CN109672691A - 一种实时监控dns队列请求数的方法及系统 - Google Patents

一种实时监控dns队列请求数的方法及系统 Download PDF

Info

Publication number
CN109672691A
CN109672691A CN201910089514.1A CN201910089514A CN109672691A CN 109672691 A CN109672691 A CN 109672691A CN 201910089514 A CN201910089514 A CN 201910089514A CN 109672691 A CN109672691 A CN 109672691A
Authority
CN
China
Prior art keywords
request
dns
given threshold
attack
receiving queue
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910089514.1A
Other languages
English (en)
Inventor
杨海滨
周镜桂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Internet Pioneer Technology Co Ltd
Original Assignee
Shenzhen Internet Pioneer Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Internet Pioneer Technology Co Ltd filed Critical Shenzhen Internet Pioneer Technology Co Ltd
Priority to CN201910089514.1A priority Critical patent/CN109672691A/zh
Publication of CN109672691A publication Critical patent/CN109672691A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种实时监控DNS队列请求数的方法及系统。方法包括:获取设定时段内DNS服务对应的53端口的接收队列请求数;获取攻击设定阈值;判断所述接收队列请求数是否小于所述攻击设定阈值;若是,则表示设定时段内DNS访问请求正常;若否,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。本发明的方法或系统能够解决DNS服务自动实时监控请求数难的问题,实现及时风险报警。

Description

一种实时监控DNS队列请求数的方法及系统
技术领域
本发明涉及域名系统DNS领域,特别是涉及一种实时监控DNS队列请求数的方法及系统。
背景技术
IDC域名供应商为客户提供DNS服务,做域名解析服务。每天都会有成千上万个域名请求DNS服务解析,DNS服务业务很重要。而DNS服务容易遭受UDP flood攻击,造成DNS服务阻塞不可用,所以DNS服务需要被实时监控管理请求数以及判断攻击设定阈值。DNS服务一般使用udp协议的53端口。无连接的udp协议相比与有连接方便监控的tcp协议,53端口请求数即DNS请求数的监控就不容易实现。
发明内容
本发明的目的是提供一种实时监控DNS队列请求数的方法及系统,能够解决DNS服务自动实时监控请求数难的问题,及时风险报警。
为实现上述目的,本发明提供了如下方案:
一种实时监控DNS队列请求数的方法,包括:
获取设定时段内DNS服务对应的53端口的接收队列请求数;
获取攻击设定阈值;
判断所述接收队列请求数是否小于所述攻击设定阈值;
若是,则表示设定时段内DNS访问请求正常;
若否,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。
可选的,所述获取攻击设定阈值,具体包括:
根据公式A=N*M*3.5获取攻击设定阈值;
其中,A表示设定阈值,N表示域名服务的域名数量,M表示单个域名平均每分钟访问请求数,3.5为访问系数。
可选的,所述获取设定时段内DNS服务对应的53端口的接收队列请求数,具体包括:
通过脚本获取设定时段内DNS服务对应的53端口的接收队列请求数。
可选的,所述方法还包括:
将所述接收队列请求数写入数据库,得到第一数据库;
根据所述第一数据库中的数据生成监控图表;
根据所述监控图表实时监控接收队列请求数。
一种实时监控DNS队列请求数的系统,包括:
接收队列请求数获取模块,用于获取设定时段内DNS服务对应的53端口的接收队列请求数;
攻击设定阈值获取模块,用于获取攻击设定阈值;
判断模块,用于判断所述接收队列请求数是否小于所述攻击设定阈值;
第一判断结果模块,用于若所述接收队列请求数小于所述攻击设定阈值,则表示设定时段内DNS访问请求正常;
第二判断结果模块,用于若所述接收队列请求数大于或等于所述攻击设定阈值,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。
可选的,所述攻击设定阈值获取模块具体包括:
攻击设定阈值获取单元,用于根据公式A=N*M*3.5获取攻击设定阈值;
其中,A表示设定阈值,N表示域名服务的域名数量,M表示单个域名平均每分钟访问请求数,3.5为访问系数。
可选的,所述接收队列请求数获取模块具体包括:
接收队列请求数获取单元,用于通过脚本获取设定时段内DNS服务对应的53端口的接收队列请求数。
可选的,所述系统还包括:
第一数据库获取模块,用于将所述接收队列请求数写入数据库,得到第一数据库;
监控图表生成模块,用于根据所述第一数据库中的数据生成监控图表;
实时监控模块,用于根据所述监控图表实时监控接收队列请求数。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明提供一种实时监控DNS队列请求数的方法,包括:获取设定时段内DNS服务对应的53端口的接收队列请求数;获取攻击设定阈值;判断所述接收队列请求数是否小于所述攻击设定阈值;若是,则表示设定时段内DNS访问请求正常;若否,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。通过上述方法,能够解决DNS服务自动实时监控请求数难的问题,及时风险报警。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1实时监控DNS队列请求数的方法流程图;
图2为本发明实施例1实时监控DNS队列请求数的系统结构图;
图3为本发明实施例2实时监控DNS队列请求数的方法流程图;
图4为本发明实施例2实时监控DNS队列请求数的系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种实时监控DNS队列请求数的方法及系统,能够解决DNS服务自动实时监控请求数难的问题,及时风险报警。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明实施例1实时监控DNS队列请求数的方法流程图。如图1所示,一种实时监控DNS队列请求数的方法,包括:
步骤101:获取设定时段内DNS服务对应的53端口的接收队列请求数;
步骤102:获取攻击设定阈值;
步骤103:判断所述接收队列请求数是否小于所述攻击设定阈值;
步骤104:若是,则表示设定时段内DNS访问请求正常;
步骤105:若否,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。
步骤102具体包括:
根据公式A=N*M*3.5获取攻击设定阈值;
其中,A表示设定阈值,N表示域名服务的域名数量,M表示单个域名平均每分钟访问请求数,3.5为访问系数。
步骤101具体包括:
通过脚本获取设定时段内DNS服务对应的53端口的接收队列请求数。
通过上述方法,本发明能够解决DNS服务自动实时监控请求数难的问题,及时风险报警。
图2为本发明实施例1实时监控DNS队列请求数的系统结构图。如图2所示,一种实时监控DNS队列请求数的系统,包括:
接收队列请求数获取模块201,用于获取设定时段内DNS服务对应的53端口的接收队列请求数;
攻击设定阈值获取模块202,用于获取攻击设定阈值;
判断模块203,用于判断所述接收队列请求数是否小于所述攻击设定阈值;
第一判断结果模块204,用于若所述接收队列请求数小于所述攻击设定阈值,则表示设定时段内DNS访问请求正常;
第二判断结果模块205,用于若所述接收队列请求数大于或等于所述攻击设定阈值,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。
所述攻击设定阈值获取模块202具体包括:
攻击设定阈值获取单元,用于根据公式A=N*M*3.5获取攻击设定阈值;
其中,A表示设定阈值,N表示域名服务的域名数量,M表示单个域名平均每分钟访问请求数,3.5为访问系数。
所述接收队列请求数获取模块201具体包括:
接收队列请求数获取单元,用于通过脚本获取设定时段内DNS服务对应的53端口的接收队列请求数。
图3为本发明实施例2实时监控DNS队列请求数的方法流程图。如图3所示,一种实时监控DNS队列请求数的方法,包括:
步骤301:获取设定时段内DNS服务对应的53端口的接收队列请求数;
步骤302:将所述接收队列请求数写入数据库,得到第一数据库;
步骤303:根据所述第一数据库中的数据生成监控图表;
步骤304:根据所述监控图表实时监控接收队列请求数;
步骤305:获取攻击设定阈值;
步骤306:判断所述接收队列请求数是否小于所述攻击设定阈值;
步骤307:若是,则表示设定时段内DNS访问请求正常;
步骤308:若否,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。
步骤102具体包括:
根据公式A=N*M*3.5获取攻击设定阈值;
其中,A表示设定阈值,N表示域名服务的域名数量,M表示单个域名平均每分钟访问请求数,3.5为访问系数。
步骤101具体包括:
通过脚本获取设定时段内DNS服务对应的53端口的接收队列请求数。
通过上述方法,本发明能够解决DNS服务自动实时监控请求数难的问题,提高DNS运维效率,降低DNS运维风险,能够及时风险报警。
图4为本发明实施例2实时监控DNS队列请求数的系统结构图。如图4所示,一种实时监控DNS队列请求数的系统,包括:
接收队列请求数获取模块401,用于获取设定时段内DNS服务对应的53端口的接收队列请求数;
第一数据库获取模块402,用于将所述接收队列请求数写入数据库,得到第一数据库;
监控图表生成模块403,用于根据所述第一数据库中的数据生成监控图表;
实时监控模块404,用于根据所述监控图表实时监控接收队列请求数。
攻击设定阈值获取模块405,用于获取攻击设定阈值;
判断模块406,用于判断所述接收队列请求数是否小于所述攻击设定阈值;
第一判断结果模块407,用于若所述接收队列请求数小于所述攻击设定阈值,则表示设定时段内DNS访问请求正常;
第二判断结果模块408,用于若所述接收队列请求数大于或等于所述攻击设定阈值,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。
所述攻击设定阈值获取模块402具体包括:
攻击设定阈值获取单元,用于根据公式A=N*M*3.5获取攻击设定阈值;
其中,A表示设定阈值,N表示域名服务的域名数量,M表示单个域名平均每分钟访问请求数,3.5为访问系数。
所述接收队列请求数获取模块401具体包括:
接收队列请求数获取单元,用于通过脚本获取设定时段内DNS服务对应的53端口的接收队列请求数。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种实时监控DNS队列请求数的方法,其特征在于,包括:
获取设定时段内DNS服务对应的53端口的接收队列请求数;
获取攻击设定阈值;
判断所述接收队列请求数是否小于所述攻击设定阈值;
若是,则表示设定时段内DNS访问请求正常;
若否,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。
2.根据权利要求1所述的实时监控DNS队列请求数的方法,其特征在于,所述获取攻击设定阈值,具体包括:
根据公式A=N*M*3.5获取攻击设定阈值;
其中,A表示设定阈值,N表示域名服务的域名数量,M表示单个域名平均每分钟访问请求数,3.5为访问系数。
3.根据权利要求1所述的实时监控DNS队列请求数的方法,其特征在于,所述获取设定时段内DNS服务对应的53端口的接收队列请求数,具体包括:
通过脚本获取设定时段内DNS服务对应的53端口的接收队列请求数。
4.根据权利要求1所述的实时监控DNS队列请求数的方法,其特征在于,所述方法还包括:
将所述接收队列请求数写入数据库,得到第一数据库;
根据所述第一数据库中的数据生成监控图表;
根据所述监控图表实时监控接收队列请求数。
5.一种实时监控DNS队列请求数的系统,其特征在于,包括:
接收队列请求数获取模块,用于获取设定时段内DNS服务对应的53端口的接收队列请求数;
攻击设定阈值获取模块,用于获取攻击设定阈值;
判断模块,用于判断所述接收队列请求数是否小于所述攻击设定阈值;
第一判断结果模块,用于若所述接收队列请求数小于所述攻击设定阈值,则表示设定时段内DNS访问请求正常;
第二判断结果模块,用于若所述接收队列请求数大于或等于所述攻击设定阈值,则表示设定时段内开始有DNS攻击不正常请求,进行邮件报警,并执行自动动作拦截攻击源IP。
6.根据权利要求5所述的实时监控DNS队列请求数的系统,其特征在于,所述攻击设定阈值获取模块具体包括:
攻击设定阈值获取单元,用于根据公式A=N*M*3.5获取攻击设定阈值;
其中,A表示设定阈值,N表示域名服务的域名数量,M表示单个域名平均每分钟访问请求数,3.5为访问系数。
7.根据权利要求5所述的实时监控DNS队列请求数的系统,其特征在于,所述接收队列请求数获取模块具体包括:
接收队列请求数获取单元,用于通过脚本获取设定时段内DNS服务对应的53端口的接收队列请求数。
8.根据权利要求5所述的实时监控DNS队列请求数的系统,其特征在于,所述系统还包括:
第一数据库获取模块,用于将所述接收队列请求数写入数据库,得到第一数据库;
监控图表生成模块,用于根据所述第一数据库中的数据生成监控图表;
实时监控模块,用于根据所述监控图表实时监控接收队列请求数。
CN201910089514.1A 2019-01-30 2019-01-30 一种实时监控dns队列请求数的方法及系统 Pending CN109672691A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910089514.1A CN109672691A (zh) 2019-01-30 2019-01-30 一种实时监控dns队列请求数的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910089514.1A CN109672691A (zh) 2019-01-30 2019-01-30 一种实时监控dns队列请求数的方法及系统

Publications (1)

Publication Number Publication Date
CN109672691A true CN109672691A (zh) 2019-04-23

Family

ID=66149987

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910089514.1A Pending CN109672691A (zh) 2019-01-30 2019-01-30 一种实时监控dns队列请求数的方法及系统

Country Status (1)

Country Link
CN (1) CN109672691A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110445779A (zh) * 2019-08-02 2019-11-12 深圳互联先锋科技有限公司 一种dns系统被攻击时的自动保护方法及系统
CN112019520A (zh) * 2020-08-07 2020-12-01 广州华多网络科技有限公司 请求拦截方法、装置、设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN102104636A (zh) * 2009-12-22 2011-06-22 英特尔公司 域名系统查找延迟减少
CN103957195A (zh) * 2014-04-04 2014-07-30 上海聚流软件科技有限公司 Dns系统以及dns攻击的防御方法和防御装置
CN107645570A (zh) * 2016-07-22 2018-01-30 中兴通讯股份有限公司 客户端上线方法及装置
CN108206814A (zh) * 2016-12-20 2018-06-26 腾讯科技(深圳)有限公司 一种防御dns攻击的方法、装置及系统
US20180198805A1 (en) * 2017-01-06 2018-07-12 Cisco Technology, Inc. Graph prioritization for improving precision of threat propagation algorithms

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572701A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 针对DNS服务的抗DDoS攻击安全网关系统
CN102104636A (zh) * 2009-12-22 2011-06-22 英特尔公司 域名系统查找延迟减少
CN103957195A (zh) * 2014-04-04 2014-07-30 上海聚流软件科技有限公司 Dns系统以及dns攻击的防御方法和防御装置
CN107645570A (zh) * 2016-07-22 2018-01-30 中兴通讯股份有限公司 客户端上线方法及装置
CN108206814A (zh) * 2016-12-20 2018-06-26 腾讯科技(深圳)有限公司 一种防御dns攻击的方法、装置及系统
US20180198805A1 (en) * 2017-01-06 2018-07-12 Cisco Technology, Inc. Graph prioritization for improving precision of threat propagation algorithms

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李闰平: "《DNS攻击检测与应急响应技术的研究》", 《中国优秀硕士学位论文全文数据库》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110445779A (zh) * 2019-08-02 2019-11-12 深圳互联先锋科技有限公司 一种dns系统被攻击时的自动保护方法及系统
CN112019520A (zh) * 2020-08-07 2020-12-01 广州华多网络科技有限公司 请求拦截方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
US9747153B2 (en) Resilience as a service
EP3185164A2 (en) System and method for detecting malicious code using visualization
CN102075508B (zh) 针对网络协议的漏洞挖掘系统和方法
US20050154733A1 (en) Real-time change detection for network systems
CN109672691A (zh) 一种实时监控dns队列请求数的方法及系统
US9241007B1 (en) System, method, and computer program for providing a vulnerability assessment of a network of industrial automation devices
CN108415811A (zh) 一种监测业务逻辑的方法及装置
CN101977249B (zh) 穿透nat设备的方法
CN110266737A (zh) 一种跨域资源共享的漏洞检测方法、装置、设备及介质
CN112217817A (zh) 一种网络资产风险监测方法、装置及相关设备
CN110232279A (zh) 一种漏洞检测方法及装置
CN110113325A (zh) 基于第三方sdk的网络数据监控方法、装置及存储介质
CN110430212A (zh) 多元数据融合的物联网威胁感知方法和系统
US10122602B1 (en) Distributed system infrastructure testing
US20080072321A1 (en) System and method for automating network intrusion training
US9525607B2 (en) Connectivity notification
CN106534046B (zh) 一种拟态数据传输服务器及数据传输方法
CN108322336A (zh) 面向国产自主可控服务器的智能管理方法及系统
CN115225347A (zh) 靶场资源监控的方法和装置
CN101409647A (zh) 一种对用户路由器提供流量监控及分析的方法
CN112583951B (zh) 应用层双活方法、装置、设备及存储介质
CN104954187B (zh) 一种确定用户侧设备状态的方法和装置
Kim et al. PBAD: Perception-based anomaly detection system for cloud datacenters
Schirgi Architectural quality attributes for the microservices of care
CN110392129A (zh) IPv6客户机以及IPv6客户机与服务器通信的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20190423