CN108111548A - 一种域名系统攻击检测方法、装置及系统 - Google Patents
一种域名系统攻击检测方法、装置及系统 Download PDFInfo
- Publication number
- CN108111548A CN108111548A CN201810189854.7A CN201810189854A CN108111548A CN 108111548 A CN108111548 A CN 108111548A CN 201810189854 A CN201810189854 A CN 201810189854A CN 108111548 A CN108111548 A CN 108111548A
- Authority
- CN
- China
- Prior art keywords
- dns
- inquiry
- message
- statistical value
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种域名系统攻击检测方法、装置及系统,所提出的方法包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及,在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。所提出的检测方法、装置及系统能够及时检测DNS放大攻击的发生并进行告警。
Description
技术领域
本发明涉及分布式拒绝服务攻击检测技术领域,尤其涉及一种域名系统攻击检测方法、装置及系统。
背景技术
在计算机网络通信中,主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而,32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此,更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。同时,网络通信又是基于IP协议来运转的,仅仅通过域名并不能直接找到要访问的主机。因此,主机需要将用户输入的域名转换为IP地址,这个过程被称为域名解析。
为了完成域名解析,需要域名系统(Domain Name System,DNS)来配合,其是一种用于TCP/IP应用程序的分布式数据库,提供了域名与IP地址之间的转换。通过域名系统,用户在进行某些应用时,可以直接使用便于记忆且有意义的域名,而网络中的DNS服务器则负责将域名解析为正确的IP地址并将其返回给用户的主机。DNS服务器,是指保存有该网络中所有主机的域名和与之对应的IP地址、并具有将域名转换为IP地址功能的服务器。当某一个应用进程需要将主机名解析为IP地址时,该应用进程就成为域名系统DNS的一个客户。域名解析的过程是应用进程把待解析的域名放在DNS请求报文中发给DNS服务器,DNS服务器在查找域名后将与之对应的IP地址放在回答报文中返回给客户机应用进程的过程。能够执行递归查询的DNS服务器是域名系统中的重要设备,这种DNS服务器根据缓存中的域名地址信息,对终端用户发起的DNS查询进行响应。
随着网络技术的不断发展,利用互联网进行攻击的黑客行为也越来越多。目前,对域名系统的攻击方式主要有以下几种方式:
第一种攻击方式是流量型拒绝服务攻击。例如基于用户数据包协议(UDP,UserDatagram Protocol)流(flood)、基于传输控制协议(TCP,Transmission ControlProtocol)流、基于DNS请求流、或基于拼(PING)流等。该种攻击方式的典型特征是消耗掉DNS服务器的资源,使其不能及时响应正常的DNS解析请求。其中,资源的消耗包括对服务器CPU、网络资源等的消耗。
第二种攻击方式是异常请求(例如超长域名请求、异常域名请求等)访问攻击。该种攻击方式的特点是发掘DNS服务器的漏洞,通过伪造特定的请求报文,导致DNS服务器软件因工作异常而退出或崩溃以致无法启动,达到影响DNS服务器正常工作的目的。
第三种攻击方式是DNS劫持攻击。例如DNS缓存“投毒”、篡改授权域内容、ARP欺骗劫持授权域等。该种攻击方式的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答,达到影响解析结果的目的。
第四种攻击方式是攻击者利用DNS攻击被攻击者。例如攻击者控制僵尸机群并且使其采用被攻击主机的IP地址从而伪装成被攻击主机来发送域名解析请求,大量的域名解析请求被DNS服务器通过递归查询被解析后,DNS服务器发送响应给被攻击者,大量的响应数据包从不同的DNS服务器传回构成了分布式拒绝服务(DDoS,Distributed Denial ofService)攻击,这种攻击也被称作DNS放大攻击。
上述第四种攻击方式,不仅会造成被攻击者的服务及带宽受到攻击流量的影响,以致于不能正常提供服务,而且还会对DNS服务器自身的响应带宽造成影响,使DNS服务器不能提供正常的DNS解析服务。
因此,需要一种检测方法和装置来及时检测DNS放大攻击的发生并进行告警。
发明内容
为了解决上述问题,本发明提出了一种域名系统攻击检测方法、装置及系统。
根据本发明的域名系统攻击检测方法,包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及,在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。
根据本发明的攻击检测方法,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽进行计算,以获取该指定目的IP的应答报文的带宽统计数值,其中,该带宽统计数值所对应的设定阈值是应答报文的带宽阈值。
根据本发明的攻击检测方法,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP及ANY标志位,如果为ANY应答包,统计指定目的IP收到的DNS ANY响应报文数量,以获取该指定目的IP的ANY应答报文的数量值,作为数量统计数值,其中,该数量统计数值所对应的设定阈值是ANY应答报文的数量阈值。
根据本发明的攻击检测方法,还包括:接收镜像的DNS查询报文;解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与指定目的IP进行比对,如果比对成功,则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者,则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值;以及,将访问量统计值提供给DNS服务运维人员,或者,将所获取的对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值提供给DNS服务运维人员。
根据本发明的域名系统攻击检测装置,包括:DNS应答报文接收模块,用于接收镜像的DNS应答报文;DNS应答报文解析和统计模块,用于解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及,攻击告警模块,用于在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。
根据本发明的攻击检测装置,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽进行计算,以获取该指定目的IP的应答报文的带宽统计数值,其中,该带宽统计数值所对应的设定阈值是应答报文的带宽阈值。
根据本发明的攻击检测装置,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP及ANY标志位,如果为ANY应答包,统计指定目的IP收到的DNS ANY响应报文数量,以获取该指定目的IP的ANY应答报文的数量值,作为数量统计数值,其中,该数量统计数值所对应的设定阈值是ANY应答报文的数量阈值。
根据本发明的攻击检测装置,还包括:DNS查询报文接收模块,用于接收镜像的DNS查询报文;DNS查询报文解析和统计模块,用于解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与指定目的IP进行比对,如果比对成功,则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者,则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值;以及,统计值输出模块,用于将访问量统计值提供给DNS服务运维人员,或者,用于将所获取的对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值提供给DNS服务运维人员。
根据本发明的具有域名系统攻击检测功能的系统,包括:DNS报文分析器,该DNS报文分析器包括根据本发明的上述攻击检测装置。
本发明的优点在于:
1)当DNS放大攻击发生时,能及时检测DNS放大攻击的发生并进行告警。
2)可根据告警信息,进一步确认DNS放大攻击查询的域名特征信息。
3)在DNS放大攻击发生后,能通过对DNS攻击包的详细分析,提取出DNS包的攻击特征;如果DNS放大攻击的域名特征信息不明显,可进一步分析DNS查询包,获得DNS查询的其它特征信息。
4)DNS运维人员可跟据提取的DNS放大攻击特征信息对DNS查询包进行限流,从而能及时调整DNS服务器的解析规则,消除DNS放大攻击给目的服务器及DNS服务器带来的影响。
附图说明
通过阅读下文具体实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出具体实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明实施方式的具有域名系统攻击检测功能的系统示意图;
图2示出了根据本发明实施方式的域名系统攻击检测方法的流程示意图;
图3示出了根据本发明实施方式的域名系统攻击检测装置的示意框图;
图4示出了根据本发明实施方式的域名系统攻击检测方法的第一示例流程图;以及
图5示出了根据本发明实施方式的域名系统攻击检测方法的第二示例流程图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施方式。虽然附图中显示了本发明的示例性实施方式,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1示出了根据本发明实施方式的具有域名系统攻击检测功能的系统示意图。如图1所示,根据本发明实施方式的具有域名系统攻击检测功能的系统与现有系统之间的区别是引入了DNS报文分析器,该DNS报文分析器包含将在下文中进行详细描述的根据本发明的域名系统攻击检测装置。
如图1所示,位于该系统不同位置处的DNS服务器(连接有不同的DNS数据库,在图1中未示出)构成了分布式的DNS系统。通过该分布式的DNS系统进行域名解析的过程包括:客户计算机或服务器把待解析的域名放在DNS查询报文中(如图1所示,可选择地经由路由器)发送给DNS服务器;DNS服务器在其数据库(或者,可选择地通过递归查询或迭代查询查找其它数据库,在图1中未示出,但是各个DNS服务器的内部模块以及不同DNS服务器之间可以通过DNS协议对不同的DNS数据库进行查询)查找域名后将与之对应的IP地址放在DNS响应报文(即,应答报文)中返回给客户计算机或服务器。
如图1所示,为了能够及时检测DNS放大攻击的发生,据本发明实施方式的具有域名系统攻击检测功能的系统引入了DNS报文分析器,部署于该DNS报文分析器旁的路由器将DNS服务器和DNS客户端的DNS报文镜像到DNS报文分析器。
更具体地,通过配置路由器的流量镜像功能,DNS报文分析器可以从路由器获得通过该路由器的DNS查询报文和响应报文,从而执行将在下文中详细描述的根据本发明的域名系统攻击检测方法。
图2示出了根据本发明实施方式的域名系统攻击检测方法的流程示意图。
如图2所示,所提出的域名系统攻击检测方法包括以下步骤:
步骤S102:接收镜像的DNS应答报文。
具体地,所接收到的镜像DNS应答报文是被镜像到DNS报文分析器的来自DNS服务器的DNS应答报文。
步骤S104:解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值。
优选地,步骤S104包括:
提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽(即,应答带宽)进行计算,以获取该指定目的IP的应答报文的带宽统计数值。
例如,通过DNS报文分析器解析DNS应答报文中的目的IP及应答报文长度,对单位时间(例如,1分钟)内指定目的IP的应答报文长度进行数值统计以获取该指定目的IP的应答报文的带宽统计数值。
优选地,步骤S104包括:
提取DNS应答报文中的目的IP及ANY标志位,如果为ANY响应包(即,应答包),统计指定目的IP收到的DNS ANY响应报文数量(即,应答次数),以获取该指定目的IP的ANY应答报文的数量值。
例如,通过DNS报文分析器解析DNS应答报文中的目的IP、ANY应答报文标志,对单位时间(例如,1分钟)内指定目的IP的ANY应答报文数量进行数值统计以获取该指定目的IP的ANY应答报文的数量值。
步骤S106:在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。
例如,在单位时间内,如果某个IP的响应带宽(即,应答带宽)超过了相应阈值,则发送DNS反射放大攻击告警。或者,在单位时间内,如果某个IP的ANY响应数量(即,应答次数)超过了相应阈值,发送DNS ANY攻击告警。可选择地,可以使用DNS报文分析器针对以上两种告警提供的目的IP信息,分析其访问的域名信息。
具体地,在带宽统计数值超过该带宽统计数值所对应的应答报文的带宽阈值时发出攻击告警。或者,在数量统计数值超过该数量统计数值所对应的ANY应答报文的数量阈值时发出攻击告警。
当收到某个IP的反射放大攻击告警或ANY攻击告警后,可配置报文分析器的二维统计功能,即,除了解析DNS应答报文之外,还增加对DNS查询报文的解析。从而对该IP的域名访问情况进行统计,进而可以发现该攻击的域名访问特征。因此,可选择地,所提出的攻击检测方法还包括以下步骤:
步骤S108:接收镜像的DNS查询报文。
具体地,所接收到的镜像DNS查询报文是被镜像到DNS报文分析器的来自DNS客户端的DNS查询报文。
步骤S110:解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与指定目的IP进行比对,如果比对成功,则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者,则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS查询的查询量统计值、支持DNSSEC查询的查询量统计值、启用COOKIE查询的查询量统计值。
步骤S112:将访问量统计值提供给DNS服务运维人员,或者,将所获取的对应的递归查询的查询量统计值、支持EDNS查询的查询量统计值、支持DNSSEC查询的查询量统计值、启用COOKIE查询的查询量统计值提供给DNS服务运维人员。
例如,在步骤S112之后,DNS服务器管理员可通过配置DNS的域名解析限制,来消除DNS放大攻击。从而消除DNS放大攻击给目的服务器和DNS服务带来的影响。
或者,在步骤S112之后,DNS服务器管理员可根据报文分析器提供的攻击报文特征(例如,可通过步骤S110中的类似操作,使用报文分析器执行类似的DNS报文解析功能,对该IP的DNS攻击查询报文进行详细分析,提取出其DNS访问特征,如是否递归查询,是否EDNS,是否DNSSEC,是否支持COOKIE等)来限制对其查询包的解析功能。从而消除DNS放大攻击给目的服务器和DNS服务带来的影响。而且,可选择地,DNS运维人员可根据报文分析器所提供的攻击报文特征来配置DNS服务器,从而对DNS放大攻击进行过滤。
针对所提出的攻击检测方法,提出了与之对应的用于执行该攻击检测方法的攻击检测装置。图3示出了根据本发明实施方式的域名系统攻击检测装置的示意框图。
如图3所示,所提出的域名系统攻击检测装置1,包括:DNS应答报文接收模块2,用于接收镜像的DNS应答报文;DNS应答报文解析和统计模块3,用于解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及,攻击告警模块4,用于在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。
更具体地,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽(即,应答带宽)进行计算,以获取该指定目的IP的应答报文的带宽统计数值。其中的带宽统计数值所对应的设定阈值是应答报文的带宽阈值。
例如,通过DNS报文分析器解析DNS应答报文中的目的IP及应答报文长度,对单位时间(例如,1分钟)内指定目的IP的应答报文长度进行数值统计以获取该指定目的IP的应答报文的带宽统计数值。其中的带宽统计数值所对应的设定阈值是应答报文的带宽阈值。
可选择地,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP及ANY标志位,如果为ANY响应包(即,应答包),统计指定目的IP收到的DNS ANY响应报文数量(即,应答次数),以获取该指定目的IP的ANY应答报文的数量值。其中的数量统计数值所对应的设定阈值是ANY应答报文的数量阈值。
例如,通过解析DNS应答报文中的目的IP、ANY应答报文标志,对单位时间内指定目的IP的ANY应答报文数量进行数值统计以获取该指定目的IP的ANY应答报文的数量值。其中的数量统计数值所对应的设定阈值是ANY应答报文的数量阈值。
如图3所示,所提出的域名系统攻击检测装置1还可以可选择地包括:DNS查询报文接收模块5,用于接收镜像的DNS查询报文;DNS查询报文解析和统计模块6,用于解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与指定目的IP进行比对,如果比对成功,则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者,则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值;以及,统计值输出模块7,用于将访问量统计值提供给DNS服务运维人员,或者,用于将所获取的对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值提供给DNS服务运维人员。
针对所提出的攻击检测方法和用于执行该攻击检测方法的攻击检测装置,还提出了具有域名系统攻击检测功能的系统。如图1所示,所提出的系统包括DNS报文分析器,该DNS报文分析器包含根据本发明的上述攻击检测装置。
为了便于本领域技术人员更清楚地理解本发明,给出了所提出的攻击检测方法的如下具体实施例。
图4和图5分别示出了根据本发明实施方式的域名系统攻击检测方法的第一示例流程图和第二示例流程图。下面将结合图4和图5描述根据本发明的攻击检测方法的具体步骤:
1)DNS报文分析器接收镜像的DNS应答报文。
2)DNS报文分析器解析DNS应答报文中的目的IP信息,并将其保存到DNS报文分析器内存中,并对该IP应答报文长度进行统计。
3)当1分钟统计周期结束时,如果统计到的目的IP域名应答带宽超过规定阈值时,发出DNS放大攻击告警,并将该IP信息输出到图5。
4)DNS报文分析器解析DNS ANY应答报文的IP信息,并将其保存到DNS报文分析器内存中,并对该IP ANY应答报文次数进行统计。
5)当1分钟统计周期结束时,如果统计到的目的IP域名ANY应答次数超过规定阈值,则发出DNS ANY攻击告警,并将该IP信息输出到图5。
6)DNS报文分析器接收镜像的DNS查询流量。
7)DNS报文分析器解析DNS查询报文中的源IP信息,并与图4提供的IP信息进行比对。
8)如果比对成功,DNS报文分析器解析DNS查询报文中的域名信息。并在统计周期结束后,提取其域名访问特征,提供给DNS服务运维人员。
9)如果比对成功,DNS报文分析器解析DNS查询报文中的DNS访问特征,如是否递归查询,例如,是否EDNS、是否DNSSEC等。并在统计周期结束后,对其特征进行汇总,提供给DNS运维人员。
采用本发明的以上方案,可实现以下优点:
1)当DNS反射放大攻击发生时,能及时发现DNS反射放大攻击。
2)可根据告警信息,进一步确认DNS反射放大攻击查询的域名特征信息。
3)如果DNS反射放大攻击的域名特征信息不明显,可进一步分析DNS查询包,获得DNS查询的其它特征信息。
4)DNS运维人员可跟据提取的DNS放大攻击特征信息对DNS查询包进行限流,从而消除DNS放大攻击给目的服务器及DNS服务器带来的影响。
以上所述,仅为本发明示例性的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (9)
1.一种域名系统攻击检测方法,其特征在于,包括:
接收镜像的DNS应答报文;
解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及
在所述统计数值超过该统计数值所对应的设定阈值时发出攻击告警。
2.根据权利要求1所述的攻击检测方法,其特征在于,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:
提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽进行计算,以获取该指定目的IP的应答报文的带宽统计数值,
其中,该带宽统计数值所对应的所述设定阈值是应答报文的带宽阈值。
3.根据权利要求1所述的攻击检测方法,其特征在于,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:
提取DNS应答报文中的目的IP及ANY标志位,如果为ANY应答包,统计指定目的IP收到的DNS ANY响应报文数量,以获取该指定目的IP的ANY应答报文的数量值,作为数量统计数值,
其中,该数量统计数值所对应的所述设定阈值是ANY应答报文的数量阈值。
4.根据权利要求1所述的攻击检测方法,其特征在于,还包括:
接收镜像的DNS查询报文;
解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与所述指定目的IP进行比对,如果比对成功,
则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者
则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值;以及
将所述访问量统计值提供给DNS服务运维人员,或者,将所获取的对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值提供给DNS服务运维人员。
5.一种域名系统攻击检测装置,其特征在于,包括:
DNS应答报文接收模块,用于接收镜像的DNS应答报文;
DNS应答报文解析和统计模块,用于解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及
攻击告警模块,用于在所述统计数值超过该统计数值所对应的设定阈值时发出攻击告警。
6.根据权利要求5所述的攻击检测装置,其特征在于,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:
提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽进行计算,以获取该指定目的IP的应答报文的带宽统计数值,
其中,该带宽统计数值所对应的所述设定阈值是应答报文的带宽阈值。
7.根据权利要求5所述的攻击检测装置,其特征在于,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:
提取DNS应答报文中的目的IP及ANY标志位,如果为ANY应答包,统计指定目的IP收到的DNS ANY响应报文数量,以获取该指定目的IP的ANY应答报文的数量值,作为数量统计数值,
其中,该数量统计数值所对应的所述设定阈值是ANY应答报文的数量阈值。
8.根据权利要求5或6或7所述的攻击检测装置,其特征在于,还包括:
DNS查询报文接收模块,用于接收镜像的DNS查询报文;
DNS查询报文解析和统计模块,用于解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与所述指定目的IP进行比对,如果比对成功,
则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者
则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值;以及
统计值输出模块,用于将所述访问量统计值提供给DNS服务运维人员,或者,用于将所获取的对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值提供给DNS服务运维人员。
9.一种具有域名系统攻击检测功能的系统,其特征在于,包括:
DNS报文分析器,该DNS报文分析器包括根据权利要求5-8中的任一项所述的攻击检测装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810189854.7A CN108111548A (zh) | 2018-03-08 | 2018-03-08 | 一种域名系统攻击检测方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810189854.7A CN108111548A (zh) | 2018-03-08 | 2018-03-08 | 一种域名系统攻击检测方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108111548A true CN108111548A (zh) | 2018-06-01 |
Family
ID=62206026
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810189854.7A Withdrawn CN108111548A (zh) | 2018-03-08 | 2018-03-08 | 一种域名系统攻击检测方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108111548A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110300193A (zh) * | 2019-07-01 | 2019-10-01 | 北京微步在线科技有限公司 | 一种获取实体域名的方法和装置 |
CN110620787A (zh) * | 2019-09-30 | 2019-12-27 | 怀来斯达铭数据有限公司 | DDoS攻击的防护方法和系统 |
CN110636006A (zh) * | 2018-06-25 | 2019-12-31 | 中国电信股份有限公司 | 域名查询方法和系统、路由节点、控制节点和防护节点 |
CN110868393A (zh) * | 2019-09-24 | 2020-03-06 | 国网河北省电力有限公司信息通信分公司 | 一种基于电网信息系统异常流量的防护方法 |
CN111885089A (zh) * | 2020-08-06 | 2020-11-03 | 四川长虹电器股份有限公司 | 基于层次分析法的DNS服务器DDoS攻击防御方法 |
CN112995277A (zh) * | 2021-02-01 | 2021-06-18 | 长沙市到家悠享网络科技有限公司 | 访问处理方法、装置及代理服务器 |
CN114285835A (zh) * | 2021-12-30 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
-
2018
- 2018-03-08 CN CN201810189854.7A patent/CN108111548A/zh not_active Withdrawn
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110636006A (zh) * | 2018-06-25 | 2019-12-31 | 中国电信股份有限公司 | 域名查询方法和系统、路由节点、控制节点和防护节点 |
CN110636006B (zh) * | 2018-06-25 | 2021-11-02 | 中国电信股份有限公司 | 域名查询方法和系统、路由节点、控制节点和防护节点 |
CN110300193A (zh) * | 2019-07-01 | 2019-10-01 | 北京微步在线科技有限公司 | 一种获取实体域名的方法和装置 |
CN110300193B (zh) * | 2019-07-01 | 2021-07-06 | 北京微步在线科技有限公司 | 一种获取实体域名的方法和装置 |
CN110868393A (zh) * | 2019-09-24 | 2020-03-06 | 国网河北省电力有限公司信息通信分公司 | 一种基于电网信息系统异常流量的防护方法 |
CN110620787A (zh) * | 2019-09-30 | 2019-12-27 | 怀来斯达铭数据有限公司 | DDoS攻击的防护方法和系统 |
CN111885089A (zh) * | 2020-08-06 | 2020-11-03 | 四川长虹电器股份有限公司 | 基于层次分析法的DNS服务器DDoS攻击防御方法 |
CN112995277A (zh) * | 2021-02-01 | 2021-06-18 | 长沙市到家悠享网络科技有限公司 | 访问处理方法、装置及代理服务器 |
CN114285835A (zh) * | 2021-12-30 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
CN114285835B (zh) * | 2021-12-30 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种http请求数据的处理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108111548A (zh) | 一种域名系统攻击检测方法、装置及系统 | |
CN107135238A (zh) | 一种dns反射放大攻击检测方法、装置及系统 | |
CN105656950B (zh) | 一种基于域名的http访问劫持检测与净化装置及方法 | |
CN103442008B (zh) | 一种路由安全检测系统及检测方法 | |
Hao et al. | Monitoring the initial DNS behavior of malicious domains | |
US11290485B2 (en) | Method and system for detecting and blocking data transfer using DNS protocol | |
US20030005092A1 (en) | Method for locating and recovering devices which are connected to the internet or to an internet-connected network | |
US11818151B2 (en) | Identification of malicious domain campaigns using unsupervised clustering | |
CN105827599A (zh) | 一种基于dns报文深度解析的缓存中毒检测方法及装置 | |
US20120124087A1 (en) | Method and apparatus for locating naming discrepancies | |
CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
CN108270778A (zh) | 一种dns域名异常访问检测方法及装置 | |
CN104954507A (zh) | 数据优选的域名解析方法及系统 | |
CN111953673A (zh) | 一种dns隐蔽隧道检测方法及系统 | |
CN111683162B (zh) | 一种基于流量识别的ip地址管理方法 | |
CN110247932A (zh) | 一种实现dns服务防御的检测系统和方法 | |
CN109862129A (zh) | Dns流量异常检测方法、装置、电子设备及存储介质 | |
JP5644710B2 (ja) | ノード検出装置、ノード検出方法、及びプログラム | |
Niedermaier et al. | Efficient passive ICS device discovery and identification by MAC address correlation | |
CN101599857A (zh) | 检测共享接入主机数目的方法、装置及网络检测系统 | |
CN107508840A (zh) | 一种基于DNS Proxy的监控DNS域名遭受攻击的方法 | |
CN110266684B (zh) | 一种域名系统安全防护方法及装置 | |
EP4167524A1 (en) | Local network device connection control | |
KR100920528B1 (ko) | Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템 | |
CN106534141A (zh) | 一种防止域名服务器被攻击的方法、系统及防火墙 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180601 |