CN108092940B - 一种dns的防护方法及相关设备 - Google Patents
一种dns的防护方法及相关设备 Download PDFInfo
- Publication number
- CN108092940B CN108092940B CN201611042517.2A CN201611042517A CN108092940B CN 108092940 B CN108092940 B CN 108092940B CN 201611042517 A CN201611042517 A CN 201611042517A CN 108092940 B CN108092940 B CN 108092940B
- Authority
- CN
- China
- Prior art keywords
- dns
- qps
- data
- qps data
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明实施例公开了一种DNS的防护方法及相关设备,本发明实施例方法包括:管理设备向服务域名解析服务器DNS发送监控任务;管理设备接收服务DNS发送的监控数据,监控数据包括目标QPS数据和目标QPS数据对应的目标访问来源IP,目标QPS数据是由服务DNS根据监控任务监控的QPS数据大于阈值的数据;管理设备根据目标QPS数据确定防攻击策略;管理设备根据防攻击策略将目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。本发明实施例还提供了一种管理设备和域名解析服务器。本发明实施例中,引导目标访问来源IP的攻击流量切换至备用DNS,实现了目标访问来源IP攻击行为的隔离。
Description
技术领域
本发明涉及一种计算机网络安全领域,尤其涉及一种DNS的防护方法及相关设备。
背景技术
域名解析是网络访问过程中最重要的环节之一,域名解析服务器(Domain NameServer,缩写:DNS)主要功能为将域名转换为网络可识别的IP。由于DNS具有业务重要、安全性低的特点,近年来越来越多的DDOS攻击把目标对准DNS。如何有效防御DNS的DDOS攻击成为网络服务的重要工作。当前为了防止网络拥塞,DNS通常采用边缘化架构,该边缘化架构指通过将域名NS记录实现将DNS服务器推向网络边缘,即不同区域的DNS请求会访问到不同的DNS服务器。
当前基于DNS边缘架构防止DDOS攻击的方法为:监控单台DNS请求的每秒查询率(Queries Per Second,缩写:QPS),当QPS大于预先设置的阀值,则启动流量清洗策略,将超过阀值的请求包丢弃,起到保护正常服务的效果。
现有技术中,当攻击流量大于网络上联带宽或DNS的处理能力时,防御策略会完全失效,DNS的服务将不可用。若攻击来源集中在某一个区域,攻击流量大于上联带宽或者服务器处理能力时,DNS边缘化结构中至少一个DNS完全不可用。当攻击流量来自于各个区域时,DNS边缘化架构中的每台DNS服务器都会受到攻击,此时当攻击流量大于网络上联带宽或服务器处理能力时,防御策略会完全失效,DNS的服务将不可用。
发明内容
本发明实施例提供了一种DNS的防护方法及相关设备,用于使目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS,实现了目标访问来源IP攻击行为的隔离。
第一方面,本发明实施例提供了一种DNS的防护方法,包括:
管理设备向服务域名解析服务器DNS发送监控任务;
所述管理设备接收所述服务DNS发送的监控数据,所述监控数据包括目标QPS数据和所述目标QPS数据对应的目标访问来源IP,所述目标QPS数据是由所述服务DNS根据所述监控任务监控QPS数据中大于阈值的数据;
所述管理设备根据所述目标QPS数据确定防攻击策略;
所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
在一种可能的实现方式中,所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,包括:
所述管理设备将所述备用DNS的IP向所述目标访问来源IP发送。
在一种可能的实现方式中,所述管理设备根据所述目标QPS数据确定防攻击策略,包括:
所述管理设备根据所述目标QPS数据和映射关系表确定攻击类型,所述QPS数据与所述攻击类型具有映射关系表;
所述管理设备根据所述攻击类型确定防攻击策略。
在一种可能的实现方式中,所述管理设备中包括黑名单,所述黑名单指向备用DNS,所述管理设备根据所述攻击类型确定防攻击策略包括:
若所述攻击类型为集中攻击,则所述管理设备确定启动所述黑名单;
所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,包括:
所述管理设备将所述目标访问来源IP加入所述黑名单中;
所述管理设备接收DNS访问请求;
所述管理设备判断所述DNS访问请求对应的来源IP是否属于所述黑名单,若是,则所述管理设备将所述DNS访问请求路由至所述备用DNS。
在一种可能的实现方式中,所述管理设备包括黑名单和白名单,所述黑名单指向备用DNS,所述白名单用于覆盖所述被服务的IP,所述白名单指向服务DNS,所述管理设备根据所述攻击类型确定防攻击策略包括:
若所述攻击类型包括集中攻击和全网分散攻击,则所述管理设备确定启动所述白名单和所述黑名单;
所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,包括:
所述管理设备将所述目标访问来源IP从所述白名单中剔除,并加入黑名单中;
所述管理设备接收DNS访问请求;
所述管理设备判断所述DNS访问请求对应的来源IP是否属于所述白名单,若不属于白名单,则所述管理设备判断所述来源IP是否属于黑名单,若属于黑名单,则所述管理设备将所述DNS访问请求路由至所述备用DNS。
在一种可能的实现方式中,所述QPS数据包括访问IP对应的QPS数据,域名对应的QPS数据和指定协议包对应的QPS数据。
第二方面,本发明实施例提供了一种DNS的防护方法,包括:
服务域名解析服务器DNS接收管理设备发送的监控任务;
所述服务DNS根据所述监控任务监控QPS数据;
所述服务DNS判断所述QPS数据是否超过阈值,若是,则所述服务DNS确定所述QPS数据中超过阈值的目标QPS数据,及与所述目标QPS数据对应的目标访问来源IP;
所述服务DNS根据所述目标QPS数据和所述目标访问来源IP生成监控数据;
所述服务DNS向所述管理设备发送所述监控数据,所述监控数据用于指示所述管理设备根据所述目标QPS数据确定防攻击策略;根据所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
在一种可能的实现方式中,所述服务DNS接收管理设备发送的监控任务包括:
所述DNS周期性的接收管理设备发送的监控任务,所述监控任务中包括QPS数据的阈值;
所述DNS根据所述监控任务监控QPS数据,包括:
所述DNS根据所述监控任务周期性的监控所述QPS数据,所述QPS数据包括访问IP对应的QPS数据,域名对应的QPS数据和指定协议包对应的QPS数据,每种类型的QPS数据均具有对应的阈值。
第三方面,本发明实施例提供了一种管理设备,包括:
发送模块,用于向服务DNS发送监控任务;
第一接收模块,用于接收所述服务DNS发送的监控数据,所述监控数据包括目标QPS数据和所述目标QPS数据对应的目标访问来源IP,所述目标QPS数据是由所述服务DNS根据所述监控任务监控QPS数据,确定所述QPS数据中大于阈值的数据;
策略确定模块,用于根据所述第一接收模块接收的所述目标QPS数据确定防攻击策略;
处理模块,用于根据所述策略确定模块确定的所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
在一种可能的实现方式中,还包括:发送模块;
所述发送模块,所述管理设备将所述备用DNS的IP向所述目标访问来源IP发送。
在一种可能的实现方式中,所述策略确定模块包括:类型确定单元和策略确定单元;
所述类型确定单元,用于根据所述接收模块接收的所述目标QPS数据和映射关系表确定攻击类型,所述QPS数据与所述攻击类型具有映射关系表;
所述策略确定单元,用于根据所述类型确定单元确定的所述攻击类型确定防攻击策略。
在一种可能的实现方式中,所述管理设备中包括黑名单,所述黑名单指向备用DNS,所述处理模块还包括:判断模块和第二接收模块;
所述策略确定单元,还用于当所述类型确定单元确定攻击类型为集中攻击时,确定启动所述黑名单;
所述处理模块,还用于将所述接收模块接收的所述监控数据中的所述目标访问来源IP加入所述黑名单中;
所述第二接收模块,用于接收DNS访问请求;
所述判断模块,用于判断所述第二接收模块接收的所述DNS访问请求对应的来源IP是否属于所述黑名单;
所述处理模块,还用于当所述判断模块确定所述DNS访问请求对应的来源IP属于所述黑名单,将所述DNS访问请求路由至所述备用DNS。
在一种可能的实现方式中,所述管理设备包括黑名单和白名单,所述黑名单指向备用DNS,所述白名单用于覆盖所述被服务的IP,所述白名单指向服务DNS,所述管理设备还包括第二接收模块和判断模块;所述策略确定单元,还用于当所述类型确定单元确定所述攻击类型包括集中攻击和全网分散攻击时,确定启动所述白名单和所述黑名单;
所述处理模块,还用于将所述目标访问来源IP从所述白名单中剔除,并加入黑名单中;
所述第二接收模块,用于接收DNS访问请求;
所述判断模块,用于判断所述接收模块接收的所述DNS访问请求对应的来源IP是否属于所述白名单,若不属于白名单,则继续判断所述来源IP是否属于黑名单,
所述处理模块,还用于当所述判断模块确定所述来源IP属于黑名单时,则所将所述DNS访问请求路由至所述备用DNS。
在一种可能的实现方式中,所述QPS数据包括访问IP对应的QPS数据,域名对应的QPS数据和指定协议包对应的QPS数据。
第四方面,本发明实施例提供了一种域名解析服务器,包括:
接收模块,用于接收管理设备发送的监控任务;
监控模块,用于根据所述接收模块接收的所述监控任务监控QPS数据;
判断模块,用于判断所述QPS数据是否超过阈值;
确定模块,用于确定所述QPS数据中超过阈值的目标QPS数据,及与所述目标QPS数据对应的目标访问来源IP;
生成模块,用于根据所述确定模块确定的所述目标QPS数据和所述目标访问来源IP生成监控数据;
发送模块,用于向所述管理设备发送所述生成模块生成的所述监控数据,所述监控数据用于指示所述管理设备根据所述目标QPS数据确定防攻击策略;根据所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
在一种可能的实现方式中,所述接收模块,还用于周期性的接收管理设备发送的监控任务,所述监控任务中包括QPS数据的阈值;
所述监控模块,还用于周期性的监控所述QPS数据,所述QPS数据包括访问IP对应的QPS数据,域名对应的QPS数据和指定协议包对应的QPS数据,每种类型的QPS数据均具有对应的阈值。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,管理设备根据接收DNS反馈的监控数据,监控数据包括目标QPS数据和目标访问来源IP。其中,目标QPS数据为大于阈值的数据,那么,目标QPS数据对应的目标访问来源IP可能为攻击方IP。该管理设备根据目标QPS数据确定目标访问来源IP是否为攻击方IP,并进一步确定攻击类型,管理设备根据攻击类型确定出对应的防攻击策略,管理设备根据所述防攻击策略将目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS,实现了目标访问来源IP攻击行为的隔离。
附图说明
图1为本发明实施例中的一种DNS的防护方法的一个实施例示意图;
图2为本发明实施例中的一种DNS的防护方法的另一个实施例示意图;
图3为本发明实施例中的一种管理设备的一个实施例示意图;
图4为本发明实施例中的一种管理设备的另一个实施例示意图;
图5为本发明实施例中的一种管理设备的另一个实施例示意图;
图6为本发明实施例中的一种管理设备的另一个实施例示意图;
图7为本发明实施例中的一种域名解析服务器的一个实施例示意图。
具体实施方式
本发明实施例提供了一种DNS的防护方法及相关设备,用于使目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS,实现了目标访问来源IP攻击行为的隔离。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供了一种DNS的防护方法,该DNS的防护方法应用于一种防护系统,该防护系统包括服务DNS,管理设备和备用DNS,这里的服务DNS为正常进行域名解析的DNS。
管理设备向服务DNS发送监控任务,服务DNS根据所述监控任务监控QPS数据,确定出所述QPS数据中大于阈值的目标QPS数据,并确定出该目标QPS数据对应的目标访问来源IP,该目标访问来源IP可能为攻击方。然后,服务DNS向管理设备发送监控数据,该监控数据包括目标QPS数据和目标访问来源IP。
所述管理设备接收所述服务DNS发送的监控数据,所述管理设备根据所述目标QPS数据确定防攻击策略,所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。该备用DNS可以理解为非服务的DNS,该备用DNS也可以理解为防攻击的DNS,管理设备将攻击流量切换至备用DNS保证服务DNS可以正常工作。
需要说明的是,该管理设备的功能可以由多个设备共同完成,也可以将多个设备的功能进行集成,由一个设备来完成,在实际应用中,管理设备的具体布设方式根据实际需求而定,本发明不限定是由一个集成的设备还是多个设备来执行管理设备的功能。本发明实施例中,该管理设备为一个集成设备为例进行说明。请参阅图1所示,本发明实施例中一种DNS的防护方法的一个实施例包括:
步骤101、管理设备向服务DNS发送监控任务。
管理设备根据服务DNS IP列表和人工配置的监控参数组合监控任务,该管理设备根据该服务DNS IP列表周期性的向各个服务DNS下发该监控任务。该服务DNS IP列表可以为该管理设备中存储的,也可以是实时获取的,具体的实现方式,本发明不限定。
该监控任务格式可以为“探测目标,探测监控项,探测方式,阀值”。
该探测目标可以为探测每个来源IP访问的QPS数据,单域名访问的QPS数据,或者指定协议包的QPS数据。
其中,指定协议包包括:UDP和TCP等。
该探测监控项包括:UDP、TCP、UDP53号端口、TCP53号端口等。
监控参数包括UDP、TCP、UDP53号端口、TCP53号端口等监控项的探测方式、及每个监控参数所对应的阀值等。
步骤102、服务DNS根据该监控任务监控QPS数据。
服务DNS周期性的接收管理设备下发的监控任务,并根据监控任务对QPS数据进行监控。其中该QPS数据包括每个目标访问来源IP的QPS数据。可选的,所述目标QPS数据还可以包括服务DNS的QPS数据。目标访问来源IP的QPS数据为第一QPS数据,服务DNS的QPS数据为第二QPS数据。
步骤103、服务DNS判断该QPS数据是否大于阈值,若是,则执行步骤104。
服务DNS根据当前周期的探测数据和监控任务中的阈值,该第一QPS数据包括目标访问来源IP对应的QPS数据,单域名对应的QPS数据和指定协议包对应的QPS数据。服务DNS判定各类型监控QPS数据是否大于阈值,每种类型的QPS数据具有对应的阈值,该服务DNS的QPS数据是否大于阈值的具体判断方式可以为:该服务DNS可以先分别对每种类型的QPS与其对应的阈值进行大小比较,然后通过每种类型的QPS数据的权重最后确定QPS数据是否大于阈值。
若该服务DNS判断该QPS数据小于阈值,则表明没有受到攻击方的攻击,该DNS继续等待下一个探测周期。步骤104、服务DNS确定该QPS数据大于阈值的目标QPS数据,及该目标QPS数据对应的目标访问来源IP。
若QPS数据大于阈值,则该服务DNS确定该第一QPS数据大于阈值的目标QPS数据,及该目标QPS数据对应的目标访问来源IP,其中该目标访问来源IP为攻击方的来源IP。
进一步的,该服务DNS根据可以判断服务DNS的第二QPS数据是否大于第一门限,若第二QPS数据大于第一门限则表明服务DNS受到攻击,而且有多个目标访问来源IP一起攻击服务DNS。
步骤105、服务DNS根据该目标QPS数据和该目标访问来源IP生成监控数据。
步骤106、服务DNS向该管理设备发送监控数据。
服务DNS周期性的向管理设备发送监控数据,该监控数据包括目标QPS数据和该目标访问来源IP。
步骤107、管理设备接收监控数据,该监控数据包括目标QPS数据和目标访问来源IP,管理设备根据该目标QPS数据确定防攻击策略。根据该防攻击策略将该目标访问来源IP指向备用DNS。
具体的,管理设备确定出备用DNS的IP,管理设备将该备用DNS的IP向目标访问来源IP发送。本发明实施例中,目标访问来源IP为攻击方的来源IP,管理设备将备用DNS的IP反馈给目标访问来源IP的客户端,以使得该攻击方的客户端进行攻击时,直接攻击该备用DNS,达到了将攻击流量分离,以保证正常的服务DNS不受影响。
请参阅图2所示,本发明实施例提供了一种DNS的防护方法的另一个优选实施例包括:
管理设备包括黑名单和白名单,管理设备预先配置黑名单和白名单。该黑名单指向备用DNS,黑名单用于放置目标访问来源IP。该白名单用于覆盖被服务的IP,该白名单指向服务DNS。
步骤201至步骤206与图1对应的实施例中的步骤101至步骤106相同,此处不赘述。
步骤207、管理设备接收监控数据,并根据目标QPS数据和映射关系表确定攻击类型,该QPS数据与该攻击类型具有映射关系表。
具体的,管理设备可以从大数据平台获取离线运算数据,结合攻击参数组合成攻击类型库,攻击类型库通过单IP访问QPS数据、单域名访问QPS数据、指定协议包的QPS数据及其每种类型的QPS数据的阈值组合在一起,形成对攻击类型的映射关系表。该攻击类型包括集中攻击和全网分散攻击,其中,集中攻击是指攻击方攻击某一个区域的DNS。例如,攻击北京的DNS。全网分散攻击是指攻击方同时攻击多个DNS,该多个DNS分属于不同的区域。
管理设备周期性的接收服务DNS发送的最新监控数据,并将该监控数据保存到本地,管理设备将目标QPS数据与攻击类型库进行比对,通过目标QPS数据和映射关系表确定出攻击类型。
步骤208、该管理设备根据该攻击类型确定防攻击策略。
第一种,若该攻击类型为集中攻击,或者,若只有少量的目标访问来源IP进行攻击,则管理设备启动该黑名单。
第二种,若该攻击类型为全网分散攻击,或者,若大规模的目标访问来源IP进行攻击,则管理设备确定启动白名单,或者,启动白名单和黑名单。
步骤209、该管理设备根据该防攻击策略将该目标访问来源IP指向备用DNS。
第一种,该管理设备将该目标访问来源IP加入该黑名单中。以使得当该管理设备接收DNS访问请求时,该管理设备判断该DNS访问请求对应的来源IP是否属于该黑名单,若是,则该管理设备将该DNS访问请求路由至该备用DNS。
第二种,该管理设备将该目标访问来源IP从该白名单中剔除,并加入黑名单中。以使得当管理设备接收DNS访问请求时,该管理设备判断该DNS访问请求对应的来源IP是否属于该白名单,若不属于白名单,则该管理设备将该DNS访问请求路由至该备用DNS。进一步的,还可以判断该来源IP是否属于黑名单,若属于黑名单,则该管理设备将该DNS访问请求路由至该备用DNS。本发明实施例中,通过判断攻击类型,确定启动黑名单和/或白名单,通过黑白名单的隔离功能,将目标访问来源IP的访问请求切换到备用DNS,该备用DNS可以理解为防攻击的DNS,正常访问的IP使用服务DNS提供服务,实现了目标访问来源IP攻击的自动隔离。
请参阅图3所示,本发明实施例还提供了一种管理设备300的一个实施例包括:
发送模块310,用于向服务DNS发送监控任务;
第一接收模块320,用于接收服务DNS发送的监控数据,监控数据包括目标QPS数据和目标QPS数据对应的目标访问来源IP,目标QPS数据是由服务DNS根据监控任务监控的QPS数据中大于阈值的数据;
策略确定模块330,用于根据第一接收模块320接收的目标QPS数据确定防攻击策略;
处理模块340,用于根据策略确定模块330确定的防攻击策略将目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
可选的,发送模块310,用于将备用DNS的IP向目标访问来源IP发送。
可选的,请参阅图4所示,本发明实施例还提供了一种管理设备400的另一个实施例包括:
发送模块310,用于向服务DNS发送监控任务;
第一接收模块320,用于接收服务DNS发送的监控数据,监控数据包括目标QPS数据和目标QPS数据对应的目标访问来源IP,目标QPS数据是由服务DNS根据监控任务监控QPS数据,确定QPS数据中大于阈值的数据;
策略确定模块330,用于根据第一接收模块320接收的目标QPS数据确定防攻击策略;
处理模块340,用于根据策略确定模块330确定的防攻击策略将目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
发送模块310,用于将处理模块340确定的备用DNS的IP向目标访问来源IP发送。
请参阅图5所示,在图3对应的实施例的基础上,本发明实施例还提供了一种管理设备500的另一个实施例包括:
策略确定模块330包括:类型确定单元3301和策略确定单元3302。
类型确定单元3301,用于根据接收模块接收的目标QPS数据和映射关系表确定攻击类型,QPS数据与攻击类型具有映射关系表。
策略确定单元3302,用于根据类型确定单元3301确定的攻击类型确定防攻击策略。
请参阅图6所示,在图5对应的实施例的基础上,本发明实施例还提供了一种管理设备600的另一个实施例包括:
管理设备中包括黑名单,黑名单指向备用DNS,处理模块340还包括:判断模块350和第二接收模块360;
策略确定单元3302,还用于当类型确定单元3301确定攻击类型为集中攻击时,确定启动黑名单。
处理模块340,还用于将接收模块接收的监控数据中的目标访问来源IP加入黑名单中。
第二接收模块360,用于接收DNS访问请求。
判断模块350,用于判断第二接收模块360接收的DNS访问请求对应的来源IP是否属于黑名单。
处理模块340,当判断模块350确定DNS访问请求对应的来源IP属于黑名单,将DNS访问请求路由至备用DNS。
可选的,管理设备包括黑名单和白名单,黑名单指向备用DNS,白名单用于覆盖被服务的IP,白名单指向服务DNS,管理设备还包括第二接收模块360和判断模块350;
策略确定单元3302,还用于当类型确定单元3301确定攻击类型包括集中攻击和全网分散攻击时,确定启动白名单和黑名单;
处理模块340,还用于将目标访问来源IP从白名单中剔除,并加入黑名单中;
第二接收模块360,用于接收DNS访问请求;
判断模块350,用于判断接收模块接收的DNS访问请求对应的来源IP是否属于白名单,若不属于白名单,则继续判断来源IP是否属于黑名单,
处理模块340,还用于当判断模块350确定来源IP属于黑名单时,则所将DNS访问请求路由至备用DNS。
QPS数据包括访问IP对应的QPS数据,域名对应的QPS数据和指定协议包对应的QPS数据。
请参阅图7,本发明实施例提供了一种域名解析服务器的一个实施例包括:
接收模块710,用于接收管理设备发送的监控任务。
监控模块720,用于根据接收模块710接收的监控任务监控QPS数据。
判断模块730,用于判断QPS数据是否超过阈值。
确定模块740,用于确定QPS数据中超过阈值的目标QPS数据,及与目标QPS数据对应的目标访问来源IP。
生成模块750,用于根据确定模块740确定的目标QPS数据和目标访问来源IP生成监控数据。
发送模块760,用于向管理设备发送生成模块750生成的监控数据,监控数据用于指示管理设备根据目标QPS数据确定防攻击策略;根据防攻击策略将目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
可选的,接收模块710,还用于周期性的接收管理设备发送的监控任务,监控任务中包括QPS数据的阈值。
监控模块720,还用于周期性的监控QPS数据,QPS数据包括访问IP对应的QPS数据,域名对应的QPS数据和指定协议包对应的QPS数据,每种类型的QPS数据均具有对应的阈值。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种DNS的防护方法,其特征在于,包括:
管理设备向服务域名解析服务器DNS发送监控任务;
所述管理设备接收所述服务DNS发送的监控数据,所述监控数据包括目标QPS数据和所述目标QPS数据对应的目标访问来源IP,所述目标QPS数据是由所述服务DNS确定的所述监控任务监控的QPS数据中大于阈值的数据,所述QPS数据包括访问来源IP对应的QPS数据、单域名对应的QPS数据以及指定协议包对应的QPS数据,所述服务DNS确定所述监控任务监控的QPS数据中大于阈值的数据包括:
所述服务DNS根据所述访问来源IP对应的QPS数据的权重、所述单域名对应的QPS数据的权重以及所述指定协议包对应的QPS数据的权重、所述访问来源IP对应的QPS数据与所述访问来源IP对应的阈值的比较结果、所述单域名对应的QPS数据与所述单域名对应的阈值的比较结果以及所述指定协议包对应的QPS数据与所述指定协议包对应的阈值的比较结果确定所述QPS数据中大于所述阈值的数据;
所述管理设备根据所述目标QPS数据确定防攻击策略;
所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
2.根据权利要求1所述的防护方法,其特征在于,所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,包括:
所述管理设备将所述备用DNS的IP向所述目标访问来源IP发送。
3.根据权利要求1所述的防护方法,其特征在于,所述管理设备根据所述目标QPS数据确定防攻击策略,包括:
所述管理设备根据所述目标QPS数据和映射关系表确定攻击类型,所述目标QPS数据与所述攻击类型具有映射关系表;
所述管理设备根据所述攻击类型确定防攻击策略。
4.根据权利要求3所述的DNS的防护方法,其特征在于,所述管理设备中包括黑名单,所述黑名单指向备用DNS,所述管理设备根据所述攻击类型确定防攻击策略包括:
若所述攻击类型为集中攻击,则所述管理设备确定启动所述黑名单;
所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,包括:
所述管理设备将所述目标访问来源IP加入所述黑名单中;
所述管理设备接收DNS访问请求;
所述管理设备判断所述DNS访问请求对应的访问来源IP是否属于所述黑名单,若是,则所述管理设备将所述DNS访问请求路由至所述备用DNS。
5.根据权利要求3所述的DNS的防护方法,其特征在于,所述管理设备包括黑名单和白名单,所述黑名单指向备用DNS,所述白名单用于覆盖所述被服务的IP,所述白名单指向服务DNS,所述管理设备根据所述攻击类型确定防攻击策略包括:
若所述攻击类型包括集中攻击和全网分散攻击,则所述管理设备确定启动所述白名单和所述黑名单;
所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS,包括:
所述管理设备将所述目标访问来源IP从所述白名单中剔除,并加入黑名单中;
所述管理设备接收DNS访问请求;
所述管理设备判断所述DNS访问请求对应的访问来源IP是否属于所述白名单,若不属于白名单,则所述管理设备判断所述DNS访问请求对应的访问来源IP是否属于黑名单,若属于黑名单,则所述管理设备将所述DNS访问请求路由至所述备用DNS。
6.一种DNS的防护方法,其特征在于,包括:
服务域名解析服务器DNS接收管理设备发送的监控任务;
所述服务DNS根据所述监控任务监控QPS数据,所述QPS数据包括访问来源IP对应的QPS数据、单域名对应的QPS数据以及指定协议包对应的QPS数据;
所述服务DNS判断所述QPS数据是否超过阈值,若是,则所述服务DNS确定所述QPS数据中超过阈值的目标QPS数据,及与所述目标QPS数据对应的目标访问来源IP;
所述服务DNS根据所述目标QPS数据和所述目标访问来源IP生成监控数据;
所述服务DNS向所述管理设备发送所述监控数据,所述监控数据用于指示所述管理设备根据所述目标QPS数据确定防攻击策略;根据所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS;
所述服务DNS判断所述QPS数据是否超过阈值包括:
所述服务DNS根据所述访问来源IP对应的QPS数据的权重、所述单域名对应的QPS数据的权重以及所述指定协议包对应的QPS数据的权重、所述访问来源IP对应的QPS数据与所述访问来源IP对应的阈值的比较结果、所述单域名对应的QPS数据与所述单域名对应的阈值的比较结果以及所述指定协议包对应的QPS数据与所述指定协议包对应的阈值的比较结果确定所述QPS数据是否超过所述阈值。
7.根据权利要求6所述的DNS的防护方法,其特征在于,所述服务DNS接收管理设备发送的监控任务包括:
所述DNS周期性的接收管理设备发送的监控任务,所述监控任务中包括QPS数据的阈值;
所述DNS根据所述监控任务监控QPS数据,包括:
所述DNS根据所述监控任务周期性的监控所述QPS数据。
8.一种管理设备,其特征在于,包括:
发送模块,用于向服务DNS发送监控任务;
第一接收模块,用于接收所述服务DNS发送的监控数据,所述监控数据包括目标QPS数据和所述目标QPS数据对应的目标访问来源IP,所述目标QPS数据是由所述服务DNS确定的所述监控任务监控的QPS数据中大于阈值的数据,所述QPS数据包括访问来源IP对应的QPS数据、单域名对应的QPS数据以及指定协议包对应的QPS数据,所述服务DNS确定所述监控任务监控的QPS数据中大于阈值的数据包括:
所述服务DNS根据所述访问来源IP对应的QPS数据的权重、所述单域名对应的QPS数据的权重以及所述指定协议包对应的QPS数据的权重、所述访问来源IP对应的QPS数据与所述访问来源IP对应的阈值的比较结果、所述单域名对应的QPS数据与所述单域名对应的阈值的比较结果以及所述指定协议包对应的QPS数据与所述指定协议包对应的阈值的比较结果确定所述QPS数据中大于所述阈值的数据;
策略确定模块,用于根据所述第一接收模块接收的所述目标QPS数据确定防攻击策略;
处理模块,用于根据所述策略确定模块确定的所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS。
9.一种域名解析服务器,其特征在于,包括:
接收模块,用于接收管理设备发送的监控任务;
监控模块,用于根据所述接收模块接收的所述监控任务监控QPS数据,所述QPS数据包括访问来源IP对应的QPS数据、单域名对应的QPS数据以及指定协议包对应的QPS数据;
判断模块,用于判断所述QPS数据是否超过阈值;
确定模块,用于确定所述QPS数据中超过阈值的目标QPS数据,及与所述目标QPS数据对应的目标访问来源IP;
生成模块,用于根据所述确定模块确定的所述目标QPS数据和所述目标访问来源IP生成监控数据;
发送模块,用于向所述管理设备发送所述生成模块生成的所述监控数据,所述监控数据用于指示所述管理设备根据所述目标QPS数据确定防攻击策略;根据所述防攻击策略将所述目标访问来源IP指向备用DNS,以引导目标访问来源IP的攻击流量切换至备用DNS;
所述判断模块具体用于:
根据所述访问来源IP对应的QPS数据的权重、所述单域名对应的QPS数据的权重以及所述指定协议包对应的QPS数据的权重、所述访问来源IP对应的QPS数据与所述访问来源IP对应的阈值的比较结果、所述单域名对应的QPS数据与所述单域名对应的阈值的比较结果以及所述指定协议包对应的QPS数据与所述指定协议包对应的阈值的比较结果确定所述QPS数据是否超过所述阈值。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611042517.2A CN108092940B (zh) | 2016-11-23 | 2016-11-23 | 一种dns的防护方法及相关设备 |
| PCT/CN2017/112666 WO2018095375A1 (zh) | 2016-11-23 | 2017-11-23 | 一种dns的防护方法、管理设备及域名解析服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611042517.2A CN108092940B (zh) | 2016-11-23 | 2016-11-23 | 一种dns的防护方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108092940A CN108092940A (zh) | 2018-05-29 |
| CN108092940B true CN108092940B (zh) | 2020-04-17 |
Family
ID=62170921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611042517.2A Active CN108092940B (zh) | 2016-11-23 | 2016-11-23 | 一种dns的防护方法及相关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108092940B (zh) |
| WO (1) | WO2018095375A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833406B (zh) * | 2018-06-14 | 2021-01-12 | 北京云端智度科技有限公司 | 基于多层级自行调整限速的流量控制安全防护方法 |
| CN110868393A (zh) * | 2019-09-24 | 2020-03-06 | 国网河北省电力有限公司信息通信分公司 | 一种基于电网信息系统异常流量的防护方法 |
| CN111431759B (zh) * | 2020-02-27 | 2022-02-25 | 北京达佳互联信息技术有限公司 | 一种性能测试方法、装置、电子设备及存储介质 |
| CN113591072A (zh) * | 2021-05-07 | 2021-11-02 | 海尔数字科技(青岛)有限公司 | 攻击事件处理方法、装置、设备及存储介质 |
| CN115208625A (zh) * | 2022-06-01 | 2022-10-18 | 阿里巴巴(中国)有限公司 | 数据处理方法以及装置 |
| CN115967582A (zh) * | 2023-03-10 | 2023-04-14 | 中国信息通信研究院 | 工业互联网节点的监控方法和装置、设备和介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082836B (zh) * | 2009-11-30 | 2013-08-14 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| CN102882892B (zh) * | 2012-10-26 | 2015-06-10 | 杭州迪普科技有限公司 | 一种保护dns服务器的方法及装置 |
| CN104079421B (zh) * | 2013-03-27 | 2017-09-15 | 中国移动通信集团北京有限公司 | 一种域名系统防护的方法和系统 |
| CN103618718B (zh) * | 2013-11-29 | 2016-09-21 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
-
2016
- 2016-11-23 CN CN201611042517.2A patent/CN108092940B/zh active Active
-
2017
- 2017-11-23 WO PCT/CN2017/112666 patent/WO2018095375A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CN108092940A (zh) | 2018-05-29 |
| WO2018095375A1 (zh) | 2018-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108092940B (zh) | 一种dns的防护方法及相关设备 | |
| US20180367566A1 (en) | Prevention and control method, apparatus and system for network attack | |
| US7870611B2 (en) | System method and apparatus for service attack detection on a network | |
| Mirkovic et al. | D-WARD: a source-end defense against flooding denial-of-service attacks | |
| CN107623663B (zh) | 处理网络流量的方法及装置 | |
| JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
| CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
| US20100095351A1 (en) | Method, device for identifying service flows and method, system for protecting against deny of service attack | |
| US20140325648A1 (en) | Attack Defense Method and Device | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| EP1722535A2 (en) | Method and apparatus for identifying and disabling worms in communication networks | |
| US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
| CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
| CN108270600B (zh) | 一种对恶意攻击流量的处理方法及相关服务器 | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| CN108028828B (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| KR20060076325A (ko) | 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램 | |
| Kumar et al. | Denial of Service due to direct and indirect ARP storm attacks in LAN environment | |
| Beitollahi et al. | A cooperative mechanism to defense against distributed denial of service attacks | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| CN109889470B (zh) | 一种基于路由器防御DDoS攻击的方法和系统 | |
| JP2004248185A (ja) | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| Beitollahi et al. | A four-steptechnique fortackling ddos attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 550001 Gui'an New Area High-end Equipment Industry Park in the Southern Park Applicant after: Guizhou Baishan cloud Polytron Technologies Inc Address before: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: Guizhou white cloud Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |