CN106888192A - 一种抵抗dns攻击的方法及装置 - Google Patents
一种抵抗dns攻击的方法及装置 Download PDFInfo
- Publication number
- CN106888192A CN106888192A CN201510945813.2A CN201510945813A CN106888192A CN 106888192 A CN106888192 A CN 106888192A CN 201510945813 A CN201510945813 A CN 201510945813A CN 106888192 A CN106888192 A CN 106888192A
- Authority
- CN
- China
- Prior art keywords
- domain name
- qps
- domain
- priority
- server group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全技术领域,尤其涉及一种抵抗域名解析系统DNS攻击的方法及装置,用以解决现有技术中存在的容易影响大部分用户正常上网的技术问题,包括:在接收终端发送的DNS查询请求后,根据域名的优先级和服务器组的对应关系,确定DNS查询请求需要查询的域名的优先级对应的服务器组,然后将DNS查询请求转发至确定的服务器组进行递归查询。从而可以实现将DNS查询分散到多个服务器组,由于DNS攻击只是针对少量域名进行攻击,即只有少量服务器遭受攻击,因而可以保证大多数服务器组上的用户的DNS请求可以正常地响应,从而可以保证大部分用户正常上网。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种抵抗DNS攻击的方法及装置。
背景技术
DNS(Domain Name System,域名解析系统)是互联网架构中的最基础、最核心的一项服务,它的作用是实现域名和IP(Internet Protocol,网络之间互连的协议)地址相互映射,使上网者能方便的访问互联网,而不用去记忆枯燥繁琐的IP数字串,为众多网络应用提供根本性支撑。
由于DNS系统天生的公开性、脆弱性等特点,使其成为攻击者首选的攻击目标,其中DNS递归攻击最难防范。所谓递归攻击,即通过随机构造大量域名解析请求,让DNS持续进行迭代查询,迅速地耗尽DNS的递归资源,从而使得DNS的可用性降低或完全丧失。由于域名服务器的缓存应答能力现在一般都很高,而递归能力却相对较低,通过发起递归攻击,较传统的流量型DNS DDoS(Distributed Denial of Service,分布式拒绝服务)攻击而言,具有操作成本较低,攻击效果好的特征,所以递归攻击日益成为黑客青睐的DNS攻击手段,且呈愈演愈烈之势。如何为DNS服务器提供有效的拒绝服务攻击的防御,是全世界DNS系统面临的技术难题。
现有的抵御DNS递归攻击的防护技术包括如下:为保证递归DNS能够正常递归,不因为DNS请求量过高而过载,可对每秒的递归查询请求总量进行控制,超过阀值的请求直接丢弃。
现有的技术存在如下问题:虽然可以防止DNS递归资源不被耗尽,但大多数用户的正常DNS解析请求流量随攻击流量一起被丢弃而误伤,实际效果等同于断网。
综上所述,现有技术抵御DNS递归攻击的方法存在容易影响大部分用户正常上网的技术问题。
发明内容
本发明提供一种抵抗DNS攻击的方法及装置,用以解决现有技术中存在的容易影响大部分用户正常上网的技术问题。
一方面,本发明实施例提供一种抵抗DNS攻击的方法,包括:
接收终端发送的DNS查询请求;
根据域名的优先级和服务器组的对应关系,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组,其中服务器组有多个,服务器组之间在物理上相互独立,每个服务器组中包括至少一个服务器;
将所述DNS查询请求转发至确定的服务器组进行递归查询。
可选地,根据下列方法确定域名的优先级:
根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级。
可选地,根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级,包括:
确定设定时长内所有一级域名分别对应的每秒查询数QPS;
将对应的QPS排名前M的一级域名以及包含该一级域名的所有域名,确定为高优先级域名,M为正整数;
将除高优先级域名之外的所有域名,确定为低优先级域名。
可选地,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组之后,还包括:
若所述域名为高优先级域名,且所述域名对应的一级域名的当前QPS大于第一阈值,则发送告警信息;
若所述域名为低优先级域名,且所述域名对应的一级域名的当前QPS大于第二阈值,则丢弃所述DNS查询请求。
可选地,根据下列方式确定所述第一阈值:
将QPS值最大的高优先级域名对应的峰值QPS,作为所述第一阈值;
根据下列方式确定所述第二阈值:
将QPS值最小的高优先级域名对应的峰值QPS,作为所述第二阈值。
另一方面,本发明实施例提供的一种抵抗DNS攻击的装置,包括:
接收单元,用于接收终端发送的DNS查询请求;
确定单元,用于根据域名的优先级和服务器组的对应关系,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组,其中服务器组有多个,服务器组之间在物理上相互独立,每个服务器组中包括至少一个服务器;
转发单元,用于将所述DNS查询请求转发至确定的服务器组进行递归查询。
可选地,所述确定单元,还用于:
根据下列方法确定域名的优先级:
根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级。
可选地,所述确定单元,还用于:
确定设定时长内所有一级域名分别对应的每秒查询数QPS;
将对应的QPS排名前M的一级域名以及包含该一级域名的所有域名,确定为高优先级域名,M为正整数;
将除高优先级域名之外的所有域名,确定为低优先级域名。
可选地,所述确定单元,还用于:
确定所述DNS查询请求需要查询的域名的优先级对应的服务器组之后,若所述域名为高优先级域名,且所述域名对应的一级域名的当前QPS大于第一阈值,则发送告警信息;
若所述域名为低优先级域名,且所述域名对应的一级域名的当前QPS大于第二阈值,则丢弃所述DNS查询请求。
可选地,所述确定单元,还用于:
根据下列方式确定所述第一阈值:
将QPS值最大的高优先级域名对应的峰值QPS,作为所述第一阈值;
根据下列方式确定所述第二阈值:
将QPS值最小的高优先级域名对应的峰值QPS,作为所述第二阈值。
本发明实施例提供的方法,在接收终端发送的DNS查询请求后,根据域名的优先级和服务器组的对应关系,确定DNS查询请求需要查询的域名的优先级对应的服务器组,然后将DNS查询请求转发至确定的服务器组进行递归查询。从而可以实现将DNS查询分散到多个服务器组,由于DNS攻击只是针对少量域名进行攻击,即只有少量服务器遭受攻击,因而可以保证大多数服务器组上的用户的DNS请求可以正常地响应,从而可以保证大部分用户正常上网。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所适用的系统架构图;
图2为本发明实施例提供的抵抗DNS攻击的方法流程图;
图3为本发明实施例提供的抵抗DNS攻击的方法详细流程图;
图4为本发明实施例提供的抵抗DNS攻击的装置示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例所适用的系统架构图,包括终端,高速缓存服务器,多个服务器组,迭代查询服务器组,其中迭代查询服务器组中包含根域服务器,com域服务器,cn域服务器,以及多个授权DNS。
终端发起DNS查询请求,高速缓存服务器接收到DNS查询请求后,若本地缓存有查询结果,则直接返回查询结果给终端,若本地缓存没有查询结果,则将DNS请求根据域名的优先级,转发至某个服务器组,相应的服务器组接收到DNS查询请求后,将该DNS查询请求转发至迭代查询服务器组,例如要查询的域名是123.qq.com,则首先通过迭代查询服务器组中的根域服务器根据接收到的域名查询请求对应的域名123.qq.com,返回一个地址给相应的服务器组,然后该服务器组根据这个地址去请求com域服务器,com域服务器查询到返回一个地址给相应的服务器组,服务器组根据收到的地址查找相应的授权DNS服务器并将查询结果返回给高速缓存服务器,高速缓存服务器将查询结果返回给终端,同时高速缓存服务器将查询结果进行缓存,终端在接收到查询结果后。
其中,如果域名是以cn结尾,则服务器组在得到根域服务器返回的地址后,会根据该地址查询cn域服务器并得到查询结果。
下面结合说明书附图对本发明实施例作进一步详细描述。
如图2所示,本发明实施例提供的抵抗DNS攻击的方法,包括:
步骤201、接收终端发送的DNS查询请求。
步骤202、根据域名的优先级和服务器组的对应关系,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组。
其中服务器组有多个,服务器组之间在物理上相互独立,每个服务器组中包括至少一个服务器。
步骤203、将所述DNS查询请求转发至确定的服务器组进行递归查询。
上述步骤201中,首先接收终端发送的DNS查询请求;
上述步骤202中,根据事先存储的域名的优先级和服务器组的对应关系,确定DNS查询请求需要的域名所对应的服务器组,比如域名123.qq.com对应第一服务器组,则确定该DNS查询请求对应的服务器组为第一服务器组;比如域名222.baidu.com对应第三服务器组,则确定该DNS查询请求对应的服务器组为第三服务器组。
其中,服务器组有多个,服务器组之间在物理上相互独立,每个服务器组中包括至少一个服务器。从而可以保证DNS请求可以根据优先级的不同被划分到不同的服务器分组,从而在遭受DNS攻击时,只有被攻击的服务器组上的用户DNS请求遭受影响,而其他的服务器组上的用户则正常进行访问,不受影响,从而可以保证大多数用户的正常上网。
上述步骤203,将DNS查询请求转发至确定的服务器组进行递归查询。
本发明实施例提供的方法,在接收终端发送的DNS查询请求后,根据域名的优先级和服务器组的对应关系,确定DNS查询请求需要查询的域名的优先级对应的服务器组,然后将DNS查询请求转发至确定的服务器组进行递归查询。从而可以实现将DNS查询分散到多个服务器组,由于DNS攻击只是针对少量域名进行攻击,即只有少量服务器遭受攻击,因而可以保证大多数服务器组上的用户的DNS请求可以正常地响应,从而可以保证大部分用户正常上网。
在上述步骤102中,域名的优先级和服务器组的对应关系是预先建立的,在需要用的时候,可以直接查询。
对于域名的优先级和服务器组的对应关系的建立方式有很多种,比如,可以是根据随机划分,并在划分之后建立域名与服务器组的对应关系;或者是根据域名的后缀类型,建立与相应服务器组的对应关系,比如.com后缀的域名划分到第一服务器组,.cn后缀的域名划分到第二服务器组,.cc后缀的域名划分到第三服务器组等。对于域名优先级和服务器组的对应关系的建立方式有很多种,本发明不做具体限制,下面给出一种本发明实施例使用的域名的优先级和服务器组的对应关系的建立方式。
可选地,根据下列方法确定域名的优先级:
根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级。
上述方法,根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级,例如,选定设定时长为一个月,根据这一个月内所有一级域名分别对应的QPS(Query Per Second,每秒查询数),其中,一个一级域名对应的QPS指的是包含该一级域名的所有域名的QPS总和,例如一级域名qq.com对应的QPS指的是以qq.com为后缀的所有域名请求的QPS之和,以qq.com为后缀的域名例如可以是123.qq.com,www.qq.com,tt.qq.com,999.qq.com等等,所有以qq.com为后缀的域名的QPS之和为一级域名qq.com对应的QPS。
上述方法,可以根据设定时长内所有一级域名对应的QPS的排名,来对域名进行优先级的划分,比如可以将排名前10的一级域名以及以排名前10的一级域名为后缀的域名,确定为第一优先级域名,比如,qq.com对应的QPS排名第2,则将qq.com以及以qq.com为后缀的所有域名确定为第一优先级域名,并且建立第一优先级域名与第一服务器组对应关系;比如可以将排名第11-20的一级域名以及以排名第11-20的一级域名为后缀的域名,确定为第二优先级域名,比如,sina.com对应的QPS排名第15,则将sina.com以及以sina.com为后缀的所有域名确定为第二优先级域名,并且建立第二优先级域名与第二服务器组对应关系,以此类推,因而可以根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级,然后根据优先级建立域名与服务器组之间的对应关系。
需要说明的是,上面只是给出了一种示例作为说明,实际应用中,如何确定域名的优先级,以及如何根据确定的域名的优先级建立域名与服务器组之间的对应关系,可视实际需要而定,对此本发明不做限定。
具体地,在实际应用中,根据需要,可以选择服务器组的数量,比如选择服务器组的数量为2,例如一组服务器为高优先级服务器组,另一组服务器为低优先级服务器组,因而只需要将所有的DNS查询请求对应的域名划分为两个优先级域名即可,即可以将域名划分为高优先级域名和低优先级域名。
可选地,根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级,包括:
确定设定时长内所有一级域名分别对应的每秒查询数QPS;
将对应的QPS排名前M的一级域名以及包含该一级域名的所有域名,确定为高优先级域名,M为正整数;
将除高优先级域名之外的所有域名,确定为低优先级域名。
上述方法,将设定时长内所有一级域名对应的QPS排名前M的一级域名一级包含该一级域名的所有域名,确定为高优先级域名,将除高优先级域名之外的所有域名,确定为低优先级域名。
根据对江苏移动固网宽带业务DNS以及手机上网业务DNS的访问日志分析,宽带DNS前100的一级域名的请求量占宽带用户总请求量的81.60%;手机DNS前100的一级域名的请求量占手机用户总请求量的86.73%。由此可粗略地暂将排名前100的一级域名划分为高优先级域名,而将剩余的其它域名划分为低优先级域名,即上述M取值可根据实际需要取值为100,当然也可以是其它值,视实际需要而定。
此外,高优先级域名中除了根据QPS排名较高的域名之外,还可以将一些重点域名,也加入到高优先级域名,比如党政军相关部分域名、重大活动保证域名等。
由于QPS排名较高的域名或者是一些重点域名的归属单位,对DNS攻击的防御能力较强,因此黑客一般也不会选择攻击这些域名,将这些高优先级域名划分到一个高优先级服务器组,可以保证高优先级服务器组上的域名访问用户可以正常上网,不受影响。
上述步骤103中,在确定了接收到的DNS查询请求对应的域名与服务器组之间的对应关系之后,就可以将接收到的DNS查询请求转发至确定的服务器组进行递归查询。服务器组可以通过迭代查询服务器组和相应的授权DNS,获取到查询结果,并将查询结果返回给高速缓存服务器,高速缓存服务器将查询结果返回给终端的用户。
此外,在步骤102中,确定DNS查询请求需要查询的域名的优先级对应的服务器组之后,将接收到的DNS查询请求转发至确定的服务器组进行递归查询之前,还可以进一步地对DNS查询请求对应的域名做安全检测,比如可以确定当前DNS查询请求对应的域名的在某个时间段内的QPS是否超过了一个阈值,从而可以判断该DNS查询请求是否出现了异常,该时间段可以根据实际需要设定,比如设置为5分钟,则每5分钟就对一级域名对应的当前QPS进行一次统计。
下面以服务器组数量为2,即服务器组分为高优先级服务器组合和低优先级服务器组,域名分为高优先级域名和低优先级域名为例进行说明。
可选地,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组之后,还包括:
若所述域名为高优先级域名,且所述域名对应的一级域名的当前QPS大于第一阈值,则发送告警信息;
若所述域名为低优先级域名,且所述域名对应的一级域名的当前QPS大于第二阈值,则丢弃所述DNS查询请求。
上述方法,针对每个DNS查询请求对应的域名,若该域名为高优先级域名,并且判断该域名对应的一级域名的当前QPS大于第一阈值,则可以认为当前域名可能遭受了DNS攻击,由于高优先级域名中一般都是一些比较重要的域名,因此可以发送告警信息,由管理员看到告警信息之后,进行手动排除DNS攻击,比如禁用域名访问,或者是暂停域名访问,或者是不做任何处理,等待DNS攻击停止等。如果DNS查询请求对应的域名为低优先级域名,并且判断该域名对应的一级域名的当前QPS大于第二阈值,则可以认为当前域名可能遭受了DNS攻击,由于低优先级域名中一般都是一般非重要的域名,因此可以简单将DNS查询请求进行丢弃即可,等到DNS攻击结束,再恢复该域名的DNS查询请求。
上述方法,在对域名进行优先级的划分之后,进一步地做了域名安全防护,主要是根据DNS查询请求对应的域名的一级域名的当前QPS是否超过了阈值来确定的。
对于上述第一阈值和第二阈值的确定的方法,有很多种,例如可以根据实际经验,给第一阈值确定一个固定的常量,给第二阈值确定一个固定的常量,当然也可以是根据其他方法来确定第一阈值和第二阈值,下面给出一种本发明实施例使用的第一阈值和第二阈值的确定方法。
可选地,根据下列方式确定所述第一阈值:
将QPS值最大的高优先级域名对应的峰值QPS,作为所述第一阈值;
根据下列方式确定所述第二阈值:
将QPS值最小的高优先级域名对应的峰值QPS,作为所述第二阈值。
上述方法,将QPS值最大的高优先级域名对应的峰值QPS作为所述第一阈值,将QPS值最小的高优先级域名对应的峰值QPS作为所述第二阈值。例如高优先级域名为QPS值排名前100的域名,假设QPS值排名第1的域名是baidu.com,则将域名baidu.com对应的峰值QPS作为第一阈值,峰值QPS指的是域名在设定时长内的所有单位时长内的最大QPS,例如,设定时长可以是一天,单位时长为5分钟,则在一天时长内,每5分钟统计一次域名baidu.com的QPS,并将一天内所有的每5分钟统计一次的QPS进行比较,将其中最大的QPS值作为峰值QPS,例如当天11:55-12:00这5分钟内的QPS值是一天中最大值,则将该5分钟的QPS值作为当天QPS峰值,该方法将QPS值最大的高优先级域名对应的峰值QPS作为第一阈值,若某个域名的QPS大于该第一阈值,则表明该域名很有可能被攻击,因此该方法可以准确地判断某个域名是否遭受DNS攻击。
对于第二阈值,是将QPS值最小的高优先级域名对应的峰值QPS,例如高优先级域名为QPS值排名前100的域名,假设QPS值排名第100的域名是google.com,则将域名google.com对应的峰值QPS作为第二阈值,例如,设定时长可以是一天,单位时长为5分钟,则在一天时长内,每5分钟统计一次域名google.com的QPS,并将一天内所有的每5分钟统计一次的QPS进行比较,将其中最大的QPS值作为峰值QPS,例如当天13:05-13:10这5分钟内的QPS值是一天中最大值,则将该5分钟的QPS值作为域名google.com的当天QPS峰值,该方法将QPS值最大的高优先级域名对应的峰值QPS作为第二阈值,若某个域名的QPS大于该第二阈值,则表明该域名很有可能被攻击,因此该方法可以准确地判断某个域名是否遭受DNS攻击。该确定第一阈值和第二阈值的方法,可以准确地确定一个DNS查询请求对应的域名是否是遭受DNS攻击。
需要说明的是,上述设定时长可以是一天,也可以是一小时,单位时长可以是5分钟,也可以是1分钟,对此不作限定,视实际需要而设定。
下面对本发明实施例提供的抵抗DNS攻击的方法做详细描述,如图3所示,为本发明实施例提供的抵抗DNS攻击的方法详细流程图。
其中,以服务器组的数量为2,域名分为高优先级域名和低优先级域名为例进行说明。
步骤301、接收终端的域名DNS查询请求;
步骤302、判断高速缓存服务器中是否存在该域名的查询结果,若是,转到步骤310,若否,则转到步骤303;
步骤303、判断该域名是否为高优先级域名,若是,则转到步骤304,否则转到步骤307;
步骤304、判断该域名对应的以及域名的当前QPS是否大于第一阈值,若是,则转到步骤305,否则转到步骤306;
步骤305、触发告警,通知管理员对被攻击的域名进行相应处理;
步骤306、转发该域名至高优先级服务器组处理DNS查询请求;
步骤307、判断该域名对应的一级域名的当前QPS是否大于第二阈值,若是则转到步骤308,否则转到步骤309;
步骤308、丢弃该域名对应的DNS查询请求;
步骤309、转发该域名至低优先级服务器组处理DNS查询请求;
步骤310、高速缓存服务器返回查询结果。
基于相同的技术构思,本发明实施例还提供一种抵抗DNS攻击的装置。本发明实施例提供的抵抗DNS攻击的装置如图4所示,其中,该装置可以是高速缓存服务器中的一部分,也可以是一个独立的实体装置。
接收单元401,用于接收终端发送的DNS查询请求;
确定单元402,用于根据域名的优先级和服务器组的对应关系,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组,其中服务器组有多个,服务器组之间在物理上相互独立,每个服务器组中包括至少一个服务器;
转发单元403,用于将所述DNS查询请求转发至确定的服务器组进行递归查询。
可选地,所述确定单元402,还用于:
根据下列方法确定域名的优先级:
根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级。
可选地,所述确定单元402,还用于:
确定设定时长内所有一级域名分别对应的每秒查询数QPS;
将对应的QPS排名前M的一级域名以及包含该一级域名的所有域名,确定为高优先级域名,M为正整数;
将除高优先级域名之外的所有域名,确定为低优先级域名。
可选地,所述确定单元402,还用于:
确定所述DNS查询请求需要查询的域名的优先级对应的服务器组之后,若所述域名为高优先级域名,且所述域名对应的一级域名的当前QPS大于第一阈值,则发送告警信息;
若所述域名为低优先级域名,且所述域名对应的一级域名的当前QPS大于第二阈值,则丢弃所述DNS查询请求。
可选地,所述确定单元402,还用于:
根据下列方式确定所述第一阈值:
将QPS值最大的高优先级域名对应的峰值QPS,作为所述第一阈值;
根据下列方式确定所述第二阈值:
将QPS值最小的高优先级域名对应的峰值QPS,作为所述第二阈值。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种抵抗域名解析系统DNS攻击的方法,其特征在于,包括:
接收终端发送的DNS查询请求;
根据域名的优先级和服务器组的对应关系,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组,其中服务器组有多个,服务器组之间在物理上相互独立,每个服务器组中包括至少一个服务器;
将所述DNS查询请求转发至确定的服务器组进行递归查询。
2.如权利要求1所述的方法,其特征在于,根据下列方法确定域名的优先级:
根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级。
3.如权利要求2所述的方法,其特征在于,根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级,包括:
确定设定时长内所有一级域名分别对应的每秒查询数QPS;
将对应的QPS排名前M的一级域名以及包含该一级域名的所有域名,确定为高优先级域名,M为正整数;
将除高优先级域名之外的所有域名,确定为低优先级域名。
4.如权利要求3所述的方法,其特征在于,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组之后,还包括:
若所述域名为高优先级域名,且所述域名对应的一级域名的当前QPS大于第一阈值,则发送告警信息;
若所述域名为低优先级域名,且所述域名对应的一级域名的当前QPS大于第二阈值,则丢弃所述DNS查询请求。
5.如权利要求4所述的方法,其特征在于,根据下列方式确定所述第一阈值:
将QPS值最大的高优先级域名对应的峰值QPS,作为所述第一阈值;
根据下列方式确定所述第二阈值:
将QPS值最小的高优先级域名对应的峰值QPS,作为所述第二阈值。
6.一种抵抗域名解析系统DNS攻击的装置,其特征在于,包括:
接收单元,用于接收终端发送的DNS查询请求;
确定单元,用于根据域名的优先级和服务器组的对应关系,确定所述DNS查询请求需要查询的域名的优先级对应的服务器组,其中服务器组有多个,服务器组之间在物理上相互独立,每个服务器组中包括至少一个服务器;
转发单元,用于将所述DNS查询请求转发至确定的服务器组进行递归查询。
7.如权利要求6所述的装置,其特征在于,所述确定单元,还用于:
根据下列方法确定域名的优先级:
根据设定时长内所有一级域名分别对应的每秒查询数QPS,将所有域名划分为多个优先级。
8.如权利要求7所述的装置,其特征在于,所述确定单元,还用于:
确定设定时长内所有一级域名分别对应的每秒查询数QPS;
将对应的QPS排名前M的一级域名以及包含该一级域名的所有域名,确定为高优先级域名,M为正整数;
将除高优先级域名之外的所有域名,确定为低优先级域名。
9.如权利要求8所述的装置,其特征在于,所述确定单元,还用于:
确定所述DNS查询请求需要查询的域名的优先级对应的服务器组之后,若所述域名为高优先级域名,且所述域名对应的一级域名的当前QPS大于第一阈值,则发送告警信息;
若所述域名为低优先级域名,且所述域名对应的一级域名的当前QPS大于第二阈值,则丢弃所述DNS查询请求。
10.如权利要求9所述的装置,其特征在于,所述确定单元,还用于:
根据下列方式确定所述第一阈值:
将QPS值最大的高优先级域名对应的峰值QPS,作为所述第一阈值;
根据下列方式确定所述第二阈值:
将QPS值最小的高优先级域名对应的峰值QPS,作为所述第二阈值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510945813.2A CN106888192A (zh) | 2015-12-16 | 2015-12-16 | 一种抵抗dns攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510945813.2A CN106888192A (zh) | 2015-12-16 | 2015-12-16 | 一种抵抗dns攻击的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106888192A true CN106888192A (zh) | 2017-06-23 |
Family
ID=59176240
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510945813.2A Pending CN106888192A (zh) | 2015-12-16 | 2015-12-16 | 一种抵抗dns攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106888192A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110022319A (zh) * | 2019-04-03 | 2019-07-16 | 北京奇安信科技有限公司 | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 |
CN112632485A (zh) * | 2021-01-04 | 2021-04-09 | 中国电子信息产业集团有限公司第六研究所 | 一种基于dns系统的权限管控方法及系统 |
CN112769969A (zh) * | 2019-11-05 | 2021-05-07 | 中盈优创资讯科技有限公司 | Dns递归差异化服务方法、设备及系统 |
CN115967582A (zh) * | 2023-03-10 | 2023-04-14 | 中国信息通信研究院 | 工业互联网节点的监控方法和装置、设备和介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101945041A (zh) * | 2010-09-02 | 2011-01-12 | 中国科学院计算机网络信息中心 | 权威服务器负载均衡的方法、设备及系统 |
CN103501358A (zh) * | 2013-09-18 | 2014-01-08 | 北京蓝汛通信技术有限责任公司 | 一种域名托管管理方法及装置 |
CN103685599A (zh) * | 2013-12-09 | 2014-03-26 | 中国科学院计算机网络信息中心 | 一种域名递归服务的预判干预方法 |
CN104144165A (zh) * | 2014-08-11 | 2014-11-12 | 互联网域名系统北京市工程研究中心有限公司 | 一种抗dns死域攻击的缓存方法及系统 |
CN104202344A (zh) * | 2014-09-28 | 2014-12-10 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对DNS服务防DDoS攻击的方法及装置 |
-
2015
- 2015-12-16 CN CN201510945813.2A patent/CN106888192A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101945041A (zh) * | 2010-09-02 | 2011-01-12 | 中国科学院计算机网络信息中心 | 权威服务器负载均衡的方法、设备及系统 |
CN103501358A (zh) * | 2013-09-18 | 2014-01-08 | 北京蓝汛通信技术有限责任公司 | 一种域名托管管理方法及装置 |
CN103685599A (zh) * | 2013-12-09 | 2014-03-26 | 中国科学院计算机网络信息中心 | 一种域名递归服务的预判干预方法 |
CN104144165A (zh) * | 2014-08-11 | 2014-11-12 | 互联网域名系统北京市工程研究中心有限公司 | 一种抗dns死域攻击的缓存方法及系统 |
CN104202344A (zh) * | 2014-09-28 | 2014-12-10 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对DNS服务防DDoS攻击的方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110022319A (zh) * | 2019-04-03 | 2019-07-16 | 北京奇安信科技有限公司 | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 |
CN110022319B (zh) * | 2019-04-03 | 2020-10-30 | 奇安信科技集团股份有限公司 | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 |
CN112769969A (zh) * | 2019-11-05 | 2021-05-07 | 中盈优创资讯科技有限公司 | Dns递归差异化服务方法、设备及系统 |
CN112769969B (zh) * | 2019-11-05 | 2023-03-28 | 中盈优创资讯科技有限公司 | Dns递归差异化服务方法、设备及系统 |
CN112632485A (zh) * | 2021-01-04 | 2021-04-09 | 中国电子信息产业集团有限公司第六研究所 | 一种基于dns系统的权限管控方法及系统 |
CN115967582A (zh) * | 2023-03-10 | 2023-04-14 | 中国信息通信研究院 | 工业互联网节点的监控方法和装置、设备和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057404B2 (en) | Method and apparatus for defending against DNS attack, and storage medium | |
CN103152357B (zh) | 一种针对dns服务的防御方法、装置和系统 | |
US10764320B2 (en) | Structuring data and pre-compiled exception list engines and internet protocol threat prevention | |
EP3557844B1 (en) | Rule-based network-threat detection | |
CN104506525B (zh) | 防止恶意抓取的方法和防护装置 | |
Passerini et al. | Fluxor: Detecting and monitoring fast-flux service networks | |
CN105939337B (zh) | Dns缓存投毒的防护方法及装置 | |
JP5878501B2 (ja) | 動的に構成されるネットワークにおいて端末を防御する方法およびシステム | |
CN110071941B (zh) | 一种网络攻击检测方法、设备、存储介质及计算机设备 | |
WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
US9300684B2 (en) | Methods and systems for statistical aberrant behavior detection of time-series data | |
CN106888192A (zh) | 一种抵抗dns攻击的方法及装置 | |
WO2020037781A1 (zh) | 一种实现服务器防攻击方法及装置 | |
CN107426241A (zh) | 一种网络安全防护的方法及装置 | |
CN106357628A (zh) | 攻击的防御方法及装置 | |
CN106550056A (zh) | 一种域名解析方法及装置 | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
CN106470193A (zh) | 一种DNS递归服务器抗DoS、DDoS攻击的方法及装置 | |
US11658995B1 (en) | Methods for dynamically mitigating network attacks and devices thereof | |
CN112839005A (zh) | Dns域名异常访问监控方法及装置 | |
Yang et al. | A study on low-rate DDoS attacks in real networks | |
CN111031048A (zh) | 一种dns劫持防御方法 | |
US20110219440A1 (en) | Application-level denial-of-service attack protection | |
Sharma et al. | Detection of ARP Spoofing: A command line execution method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170623 |
|
RJ01 | Rejection of invention patent application after publication |