包,由于攻击者和其所伪装的LDNS请求包通常不在同一网段,因此,攻击者无法测量被伪装的LDNS到目标授权DNS服务器的TTL值。因此,如果所选取的20个请求包中含有攻击包,则攻击包的TTL值会严重偏离其他正常请求包,进而导致这20个请求包的TTL值的波动值较大,因此,可通过分析TTL值的波动情况,而分析所选取的20个请求包是否含有攻击包。
例如,对于授权DNS服务器A,为方便说明,以选取5个请求包验证其能否作为参考样本为例进行说明:设所选取的5个请求包的TTL值依次为:100、100、99、101、150,然后,计算这5个数的波动值,如采用均方差计算,这5个TTL值的均方差=8.94;而波动正常值为0.2,因此,可以看出,这5个请求包的TTL值均方差远远偏离于波动正常值,由此得出所选取的5个请求包含有攻击包,无法作为参考样本。再例如,所选取的5个请求包的TTL值依次为:100、100、98、101、99,然后,采用均方差计算这5个数的波动值,为0.45,而波动正常值通常设定在0.2-0.6范围内,由此得出所选取的5个请求包不包含有攻击包,可以作为参考样本。
需要强调的是,本发明对计算多个TTL值的波动值的具体方法并不限制,可以为均方差或标准差计算方法。另外,波动正常值根据防护精度情况进行设定,越接近于0,其防护精度越高,但同时将正常包识别为攻击包的可能性也越大,一般情况下,设定值可设定为0.2~0.6。
进一步的,在得出所选取的多个请求包为参考样本后,可计算所选取的多个请求包的TTL平均值作为TTL正常参考值。
S3,每当所述防护模块接收到一个LDNS请求包时,所述防护模块解析所接收到的LDNS请求包,获得所述LDNS请求包的源IP地址;其中,所述LDNS请求包的源IP地址即为用于标识发送所述LDNS请求包的LDNS的IP地址;然后判断所述源IP地址是否为所述LDNS白名单列表所存储的IP地址,如果不是,则认为该LDNS请求包为被伪装的攻击包,丢弃该LDNS请求包;如果是,则执行S4;
S4,在所述授权DNS服务器运行时,当接收到异常数量的LDNS请求包时,则将所接收到的各个LDNS请求包发送到所述防护模块;
其中,接收到异常数量的LDNS请求包是指:当在时间长度T1内接收到超过设定阈值的LDNS请求包时,则为接收到异常数量的LDNS请求包。
例如,可设定1秒钟内接收到的LDNS请求包的阀值为50个;如果1秒钟内接收到1000个LDNS请求包时,则这种情况为DDOS攻击的可能性非常高,因此,需要启动防护模块进行防攻击。
所述防护模块解析所接收到的LDNS请求包,获得所述LDNS请求包的源IP地址;其中,所述LDNS请求包的源IP地址即为用于标识发送所述LDNS请求包的LDNS的IP地址;然后判断所述源IP地址是否为所述LDNS白名单列表所存储的IP地址;如果是,则执行S5;
S5,所述防护模块进一步解析所述LDNS请求包,获得所述LDNS请求包所携带的当前TTL值;然后查找S3获得的对映关系,获得与所接收到的LDNS请求包的源IP地址对应的TTL正常参考值;然后判断所述当前TTL值偏离所述TTL正常参考值的偏离度是否在设定范围内,如果在,则执行S6;如果不在,则执行S7;
例如,如果TTL正常参考值为100,而当前TTL值为150,则偏离度为(150-100)/100=50%,而设定范围通常为10%以内,因此,可得出当前分析的LDNS请求包为攻击包。
S6,所述防护模块得出当前接收到的所述LDNS请求包为正常包,将所述LDNS请求包发送给所述授权DNS服务器,由所述授权DNS服务器对所述LDNS请求包进行域名解析;同时,将所述当前TTL值增加到所述历史TTL值列表中,并计算得到新的TTL正常参考值,用该新的TTL正常参考值更新S3存储的对映关系;
S7,所述防护模块得出当前接收到的所述LDNS请求包为攻击包,丢弃所述LDNS请求包。
如图4所示,本发明还提供一种识别伪装LDNS请求的DDOS攻击的防护装置,如图3所示,防护装置布置在被防护的授权DNS服务器的前端,或者,如图2所示,所述防护装置嵌入在被防护的授权DNS服务器的内部;所述防护装置包括:
LDNS白名单列表维护模块,用于维护最新的LDNS白名单列表;其中,所述LDNS白名单列表存储全球正常LDNS的IP地址;
历史TTL值列表维护模块,用于实时维护最近设定时间长度内的历史TTL值列表;
TTL正常参考值获取模块,用于根据所述历史TTL值列表维护模块所维护的历史TTL值列表,实时获得各个正常LDNS到所述授权DNS服务器的TTL正常参考值;
对映关系配置表,用于存储LDNS白名单列表维护模块所维护的全球正常LDNS的IP地址以及所述TTL正常参考值获取模块所获取的TTL正常参考值的对映关系;
异常情况判断模块,用于判断是否接收到异常数量的LDNS请求包;
第一解析模块,用于当所述异常情况判断模块判断结果为是时,解析所接收到的LDNS请求包,获得所述LDNS请求包的源IP地址;其中,所述LDNS请求包的源IP地址即为用于标识发送所述LDNS请求包的LDNS的IP地址;
第一判断模块,用于判断所述第一解析模块解析得到的源IP地址是否为所述LDNS白名单列表维护模块所维护的IP地址;
第二解析模块,用于当所述第一判断模块判断结果为是时,进一步解析所述LDNS请求包,获得所述LDNS请求包所携带的当前TTL值;
查找模块,用于当所述第一判断模块判断结果为是时,以所述第一解析模块解析到的源IP地址为关键词,查找所述对映关系配置表,获得与所述源IP地址对应的TTL正常参考值;
第二判断模块,用于判断所述第二解析模块解析得到的当前TTL值偏离所述查找模块查找到的TTL正常参考值的偏离度是否在设定范围内;
正常包处理模块,用于当所述第二判断模块判断结果为在时,得出当前接收到的所述LDNS请求包为正常包,将所述LDNS请求包发送给所述授权DNS服务器,由所述授权DNS服务器对所述LDNS请求包进行域名解析;同时,将所述当前TTL值增加到所述历史TTL值列表中,并计算得到新的TTL正常参考值,用该新的TTL正常参考值更新S3存储的对映关系;
攻击包处理模块,用于当所述第二判断模块判断结果为不在时,得出当前接收到的所述LDNS请求包为攻击包,丢弃所述LDNS请求包。
本发明提供的识别伪装LDNS请求的DDOS攻击的防护方法及装置具有以下优点:
(1)不需要依赖于网络运营商是否采取相关的路由控制策略,即可对权威DNS服务器进行有效防护,使其不被DDOS攻击;
(2)具有防护效果好、CPU消耗低的优点。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (7)
1.一种识别伪装LDNS请求的DDOS攻击的防护方法,其特征在于,包括以下步骤:
S1,当需要防护某一台授权DNS服务器时,向所述授权DNS服务器的前端或者向所述授权DNS服务器的内部布置防护模块;
S2,所述防护模块存储最新的LDNS白名单列表;其中,所述LDNS白名单列表存储全球正常LDNS的IP地址;
S3,所述防护模块实时获得各个正常LDNS到所述授权DNS服务器的TTL正常参考值,然后存储各个正常LDNS的IP地址与TTL正常参考值的对映关系;其中,所述防护模块实时维护最近设定时间长度内的历史TTL值列表,基于所述历史TTL值列表计算得到所述TTL正常参考值;
S4,在所述授权DNS服务器运行时,当接收到异常数量的LDNS请求包时,则将所接收到的各个LDNS请求包发送到所述防护模块;
所述防护模块解析所接收到的LDNS请求包,获得所述LDNS请求包的源IP地址;其中,所述LDNS请求包的源IP地址即为用于标识发送所述LDNS请求包的LDNS的IP地址;然后判断所述源IP地址是否为所述LDNS白名单列表所存储的IP地址;如果是,则执行S5;
S5,所述防护模块进一步解析所述LDNS请求包,获得所述LDNS请求包所携带的当前TTL值;然后查找S3获得的对映关系,获得与所接收到的LDNS请求包的源IP地址对应的TTL正常参考值;然后判断所述当前TTL值偏离所述TTL正常参考值的偏离度是否在设定范围内,如果在,则执行S6;如果不在,则执行S7;
S6,所述防护模块得出当前接收到的所述LDNS请求包为正常包,将所述LDNS请求包发送给所述授权DNS服务器,由所述授权DNS服务器对所述LDNS请求包进行域名解析;同时,将所述当前TTL值增加到所述历史TTL值列表中,并计算得到新的TTL正常参考值,用该新的TTL正常参考值更新S3存储的对映关系;
S7,所述防护模块得出当前接收到的所述LDNS请求包为攻击包,丢弃所述LDNS请求包。
2.根据权利要求1所述的识别伪装LDNS请求的DDOS攻击的防护方法,其特征在于,S2中,所述防护模块存储最新的LDNS白名单列表,具体为:
定期对全球范围内所有的授权DNS服务器的访问日志进行分析,得到最新的LDNS白名单列表;
然后将所得到的最新的LDNS白名单列表发送给各个授权DNS服务器所配置的防护模块。
3.根据权利要求1所述的识别伪装LDNS请求的DDOS攻击的防护方法,其特征在于,S3中,所述防护模块通过以下方法实时获得各个正常LDNS到所述授权DNS服务器的TTL正常参考值:
所述防护模块实时维护最近设定时间长度内的历史TTL值列表,所述历史TTL值列表由多个表项组成,每一个表项用于存储同一LDNS的IP地址以及按时间顺序排列的历史TTL值的映射关系,其中,所述历史TTL值指:LDNS请求包从LDNS到所述授权DNS服务器所经过的路由条数;
对于每一个LDNS所对应的多个历史TTL值,从所述多个历史TTL值中选取设定数量的历史TTL值,然后计算所选取的各个历史TTL值的波动值,如果波动值小于波动正常值,则得出所选取的设定数量的历史TTL值作为参考样本的结论,然后再对所选取的设定数量的历史TTL值进行计算,得到TTL正常参考值;如果波动值不小于波动正常值,则得出所选取的设定数量的历史TTL值中存在异常请求包,则重新选择若干个历史TTL值,并重新判断其能否作为参考样本。
4.根据权利要求3所述的识别伪装LDNS请求的DDOS攻击的防护方法,其特征在于,采用均方差或标准差计算方法,计算所选取的各个历史TTL值的波动值。
5.根据权利要求3所述的识别伪装LDNS请求的DDOS攻击的防护方法,其特征在于,所述波动正常值为:0.2~0.6。
6.根据权利要求1所述的识别伪装LDNS请求的DDOS攻击的防护方法,其特征在于,S4中,接收到异常数量的LDNS请求包是指:当在时间长度T1内接收到超过设定阈值的LDNS请求包时,则为接收到异常数量的LDNS请求包。
7.一种识别伪装LDNS请求的DDOS攻击的防护装置,其特征在于,所述防护装置布置于需要被防护的授权DNS服务器的前端或内部;包括:
LDNS白名单列表维护模块,用于维护最新的LDNS白名单列表;其中,所述LDNS白名单列表存储全球正常LDNS的IP地址;
历史TTL值列表维护模块,用于实时维护最近设定时间长度内的历史TTL值列表;
TTL正常参考值获取模块,用于根据所述历史TTL值列表维护模块所维护的历史TTL值列表,实时获得各个正常LDNS到所述授权DNS服务器的TTL正常参考值;
对映关系配置表,用于存储LDNS白名单列表维护模块所维护的全球正常LDNS的IP地址以及所述TTL正常参考值获取模块所获取的TTL正常参考值的对映关系;
异常情况判断模块,用于判断是否接收到异常数量的LDNS请求包;
第一解析模块,用于当所述异常情况判断模块判断结果为是时,解析所接收到的LDNS请求包,获得所述LDNS请求包的源IP地址;其中,所述LDNS请求包的源IP地址即为用于标识发送所述LDNS请求包的LDNS的IP地址;
第一判断模块,用于判断所述第一解析模块解析得到的源IP地址是否为所述LDNS白名单列表维护模块所维护的IP地址;
第二解析模块,用于当所述第一判断模块判断结果为是时,进一步解析所述LDNS请求包,获得所述LDNS请求包所携带的当前TTL值;
查找模块,用于当所述第一判断模块判断结果为是时,以所述第一解析模块解析到的源IP地址为关键词,查找所述对映关系配置表,获得与所述源IP地址对应的TTL正常参考值;
第二判断模块,用于判断所述第二解析模块解析得到的当前TTL值偏离所述查找模块查找到的TTL正常参考值的偏离度是否在设定范围内;
正常包处理模块,用于当所述第二判断模块判断结果为在时,得出当前接收到的所述LDNS请求包为正常包,将所述LDNS请求包发送给所述授权DNS服务器,由所述授权DNS服务器对所述LDNS请求包进行域名解析;同时,将所述当前TTL值增加到所述历史TTL值列表中,并计算得到新的TTL正常参考值,用该新的TTL正常参考值更新S3存储的对映关系;
攻击包处理模块,用于当所述第二判断模块判断结果为不在时,得出当前接收到的所述LDNS请求包为攻击包,丢弃所述LDNS请求包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410406691.5A CN104125242B (zh) | 2014-08-18 | 2014-08-18 | 识别伪装ldns请求的ddos攻击的防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410406691.5A CN104125242B (zh) | 2014-08-18 | 2014-08-18 | 识别伪装ldns请求的ddos攻击的防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104125242A CN104125242A (zh) | 2014-10-29 |
| CN104125242B true CN104125242B (zh) | 2015-05-13 |
Family
ID=51770506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410406691.5A Active CN104125242B (zh) | 2014-08-18 | 2014-08-18 | 识别伪装ldns请求的ddos攻击的防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104125242B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453215B (zh) * | 2015-08-13 | 2019-09-10 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
| CN106470187A (zh) * | 2015-08-17 | 2017-03-01 | 中兴通讯股份有限公司 | 防止dos攻击方法、装置和系统 |
| CN105577669B (zh) * | 2015-12-25 | 2018-09-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别虚假源攻击的方法及装置 |
| CN108076165B (zh) * | 2016-11-18 | 2021-05-18 | 贵州白山云科技股份有限公司 | 一种域名解析信息管理的方法、设备及系统 |
| CN108809910B (zh) * | 2017-05-04 | 2021-01-05 | 贵州白山云科技股份有限公司 | 一种域名系统服务器调度方法和系统 |
| CN108200041A (zh) * | 2017-12-28 | 2018-06-22 | 贵阳忆联网络有限公司 | 一种防护ddos攻击的方法及系统 |
| CN110740117B (zh) * | 2018-10-31 | 2022-03-04 | 安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
| CN110213254A (zh) * | 2019-05-27 | 2019-09-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别伪造互联网协议ip报文的方法和设备 |
| CN110691081A (zh) * | 2019-09-25 | 2020-01-14 | 南京源堡科技研究院有限公司 | 一种基于大数据平台的网络信息采集方法 |
| CN112751801B (zh) * | 2019-10-30 | 2022-03-04 | 中国科学院声学研究所 | 一种基于ip白名单的拒绝服务攻击过滤方法、装置及设备 |
| CN111092966B (zh) * | 2019-12-30 | 2022-04-26 | 中国联合网络通信集团有限公司 | 域名系统、域名访问方法和装置 |
| CN113055405B (zh) * | 2021-04-09 | 2022-03-08 | 哈尔滨工业大学(威海) | 一种dns旁路抢答设备识别及溯源方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
| WO2012096788A1 (en) * | 2011-01-10 | 2012-07-19 | Alcatel Lucent | Session initiation protocol (sip) firewall for ip multimedia subsystem (ims) core to defend against sip registration- based dos/odds attacks |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001972B (zh) * | 2012-12-25 | 2015-11-25 | 山石网科通信技术有限公司 | Ddos攻击的识别方法和识别装置及防火墙 |
| CN103188266B (zh) * | 2013-03-26 | 2015-12-02 | 汉柏科技有限公司 | 一种基于ezvpn的地址分配回收动态控制方法和系统 |
-
2014
- 2014-08-18 CN CN201410406691.5A patent/CN104125242B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012096788A1 (en) * | 2011-01-10 | 2012-07-19 | Alcatel Lucent | Session initiation protocol (sip) firewall for ip multimedia subsystem (ims) core to defend against sip registration- based dos/odds attacks |
| CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104125242A (zh) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104125242B (zh) | 识别伪装ldns请求的ddos攻击的防护方法及装置 | |
| US10200402B2 (en) | Mitigating network attacks | |
| US9742795B1 (en) | Mitigating network attacks | |
| US9794281B1 (en) | Identifying sources of network attacks | |
| CN101572700B (zh) | 一种HTTP Flood分布式拒绝服务攻击防御方法 | |
| US8943586B2 (en) | Methods of detecting DNS flooding attack according to characteristics of type of attack traffic | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| US8904524B1 (en) | Detection of fast flux networks | |
| US20150350229A1 (en) | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data | |
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| US20120174220A1 (en) | Detecting and mitigating denial of service attacks | |
| CN103916389A (zh) | 防御HttpFlood攻击的方法及防火墙 | |
| Arote et al. | Detection and prevention against ARP poisoning attack using modified ICMP and voting | |
| KR20120096580A (ko) | Dns 캐시의 포이즈닝을 방지하기 위한 방법 및 시스템 | |
| CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
| US10326794B2 (en) | Anycast-based spoofed traffic detection and mitigation | |
| CN101834911A (zh) | 域名劫持的防御方法和网络出口设备 | |
| CN111988331A (zh) | 基于区块链的DDoS攻击追踪方法和系统 | |
| CN106534068A (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| CN106357660A (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
| CN106487807A (zh) | 一种域名解析的防护方法和装置 | |
| CN113347155A (zh) | 一种arp欺骗的防御方法、系统及装置 | |
| Jin et al. | A detection method against DNS cache poisoning attacks using machine learning techniques: Work in progress | |
| US10021176B2 (en) | Method and server for managing traffic-overload on a server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170728 Address after: 100010 Beijing city Dongcheng District xiangheyuan 5 North Building 2 No. 506 Patentee after: Peng Yang Address before: 100088, Room 408, floor 4, building 83, Desheng Avenue, Beijing, Xicheng District (Desheng Park) Patentee before: BEIJING YUELIAN INFORMATION TECHNOLOGY CO., LTD. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211029 Address after: 214104 room 301-59, block a, Xidong chuangrong building, No. 78, Danshan Road, anzhen street, Xishan District, Wuxi City, Jiangsu Province Patentee after: Jiangsu YOUPU Information Technology Co.,Ltd. Address before: 100010 Beijing Dongcheng District Xianghe garden 5 North Building 2 Gate 506. Patentee before: Peng Yang |