CN104184585B - 一种防范dns洪水攻击的装置和方法 - Google Patents
一种防范dns洪水攻击的装置和方法 Download PDFInfo
- Publication number
- CN104184585B CN104184585B CN201310205433.6A CN201310205433A CN104184585B CN 104184585 B CN104184585 B CN 104184585B CN 201310205433 A CN201310205433 A CN 201310205433A CN 104184585 B CN104184585 B CN 104184585B
- Authority
- CN
- China
- Prior art keywords
- domain name
- series
- dns
- request
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种防范DNS洪水攻击的装置,应用在网络安全设备上,该装置执行以下处理流程步骤:A、在该网络安全设备接收DNS请求报文后计算该报文携带的请求解析域名的域名级数,转步骤B;步骤B、更新当前域名级数对应的报文统计数量,然后判断更新后的所述报文统计数量是否符合预定的规则,如果否,则确定发生DNS攻击,如果是,则转步骤C;步骤C、判断所述请求域名的级数是否小于等于2,如果是,则允许该DNS请求报文通过。通过本发明的技术方案,有效提升了网络安全设备防范DNS洪水攻击的能力,进一步确保了网络安全。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种防范DNS洪水攻击的装置和方法。
背景技术
DNS是域名系统(Domain Name System)的缩写,它是由解析器和域名服务器组成的。域名服务器(DNS Server)是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。DNS解析域名的流程大体如下:首先由客户端发起域名解析请求,本地DNS服务器收到该请求后,会在本地及缓存中查找,如果没有找到,则会向上一级DNS服务器发起请求,上一级DNS服务器会将解析结果通过回应报文返回给本地DNS服务器,此时,本地DNS服务器将所述解析结果存入缓存,以便后续客户端再次请求解析该域名的时候,可以直接返回解析结果,同时会将解析结果返回给本次请求解析该域名的客户端。
近年来DNS攻击事件屡屡发生,目前DNS洪水攻击就是其中一个典型的攻击。DNS洪水攻击是一种基于特定应用协议的UDP洪水攻击,攻击方向DNS服务器发送大量域域名请求报文,致使DNS服务器严重超载,无法继续响应正常用户的DNS请求,从而达到攻击的目的。
现有技术中,对DNS洪水攻击的防护主要是根据域名来防护的,其基本处理流程是将DNS请求报文中携带的被解析域名解析出来,然后统计周期内访问次数或者访问的数据量,正常的域名请求一般是在一个范围内的,如果超过此范围,就认为是攻击报文,将此报文丢掉。现有技术通过域名的防护,只能对整个域名进行防护,比如域名www.google.com在其第三级www上离散变化,现有技术的防护过于单一,基本无效。
发明内容
有鉴于此,本发明提供一种防范DNS洪水攻击的装置和方法,以解决现有技术存在的不足。
具体地,所述装置应用在网络安全设备上,该装置包括:
级数计算模块,用于在该网络安全设备接收DNS请求报文后计算该报文携带的请求解析域名的域名级数,转数量判断模块处理;
数量判断模块,用于更新当前域名级数对应的报文统计数量,然后判断更新后的所述报文统计数量是否符合预定的规则,如果否,则确定发生DNS攻击,如果是,则转级数判断模块;
级数判断模块,用于判断所述请求域名的级数是否小于等于2,如果是,则允许该DNS请求报文通过。
所述方法包括以下步骤:
步骤A、在该网络安全设备接收DNS请求报文后计算该报文携带的请求解析域名的域名级数,转步骤B;
步骤B、更新当前域名级数对应的报文统计数量,然后判断更新后的所述报文统计数量是否符合预定的规则,如果否,则确定发生DNS攻击,如果是,则转步骤C;
步骤C、判断所述请求域名的级数是否小于等于2,如果是,则允许该DNS请求报文通过。
由以上技术方案可见,本发明通过判断域名请求报文的统计数量进而识别攻击报文,有效地防范了DNS洪水攻击。
附图说明
图1是本发明一种实施方式的方法流程图;
图2是本发明一种实施方式的装置逻辑图。
具体实施方式
针对现有技术中存在的问题,本发明提供一种防范DNS洪水攻击的装置和方法。为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
请参考图1和图2,在本发明一种优选的实施方式中,所述装置包括:级数计算模块、数量判断模块以及级数判断模块。所述装置执行如下处理流程:
步骤101、在网络安全设备接收DNS请求报文后,计算该报文携带的请求解析域名的域名级数。
域名是Internet地址中的一项,与网络上数字型IP地址相对应,用户可以通过域名访问其对应的网站,相对于IP地址来讲,便于记忆。域名可以分为不同的级别,包括顶级域名、二级域名、三级域名等等,举例来说,域名www.abc.def.fhg.ijk.com是一个六级域名,其中com是该域名的第一级,ijk是第二级、fhg是第三级、def是第四级等等依次类推。
本步骤中,在接收到DNS请求报文后,首先从中获取该报文携带的请求解析的域名,然后计算该域名的级数。本步骤由级数计算模块执行。
步骤102、判断请求域名的域名级数是否大于配置的级数,如果是,则将所述请求解析域名的域名级数更新为配置的级数。
所述配置的级数是管理员依据实际需要而配置的。可以全局配置一个级数,所有的域名都使用这个配置的级数来防护。也可以为某些重点域名单独配置,比方说诸如百度、新浪等访问量巨大的大型门户网站可以单独配置,举例来说,需要为新浪配置四级防护,就要将其中需要防护的域名诸如news.sina.com.cn,tech.sina.com.cn等录入,以便后续判断。本步骤中,在判断的时候,优先查看所述请求域名是否为单独配置的域名,如果是就按照配置的级数比较,如果否就以全局配置的级数比较。
经比较,如果所述请求解析域名的级数大于配置的级数,那么将配置的级数赋予请求解析域名的域名级数进行后续步骤,如果所述请求解析域名的域名级数小于配置的级数,则还是以请求解析域名的域名级数进行后续步骤。本步骤由级数计算模块执行。
步骤103、更新当前域名级数对应的报文统计数量,然后判断更新后的所述报文统计数量是否符合预定的规则。
在一种优选的实施方式中,本步骤所述预定的规则是周期内所述报文统计数量不超过配置的阈值。所述阈值是指在正常情况下,指定周期内通过的DNS请求报文的最大数量,在优选方式中,这个周期通常不大于1秒钟。该阈值也是由管理员统一配置,具体地,管理员配置域名级数的同时为各域名级数配置对应的报文统计数量阈值,如果有单独配置的域名防护级数,也需要单独为其配置报文统计数量的阈值。指定周期可以通过定时器来实现,当定时器超时的时候,可以将统计数量清零进而在新的周期内重新统计。
本步骤中,首先更新所述域名级数对应的报文统计数量,具体地,是将当前的报文统计数量加1,然后和配置的阈值比较,如果没有超过配置的阈值,说明此时的DNS请求报文统计数量在正常范围内,没有发生洪水攻击,进而转步骤104;如果超过配置的阈值,说明此时DNS请求报文的统计数量已经超过正常范围,确认发生DNS攻击。此时可依据现有技术中的方法进行处理,比方说可以丢掉所述DNS请求报文,也可以对报文进行限速。本步骤由数量判断模块执行。
步骤104、判断所述请求域名的级数是否小于等于2,如果是,则允许所述DNS请求报文通过。
如果所述请求域名的级数等于2,则说明该DNS请求报文中携带的待解析的域名的二级域名已经在步骤103中通过了验证,所以,就可以允许该DNS请求报文通过。通常在判断的过程中,一级域名也就是顶级域名由于访问量巨大,在一种优选的实施方式中,可以不做防护,所以判断能否上报的域名级数设置为2。
本步骤中,如果所述请求域名的级数大于2,则将所述当前域名级数减1后返回步骤103,直到所述请求域名的级数满足小于等于2的条件时,才允许所述DNS请求报文通过。本步骤由级数判断模块执行。
上述步骤中,步骤104并不是必需的步骤。理论上来讲,只要步骤103中经判断所述请求域名的级数的报文统计数量满足要求,就能够说明尚未发生攻击行为,该DNS请求报文不应视为攻击报文,可以允许其通过。但是在实际应用中,攻击者可能会使用分布式攻击,比方说攻击者从下级域名入手,大量发送待解析的三级域名和四级域名的DNS请求报文,但其攻击的目标是二级域名,如果没有步骤104的处理机制,则其中二级域名的报文统计数量就不会被更新,此时,攻击者只要发送少量甚至不放松针对二级域名的攻击报文,那么其大部分的攻击报文就会被允许通过,进而间接地攻击该二级域名。
通过以上描述可以看出,本发明通过设置各级域名的报文统计数量来防范DNS洪水攻击报文,能够有效地识别出攻击者将大量攻击报文分散开来,尤其是分散针对多个不同下级域名的攻击报文的情况,这种攻击分散度越高,则隐蔽性越强,在传统方式中,其所使用的攻击报文由于过于分散,因此可以成功地隐藏在正常报文中,本发明则能够有效地防范这种隐蔽性较强的分布式的DNS的攻击,同时兼容现有仅仅针对特定技术域名的防范机制。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种防范DNS洪水攻击的装置,应用在网络安全设备上,该装置包括:
级数计算模块,用于在该网络安全设备接收DNS请求报文后计算该报文携带的请求解析域名的域名级数,转数量判断模块处理;
数量判断模块,用于更新当前域名级数对应的报文统计数量,然后判断更新后的所述报文统计数量是否符合预定的规则,如果否,则确定发生DNS攻击,如果是,则转级数判断模块;
级数判断模块,用于判断所述请求域名的级数是否小于等于2,如果是,则允许该DNS请求报文通过,在判断所述请求域名的级数大于2时,则将所述当前域名级数减1后返回数量判断模块。
2.根据权利要求1所述的装置,其特征在于,所述级数计算模块进一步用于,判断请求解析域名的域名级数是否大于配置的级数,如果是,则将所述请求解析域名的域名级数更新为配置的级数。
3.根据权利要求1所述的装置,其特征在于,所述预定的规则是周期内所述报文统计数量不超过配置的阈值。
4.根据权利要求3所述的装置,其特征在于,所述周期不大于1秒钟。
5.一种防范DNS洪水攻击的方法,应用在网络安全设备上,该方法包括:
步骤A、在该网络安全设备接收DNS请求报文后计算该报文携带的请求解析域名的域名级数,转步骤B;
步骤B、更新当前域名级数对应的报文统计数量,然后判断更新后的所述报文统计数量是否符合预定的规则,如果否,则确定发生DNS攻击,如果是,则转步骤C;
步骤C、判断所述请求域名的级数是否小于等于2,如果是,则允许该DNS请求报文通过,在判断所述请求域名的级数大于2时,则将所述当前域名级数减1后返回步骤B。
6.根据权利要求5所述的方法,其特征在于,步骤A进一步包括:判断请求解析域名的域名级数是否大于配置的级数,如果是,则将所述请求解析域名的域名级数更新为配置的级数。
7.根据权利要求5所述的方法,其特征在于,所述预定的规则是周期内所述报文统计数量不超过配置的阈值。
8.根据权利要求7所述的方法,其特征在于,所述周期不大于1秒钟。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310205433.6A CN104184585B (zh) | 2013-05-28 | 2013-05-28 | 一种防范dns洪水攻击的装置和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310205433.6A CN104184585B (zh) | 2013-05-28 | 2013-05-28 | 一种防范dns洪水攻击的装置和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104184585A CN104184585A (zh) | 2014-12-03 |
| CN104184585B true CN104184585B (zh) | 2018-03-16 |
Family
ID=51965351
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310205433.6A Active CN104184585B (zh) | 2013-05-28 | 2013-05-28 | 一种防范dns洪水攻击的装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104184585B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108206814B (zh) | 2016-12-20 | 2021-03-16 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
| CN108449442A (zh) * | 2018-03-10 | 2018-08-24 | 北京酷我科技有限公司 | 一种iOS网络优化策略 |
| CN113098878B (zh) * | 2021-04-06 | 2022-12-30 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 |
| CN113660256B (zh) * | 2021-08-13 | 2023-04-18 | 全球能源互联网研究院有限公司 | 一种dns水刑攻击检测模型构建方法及流量清洗方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321055A (zh) * | 2008-06-28 | 2008-12-10 | 华为技术有限公司 | 一种攻击防范方法和装置 |
| CN101789940A (zh) * | 2010-01-28 | 2010-07-28 | 联想网御科技(北京)有限公司 | 一种防范dns请求报文洪泛攻击的方法及装置 |
| CN102984178A (zh) * | 2012-12-31 | 2013-03-20 | 山石网科通信技术(北京)有限公司 | 数据报文的检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8631489B2 (en) * | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
-
2013
- 2013-05-28 CN CN201310205433.6A patent/CN104184585B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101321055A (zh) * | 2008-06-28 | 2008-12-10 | 华为技术有限公司 | 一种攻击防范方法和装置 |
| CN101789940A (zh) * | 2010-01-28 | 2010-07-28 | 联想网御科技(北京)有限公司 | 一种防范dns请求报文洪泛攻击的方法及装置 |
| CN102984178A (zh) * | 2012-12-31 | 2013-03-20 | 山石网科通信技术(北京)有限公司 | 数据报文的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104184585A (zh) | 2014-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| WO2018113594A1 (zh) | 防御dns攻击的方法、装置及存储介质 | |
| US9083733B2 (en) | Anti-phishing domain advisor and method thereof | |
| US9258289B2 (en) | Authentication of IP source addresses | |
| JP6196008B2 (ja) | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム | |
| WO2015158193A1 (zh) | 提供根域名解析服务的方法和系统 | |
| US8904524B1 (en) | Detection of fast flux networks | |
| US9300684B2 (en) | Methods and systems for statistical aberrant behavior detection of time-series data | |
| CN103685294B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| CN104184585B (zh) | 一种防范dns洪水攻击的装置和方法 | |
| JP2017534198A (ja) | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 | |
| JP2015043204A (ja) | Dnsにおける共に発生しているパターンを検知すること | |
| CN108270778B (zh) | 一种dns域名异常访问检测方法及装置 | |
| WO2014032619A1 (zh) | 网址访问方法及系统 | |
| JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
| CN104378255B (zh) | web恶意用户的检测方法及装置 | |
| US11108794B2 (en) | Indicating malware generated domain names using n-grams | |
| CN105827599A (zh) | 一种基于dns报文深度解析的缓存中毒检测方法及装置 | |
| CN109660552A (zh) | 一种将地址跳变和WAF技术相结合的Web防御方法 | |
| US10965697B2 (en) | Indicating malware generated domain names using digits | |
| CN107623693B (zh) | 域名解析防护方法及装置、系统、计算设备、存储介质 | |
| CN105939321B (zh) | 一种dns攻击检测方法及装置 | |
| CN109981533B (zh) | 一种DDoS攻击检测方法、装置、电子设备及存储介质 | |
| CN112839005B (zh) | Dns域名异常访问监控方法及装置 | |
| CN114172707B (zh) | Fast-Flux僵尸网络检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181105 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Depp Information Technology Co., Ltd. Address before: 310051, 6 floor, Chung Cai mansion, 68 Tong he road, Binjiang District, Hangzhou, Zhejiang. Patentee before: Hangzhou Dipu Polytron Technologies Inc |