CN105306618B - 自动防御DNS解析请求DDoS攻击的方法及装置 - Google Patents
自动防御DNS解析请求DDoS攻击的方法及装置 Download PDFInfo
- Publication number
- CN105306618B CN105306618B CN201510621808.6A CN201510621808A CN105306618B CN 105306618 B CN105306618 B CN 105306618B CN 201510621808 A CN201510621808 A CN 201510621808A CN 105306618 B CN105306618 B CN 105306618B
- Authority
- CN
- China
- Prior art keywords
- duration
- client
- time period
- inquiry
- preset time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种自动防御DNS解析请求DDoS攻击的方法及装置,该方法包括:统计历史发送过查询请求的客户端数量;根据历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取预设时间段的时长;获取当前实际发送查询请求的客户端所使用的查询时间段;根据查询时间段的时长调整预设时间段的时长,获取调整后的预设时间段。本发明根据查询时间段的时长来调整预设时间段的时长,使得在查询请求较多时,每个客户端所等待的时间变长,从而实现根据实时环境动态改变查询速度,使得攻击者不能再利用服务器所分配的查询时间和次数对服务器进行攻击。
Description
技术领域
本发明涉及域名查询技术,尤其涉及一种自动防御DNS解析请求DDoS攻击的方法及装置。
背景技术
互联网领域中,不同的客户端会向服务器发起域名查询请求以获得域名查询信息,相应地,服务器对于不同客户端会进行域名查询请求的查询时间及查询次数的控制。
现有技术中,服务器在对域名查询请求进行查询时间及查询次数的控制时,通常会针对一定的范围(例如一个区,其中,一个区包含一类域名),分配一个固定的时间窗口以及固定的查询次数,在该时间窗口内,属于该范围内的客户端向服务器发起的域名查询请求的次数不能超出服务器所允许的固定次数。
但是,使用现有技术进行查询请求控制时,是针对一定范围分配固定的域名查询时间和次数,如果有恶意攻击者处于该范围内,就可以利用服务器分配的固定时间及次数对服务器进行域名(Domain Name System,简称DNS)解析请求分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击。
发明内容
本发明提供一种自动防御DNS解析请求DDoS攻击的方法及装置,用于解决现有技术中分配固定的域名查询时间和次数而导致服务器被DDoS攻击的问题。
本发明第一方面提供一种自动防御DNS解析请求DDoS攻击的方法,包括:
统计历史发送过查询请求的客户端数量;
根据所述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取所述预设时间段的时长;
获取当前实际发送查询请求的客户端所使用的查询时间段;
根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段。
结合第一方面,在第一方面的第一种可能的实施方式中,所述根据所述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取所述预设时间段的时长,包括:
根据公式T=t’*Nu+t’*(w1+w2+…+wn),获取所述预设时间段的时长T;
其中,t’为单次查询时间,Nu为预设时间段内的允许查询次数为1的所述历史发送过查询请求的客户端的数量,w1、w2、…、wn为预设时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,所述预设时间段内的允许查询次数为1的客户端数量与所述预设时间段内的允许查询次数非1的客户端数量之和为所述历史发送过查询请求的客户端数量。
结合第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,所述获取当前实际发送查询请求的客户端所使用的查询时间段,包括:
采用公式T’=t’*Nc+t’*(v1+v2+…+vm),获取所述当前实际发送查询请求的客户端所使用的查询时间段的时长T’;
其中,t’为单次查询时间,Nc为查询时间段内的允许查询次数为1的所述当前实际发送查询请求的客户端的数量,v1、v2、…、vm为查询时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,查询时间段内的允许查询次数为1的客户端数量与查询时间段内的允许查询次数非1的客户端数量之和为所述当前实际发送查询请求的客户端的数量。
结合第一方面的第二种可能的实施方式,在第一方面的第三种可能的实施方式中,所述根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段,包括:
若所述查询时间段的时长T’大于所述预设时间段的时长T,则将所述查询时间段的时长T’作为所述调整后的预设时间段的时长T。
结合第一方面的第二种可能的实施方式,在第一方面的第四种可能的实施方式中,所述根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段,包括:
若所述查询时间段的时长T’小于所述预设时间段的时长T,则计算预设数量个所述查询时间段的时长T’的平均值;
根据所述预设数量个所述查询时间段的时长T’的平均值、以及所述预设数量个所述查询时间段的时长T’中每个T’对应的预设权重,获取调整后的预设时间段。
结合第一方面的第一种或第二种可能的实施方式,在第一方面的第五种可能的实施方式中,所述方法还包括:
根据服务器的每秒查询能力以及服务器时间冗余值获取所述单次查询时间。
本发明第二方面提供一种自动防御DNS解析请求DDoS攻击的装置,包括:
统计模块,用于统计历史发送过查询请求的客户端数量;
第一获取模块,用于根据所述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取所述预设时间段的时长;
第二获取模块,用于获取当前实际发送查询请求的客户端所使用的查询时间段;
第三获取模块,用于根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段。
结合第二方面,在第二方面的第一种可能的实施方式中,所述第一获取模块,具体用于根据公式T=t’*Nu+t’*(w1+w2+…+wn),获取所述预设时间段的时长T;
其中,t’为单次查询时间,Nu为预设时间段内的允许查询次数为1的所述历史发送过查询请求的客户端的数量,w1、w2、…、wn为预设时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,所述预设时间段内的允许查询次数为1的客户端数量与所述预设时间段内的允许查询次数非1的客户端数量之和为所述历史发送过查询请求的客户端数量。
结合第二方面的第一种可能的实施方式,在第二方面的第二种可能的实施方式中,所述第二获取模块,具体用于采用公式T’=t’*Nc+t’*(v1+v2+…+vm),获取当前实际发送查询请求的客户端所使用的查询时间段的时长T’;
其中,t’为单次查询时间,Nc为查询时间段内的允许查询次数为1的所述当前实际发送查询请求的客户端的数量,v1、v2、…、vm为查询时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,查询时间段内的允许查询次数为1的客户端数量与查询时间段内的允许查询次数非1的客户端数量之和为所述当前实际发送查询请求的客户端的数量。
结合第二方面的第二种可能的实施方式,在第二方面的第三种可能的实施方式中,所述第三获取模块,具体用于若所述查询时间段的时长T’大于所述预设时间段的时长T,则将所述查询时间段的时长T’作为所述调整后的预设时间段的时长T。
本发明所提供的自动防御DNS解析请求DDoS攻击的方法中,服务器根据历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间来设定一个预设时间段,在该预设时间段内每个客户端的查询次数不能超过服务器所允许的查询次数。同时,服务器获取实际发送查询请求的客户端所使用的查询时间段,并根据该查询时间段的时长来调整预设时间段的时长,使得在查询请求较多时,每个客户端所等待的时间变长,从而实现根据实时环境动态改变查询速度。由于服务器根据实时环境对查询进行了限速,即不再为某个区分配固定的查询时间和次数,使得攻击者不能再利用服务器所分配的查询时间和次数对服务器进行攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的自动防御DNS解析请求DDoS攻击的方法实施例一的流程示意图;
图2为本发明提供的自动防御DNS解析请求DDoS攻击的方法实施例二的流程示意图;
图3为本发明提供的自动防御DNS解析请求DDoS攻击的装置实施例一的结构示意图;
图4为本发明提供的自动防御DNS解析请求DDoS攻击的装置实施例二的结构示意图;
图5为本发明提供的自动防御DNS解析请求DDoS攻击的装置实施例三的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供的自动防御DNS解析请求DDoS攻击的方法实施例一的流程示意图,该方法的执行主体可以为服务器,如图1所示,该方法包括:
S101、统计历史发送过查询请求的客户端数量。
每当有新的客户端向该服务器发送查询请求时,服务器会登记该客户端的地址,例如IP地址。进而,服务器会统计这些客户端的数量。
S102、根据上述历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取该预设时间段的时长。
具体地,服务器会设定一个预设的时间段,在这个预设的时间段内,每个在该服务器上登记过的客户端的查询次数不能超过服务器所允许的查询次数。该预设时间段的时长由历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间来确定。
其中,历史发送过查询请求的客户端数量是服务器所统计的在服务器上登记过的客户端数量。可选地,服务器会设置历史发送过查询请求的客户端数量的最大值,该最大值可以设定为与服务器的每秒查询能力相同或接近。例如,服务器的每秒查询能力为100000,就可以将将历史发送过查询请求的客户端数量的最大值设定为100000。每个客户端在预设时间段内的允许查询次数一般设置为1次,也可以根据客户端的实际情况设置为大于1次的次数。
S103、获取当前实际发送查询请求的客户端所使用的查询时间段。
具体地,当服务器开始统计上述的预设时间段时,也同时开始统计一个查询时间段。该查询时间段的时长由实际发送查询请求的客户端所使用的查询时间累加形成。即每当服务器处理过一个查询请求,就将该查询请求所使用的时间累加到上述查询时间段中。
S104、根据上述查询时间段的时长调整上述预设时间段的时长,获取调整后的预设时间段。
服务器根据查询时间段的时长,即根据当前向服务器发送查询请求的实际情况来动态调整上述预设时间段的时长。当查询时间段的时长比较长,说明当前向服务器发送查询请求的客户端数量较多,此时可以将上述预设时间段的时长延长,同时还要满足在这个预设时间段内每个客户端的查询次数不能超过允许查询次数。即当查询请求较多时,每个客户端查询等待的时间变长,从而实现根据实时环境动态改变查询速度的效果。
当上述预设时间段的时长调整之后,则开始下一个获取当前实际发送查询请求的客户端所使用的查询时间段的周期,在下一个获取查询时间段的周期中,再根据新的查询时间段的时长与调整后的预设时间段的时长的关系再对预设时间段的时长进行调整。
本实施例中,服务器根据历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间来设定一个预设时间段,在该预设时间段内每个客户端的查询次数不能超过服务器所允许的查询次数。同时,服务器获取实际发送查询请求的客户端所使用的查询时间段,并根据该查询时间段的时长来调整预设时间段的时长,使得在查询请求较多时,每个客户端所等待的时间变长,从而实现根据实时环境动态改变查询速度。由于服务器根据实时环境对查询进行了限速,即不再为某个区分配固定的查询时间和次数,使得攻击者不能再利用服务器所分配的查询时间和次数对服务器进行攻击。
另一实施例中,上述步骤S102具体包括:
根据公式T=t’*Nu+t’*(w1+w2+…+wn),获取预设时间段的时长T。
其中,t’为单次查询时间,Nu为预设时间段内的允许查询次数为1的历史发送过查询请求的客户端的数量,w1、w2、…、wn为预设时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,预设时间段内的允许查询次数为1的客户端数量与预设时间段内的允许查询次数非1的客户端数量之和为历史发送过查询请求的客户端数量。
服务器可以根据历史发送过查询请求的客户端的实际情况,来设定某个客户端在预设时间段内的查询次数。对于普通的客户端,在预设时间段内仅允许进行1次查询,对于有特殊要求的客户端,可以设定针对该客户端的具体查询次数。所有历史发送过查询请求的客户端的查询时间之和即为预设时间段的时长。
另一实施例中,上述步骤S103具体包括:
采用公式T’=t’*Nc+t’*(v1+v2+…+vm),获取当前实际发送查询请求的客户端所使用的查询时间段的时长T’。
其中,t’为单次查询时间,Nc为查询时间段内的允许查询次数为1的当前实际发送查询请求的客户端的数量,v1、v2、…、vm为查询时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,查询时间段内的允许查询次数为1的客户端数量与查询时间段内的允许查询次数非1的客户端数量之和为上述当前实际发送查询请求的客户端的数量。
另一实施例中,上述步骤S104具体包括:
若查询时间段的时长T’大于预设时间段的时长T,则将查询时间段的时长T’作为调整后的预设时间段的时长T。
根据前述公式计算出预设时间段的时长T以及查询时间段的时长T’后,如果查询时间段的时长T的时长大于预设时间段的时长T,则说明当前向服务器发送查询请求的客户端数量较多,此时将查询时间段的时长T’作为调整后的预设时间段的时长T,即将预设时间段的时长T延长到满足当前实际的查询请求,同时还要满足在这个预设时间段内每个客户端的查询次数不能超过允许查询次数。即当查询请求较多时,每个客户端查询等待的时间变长,从而实现根据实时环境动态改变查询速度的效果。
图2为本发明提供的自动防御DNS解析请求DDoS攻击的方法实施例二的流程示意图,如图2所示,上述步骤S104具体包括:
S201、若查询时间段的时长T’小于预设时间段的时长T,则计算预设数量个查询时间段的时长T’的平均值。
S202、根据预设数量个查询时间段的时长T’的平均值、以及预设数量个查询时间段的时长T’中每个T’对应的预设权重,获取调整后的预设时间段。
具体地,若首次出现查询时间段的时长T’小于预设时间段的时长T时,先不调整预设时间段的时长T,即保持预设时间段的时长T不变,在下一个查询时间段结束时,再判断查询时间段的时长T’与预设时间段的时长T的关系,依次类推,总共判断预设数量个查询时间段。例如,总共判断8个查询时间段。如果这8个查询时间段的时长T’都小于预设时间段的时长T,则认为当前向服务器发送查询请求的客户端数量较少,此时可以将预设时间段的时长T缩短,同时还要满足在这个预设时间段内每个客户端的查询次数不能超过允许查询次数。即当查询请求较少时,每个客户端查询等待的时间变短,从而实现根据实时环境动态改变查询速度的效果。
在缩短预设时间段的时长T时,首先为前面预设数量个查询时间段的时长T’中每个T’设置一个预设权重,该预设权重的设置原则为:查询时间段在先且距离当前查询时间段越远,则权重越小,即越久远的统计结果,其参考价值越低。同时,计算前面预设数量个查询时间段的时长T’的平均值T1A’。进而,计算每个查询时间段的时长T’与平均值T1A’的差值,将每个差值分别与每个查询时间段的时长T’的预设权重相乘,得到新的差值,再将所有新的差值求和,将所有新的差值求和结果再与平均值T1A’相加,从而得到缩短后的预设时间段的时长T。
本实施例中,连续观察预设数量个查询时间段之后才缩短预设时间段的时长,能够便于服务器在压力增长后,保持一段适当且短暂的警戒时间,来为可能集中出现的不同客户端保留时间片。
另一实施例中,上述方法还包括:根据服务器的每秒查询能力以及服务器时间冗余值获取单次查询时间。
具体地,根据服务器的性能可以获取服务器的每秒查询能力,即服务器可以支持的每秒查询次数,进而根据服务器的每秒查询能力计算出每个查询所需的最少时间t,进而为该最少时间t加入一个服务器时间冗余值(例如1.1倍),从而得到单次查询时间。
图3为本发明提供的自动防御DNS解析请求DDoS攻击的装置实施例一的结构示意图,如图3所示,该装置可以集成于服务器,具体地,该装置包括:
统计模块31,用于统计历史发送过查询请求的客户端数量。
第一获取模块32,用于根据历史发送过查询请求的客户端数量、每个客户端在预设时间段内的允许查询次数以及单次查询时间,获取预设时间段的时长。
第二获取模块33,用于获取当前实际发送查询请求的客户端所使用的查询时间段。
第三获取模块34,用于根据查询时间段的时长调整预设时间段的时长,获取调整后的预设时间段。
该装置用于执行前述方法实施例,其实现原理和技术效果类似,在此不再赘述。
另一实施例中,第一获取模块32具体用于根据公式T=t’*Nu+t’*(w1+w2+…+wn),获取预设时间段的时长T。
其中,t’为单次查询时间,Nu为预设时间段内的允许查询次数为1的历史发送过查询请求的客户端的数量,w1、w2、…、wn为预设时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,预设时间段内的允许查询次数为1的客户端数量与预设时间段内的允许查询次数非1的客户端数量之和为历史发送过查询请求的客户端数量。
另一实施例中,第二获取模块33具体用于采用公式T’=t’*Nc+t’*(v1+v2+…+vm),获取当前实际发送查询请求的客户端所使用的查询时间段T’。
其中,t’为单次查询时间,Nc为查询时间段内的允许查询次数为1的当前实际发送查询请求的客户端的数量,v1、v2、…、vm为查询时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,查询时间段内的允许查询次数为1的客户端数量与查询时间段内的允许查询次数非1的客户端数量之和为当前实际发送查询请求的客户端的数量。
另一实施例中,第三获取模块34具体用于若查询时间段的时长T’大于预设时间段的时长T,则将查询时间段的时长T’作为调整后的预设时间段的时长T。
图4为本发明提供的自动防御DNS解析请求DDoS攻击的装置实施例二的结构示意图,如图4所示,第三获取模块34包括:
计算单元341,用于若查询时间段的时长T’小于预设时间段的时长T,则计算预设数量个查询时间段的时长T’的平均值。
调整单元342,用于根据预设数量个查询时间段的时长T’的平均值、以及预设数量个查询时间段的时长T’中每个T’对应的预设权重,获取调整后的预设时间段。
图5为本发明提供的自动防御DNS解析请求DDoS攻击的装置实施例三的结构示意图,如图5所示,在图3的基础上,该装置还包括:
第四获取模块35,用于根据服务器的每秒查询能力以及服务器时间冗余值获取单次查询时间。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种自动防御DNS解析请求DDoS攻击的方法,其特征在于,包括:
统计历史发送过查询请求的客户端数量;
根据所述历史发送过查询请求的客户端数量、每个客户端被服务器所允许的查询次数以及单次查询时间,获取预设时间段的时长;
获取当前实际发送查询请求的客户端所使用的查询时间段;
根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段。
2.根据权利要求1所述的方法,其特征在于,所述根据所述历史发送过查询请求的客户端数量、每个客户端被服务器所允许的查询次数以及单次查询时间,获取预设时间段的时长,包括:
根据公式T=t’*Nu+t’*(w1+w2+…+wn),获取所述预设时间段的时长T;
其中,t’为单次查询时间,Nu为预设时间段内的允许查询次数为1的所述历史发送过查询请求的客户端的数量,w1、w2、…、wn为预设时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,所述预设时间段内的允许查询次数为1的客户端数量与所述预设时间段内的允许查询次数非1的客户端数量之和为所述历史发送过查询请求的客户端数量。
3.根据权利要求2所述的方法,其特征在于,所述获取当前实际发送查询请求的客户端所使用的查询时间段,包括:
采用公式T’=t’*Nc+t’*(v1+v2+…+vm),获取所述当前实际发送查询请求的客户端所使用的查询时间段的时长T’;
其中,t’为单次查询时间,Nc为查询时间段内的允许查询次数为1的所述当前实际发送查询请求的客户端的数量,v1、v2、…、vm为查询时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,查询时间段内的允许查询次数为1的客户端数量与查询时间段内的允许查询次数非1的客户端数量之和为所述当前实际发送查询请求的客户端的数量。
4.根据权利要求3所述的方法,其特征在于,所述根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段,包括:
若所述查询时间段的时长T’大于所述预设时间段的时长T,则将所述查询时间段的时长T’作为所述调整后的预设时间段的时长T。
5.根据权利要求3所述的方法,其特征在于,所述根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段,包括:
若所述查询时间段的时长T’小于所述预设时间段的时长T,则计算预设数量个所述查询时间段的时长T’的平均值;
根据所述预设数量个所述查询时间段的时长T’的平均值、以及所述预设数量个所述查询时间段的时长T’中每个T’对应的预设权重,获取调整后的预设时间段。
6.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
根据服务器的每秒查询能力以及服务器时间冗余值获取所述单次查询时间。
7.一种自动防御DNS解析请求DDoS攻击的装置,其特征在于,包括:
统计模块,用于统计历史发送过查询请求的客户端数量;
第一获取模块,用于根据所述历史发送过查询请求的客户端数量、每个客户端被服务器所允许的查询次数以及单次查询时间,获取预设时间段的时长;
第二获取模块,用于获取当前实际发送查询请求的客户端所使用的查询时间段;
第三获取模块,用于根据所述查询时间段的时长调整所述预设时间段的时长,获取调整后的预设时间段。
8.根据权利要求7所述的装置,其特征在于,所述第一获取模块,具体用于根据公式T=t’*Nu+t’*(w1+w2+…+wn),获取所述预设时间段的时长T;
其中,t’为单次查询时间,Nu为预设时间段内的允许查询次数为1的所述历史发送过查询请求的客户端的数量,w1、w2、…、wn为预设时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,所述预设时间段内的允许查询次数为1的客户端数量与所述预设时间段内的允许查询次数非1的客户端数量之和为所述历史发送过查询请求的客户端数量。
9.根据权利要求8所述的装置,其特征在于,所述第二获取模块,具体用于采用公式T’=t’*Nc+t’*(v1+v2+…+vm),获取所述当前实际发送查询请求的客户端所使用的查询时间段的时长T’;
其中,t’为单次查询时间,Nc为查询时间段内的允许查询次数为1的所述当前实际发送查询请求的客户端的数量,v1、v2、…、vm为查询时间段内的允许查询次数非1的客户端所分别允许的查询次数,其中,查询时间段内的允许查询次数为1的客户端数量与查询时间段内的允许查询次数非1的客户端数量之和为所述当前实际发送查询请求的客户端的数量。
10.根据权利要求9所述的装置,其特征在于,所述第三获取模块,具体用于若所述查询时间段的时长T’大于所述预设时间段的时长T,则将所述查询时间段的时长T’作为所述调整后的预设时间段的时长T。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510621808.6A CN105306618B (zh) | 2015-09-25 | 2015-09-25 | 自动防御DNS解析请求DDoS攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510621808.6A CN105306618B (zh) | 2015-09-25 | 2015-09-25 | 自动防御DNS解析请求DDoS攻击的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105306618A CN105306618A (zh) | 2016-02-03 |
CN105306618B true CN105306618B (zh) | 2018-09-25 |
Family
ID=55203356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510621808.6A Active CN105306618B (zh) | 2015-09-25 | 2015-09-25 | 自动防御DNS解析请求DDoS攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105306618B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110489444B (zh) * | 2019-08-22 | 2023-06-13 | 深圳前海环融联易信息科技服务有限公司 | 一种异步查询方法、装置、计算机设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
CN104125238A (zh) * | 2014-08-14 | 2014-10-29 | 互联网域名系统北京市工程研究中心有限公司 | 一种DNS递归服务器抗DoS、DDoS攻击的方法 |
CN104202344A (zh) * | 2014-09-28 | 2014-12-10 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对DNS服务防DDoS攻击的方法及装置 |
-
2015
- 2015-09-25 CN CN201510621808.6A patent/CN105306618B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101572701A (zh) * | 2009-02-10 | 2009-11-04 | 中科正阳信息安全技术有限公司 | 针对DNS服务的抗DDoS攻击安全网关系统 |
CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
CN104125238A (zh) * | 2014-08-14 | 2014-10-29 | 互联网域名系统北京市工程研究中心有限公司 | 一种DNS递归服务器抗DoS、DDoS攻击的方法 |
CN104202344A (zh) * | 2014-09-28 | 2014-12-10 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对DNS服务防DDoS攻击的方法及装置 |
Non-Patent Citations (3)
Title |
---|
"DDOS攻击防御系统设计与研究";徐浩;<中国优秀硕士学位论文全文数据库 信息科技辑>;20110915(第 09 期);全文 * |
"分布式拒绝服务攻击剖析";安呈法;《中国优秀博硕士学位论文全文数据库 (硕士) 信息科技辑》;20061215(第12期);全文 * |
"分布式拒绝服务攻击的防御研究及实现";罗锦尚;《中国优秀博硕士学位论文全文数据库 (硕士) 信息科技辑》;20061215(第 12 期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN105306618A (zh) | 2016-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106302434B (zh) | 服务器适配方法、装置和系统 | |
US7953852B2 (en) | Method and system for detecting and reducing botnet activity | |
CN106612238B (zh) | 流量控制方法、装置和系统 | |
US8959644B2 (en) | Use of popularity information to reduce risk posed by guessing attacks | |
CN102143212B (zh) | 一种内容分发网络中缓存共享的方法及装置 | |
EP2930909B1 (en) | Method and scheduler for arranging applications | |
EP3547625B1 (en) | Method and system for sending request for acquiring data resource | |
US9697153B2 (en) | Data transmission method for improving DMA and data transmission efficiency based on priorities of at least two arbitration units for each DMA channel | |
CN111726303B (zh) | 一种流量控制方法、装置以及计算设备 | |
CN108173774B (zh) | 一种客户端的升级方法及系统 | |
KR20160046667A (ko) | 글로벌 서버 로드 밸런서 장치 및 상기 장치에서의 동적 캐쉬 유효 기간 제어 방법 | |
CN104125238A (zh) | 一种DNS递归服务器抗DoS、DDoS攻击的方法 | |
CN106130972B (zh) | 资源访问控制方法和装置 | |
CN107707593B (zh) | 一种提高缓存命中率的动态资源访问加速方法及装置 | |
US10594675B2 (en) | Communication apparatus, communication system, communication method, and program | |
CN105306618B (zh) | 自动防御DNS解析请求DDoS攻击的方法及装置 | |
CN105553827A (zh) | 一种匿名网络中兼顾匿名性与通信时延的消息转发方法 | |
CN106470193A (zh) | 一种DNS递归服务器抗DoS、DDoS攻击的方法及装置 | |
CN107707373B (zh) | 一种基于api请求的动态资源访问加速方法 | |
CN109286498A (zh) | 核电站dcs通信用网络校验方法和装置、电子装置 | |
CN107707597A (zh) | 一种突发热点访问均衡处理方法及装置 | |
CN110581842B (zh) | Dns请求的处理方法及服务器 | |
CN112019547B (zh) | 网络流量评估方法、攻击检测方法、服务器及存储介质 | |
CN111726394B (zh) | 设备离线检测方法及其相关装置 | |
CN110636104B (zh) | 一种资源请求方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |