CN109617912B - 一种采用多个域名智能切换防DDoS攻击的装置 - Google Patents

一种采用多个域名智能切换防DDoS攻击的装置 Download PDF

Info

Publication number
CN109617912B
CN109617912B CN201910035512.4A CN201910035512A CN109617912B CN 109617912 B CN109617912 B CN 109617912B CN 201910035512 A CN201910035512 A CN 201910035512A CN 109617912 B CN109617912 B CN 109617912B
Authority
CN
China
Prior art keywords
domain name
attack
domain
client
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910035512.4A
Other languages
English (en)
Other versions
CN109617912A (zh
Inventor
詹科
罗立
王海吉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Knownsec Information Technology Co ltd
Original Assignee
Chengdu Knownsec Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Knownsec Information Technology Co ltd filed Critical Chengdu Knownsec Information Technology Co ltd
Priority to CN201910035512.4A priority Critical patent/CN109617912B/zh
Publication of CN109617912A publication Critical patent/CN109617912A/zh
Application granted granted Critical
Publication of CN109617912B publication Critical patent/CN109617912B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种采用多个域名智能切换防DDoS攻击的装置,包括设置在客户端的域名获取模块和超时监测模块,还包括设置在服务端的攻击监测装置和智能调度装置;域名获取模块:每隔T时间即从服务端智能调度装置的可用域名池获取至少两个可用域名,其中一个作为当前使用域名,其余作为备用域名;超时监测模块:监测客户端向服务端发出请求的时间;攻击监测装置:实时监测,确定被攻击的域名;智能调度装置:若攻击监测装置监测到有域名被攻击,则对该域名进行调度;本发明可在一定时间内麻痹攻击者,延长其再次发起攻击的时间、增加攻击者的攻击资源和成本消耗,提升攻击难度,减少攻击造成的影响从而达到防护DDoS攻击的目的。

Description

一种采用多个域名智能切换防DDoS攻击的装置
技术领域
本发明提供一种防DDoS攻击的装置,具体涉及一种采用多个域名智能切换防DDoS攻击的装置。
背景技术
网络攻防的精髓在于攻防双方信息和资源的不对称;随着大量互联网业务使用特定的客户端如手机APP进行访问,在客户端布防变得十分重要;攻击者在攻击一个目标业务系统时会先踩点即探查目标业务的承载域名以获取服务器IP地址,然后对其发起DDoS攻击;对于一个只提供客户端访问的业务系统,网民不能像在浏览器访问一样直接看到业务系统使用的是哪个域名,攻击者必须对客户端和服务端之间的通讯进行抓包分析才能找到业务承载域名;当前主流互联网业务的客户端一般只采用一个官方默认域名提供访问,很容易被抓包嗅探并被追踪、针对持续攻击、导致其业务中断。
例如目前一些防御厂商提供的在客户端层面防DDoS的方法是通过在客户端嵌入SDK,调用HTTPDNS利用大量高防IP迅速切换的方式来缓解攻击的影响;但是嵌入SDK需要在前期投入大量人力进行开发联调,一旦更换防御厂商又需要重新开发,成本高;并且利用HTTPDNS来快速调度切换,HTTPDNS的DNS成为了业务系统的调度中心,很容易成为DDoS集中火力“斩首”攻击的目标;使用一个域名和采用HTTPDNS这种中心化的系统一旦被攻击,将造成业务完全中断。
发明内容
本发明提供一种提升攻击门槛,增加攻击者的攻击难度和资源、成本消耗减少攻击影响的采用多个域名智能切换防DDoS攻击的装置。
本发明采用的技术方案是:一种采用多个域名智能切换防DDoS攻击的装置,包括设置在客户端的域名获取模块和超时监测模块,还包括设置在服务端的攻击监测装置和智能调度装置;
域名获取模块:每隔T时间即从服务端智能调度模块的可用域名池获取至少两个可用域名,其中一个作为当前使用域名,其余作为备用域名;
超时监测模块:监测客户端向服务端发出请求的时间,若在设定时间阈值内服务端未响应客户端的请求则将当前使用的域名切换到备用域名重新发起请求;
攻击监测装置:实时监测,确定被攻击的域名;
智能调度装置:若攻击监测装置监测到有域名被攻击,则对该域名进行解析调度以吸引攻击者火力,并将该域名从可用域名池中移除,避免被客户端获取。
进一步的,还包括设置在服务端具有N个可用域名的域名池和具有M个高防IP的IP池,M>N;每个IP地址同时间只分配给一个域名。
进一步的,所述智能调度装置中的调度过程如下:
通过智能DNS对域名进行解析,将监测到被攻击的域名对应的IP从域名的记录中去掉或者从IP池中重新分配一个高阶高防IP给该域名。
进一步的,所述步骤攻击监测装置通过攻击告警接口实时获取IP信息以确定被攻击的域名。
进一步的,所述域名获取模块发起的请求由客户端自身的安全加固和通讯加密措施进行加密混淆。
进一步的,所述N>10,M>30。
本发明的有益效果是:
(1)本发明在客户端可直接从源服务端获取多个域名进行智能切换,去中心化;
(2)本发明大大降低防御成本、提升攻击者的成本、资源消耗、提升攻击门槛,减少了攻击给业务造成的影响,不依赖于高防SDK。
附图说明
图1为本发明结构示意图。
图2为本发明中智能调度装置分配过程。
具体实施方式
下面结合附图和具体实施例对本发明做进一步说明。
如图1所示,一种采用多个域名智能切换防DDoS攻击的装置,包括设置在客户端的域名获取模块和超时监测模块,还包括设置在服务端的攻击监测装置和智能调度装置;
域名获取模块:每隔T时间即从服务端智能调度模块的可用域名池获取至少两个可用域名,其中一个作为当前使用域名,其余作为备用域名;
同时,可由客户端自身的安全加固和通讯加密措施对域名获取模块进行保护,避免可用域名被遍历。
超时监测模块:监测客户端向服务端发出请求的时间,若超过设定时间阈值服务端未响应客户端的请求则将当前使用的域名切换到备用域名重新发起请求。
攻击监测装置:实时监测,确定被攻击的域名;
攻击监测装置采用云防御厂商提供的攻击告警接口实时获取IP的带宽、网络质量、遭受攻击的类型和大小,与预设的特征值进行比较,确定被攻击的域名。
智能调度装置:若攻击监测装置监测到有域名被攻击,则对该域名进行调度;结合智能DNS对域名的解析按策略进行调度,例如初始给域名1在DNS中采用A记录的方式分配低阶高防IP1、中阶高防IP2、高阶IP3,当攻击监测装置监测到IP1被攻击则将IP1从域名1的A记录中去掉或从IP池中重新分配一个高阶IPx;对于域名1来说防御能力能够有效得到提升,可吸引攻击者火力,并将被攻击的域名从可用域名池中移除,避免被客户端获取。
还包括设置在服务端具有N个可用域名的域名池和具有M个高防IP的IP池,M>N;每个IP地址同时间只分配给一个域名。
N>10 ,M>30;IP池中准备M个可用的最好是在不同区域不同机房的有一定防护能力(如高、中、低三个阶梯的)高防IP地址,保证IP地址多于域名数;每个IP地址同一时间只分配给一个域名,以便能监测到是哪一个域名正在被攻击并灵活调度。
使用时,按照下述步骤进行:
(1)客户端在发版时封装两个原始的域名,如1和2,域名1为默认业务承载域名,域名2为备用域名。
(2)用户在PC或手机安装好客户端发起业务请求时,客户端先通过访问原始域名1或2从服务端的域名池接口随机获取两个可用的域名3和4;客户端自动将获取的域名3配置为其在一定时间周期内(可自定义,如5分钟,10分钟,30分钟)的默认域名,配置域名4为一定时间周期内的备用域名;该用户安装的这个客户端的后续请求都通过访问域名3来完成,若域名3不可用则使用备用的域名4。
(3)一定时间周期后客户端自动通过访问域名3和4再次从服务端的域名池中随机获取域名5和6;按照步骤(2)的方法配置默认域名和备用域名,该客户端后续的请求都通过访问域名5来完成,若域名5不可用则使用备用的域名6。
(4)重复循环步骤(3),保证两个时间周期中获取的四个域名不重复,这样在一定时间内攻击者从客户端和服务端的通讯中抓包只能获取到一个正在用于通讯的域名。假设攻击者抓包获取域名5,并对其发起DDoS攻击,则服务端的攻击监测装置监测到域名5被攻击;从服务端的域名池中将域名5剔除并报警给运维人员,同时同步消息给智能调度装置,智能调度装置根据预设的调度策略将域名5的解析指向到高阶高防IP进行清洗以持续吸引攻击火力。
具体调度过程如下:
当攻击监测装置监测到域名5被攻击后,智能调度装置将域名5从服务端的域名池中剔除并同步消息给智能调度装置;通过DNS将分配给域名5正在被攻击的IP通过A记录切换为高阶高防IPx提升域名的防御能力从而持续吸引火力麻痹攻击者。
若域名5解析指向的IP不可用,则客户端内置的超时监测装置会监测到请求超时,自动弹窗提醒用户重启客户端或者刷新页面或重启网络;客户端检测到用户按提示进行操作后立即启用备用域名6进行通讯,并从服务端的域名池中获取域名7和8,恢复正常访问,重复上述步骤。
一般攻击者获取到一个域名如域名5后会针对性的追逐攻击该域名解析的IP,并通过第三方监控等观察攻击效果(是否丢包,域名5是否还能访问等);在下发攻击指令、观察攻击效果的这一段时间内不再对客户端通讯进行抓包;假设攻击者攻击域名5得逞,则1/N的用户会短暂的受影响,且按客户端的提示进行操作后会立即启用备用域名6从服务端的域名池获取新的可用域名7和8并进行自动配置,后续的访问不受影响,而攻击者还沉浸在攻击“空城”成功的梦寐中。
当攻击者发现客户端还能正常访问时,再次对客户端进行抓包分析,发现新的域名7并发起攻击,则服务端的智能调度装置将域名7从域名池剔除,期间若监测到域名5未被持续攻击则重新将其加入域名池。多个回合后,攻击者可能积累发现多个域名,可能发起批量的攻击,由于域名的解析可以灵活调度,犹如“七十二疑冢”,在攻击资源总量不变的情况下攻击者将无法对每个IP进行大流量的针对性攻击,大大减弱其攻击效果,减少攻击造成的影响。
本发明提供的装置去中心化,并可用灵活的调度策略以小博大,对DDoS进行有效的防御,同时显著减少用户层面的感知,理论上N越大,用户感知越少,防护效果越好。
本发明中涉及的专用名词如下:
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击:黑客将被入侵控制的类似“僵尸”的计算机、服务器甚至手机终端联合起来作为攻击平台对目标发动攻击,从而成倍的提高拒绝服务攻击的威力。
IP(IP Address,IP地址):分配给互联网上实用国际协议的设备的数字标签。
BGP(Border Gateway Protocol,边界网关协议)线路IP,互联网上一个核心的采用去中心化自治路由协议的线路,网络连通性比普通IP更优秀。
高防IP,具有清洗DDoS攻击流量能力的IP,通常自带超大网络带宽,根据带宽的大小可以分为低、中、高三个阶梯,一般低阶的网络连通性很好甚至可以用BGP线路的IP,高阶的网络连通性较差。
API(Application Programming Interface):应用程序接口,是软件系统不同组成部分衔接的接口。
DNS(Domain Name System):是互联网的一项服务,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
A (Address)记录,是在DNS中用来指定主机名(或域名)对应的IP地址记录。
HTTPDNS,基于HTTP协议向云防御厂商的DNS服务器发送域名解析请求,替代了基于DNS协议向运营商Local DNS发起解析请求的传统方式,可以避免Local DNS造成的域名劫持和跨网访问问题,解决移动互联网服务中域名解析异常带来的困扰,结合厂商提供的API可以迅速更新切换解析。
域名(Domain):是由一串用点分隔的字符组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位。是IP地址的代称,目的是为了便于记忆后者。例如,www.example.com是一个域名,和IP地址6.6.6.6相对应。人们可以直接访问www.example.com来代替IP地址,然后域名系统(DNS)就会将它转化成便于机器识别的IP地址。这样,人们只需要记忆www.example.com这一串带有特殊含义的字符,而不需要记忆没有含义的数字。
SDK(Software Development Kit,软件开发工具包):一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合。
APP(Application,应用程序):主要指安装在智能手机上的软件(如安装在手机上的微信客户端),完善原始系统的不足与个性化。
本发明通过在客户端使用多个域名,当客户端的某个承载域名被攻击时可以立即切换到其他可用域名,结合攻击监测装置、智能调度装置将被攻击的域名在一定时间内解析到采购的高防IP或被黑洞的IP;同时在客户端启用一个新的可用域名,保障正常用户不受攻击影响的同时给攻击者营造一个攻击得逞或即将得逞的假象;可在一定时间内麻痹攻击者,从而延长其再次发起攻击的时间,提升攻击门槛,增加攻击者的攻击难度和资源、成本消耗,达到防护DDoS攻击的目的。

Claims (4)

1.一种采用多个域名智能切换防DDoS攻击的装置,其特征在于,包括设置在客户端的域名获取模块和超时监测模块,设置在服务端的攻击监测装置和智能调度装置;还包括设置在服务端具有N个可用域名的域名池和具有M个高防IP的IP池,M>N;每个IP地址同时间只分配给一个域名;
域名获取模块:每隔T时间即从服务端智能调度装置的可用域名池获取至少两个可用域名,其中一个作为当前使用域名,其余作为备用域名;
超时监测模块:监测客户端向服务端发出请求的时间,若超过设定时间阈值服务端未响应客户端的请求则将当前使用的域名切换到备用域名重新发起请求;
攻击监测装置:实时监测,确定被攻击的域名;
智能调度装置:若攻击监测装置监测到有域名被攻击,则对该域名进行调度,调度过程如下:
通过智能DNS对域名进行解析,将监测到被攻击的域名对应的IP从域名的记录中去掉或从IP池中重新分配一个高阶高防IP给该域名。
2.根据权利要求1所述的一种采用多个域名智能切换防DDoS攻击的装置,其特征在于,所述攻击监测装置通过攻击告警接口实时获取IP信息以确定被攻击的域名。
3.根据权利要求1所述的一种采用多个域名智能切换防DDoS攻击的装置,其特征在于,所述域名获取模块发起的请求由客户端自身的安全加固和通讯加密措施进行加密混淆。
4.根据权利要求1所述的一种采用多个域名智能切换防DDoS攻击的装置,其特征在于,所述N>10,M>30。
CN201910035512.4A 2019-01-15 2019-01-15 一种采用多个域名智能切换防DDoS攻击的装置 Active CN109617912B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910035512.4A CN109617912B (zh) 2019-01-15 2019-01-15 一种采用多个域名智能切换防DDoS攻击的装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910035512.4A CN109617912B (zh) 2019-01-15 2019-01-15 一种采用多个域名智能切换防DDoS攻击的装置

Publications (2)

Publication Number Publication Date
CN109617912A CN109617912A (zh) 2019-04-12
CN109617912B true CN109617912B (zh) 2021-05-28

Family

ID=66017314

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910035512.4A Active CN109617912B (zh) 2019-01-15 2019-01-15 一种采用多个域名智能切换防DDoS攻击的装置

Country Status (1)

Country Link
CN (1) CN109617912B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110336687B (zh) * 2019-05-09 2022-04-19 上海缤游网络科技有限公司 一种域名切换方法、装置及系统
CN110636072B (zh) * 2019-09-26 2021-05-14 腾讯科技(深圳)有限公司 一种目标域名的调度方法、装置、设备及存储介质
CN113055344B (zh) * 2019-12-27 2023-07-28 贵州白山云科技股份有限公司 调度方法、装置、介质及设备
CN113691499A (zh) * 2021-07-29 2021-11-23 深圳市天天来玩科技有限公司 一种客户端防劫持方法、客户端、服务器及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959334A (zh) * 2016-07-20 2016-09-21 上海携程商务有限公司 DDoS攻击的自动防御系统及方法
CN107995324A (zh) * 2017-12-04 2018-05-04 北京奇安信科技有限公司 一种基于隧道模式的云防护方法及装置
CN108737494A (zh) * 2018-04-08 2018-11-02 广西大学 基于云计算的教学平台

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104639666B (zh) * 2013-11-06 2019-04-16 腾讯科技(深圳)有限公司 域名访问方法及装置
CN107517195B (zh) * 2016-06-17 2021-01-29 阿里巴巴集团控股有限公司 一种内容分发网络定位攻击域名的方法和装置
CN106790744B (zh) * 2016-12-01 2020-09-15 上海云盾信息技术有限公司 Ip调度方法及系统
CN107154963B (zh) * 2017-03-31 2021-01-29 北京猎豹移动科技有限公司 一种请求处理方法、装置及电子设备
CN109327441B (zh) * 2018-10-10 2021-01-05 光通天下网络科技股份有限公司 分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105959334A (zh) * 2016-07-20 2016-09-21 上海携程商务有限公司 DDoS攻击的自动防御系统及方法
CN107995324A (zh) * 2017-12-04 2018-05-04 北京奇安信科技有限公司 一种基于隧道模式的云防护方法及装置
CN108737494A (zh) * 2018-04-08 2018-11-02 广西大学 基于云计算的教学平台

Also Published As

Publication number Publication date
CN109617912A (zh) 2019-04-12

Similar Documents

Publication Publication Date Title
CN109617912B (zh) 一种采用多个域名智能切换防DDoS攻击的装置
US10057234B1 (en) Systems and methods for providing network security monitoring
US11736507B2 (en) Techniques for analyzing network vulnerabilities
US11470115B2 (en) Implementing decoys in a network environment
US10476891B2 (en) Monitoring access of network darkspace
US9240976B1 (en) Systems and methods for providing network security monitoring
Antonatos et al. Defending against hitlist worms using network address space randomization
US9609019B2 (en) System and method for directing malicous activity to a monitoring system
US9769204B2 (en) Distributed system for Bot detection
EP3410336B1 (en) Forensic analysis
US9584531B2 (en) Out-of band IP traceback using IP packets
US7039721B1 (en) System and method for protecting internet protocol addresses
US7770223B2 (en) Method and apparatus for security management via vicarious network devices
US10404747B1 (en) Detecting malicious activity by using endemic network hosts as decoys
EP1648114A1 (en) System and method for monitoring unauthorised network traffic
EP3570504B1 (en) Attack countermeasure determination device, attack countermeasure determination method, and attack countermeasure determination program
AU2004282937A1 (en) Policy-based network security management
WO2016081561A1 (en) System and method for directing malicious activity to a monitoring system
CN108092940B (zh) 一种dns的防护方法及相关设备
US8713306B1 (en) Network decoys
CN106254312B (zh) 一种通过虚拟机异构实现服务器防攻击的方法及装置
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
CN106302537A (zh) 一种ddos攻击流量的清洗方法及系统
CN107508840A (zh) 一种基于DNS Proxy的监控DNS域名遭受攻击的方法
US6823378B2 (en) Method and apparatus in network management system for performance-based network protocol layer firewall

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: 9/F, Block C, No. 28 Tianfu Avenue North Section, Chengdu High tech Zone, China (Sichuan) Pilot Free Trade Zone, Chengdu City, Sichuan Province, 610000

Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd.

Address before: 610000, 11th floor, building 2, No. 219, Tianfu Third Street, hi tech Zone, Chengdu, Sichuan Province

Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd.