CN107508840A - 一种基于DNS Proxy的监控DNS域名遭受攻击的方法 - Google Patents

一种基于DNS Proxy的监控DNS域名遭受攻击的方法 Download PDF

Info

Publication number
CN107508840A
CN107508840A CN201710904048.9A CN201710904048A CN107508840A CN 107508840 A CN107508840 A CN 107508840A CN 201710904048 A CN201710904048 A CN 201710904048A CN 107508840 A CN107508840 A CN 107508840A
Authority
CN
China
Prior art keywords
domain name
dns
dns request
domain
rms
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710904048.9A
Other languages
English (en)
Other versions
CN107508840B (zh
Inventor
余丽
黄文浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fiberhome Telecommunication Technologies Co Ltd
Original Assignee
Fiberhome Telecommunication Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fiberhome Telecommunication Technologies Co Ltd filed Critical Fiberhome Telecommunication Technologies Co Ltd
Priority to CN201710904048.9A priority Critical patent/CN107508840B/zh
Publication of CN107508840A publication Critical patent/CN107508840A/zh
Application granted granted Critical
Publication of CN107508840B publication Critical patent/CN107508840B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于DNS Proxy的监控DNS域名遭受攻击的方法,包括:RMS向家庭网关设备下发对特定域名进行监控的操作的配置给家庭网关设备;家庭网关收到RMS下发的配置后发消息通知DNS Proxy进程;DNS Proxy进程根据配置信息初始化监控特定域名的相关数据,并开始监控特定域名的DNS请求数量是否超过对应的阈值,将超过阈值的域名以及对应的家庭网关相关信息以告警形式上报给RMS;RMS分析超过阈值的DNS请求是否为正常访问,将不正常访问的域名发送给家庭网关;家庭网关的DNS Proxy进程对不正常访问的DNS请求直接丢弃。本发明可以避免DNS域名遭受攻击造成网路瘫痪,且易于操作和实现,保证网络高性能,有很好的重用性。

Description

一种基于DNS Proxy的监控DNS域名遭受攻击的方法
技术领域
本发明涉及接入网通信技术,具体涉及一种基于DNS Proxy的监控DNS域名遭受攻击的方法。
背景技术
著名的暴风门事件是发生于2009年5月19日的一次大范围网络故障事件。这次故障的起因在于北京暴风科技公司拥有的域名BAOFENG.COM的DNS被人恶意大流量攻击,承担DNSPOD.COM网络接入的电信运营商断掉了其网络服务,使其成为导致整个网络瘫痪的第一个骨牌。
由于DNSPOD.COM被人恶意大流量攻击,承担DNSPOD.COM网络接入的电信运营商断掉其网络服务,导致其无法为包括BAOFENG.COM在内的域名提供域名解析服务,诸多采用DNSPOD服务的网站无法访问。根据域名系统的解析原理,本地域名服务器有地址缓存,超千万的暴风影音安装用户,仅需在本地网络接入服务商处就可查找到BAOFENG.COM的解析地址,解析出暴风影音的网站,由于解析暴风影音的域名服务器无法访问导致安装了暴风影音软件的用户PC产生的巨量域名请求拥塞了为这些用户提供服务的各地电信运营商的本地域名服务器,导致多个省份的本地域名服务器出现故障甚至无法提供正常服务从而最终导致网络瘫痪。
由于当前的很多客户端软件安装后会不停地发送域名请求,直到解析出网站域名为止,为避免类似暴风门事件再次发生,急需可以对DNS域名遭受攻击进行监控的有效方案,以避免其遭受攻击时造成网路瘫痪。
发明内容
本发明所要解决的技术问题是设计一种可以对DNS域名遭受攻击进行监控的有效方案,以避免DNS域名遭受攻击造成网路瘫痪的问题。
为了解决上述技术问题,本发明所采用的技术方案是提供一种基于DNS Proxy的监控DNS域名遭受攻击的方法,包括以下步骤:
步骤S10、RMS向家庭网关设备下发对特定域名进行监控的操作的配置给家庭网关设备;
步骤S20、家庭网关收到RMS下发的配置后发消息通知DNS Proxy进程;
步骤S30、DNS Proxy进程根据配置信息初始化监控特定域名的相关数据,并开始监控特定域名的DNS请求数量是否超过对应的阈值,将超过阈值的域名以及对应的家庭网关相关信息以告警形式上报给RMS;
步骤S40、RMS分析超过阈值的DNS请求是否为正常访问,将不正常访问的域名发送给家庭网关;
步骤S50、家庭网关的DNS Proxy进程对不正常访问的DNS请求直接丢弃。
在上述方法中,在步骤10中,RMS向家庭网关设备下发的对特定域名进行监控的操作的配置包括:
InternetGatewayDevice.X_CT,DNS限速配置,最大支持16条记录;
Domain,域名域的DNS请求数量阈值配置,设置格式为“m1/n1,m2/n2……”,其中,“m”为限速的一级域名域,值为“ALL”表示对所有DNS域进行限速,值为“NULL”则表示不对任何DNS域进行限速;“n”为相对于所设域名域家庭网关每分钟许可正常处理的DNS请求数量阈值;
HgwInfo,家庭网关WAN侧IP地址及MAC地址,格式为“IP|MAC”;
DeviceInfo,当有域名域的DNS请求超过阈值时,记录与超过阈值DNS请求相关的越限域名域的源设备的IP地址及MAC地址,格式为“m1/IP1/MAC1,m1/IP2/MAC2……”;
LimitAction,越限控制策略,具体为:
当发现有新的域名域超过DNS请求数量阈值时,取值“Alert”,家庭网关向RMS上报域名超限消息X CT-COM DNSLIMITALERT:事件携带InternetGatewayDevice.X_CT-COM_DNSSpeedLimit.Domain、HgwInfo和DeviceInfo参数;
当超出DNS请求阈值的DNS请求为不正常访问时,取值“Drop”,直接丢弃超出DNS请求阈值的DNS请求。
在上述方法中,“m”值缺省默认其值为“NULL”;“n”值缺省默认值为1200次/分钟。
在上述方法中,当不正常访问的域名故障解除后,对RMS下发的针对特定域名进行监控操作的配置进行清除。
在上述方法中,步骤S30具体包括以下步骤:
步骤S31、DNS Proxy根据配置信息对其定义特定域名的相关数据进行初始化,并重新读取需要监控的相关列表,写入内存的相关链表中;
步骤S32、DNS Proxy轮询定时器链表,判断是否存在一个或者多个定时器超时,如果超时,执行步骤S33;否则,执行步骤S34;
步骤S33、DNS Proxy调用定时器超时回调函数,执行步骤S34;
步骤S34、判断收到的DNS请求的超阈值告警上报标识Quit_flag是否为false,如果是,执行步骤S35,否则,执行退出循环;
步骤S35、DNS Proxy判断收到的DNS请求是否需要监控,如果需要监控,执行步骤S36;否则,执行步骤S311;
步骤S36、判断是否第一次接收到该监控域名的DNS请求,若是,执行步骤S37;否则,执行步骤S38;
步骤S37、开启该域名的监控模式,启动该域名对应的定时器,计数器加1,执行步骤S39;
步骤S38、计数器加1;
步骤S39、判断该监控域名的DNS请求数量是否超过对应的阈值,若未超过,执行步骤S311;否则,执行步骤S310;
步骤S310、向RMS上报告警,并将超阈值告警上报标识Quit_flag置为true,然后执行步骤S311;
步骤S311、转发DNS请求报文。
在上述方法中,初始化监控特定域名的相关数据包括定时器的清零、被监控数据链表的清零、数据统计清零。
在上述方法中,定时器超时回调函数仅对每个域名对应的定时器和计数器进行清零操作,不对超阈值告警上报标识flag进行清除。
本发明具有以下有益效果:
(1)易于操作,全部操作由RMS管理平台下发工单的形式(监控操作配置)下发到用户侧家庭网关之上,无需用户进行任何干预;
(2)易于实现,本发明是通过基于linux系统的DNS Proxy来实现的,只需在DNSProxy中对接收的数据包进行分析处理即可;
(3)高性能,本发明的实现均由用户侧接入网关来实现,从而很好地规避了主干路的网络设备,对于大量DNS数据进行分析处理而引起的性能压力以及网络流量大压力;
(4)可重用性,本发明是主要是利用DNS Proxy来实现的,而接入网络中大部分设备均具备并启用DNS Proxy功能,因而有很好的重用性。
附图说明
图1为本发明提供的一种基于DNS Proxy的监控DNS域名遭受攻击的方法的流程图;
图2为本发明中步骤S30的流程图。
具体实施方式
由于用户侧接入设备如家庭网关一般都有DNS Proxy功能并且启用该功能,因此对于用户客户端发出的DNS请求均会进入到家庭网关(HGU)的DNS Proxy相关程序中进行处理,因此我们可以在DNS Proxy程序中对用户客户端发出的DNS请求进行分析来实现对DNS攻击的监控以及预防处理。
本发明只通过RMS(Remote Monitoring System,远程监控系统)下发对一些常用的特定域名进行监控的操作到家庭网关设备上,而具体的实时监控操作由家庭网关设备来实现。具体为:一旦发现被监控的特定域名有大量域名解析(一秒钟超过多少),家庭网关设备会上报域名超过阈值告警给RMS,由RMS来分析以及上报的发生异常的家庭网关设备相关信息以及域名解析量异常数据是否为正常访问。当RMS管理员认为该数据异常不是正常访问的时候,可以下发操作给家庭网关设备,让其对某些域名的处理不再转发而是直接丢弃。由此避免当某个网站DNS受攻击后产生巨量域名解析请求,使本地域名解析服务器无法承受,导致本地域名解析服务器发生故障。
下面结合说明书附图和具体实施例对本发明做出详细的说明。
如图1所示,本发明提供的一种基于DNS Proxy的监控DNS域名遭受攻击的方法,包括以下步骤:
步骤S10、RMS向家庭网关设备下发对特定域名进行监控的操作的配置给家庭网关设备。
在本发明中,RMS向家庭网关设备下发对特定域名进行监控的操作的配置(如表1所示)包括:
InternetGatewayDevice.X_CT,DNS限速配置,最大支持16条记录;
Domain,域名域的DNS请求数量阈值配置,设置格式为“m1/n1,m2/n2……”,其中,“m”为限速的一级域名域,如“sttri.com”,值为“ALL”表示对所有DNS域进行限速,值为“NULL”则表示不对任何DNS域进行限速,“m”值缺省默认其值为“NULL”;“n”为相对于所设域名域家庭网关每分钟许可正常处理的DNS请求数量阈值,“n”值缺省默认值为1200次/分钟;
LimitAction,越限控制策略,具体为:
当发现有新的域名域超过DNS请求数量阈值时,取值“Alert”,家庭网关向RMS上报域名超限消息X CT-COM DNSLIMITALERT:事件携带InternetGatewayDevice.X_CT-COM_DNSSpeedLimit.Domain、HgwInfo和DeviceInfo参数,即用户访问的域名、家庭网关信息(WAN IP和MAC)、域名解析请求的下挂设备信息;
当超出DNS请求阈值的DNS请求为不正常访问时,取值“Drop”,直接丢弃超出DNS请求阈值的DNS请求(无需向RMS告警);
HgwInfo,家庭网关WAN侧IP地址及MAC地址,格式为“IP|MAC”;
DeviceInfo,当有域名域的DNS请求超过阈值时,记录与超过阈值DNS请求相关的越限域名域的源设备的IP地址及MAC地址,格式为“m1/IP1/MAC1,m1/IP2/MAC2……”,其中,“IP1/MAC1”为域名域“m1”对应的第一台源设备的IP地址及MAC地址,“IP2/MAC2”为域名域“m1”对应的第二台源设备的IP地址及MAC地址。
表1:RMS向家庭网关设备下发对特定域名进行监控的操作的配置表。
步骤S20、家庭网关收到RMS下发的配置后发消息通知DNS Proxy进程;
步骤S30、DNS Proxy进程根据配置信息初始化监控特定域名的相关数据,并开始监控特定域名的域名解析请求数量是否超过对应的阈值,将超过阈值的域名以及对应的家庭网关相关信息以告警形式上报给RMS;
步骤S40、RMS分析超过阈值的是否为正常访问,将不正常访问的域名发送给家庭网关;
步骤S50、家庭网关的DNS Proxy进程对不正常访问的域名解析请求不再转发,直接丢弃。
在本发明中,当不正常访问的域名故障解除后,进行配置清除,由于进行异常域名查询之前RMS平台下发过DROP的配置,家庭网关对于用户的该域名不再进行正常解析;当故障解除后RMS平台要删除掉该丢弃规则配置,使家庭网关能够对该域名解析进行正常解析。
在本发明中,步骤S30主要为DNS Proxy进程对DNS请求的处理过程,该过程为本发明的核心部分,如图2所示,步骤S30具体包括以下步骤:
步骤S31、DNS Proxy根据配置信息对其定义特定域名的相关数据进行初始化,并重新读取需要监控的相关列表,写入内存的相关链表中。
在本发明中,初始化监控特定域名的相关数据包括定时器的清零、被监控数据链表的清零、数据统计清零等等。
步骤S32、DNS Proxy轮询定时器链表,判断是否存在一个或者多个定时器超时,如果超时,执行步骤S33;否则,执行步骤S34。
步骤S33、DNS Proxy调用定时器超时回调函数,执行步骤S34。
步骤S34、DNS Proxy不停的接收或者发送DNS请求以及响应,当收到DNS请求时,判断超阈值告警上报标识Quit_flag是否为false,如果是,执行步骤S35,否则,执行退出循环,以免重复上报大量的告警。
步骤S35、DNS Proxy应用程序对收到的DNS请求进行分析,判断收到的DNS请求是否需要监控,如果需要监控,执行步骤S36;否则,执行步骤S311。
步骤S36、判断是否第一次接收到该监控域名的DNS请求,若是第一次收到该监控域名的DNS请求,执行步骤S37;否则,执行步骤S38。
步骤S37、开启该域名的监控模式,启动该域名对应的定时器(超时时间为1分钟),计数器加1,执行步骤S39。
步骤S38、计数器加1。
步骤S39、判断该监控域名DNS请求是否超过对应的阈值,若未超过,执行步骤S311;否则,执行步骤S310。
步骤S310、若达到阈值则进行相关action处理,即向RMS上报告警或者对DNS请求直接丢弃不再转发,并将超阈值告警上报标识Quit_flag置为true,然后执行步骤S311。
步骤S311、转发DNS请求报文。
在本发明中,定时器超时回调函数用于对统计数据(每个域名对应的定时器和计数器)进行清零操作,但为避免RMS平台收到大量告警而造成数据处理压力,对于DNS请求次数超过阈值的告警仅上报一次,后续无需上报,因此超阈值告警上报标识flag无需清除。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (7)

1.一种基于DNS Proxy的监控DNS域名遭受攻击的方法,其特征在于,包括以下步骤:
步骤S10、RMS向家庭网关设备下发对特定域名进行监控操作的配置给家庭网关设备;
步骤S20、家庭网关收到RMS下发的配置后发消息通知DNS Proxy进程;
步骤S30、DNS Proxy进程根据配置信息初始化监控特定域名的相关数据,并开始监控特定域名的DNS请求数量是否超过对应的阈值,将超过阈值的域名以及对应的家庭网关相关信息以告警形式上报给RMS;
步骤S40、RMS分析超过阈值的DNS请求是否为正常访问,将不正常访问的域名发送给家庭网关;
步骤S50、家庭网关的DNS Proxy进程对不正常访问的DNS请求直接丢弃。
2.如权利要求1所述的方法,其特征在于,在步骤10中,RMS向家庭网关设备下发的对特定域名进行监控的操作的配置包括:
InternetGatewayDevice.X_CT,DNS限速配置,最大支持16条记录;
Domain,域名域的DNS请求数量阈值配置,设置格式为“m1/n1,m2/n2……”,其中,“m”为限速的一级域名域,值为“ALL”表示对所有DNS域进行限速,值为“NULL”则表示不对任何DNS域进行限速;“n”为相对于所设域名域家庭网关每分钟许可正常处理的DNS请求数量阈值;
HgwInfo,家庭网关WAN侧IP地址及MAC地址,格式为“IP|MAC”;
DeviceInfo,当有域名域的DNS请求超过阈值时,记录与超过阈值DNS请求相关的越限域名域的源设备的IP地址及MAC地址,格式为“m1/IP1/MAC1,m1/IP2/MAC2……”;
LimitAction,越限控制策略,具体为:
当发现有新的域名域超过DNS请求数量阈值时,取值“Alert”,家庭网关向RMS上报域名超限消息X CT-COM DNSLIMITALERT:事件携带InternetGatewayDevice.X_CT-COM_DNSSpeedLimit.Domain、HgwInfo和DeviceInfo参数;
当超出DNS请求阈值的DNS请求为不正常访问时,取值“Drop”,直接丢弃超出DNS请求阈值的DNS请求。
3.如权利要求2所述的方法,其特征在于,“m”值缺省默认其值为“NULL”;“n”值缺省默认值为1200次/分钟。
4.如权利要求1所述的方法,其特征在于,当不正常访问的域名故障解除后,对RMS下发的针对特定域名进行监控操作的配置进行清除。
5.如权利要求1所述的方法,其特征在于,步骤S30具体包括以下步骤:
步骤S31、DNS Proxy根据配置信息对其定义特定域名的相关数据进行初始化,并重新读取需要监控的相关列表,写入内存的相关链表中;
步骤S32、DNS Proxy轮询定时器链表,判断是否存在一个或者多个定时器超时,如果超时,执行步骤S33;否则,执行步骤S34;
步骤S33、DNS Proxy调用定时器超时回调函数,执行步骤S34;
步骤S34、判断收到的DNS请求的超阈值告警上报标识Quit_flag是否为false,如果是,执行步骤S35,否则,执行退出循环;
步骤S35、DNS Proxy判断收到的DNS请求是否需要监控,如果需要监控,执行步骤S36;否则,执行步骤S311;
步骤S36、判断是否第一次接收到该监控域名的DNS请求,若是,执行步骤S37;否则,执行步骤S38;
步骤S37、开启该域名的监控模式,启动该域名对应的定时器,计数器加1,执行步骤S39;
步骤S38、计数器加1;
步骤S39、判断该监控域名的DNS请求数量是否超过对应的阈值,若未超过,执行步骤S311;否则,执行步骤S310;
步骤S310、向RMS上报告警,并将超阈值告警上报标识Quit_flag置为true,然后执行步骤S311;
步骤S311、转发DNS请求报文。
6.如权利要求5所述的方法,其特征在于,初始化监控特定域名的相关数据包括定时器的清零、被监控数据链表的清零、数据统计清零。
7.如权利要求5所述的方法,其特征在于,定时器超时回调函数仅对每个域名对应的定时器和计数器进行清零操作,不对超阈值告警上报标识flag进行清除。
CN201710904048.9A 2017-09-29 2017-09-29 一种基于DNS Proxy的监控DNS域名遭受攻击的方法 Active CN107508840B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710904048.9A CN107508840B (zh) 2017-09-29 2017-09-29 一种基于DNS Proxy的监控DNS域名遭受攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710904048.9A CN107508840B (zh) 2017-09-29 2017-09-29 一种基于DNS Proxy的监控DNS域名遭受攻击的方法

Publications (2)

Publication Number Publication Date
CN107508840A true CN107508840A (zh) 2017-12-22
CN107508840B CN107508840B (zh) 2020-01-07

Family

ID=60700203

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710904048.9A Active CN107508840B (zh) 2017-09-29 2017-09-29 一种基于DNS Proxy的监控DNS域名遭受攻击的方法

Country Status (1)

Country Link
CN (1) CN107508840B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109889511A (zh) * 2019-01-31 2019-06-14 中国人民解放军61660部队 进程dns活动监控方法、设备及介质
CN112333168A (zh) * 2020-10-27 2021-02-05 杭州安恒信息技术股份有限公司 一种攻击识别方法、装置、设备及计算机可读存储介质
CN113014455A (zh) * 2021-03-15 2021-06-22 读书郎教育科技有限公司 一种监控网络请求频繁的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141422A (zh) * 2007-10-26 2008-03-12 中国电信股份有限公司 一种访问家庭网关的方法和系统以及家庭网关
CN101789940A (zh) * 2010-01-28 2010-07-28 联想网御科技(北京)有限公司 一种防范dns请求报文洪泛攻击的方法及装置
CN102143143A (zh) * 2010-10-15 2011-08-03 华为数字技术有限公司 一种网络攻击的防护方法、装置及路由器
CN103957195A (zh) * 2014-04-04 2014-07-30 上海聚流软件科技有限公司 Dns系统以及dns攻击的防御方法和防御装置
US20170111389A1 (en) * 2015-10-18 2017-04-20 NxLabs Limited Method and system for protecting domain name system servers against distributed denial of service attacks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141422A (zh) * 2007-10-26 2008-03-12 中国电信股份有限公司 一种访问家庭网关的方法和系统以及家庭网关
CN101789940A (zh) * 2010-01-28 2010-07-28 联想网御科技(北京)有限公司 一种防范dns请求报文洪泛攻击的方法及装置
CN102143143A (zh) * 2010-10-15 2011-08-03 华为数字技术有限公司 一种网络攻击的防护方法、装置及路由器
CN103957195A (zh) * 2014-04-04 2014-07-30 上海聚流软件科技有限公司 Dns系统以及dns攻击的防御方法和防御装置
US20170111389A1 (en) * 2015-10-18 2017-04-20 NxLabs Limited Method and system for protecting domain name system servers against distributed denial of service attacks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
丁超: ""DNS攻击检测技术研究"", 《中国优秀硕士学位论文全文数据库-信息科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109889511A (zh) * 2019-01-31 2019-06-14 中国人民解放军61660部队 进程dns活动监控方法、设备及介质
CN109889511B (zh) * 2019-01-31 2021-10-01 中国人民解放军61660部队 进程dns活动监控方法、设备及介质
CN112333168A (zh) * 2020-10-27 2021-02-05 杭州安恒信息技术股份有限公司 一种攻击识别方法、装置、设备及计算机可读存储介质
CN113014455A (zh) * 2021-03-15 2021-06-22 读书郎教育科技有限公司 一种监控网络请求频繁的方法
CN113014455B (zh) * 2021-03-15 2022-05-10 读书郎教育科技有限公司 一种监控网络请求频繁的方法

Also Published As

Publication number Publication date
CN107508840B (zh) 2020-01-07

Similar Documents

Publication Publication Date Title
US8245300B2 (en) System and method for ARP anti-spoofing security
WO2021008028A1 (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US8972571B2 (en) System and method for correlating network identities and addresses
EP1723745B1 (en) Isolation approach for network users associated with elevated risk
AU2004282937B2 (en) Policy-based network security management
CN101170515B (zh) 一种处理报文的方法、系统和网关设备
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
CN105827599A (zh) 一种基于dns报文深度解析的缓存中毒检测方法及装置
CN107360198B (zh) 可疑域名检测方法及系统
CN108111548A (zh) 一种域名系统攻击检测方法、装置及系统
CN107508840A (zh) 一种基于DNS Proxy的监控DNS域名遭受攻击的方法
CN108270778A (zh) 一种dns域名异常访问检测方法及装置
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
US9961163B2 (en) Method and system for notifying subscriber devices in ISP networks
Deri et al. Monitoring networks using ntop
Kato et al. A real-time intrusion detection system (IDS) for large scale networks and its evaluations
CN112003862B (zh) 终端安全防护方法、装置、系统及存储介质
CN109889619B (zh) 基于区块链的异常域名监测方法及装置
CN107786496A (zh) 针对局域网arp表项欺骗攻击的预警方法及装置
Deri et al. Practical network security: experiences with ntop
Numan et al. Detection and mitigation of ARP storm attacks using software defined networks
Kim et al. Active edge-tagging (ACT): An intruder identification and isolation scheme in active networks
Chowdhury et al. eyedns: Monitoring a university campus network
Chindipha et al. Effectiveness of Sampling a Small Sized Network Telescope in Internet Background Radiation Data Collection
Shimada et al. Implementation of MQTT/CoAP Honeypots and Analysis of Observed Data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant