CN107404496A - 一种基于HTTP DNS的DDoS攻击防御及溯源方法 - Google Patents
一种基于HTTP DNS的DDoS攻击防御及溯源方法 Download PDFInfo
- Publication number
- CN107404496A CN107404496A CN201710791270.2A CN201710791270A CN107404496A CN 107404496 A CN107404496 A CN 107404496A CN 201710791270 A CN201710791270 A CN 201710791270A CN 107404496 A CN107404496 A CN 107404496A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- http dns
- address
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Abstract
本发明提供了一种基于HTTP DNS的DDoS攻击防御及溯源方法,包括以下步骤:步骤1:客户端通过HTTP DNS向服务器HTTP DNS server发起域名解析请求;步骤2:获取客户端的IP地址,以均分的方式分配后台服务器地址,记录客户端IP地址与分配的后台服务器地址的映射关系;步骤3:防御DDoS攻击防御并溯源。本发明在攻击到来时,无需大量资源进行防御,迅速通过HTTP DNS切走流量;经过有限次迭代处理,可以迅速发现可疑攻击者并阻断攻击;针对攻击者IP定位准确,极大地减少了合法客户端IP的误拦和误报。
Description
技术领域
本发明涉及DDoS攻击防御技术领域,具体是一种基于HTTP DNS的DDoS攻击防御及溯源方法。
背景技术
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
传统的DDoS防御专注于资源的对抗,通过提供大量的带宽以及服务器资源来抵御DDoS攻击,消弱攻击带来的影响。其存在以下不足:1)传统的DDoS防御需要提供足够的资源来抵御DDoS的攻击,成本高昂;2)传统DDoS攻击溯源时,因为肉鸡直接进行攻击,攻击者隐藏在肉鸡背后,最终溯源到是肉鸡,给溯源带来比较大的阻力。
HTTP DNS:基于文本传输协议的域名解析系统。
HTTP DNS server:基于文本传输协议实现的域名解析系统的服务器端。
黑洞IP:一个特殊的IP地址,发送到该IP地址的报文直接被丢弃。
发明内容
本发明所要解决的技术问题是提供一种基于HTTP DNS的DDoS攻击防御及溯源方法,在HTTP DNS的基础上实现DDoS攻击的防御并溯源,HTTP DNS可以准确的获取客户端的真实IP地址,对于DDoS攻击的防御尤其是溯源提供了便利。
为解决上述技术问题,本发明采用的技术方案是:
一种基于HTTP DNS的DDoS攻击防御及溯源方法,包括以下步骤:
步骤1:客户端通过HTTP DNS向服务器HTTP DNS server发起域名解析请求;
步骤2:服务器HTTP DNS server接受客户端的请求后,进行以下处理:a、获取客户端的IP地址;b、以均分的方式分配后台服务器地址;c、记录步骤a中客户端IP地址与步骤b中分配的后台服务器地址的映射关系;
步骤3:攻击到来时,后台服务器进行以下处理:
d、找到被攻击的后台服务器;e、通过步骤c中记录的映射关系,找到被攻击后台服务器对应的客户端IP地址的集合;f、在HTTP DNS server中更新步骤e中IP集合对应的解析,将集合中的IP的解析均匀地分配到其他后台服务器上;
g、更新步骤c中的映射关系,只记录步骤f中产生的映射关系;h、当前被攻击的服务器不再处理业务请求;i、等待攻击的目标后台服务器变化后,继续从步骤d开始处理,直至在步骤g中获得的映射关系中的客户端IP数量小于指定的值;
j、在HTTP DNS server中更新步骤i获得的所有客户端IP对应的解析为黑洞IP,实现防御;k、在步骤i得到的客户端IP为可疑攻击者。
进一步的,在步骤i中,指定的值由整个系统配置指定,或者动态调整。
与现有技术相比,本发明的有益效果是:在攻击到来时,无需大量资源进行防御,迅速通过HTTP DNS切走流量;经过有限次迭代处理,可以迅速发现可疑攻击者并阻断攻击;针对攻击者IP定位准确,极大地减少了合法客户端IP的误拦和误报。
附图说明
图1是本发明一种基于HTTP DNS的DDoS攻击防御及溯源方法流程示意图。
具体实施方式
下面通过附图和具体实施方式对本发明作进一步详细的说明。
本发明通过HTTP DNS获取可疑攻击者的IP地址范围,通过多次迭代的方式,不断缩小IP范围,最后将攻击者的IP地址缩小到一个很小的范围内,从而实现对攻击者溯源,针对溯源后的攻击,通过黑洞IP的方式,阻断攻击。详述如下:
1、客户端通过HTTP DNS向服务器HTTP DNS server发起域名解析请求。
2、服务器HTTP DNS server接受客户端的请求后,执行以下操作:
a、获取客户端的IP地址;
b、以均分的方式分配后台服务器地址;
c、记录步骤a中客户端IP地址与步骤b中分配的后台服务器地址的映射关系。
3、攻击到来时,后台服务器执行以下操作:
d、找到被攻击的后台服务器;
e、通过步骤c中记录的映射关系,找到被攻击后台服务器对应的客户端IP地址的集合;
f、在HTTP DNS server中更新步骤e中IP集合对应的解析,将集合中的IP的解析均匀的分配到其他的后台服务器上;
g、更新步骤c中的映射关系,只记录步骤f中产生的映射关系;
h、当前被攻击的服务器不再处理业务请求;
i、等待攻击的目标后台服务器变化后,继续从步骤d开始处理,直至在步骤g中获得的映射关系中的客户端IP数量小于指定的值(该值由整个系统配置指定,可以动态调整);
j、在HTTP DNS server中更新步骤i获得的所有客户端IP对应的解析为黑洞IP,实现防御;
k、在步骤i得到的客户端IP为可疑攻击者。
本发明方法在HTTP DNS的基础上实现DDoS攻击的防御并溯源,HTTP DNS可以准确的获取客户端的真实IP地址,对于DDoS攻击的防御尤其是溯源提供了便利。
Claims (2)
1.一种基于HTTP DNS的DDoS攻击防御及溯源方法,其特征在于,包括以下步骤:
步骤1:客户端通过HTTP DNS向服务器HTTP DNS server发起域名解析请求;
步骤2:服务器HTTP DNS server接受客户端的请求后,进行以下处理:a、获取客户端的IP地址;b、以均分的方式分配后台服务器地址;c、记录步骤a中客户端IP地址与步骤b中分配的后台服务器地址的映射关系;
步骤3:攻击到来时,后台服务器进行以下处理:
d、找到被攻击的后台服务器;e、通过步骤c中记录的映射关系,找到被攻击后台服务器对应的客户端IP地址的集合;f、在HTTP DNS server中更新步骤e中IP集合对应的解析,将集合中的IP的解析均匀地分配到其他后台服务器上;
g、更新步骤c中的映射关系,只记录步骤f中产生的映射关系;h、当前被攻击的服务器不再处理业务请求;i、等待攻击的目标后台服务器变化后,继续从步骤d开始处理,直至在步骤g中获得的映射关系中的客户端IP数量小于指定的值;
j、在HTTP DNS server中更新步骤i获得的所有客户端IP对应的解析为黑洞IP,实现防御;k、在步骤i得到的客户端IP为可疑攻击者。
2.如权利要求1所述的一种基于HTTP DNS的DDoS攻击防御及溯源方法,其特征在于,在步骤i中,指定的值由整个系统配置指定,或者动态调整。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710791270.2A CN107404496A (zh) | 2017-09-05 | 2017-09-05 | 一种基于HTTP DNS的DDoS攻击防御及溯源方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710791270.2A CN107404496A (zh) | 2017-09-05 | 2017-09-05 | 一种基于HTTP DNS的DDoS攻击防御及溯源方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107404496A true CN107404496A (zh) | 2017-11-28 |
Family
ID=60397371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710791270.2A Pending CN107404496A (zh) | 2017-09-05 | 2017-09-05 | 一种基于HTTP DNS的DDoS攻击防御及溯源方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107404496A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200274897A1 (en) * | 2019-02-21 | 2020-08-27 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Method and apparatus for processing data |
| CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100138921A1 (en) * | 2008-12-02 | 2010-06-03 | Cdnetworks Co., Ltd. | Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101924776A (zh) * | 2010-09-16 | 2010-12-22 | 网宿科技股份有限公司 | 域名解析服务器的抵御dns请求报文泛洪攻击的方法和系统 |
| CN102624716A (zh) * | 2012-03-01 | 2012-08-01 | 上海交通大学 | 一种dns拒绝服务攻击的防御方法及装置 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
-
2017
- 2017-09-05 CN CN201710791270.2A patent/CN107404496A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100138921A1 (en) * | 2008-12-02 | 2010-06-03 | Cdnetworks Co., Ltd. | Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network |
| CN101841533A (zh) * | 2010-03-19 | 2010-09-22 | 中国科学院计算机网络信息中心 | 分布式拒绝服务攻击检测方法和装置 |
| CN101924776A (zh) * | 2010-09-16 | 2010-12-22 | 网宿科技股份有限公司 | 域名解析服务器的抵御dns请求报文泛洪攻击的方法和系统 |
| CN102624716A (zh) * | 2012-03-01 | 2012-08-01 | 上海交通大学 | 一种dns拒绝服务攻击的防御方法及装置 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200274897A1 (en) * | 2019-02-21 | 2020-08-27 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Method and apparatus for processing data |
| CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Behal et al. | Characterization and Comparison of DDoS Attack Tools and Traffic Generators: A Review. | |
| Stone-Gross et al. | Your botnet is my botnet: analysis of a botnet takeover | |
| Abu Rajab et al. | A multifaceted approach to understanding the botnet phenomenon | |
| US8370407B1 (en) | Systems providing a network resource address reputation service | |
| US20120173710A1 (en) | Systems, apparatus, and methods for network data analysis | |
| Herzberg et al. | Vulnerable delegation of DNS resolution | |
| Arukonda et al. | The innocent perpetrators: reflectors and reflection attacks | |
| US11627157B2 (en) | Method and system for detecting and mitigating a denial of service attack | |
| CN110324295A (zh) | 一种域名系统泛洪攻击的防御方法和装置 | |
| Chen et al. | A self-learning worm using importance scanning | |
| US20200259861A1 (en) | Identifying and classifying community attacks | |
| Csubák et al. | Big data testbed for network attack detection | |
| CN106487807A (zh) | 一种域名解析的防护方法和装置 | |
| CN104158799A (zh) | 一种基于url动态映射的http ddos防御方法 | |
| CN107404496A (zh) | 一种基于HTTP DNS的DDoS攻击防御及溯源方法 | |
| KR101528928B1 (ko) | 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법 | |
| KR101072981B1 (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
| Udhani et al. | Human vs bots: Detecting human attacks in a honeypot environment | |
| Asha et al. | Analysis on botnet detection techniques | |
| CN108667782B (zh) | 一种用于DNS服务的DDoS攻击防御方法及系统 | |
| WO2012134563A1 (en) | Systems, apparatus, and methods for network data analysis | |
| Zunnurhain | Fapa: a model to prevent flooding attacks in clouds | |
| Zheng et al. | A new worm exploiting IPv4-IPv6 dual-stack networks | |
| CN108521413A (zh) | 一种未来信息战争的网络抵抗和防御方法及系统 | |
| Bhatia | Detecting distributed denial-of-service attacks and flash events |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171128 |