CN107786539A - 一种基于dns进行防cc攻击的方法 - Google Patents
一种基于dns进行防cc攻击的方法 Download PDFInfo
- Publication number
- CN107786539A CN107786539A CN201710854025.1A CN201710854025A CN107786539A CN 107786539 A CN107786539 A CN 107786539A CN 201710854025 A CN201710854025 A CN 201710854025A CN 107786539 A CN107786539 A CN 107786539A
- Authority
- CN
- China
- Prior art keywords
- dns
- address
- server
- user
- malice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全领域,旨在提供一种基于DNS进行防CC攻击的方法。该种基于DNS进行防CC攻击的方法,是在该权威DNS服务器上收到用户IP的DNS查询请求后,在DNS域名解析过程中加入步骤:将攻击IP列表加入到权威DNS服务器的黑名单,若进行DNS查询的用户IP在黑名单中,该用户IP为恶意IP,则不将目标服务器的IP地址返回给该恶意IP,返回给该恶意IP的是和目标服务器的IP地址不相关的地址。本发明将无关的IP返回给攻击源后,实现防御任意流量的CC攻击;同时DNS请求的数量相当小,对DNS服务器基本不会有额外开销。
Description
技术领域
本发明是关于网络安全领域,特别涉及一种基于DNS进行防CC攻击的方法。
背景技术
HTTP CC是一种针对应用层为HTTP协议的DDoS攻击,目的是消耗web服务器的系统资源,使其无法正常提供web服务。对于CC攻击,通常采用的是ISP近源清洗、云清洗、本地安全网关防CC的纵深防御体系,对恶意流量进行逐层次过滤,达到对CC攻击的防护和抑制。但CC攻击只能缓解而不能完全防御,因为不论是ISP近源清洗,云清洗,或者是在OS/AP的网络层处理,都需要去识别攻击流量。
在攻击流量足够大时,单单识别攻击流量所消耗的系统资源,都足以使防护设备无法应对,从而放过攻击流量,导致web服务器遭受攻击。我们如何在纵深防御体系进行加强,以更大程度上缓解CC攻击,市场前景看好。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种能作为现有HTTP CC纵深防护体系的一个扩展,且能利用较小的系统计算资源从根本上完成大量的HTTP CC攻击防护的方法。为解决上述技术问题,本发明的解决方案是:
提供一种基于DNS进行防CC攻击的方法,当用户IP发起对目标服务器的访问前,须先向权威DNS服务器发起DNS查询,用于获取目标服务器的IP地址,所述基于DNS进行防CC攻击的方法具体是指:在该权威DNS服务器上收到用户IP的DNS查询请求后,在DNS域名解析过程中加入下述步骤:
将攻击IP列表加入到权威DNS服务器的黑名单,若进行DNS查询的用户IP在黑名单中,该用户IP为恶意IP,则不将目标服务器的IP地址返回给该恶意IP,返回给该恶意IP的是和目标服务器的IP地址不相关的地址(即对中识别为恶意IP的查询请求,将域名解析结果重写成一个确认不危害公网的IP地址,比如私有IP,环回IP地址等,即返回的重写的IP地址并非实际的WEB服务器IP地址,这些恶意IP的攻击流量就再也不会发送到期望的攻击目标);
所述攻击IP列表中是访问速率异常或者集中访问某些页面的源IP(作为一套完整的防御DDOS解决方案的一部分,总会在被保护的WEB服务器前部署安全网关,即部署在本地的安全网关;安全网关通常都会具有防CC功能模块,在本地安全网关处会进行CC防护,安全网关使用一些基于源IP访问web服务器的诸如访问速率、访问某个页面的集中程度等行为可以判定该IP是否为正常用户;访问速率异常或者集中访问某些页面的源IP即可被列入攻击IP列表)。
在本发明中,所述权威DNS服务器还内置有第三方IP地址库,来识别源IP(用户IP)的区域位置,实现只允许特定区域的用户访问,丢弃其他区域用户的非法访问;
所述第三方IP地址库中包含每个IP地址的区域位置,从而能用于识别源IP的区域位置(可采用ipip.net地址库、淘宝IP地址库或者百度IP地址库等第三方IP地址库实现)。
提供一种权威DNS服务器,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
在该权威DNS服务器上收到用户IP的DNS查询请求后,在DNS域名解析过程中加入下述步骤:
将攻击IP列表加入到权威DNS服务器的黑名单,若进行DNS查询的用户IP在黑名单中,该用户IP为恶意IP,则不将目标服务器的IP地址返回给该恶意IP,返回给该恶意IP的是和目标服务器的IP地址不相关的地址(即对中识别为恶意IP的查询请求,将域名解析结果重写成一个确认不危害公网的IP地址,比如私有IP,环回IP地址等,即返回的重写的IP地址并非实际的WEB服务器IP地址,这些恶意IP的攻击流量就再也不会发送到期望的攻击目标);
所述攻击IP列表中是访问速率异常或者集中访问某些页面的源IP(作为一套完整的防御DDOS解决方案的一部分,总会在被保护的WEB服务器前部署安全网关,即部署在本地的安全网关;安全网关通常都会具有防CC功能模块,在本地安全网关处会进行CC防护,安全网关使用一些基于源IP访问web服务器的诸如访问速率、访问某个页面的集中程度等行为可以判定该IP是否为正常用户;访问速率异常或者集中访问某些页面的源IP即可被列入攻击IP列表)。
本发明的工作原理:攻击源在进行HTTP CC攻击时,必须首先通过DNS的A记录查询来获取被攻击目标站点的IP地址,查询请求最终会被转发到该条A记录的权威服务器上。权威服务器可以是我们自主研发的DNS服务器,在该DNS服务器上通过对攻击源IP的识别,当识别为攻击IP时则不进行常规的A记录应答,将A记录中目标域名所对应的IP地址重写为一个和web服务器无关的IP地址,从而使攻击者的HTTP CC攻击失去目标,达到防御HTTP CC的目的。
与现有技术相比,本发明的有益效果是:
本发明将无关的IP返回给攻击源后,再大流量的HTTP CC攻击流量都将失去目标,无法达到web服务器,也就谈不上对web服务器构成威胁,理论上此种情况可以防御任意流量的CC攻击;同时DNS请求的数量相当小,对DNS服务器基本不会有额外开销。
附图说明
图1为添加了本发明作为扩展的HTTP CC纵深防护体系示意图。
具体实施方式
下面结合附图与具体实施方式对本发明作进一步详细描述:
一次web服务器的访问发起,用户必须要获取目标服务器的IP地址,所以用户首先需要发起DNS查询。
一种基于DNS进行防CC攻击的方法,其实施位置就是在权威DNS服务器上,通过在DNS服务器上重写A记录应答,来完成防御HTTP CC攻击。具体通过在在常规DNS域名解析过程中加入如下两个步骤实现:1)用户IP的识别;2)对于识别为恶意IP的查询请求,将域名解析结果重写成一个确认不危害公网的IP地址,如私有IP,环回IP地址等。
上述两个步骤中,步骤2)逻辑比较简单,现重点描述步骤1)的实现方法。对于用户IP的识别通过如下方法实现:
1、根据本文开始描述的CC防护是一个系统工程,在本地安全网关处会进行CC防护,安全网关使用一些基于源IP访问web服务器的诸如访问速率、访问某个页面的集中程度等行为可以判定该IP是否为正常用户,通过此处可以获取攻击IP的列表,将该IP列表加入到DNS服务器的黑名单后,这些恶意用户在后续的DNS请求查询时,将不会获得真实的web服务器,返回给恶意用户的是我们特定的一些和真实web服务器不相关的地址,这些恶意用户的攻击流量就再也不会发送到期望的攻击目标。
2、通过内置第三方IP地址库,来识别源IP的区域位置,实现只允许特定区域的用户访问,丢弃其他区域用户的非法访问。这对一些站点的使用群体固定为某些区域时很有用。比如某些中小学或地方政府网站,如果收到大量国外用户的访问,此时我们基本可以判定是一些恶意访问。在DNS服务器上,根据请求源IP的区域信息就可以阻断这些用户的访问,达到CC防护的目的。
在本发明中,所述权威DNS服务器是我们自主研发的DNS服务器,能进行攻击源IP识别。
如图1所示添加了本发明作为扩展的HTTP CC纵深防护体系,除左上角的虚线框外的其他流程是通常的防CC攻击包括其他DDOS攻击的标准流程。我们可以看到,在采用通常的防CC攻击标准流程中,攻击者B的攻击流量如愿以偿的发送到了网络里边。通过完善DNS服务器上的攻击IP列表可以解决此类攻击问题。
而左上角虚线框中的流程是在原有CC纵深防御体系外的一个扩展,即本发明的内容。该扩展将攻击者A成功识别为攻击用户,通过回应一个unknown的IP地址,将该用户的请求牵引到一个未知位置,或者一个不通的网络,从而使该攻击不扩散到网络中,起到CC防护的作用。从此处我们可以看到防护系统基本不用额外开销就起到了CC防护的作用。
在总体上看该扩展可以在基本不增加额外系统开销的情况下,在某些情况下(大量区域位置明显的肉鸡)可以显著的减少攻击流量。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (3)
1.一种基于DNS进行防CC攻击的方法,当用户IP发起对目标服务器的访问前,须先向权威DNS服务器发起DNS查询,用于获取目标服务器的IP地址,其特征在于,所述基于DNS进行防CC攻击的方法具体是指:在该权威DNS服务器上收到用户IP的DNS查询请求后,在DNS域名解析过程中加入下述步骤:
将攻击IP列表加入到权威DNS服务器的黑名单,若进行DNS查询的用户IP在黑名单中,该用户IP为恶意IP,则不将目标服务器的IP地址返回给该恶意IP,返回给该恶意IP的是和目标服务器的IP地址不相关的地址;
所述攻击IP列表中是访问速率异常或者集中访问某些页面的源IP。
2.根据权利要求1所述的一种基于DNS进行防CC攻击的方法,其特征在于,所述权威DNS服务器还内置有第三方IP地址库,来识别源IP的区域位置,实现只允许特定区域的用户访问,丢弃其他区域用户的非法访问;
所述第三方IP地址库中包含每个IP地址的区域位置,从而能用于识别源IP的区域位置。
3.一种权威DNS服务器,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
在该权威DNS服务器上收到用户IP的DNS查询请求后,在DNS域名解析过程中加入下述步骤:
将攻击IP列表加入到权威DNS服务器的黑名单,若进行DNS查询的用户IP在黑名单中,该用户IP为恶意IP,则不将目标服务器的IP地址返回给该恶意IP,返回给该恶意IP的是和目标服务器的IP地址不相关的地址;
所述攻击IP列表中是访问速率异常或者集中访问某些页面的源IP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710854025.1A CN107786539A (zh) | 2017-09-20 | 2017-09-20 | 一种基于dns进行防cc攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710854025.1A CN107786539A (zh) | 2017-09-20 | 2017-09-20 | 一种基于dns进行防cc攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107786539A true CN107786539A (zh) | 2018-03-09 |
Family
ID=61438077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710854025.1A Pending CN107786539A (zh) | 2017-09-20 | 2017-09-20 | 一种基于dns进行防cc攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107786539A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109936560A (zh) * | 2018-12-27 | 2019-06-25 | 上海银行股份有限公司 | 恶意软件防护方法及装置 |
| CN110677379A (zh) * | 2018-07-02 | 2020-01-10 | 瞻博网络公司 | 用于阻止、检测和/或防止恶意流量的方法和设备 |
| CN110809010A (zh) * | 2020-01-08 | 2020-02-18 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
| CN113660275A (zh) * | 2021-08-18 | 2021-11-16 | 中国电信股份有限公司 | 域名系统请求的处理方法、装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| CN104917779A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 一种基于云的cc攻击的防护方法、装置及系统 |
| CN104967628A (zh) * | 2015-07-16 | 2015-10-07 | 浙江大学 | 一种保护web应用安全的诱骗方法 |
| CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
| US20160278001A1 (en) * | 2015-03-19 | 2016-09-22 | Sangfor Technologies Company Limited | Communication method, wireless access point, wireless controller and communication system |
| CN106789983A (zh) * | 2016-12-08 | 2017-05-31 | 北京安普诺信息技术有限公司 | 一种cc攻击防御方法及其防御系统 |
-
2017
- 2017-09-20 CN CN201710854025.1A patent/CN107786539A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105024969A (zh) * | 2014-04-17 | 2015-11-04 | 北京启明星辰信息安全技术有限公司 | 一种实现恶意域名识别的方法及装置 |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| US20160278001A1 (en) * | 2015-03-19 | 2016-09-22 | Sangfor Technologies Company Limited | Communication method, wireless access point, wireless controller and communication system |
| CN104917779A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 一种基于云的cc攻击的防护方法、装置及系统 |
| CN104967628A (zh) * | 2015-07-16 | 2015-10-07 | 浙江大学 | 一种保护web应用安全的诱骗方法 |
| CN106789983A (zh) * | 2016-12-08 | 2017-05-31 | 北京安普诺信息技术有限公司 | 一种cc攻击防御方法及其防御系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110677379A (zh) * | 2018-07-02 | 2020-01-10 | 瞻博网络公司 | 用于阻止、检测和/或防止恶意流量的方法和设备 |
| US11895116B2 (en) | 2018-07-02 | 2024-02-06 | Juniper Networks, Inc. | Methods and devices for blocking, detecting, and/or preventing malicious traffic |
| CN109936560A (zh) * | 2018-12-27 | 2019-06-25 | 上海银行股份有限公司 | 恶意软件防护方法及装置 |
| CN110809010A (zh) * | 2020-01-08 | 2020-02-18 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
| CN113660275A (zh) * | 2021-08-18 | 2021-11-16 | 中国电信股份有限公司 | 域名系统请求的处理方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10375110B2 (en) | Luring attackers towards deception servers | |
| US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
| WO2015158193A1 (zh) | 提供根域名解析服务的方法和系统 | |
| EP2715522B1 (en) | Using dns communications to filter domain names | |
| CN107786539A (zh) | 一种基于dns进行防cc攻击的方法 | |
| CN106101104A (zh) | 一种基于域名解析的恶意域名检测方法及系统 | |
| CN107872456A (zh) | 网络入侵防御方法、装置、系统及计算机可读存储介质 | |
| CN105991595A (zh) | 网络安全防护方法及装置 | |
| EP3570504B1 (en) | Attack countermeasure determination device, attack countermeasure determination method, and attack countermeasure determination program | |
| Winter et al. | How china is blocking tor | |
| WO2017067443A1 (zh) | 一种安全域名系统及其故障处理方法 | |
| CN107770198A (zh) | 一种基于区块链的dns反劫持系统及方法 | |
| CN110324295A (zh) | 一种域名系统泛洪攻击的防御方法和装置 | |
| Shipley et al. | Investigating internet crimes: an introduction to solving crimes in cyberspace | |
| CN105610851A (zh) | 防御分布式拒绝服务攻击的方法及系统 | |
| CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
| Shue et al. | On building inexpensive network capabilities | |
| CN103747005B (zh) | Dns缓存投毒的防护方法和设备 | |
| Saalbach | Attribution of cyber attacks | |
| CN110177103B (zh) | 一种基于网页地址转换的动态web安全防护方法与系统 | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| CN108667782B (zh) | 一种用于DNS服务的DDoS攻击防御方法及系统 | |
| US10320784B1 (en) | Methods for utilizing fingerprinting to manage network security and devices thereof | |
| CN102325132B (zh) | 一种系统层安全dns防护方法 | |
| CN111031048A (zh) | 一种dns劫持防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180309 |