CN109936551B - 域名系统攻击的防御方法、防御装置以及控制器 - Google Patents
域名系统攻击的防御方法、防御装置以及控制器 Download PDFInfo
- Publication number
- CN109936551B CN109936551B CN201711370860.4A CN201711370860A CN109936551B CN 109936551 B CN109936551 B CN 109936551B CN 201711370860 A CN201711370860 A CN 201711370860A CN 109936551 B CN109936551 B CN 109936551B
- Authority
- CN
- China
- Prior art keywords
- dns
- controller
- dns request
- attack
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种域名系统攻击的防御方法、防御装置、控制器以及计算机可读存储介质,涉及网络安全技术领域。其中的防御方法包括:控制器向交换机采集域名系统DNS请求包,并测量DNS请求包的采集速度;在采集速度大于预设速度值的情况下,控制器采集预设数量的DNS请求包后对预设数量的DNS请求包进行熵值运算;在熵值运算结果小于第一阈值的情况下,控制器利用预设数量的DNS请求包确定疑似受害主机,并采集疑似受害主机端口的DNS数据包;在DNS数据包中的DNS回复包数量与DNS请求包数量的比值大于第二阈值的情况下,控制器判定疑似受害主机遭受DNS攻击,并对遭受DNS攻击的疑似受害主机进行保护。本发明能够快速准确识别DNS放大攻击,并保护受到DNS放大攻击的主机。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种域名系统攻击的防御方法、防御装置、控制器以及计算机可读存储介质。
背景技术
网络安全问题一直是学术界和工业界关注的重要问题。而DRDoS(DistributedReflection Denial of Service的缩写,分布式反射拒绝服务)攻击因为存在广泛、危害严重,已经引起学者大量关注和深入研究。
在众多发起DRDoS攻击的方式中,DNS放大攻击常作为最具代表性的攻击方式。由于DNS服务器一般对外开放,所以DNS放大攻击易于发起,并且此类攻击通常具有很大的带宽放大因子。要发起DNS放大攻击,黑客经常使用僵尸网络中的傀儡机发送类型为255的DNSANY请求包。在这些请求数据包中,它们的源IP地址都被伪造成受害主机的IP地址。当DNS服务器收到这些DNS请求包并进行解析后作出回复,而回复数据包长度可以达到对应DNS请求包长度的50倍。由于请求数据包伪造源IP,这些DNS回复包全部都发往了受害主机。由于在短时间内受害主机端口的带宽占用会急剧上升,它将无法进行正常工作,甚至宕机。而这些DNS服务器也被黑客用作了“反射器”。
发明内容
发明人研究发现,一般在流量高峰时,不容易对攻击流量进行识别,加上在DNS放大攻击中的请求包一般伪造源IP,所以识别难度更大。在传统网络中,常在入口网关处设置DDoS防御平台进行DNS放大攻击防御,它们或是通过统计记录关于DNS请求与回复包对数来进行攻击检测,需要消耗很大的存储空间;或是结合端口号53,对超过1512字节的超大DNS回复包进行丢弃,过滤方式太过简单。此外,通过专用DDoS平台只能在网关入口处进行流量监测,不能对网关内部网络的流量进行实时监控判断,对网络整体流量的可视性差且业务拓展性弱。在SDN网络中,有的算法在可能的受害数据端仅通过计算DNS回复包目的IP的熵值对攻击进行识别,这并没有充分利用SDN架构可视性优势来准确判定攻击。另外,在攻击路径下游进行攻击识别会延迟响应时间;还有的算法将熵值算法部署在交换机中严重影响转发吞吐量,或是将转发层数据周期性发往控制层进行分析,在发生攻击时对控制层压力过大,可能导致网络瘫痪。
本发明解决的一个技术问题是,如何快速准确识别DNS放大攻击,并保护受到DNS放大攻击的主机。
根据本发明实施例的一个方面,提供了一种域名系统攻击的防御方法,包括:控制器向交换机采集域名系统DNS请求包,并测量DNS请求包的采集速度;在采集速度大于预设速度值的情况下,控制器采集预设数量的DNS请求包后对预设数量的DNS请求包进行熵值运算;在熵值运算结果小于第一阈值的情况下,控制器利用预设数量的DNS请求包确定疑似受害主机,并采集疑似受害主机端口的DNS数据包;在DNS数据包中的DNS回复包数量与DNS请求包数量的比值大于第二阈值的情况下,控制器判定疑似受害主机遭受DNS攻击,并对遭受DNS攻击的疑似受害主机进行保护。
在一些实施例中,控制器向交换机采集DNS请求包包括:多个控制器采用负载均衡策略向交换机采集DNS请求包。
在一些实施例中,控制器向交换机采集DNS请求包包括:控制器向交换机下发第一流表,以指示交换机将匹配第一流表中流表项的DNS请求包转发至控制器;交换机将匹配table-miss流表项的DNS请求包转发至控制器。
在一些实施例中,控制器利用预设数量的DNS请求包确定疑似受害主机包括:控制器分析预设数量的DNS请求包的IP地址;控制器将IP地址中数量占比大于第三阈值的IP地址确定为疑似受害主机的IP地址。
在一些实施例中,对遭受DNS攻击的疑似受害主机进行保护包括:控制器向交换机下发第二流表,以指示交换机丢弃目的IP地址为所述遭受DNS攻击的疑似受害主机IP地址、UDP协议号为17、DNS源端口号为53、出端口为所述遭受DNS攻击的受害主机与交换机直连端口的DNS回复包。
在一些实施例中,防御方法还包括:在熵值运算结果大于第一阈值的情况下,控制器提高预设速度值,继续向交换机采集DNS请求包,并测量DNS请求包的采集速度。
根据本发明实施例的另一个方面,提供了一种控制器,包括:请求包采集模块,用于向交换机采集域名系统DNS请求包,并测量DNS请求包的采集速度;熵值运算模块,用于在采集速度大于预设速度值的情况下,采集预设数量的DNS请求包后对预设数量的DNS请求包进行熵值运算;受害主机诊断模块,用于在熵值运算结果小于第一阈值的情况下,利用预设数量的DNS请求包确定疑似受害主机,并采集疑似受害主机端口的DNS数据包;受害主机保护模块,用于在DNS数据包中的DNS回复包数量与DNS请求包数量的比值大于第二阈值的情况下,控制器判定疑似受害主机遭受DNS攻击,并对遭受DNS攻击的疑似受害主机进行保护。
在一些实施例中,控制器的个数为多个,各个控制器中的请求包采集模块用于采用负载均衡策略向交换机采集DNS请求包。
在一些实施例中,请求包采集模块用于:向交换机下发第一流表,以指示交换机将匹配第一流表中流表项的DNS请求包转发至控制器;指示交换机将匹配table-miss流表项的DNS请求包转发至控制器。
在一些实施例中,受害主机诊断模块用于:分析预设数量的DNS请求包的IP地址;将IP地址中数量占比大于第三阈值的IP地址确定为疑似受害主机的IP地址。
在一些实施例中,受害主机保护模块用于:向交换机下发第二流表,以指示交换机丢弃目的IP地址为所述遭受DNS攻击的疑似受害主机IP地址、UDP协议号为17、DNS源端口号为53、出端口为所述遭受DNS攻击的受害主机与交换机直连端口的DNS回复包。
在一些实施例中,控制器还包括预设速度值更新模块,用于在熵值运算结果大于第一阈值的情况下,提高预设速度值,以便继续向交换机采集DNS请求包,并测量DNS请求包的采集速度。
根据本发明实施例的又一个方面,提供了一种域名系统攻击的防御装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述的域名系统攻击的防御方法。
根据本发明实施例的再一个方面,提供了一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现前述的域名系统攻击的防御方法。
本发明能够快速准确识别DNS放大攻击,并保护受到DNS放大攻击的主机。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明一个实施例的域名系统攻击的防御方法的流程示意图。
图2示出了本发明设计的SDN安全架构示意图。
图3示出了本发明一个实施例的控制器的结构示意图。
图4示出了本发明一个实施例的域名系统攻击的防御装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面以SDN(Software Defined Network,软件定义网络)为场景进行详细介绍,文中的控制器可以理解为SDN控制器。
首先结合图1介绍本发明一个实施例的域名系统攻击的防御方法。
图1示出了本发明一个实施例的域名系统攻击的防御方法的流程示意图。如图1所示,本实施例中的域名系统攻击的防御方法包括:
步骤S102,控制器向交换机采集DNS请求包,并测量DNS请求包的采集速度。
例如,控制器可以通过下发流表来向入口网关交换机和所有连接内网DNS服务器的交换机采集DNS请求包,并对采集速度进行测量。
步骤S103,判断采集速度与预设速度值的大小关系。在采集速度小于预设速度值的情况下,重复执行步骤S102。
在采集速度大于预设速度值的情况下,执行步骤S104,控制器采集预设数量的DNS请求包后对预设数量的DNS请求包进行熵值运算。
例如,在某一秒采集速度v大于预设速度值rate,则控制器会采集满N个DNS数据包并对它们的源IP进行熵值运算。
步骤S105,判断熵值运算结果是否大于第一阈值。
在熵值运算结果大于第一阈值的情况下,执行步骤S106,控制器提高预设速度值,继续向交换机采集DNS请求包,并测量DNS请求包的采集速度。
例如,如果熵值运算结果h大于设定的阈值H,则提高速度阈值rate,继续采集测量过程。
在熵值运算结果小于第一阈值的情况下,执行步骤S107,控制器利用预设数量的DNS请求包确定疑似受害主机,并采集疑似受害主机端口的DNS数据包。
例如,熵值运算结果h小于设定的阈值H,表明源IP分布很集中,控制器继续分析这些源IP成分,找出疑似受害主机,并通过下发流表采集其端口的DNS数据包,分析其回复包和请求包的数量关系。具体来说,控制器可以分析预设数量的DNS请求包的IP地址,并将IP地址中数量占比大于第三阈值的IP地址确定为疑似受害主机的IP地址。
在DNS数据包中的DNS回复包数量与DNS请求包数量的比值大于第二阈值的情况下,执行步骤S108,控制器判定疑似受害主机遭受DNS攻击,并对遭受DNS攻击的疑似受害主机进行保护。
例如,对于某疑似受害主机,DNS回复包数量远远大于相应请求包数量,则判定此主机遭受攻击并进行保护。控制器通过向刚刚上报请求包的相关交换机(网关入口或连接DNS服务器的交换机)下发第二流表以指示交换机丢弃攻击请求数据流,如丢弃目的IP地址为遭受DNS攻击的疑似受害主机IP地址、UDP协议号为17、DNS源端口号53、出端口为遭受DNS攻击的疑似受害主机与交换机直连端口的DNS回复包,从而保护网络。
上述实施例中,充分利用SDN强可视性架构优势,在反射攻击路径上游同时对来自网络系统多个交换机的数据包进行快速采集,进而通过请求包速度、请求包源IP分布情况对DNS放大攻击进行初步监测,通过对疑似受害主机端口DNS数据包的实际采集准确判断攻击是否发生。因此,本发明能够快速准确识别DNS放大攻击,并保护受到DNS放大攻击的主机。
可选的,在步骤S102中,控制器向交换机采集DNS请求包包括:多个控制器采用负载均衡策略向交换机采集DNS请求包。控制器可以向交换机下发第一流表,以指示交换机将匹配第一流表中流表项的DNS请求包转发至控制器;交换机将匹配table-miss流表项的DNS请求包转发至控制器。
该优选步骤可以通过设计SDN安全架构来实现。图2示出了本发明设计的SDN安全架构示意图。SDN安全架构中设立专门的SDN安全控制器组,由前端的负载均衡器和后端的若干安全控制器成员组成。而在转发层因没有匹配流表或者被控制器命令上传这两种情形下的数据包都会被SDN交换机发往安全控制器前端的负载均衡器,交由安全控制器成员处理。上述两种情形中,第一种情形是当内网主机被入侵后作为傀儡机,通过外部DNS服务器进行流量反射来攻击内网其他主机。第二种情形是当内网主机被入侵后作为傀儡机,通过内部DNS服务器进行流量反射来攻击内网其它主机。
上述实施例中设计的SDN安全架构设立专门包含负载均衡的安全控制器组,减轻数据采集与分析对控制层的压力。该SDN安全架构扩展性强,还可以为其它攻击防御算法的部署提供有力支撑。同时,上述SDN安全架构对于针对控制层的DDoS攻击也会起到很好的防护作用,当负载均衡器与转发层之间的控制通道被占用时,非控制器组的成员依然可以控制网络,减小整个网络瘫痪的风险。
此外,上述SDN安全架构中使得两种Packet_in数据包转发路径的改变,均交由安全控制器成员处理,能够避免转发层无法匹配到流表的数据包造成的DNS放大攻击,增强DNS放大攻击的防御方法的鲁棒性。
下面介绍本发明域名系统攻击的防御方法的一个具体的应用例。
在安全架构设计方面,首先在SDN安全控制器组前端的负载均衡服务器上创建相应的虚拟服务器VIP,同时分别为南北向的控制通道和东西向的集群通信以及安全控制器cluster-rpc和restconf功能开放相应监听端口。在交换机端OpenFlow1.3基础上作相应改动,使reason字段分别为OFPR_NO_MATCH和OFPR_ACTION的所有Packet_in类型数据包全部上传至负载均衡器,交由安全控制器成员处理。前述第一种Packet_in包对应转发层数据流经过交换机因匹配table-miss流表项而被转发至控制层的情况,后一种Packet_in包对应数据流匹配正常流表项,但相应action是Output:OFPP_CONTROLLER而被转发至控制层的情况。这样的架构会在控制层采集分析转发层流量时减轻压力,并且在强攻击发生时保证与转发层之间控制通道的畅通,使整个网络保持正常运行。
SDN控制层通过在连接内部DNS服务器的交换机和入口网关交换机下发流表进行DNS请求数据包的镜像。表1示例性示出了连接内部DNS服务器的交换机中下发的流表项的具体格式,表2示例性示出了入口网关交换机中下发的流表项的具体格式。
表1
表2
如果在某一秒内控制层采集的所有DNS请求数据包个数超过rate个,则会继续采集满N个数据包,然后对它们的源IP进行熵值运算。考虑到本地DNS可能进行多次迭代DNS查询,这N个数据包里不含来自入口网关交换机上报的源IP为内部DNS服务器的数据包。控制器先得到一个矢量X={X1,X2,X3…Xk},为数据包源IP的计数结果,其中下标{1,2,3…k}代表源IP的类型,然后用每个源IP出现的频率近似评估它出现的概率,计算过程如公式(1)所示:
通过上面计算可以得到一个表示概率的矢量P={p1,p2,p3…pk}。对这些源IP地址进行熵值运算并进行归一化记作H(Si),计算过程如公式(2)所示:
然后通过公式(2)的计算结果来作出判断。如果熵值计算结果小于设定阈值H,控制器就从里面找出数量上占比例较大的源IP,作为疑似受害主机,记作IPList=[IP1,IP2,IPi,…IPk],接着找出与IPList中成员直连的所有交换机,向它们下发流表来实际采集它们端口的DNS数据包。表3示例性示出了采集DNS请求包对应流表项,表4示例性示出了采集DNS回复包对应流表项。
表3
表4
表中采用高优先级流表项保证转发层数据的优先匹配,同时设置合适的存活时间保证流表项在攻击判断后及时从网络中被删除。如果在IPList中,某IPi端口的DNS回复包数量远远大于对应请求包,则可以确定它正在遭受攻击。将遭受攻击的所有受害主机记作VictimList=[IP1,IP2,IPi,…IPn](1≤n≤k),为IPList的子集。接着,安全控制器通过依次向连接受害主机的交换机、入口网关交换机和连接内部DNS服务器的交换机下发相应流表的方式将相关DNS攻击回复包和攻击请求包丢弃,从而保护受害主机。
下面结合图3介绍本发明一个实施例的控制器。
图3示出了本发明一个实施例的控制器的结构示意图。如图3所示,本实施例中的控制器30包括:
请求包采集模块302,用于向交换机采集域名系统DNS请求包,并测量DNS请求包的采集速度;
熵值运算模块304,用于在采集速度大于预设速度值的情况下,采集预设数量的DNS请求包后对预设数量的DNS请求包进行熵值运算;
受害主机诊断模块306,用于在熵值运算结果小于第一阈值的情况下,利用预设数量的DNS请求包确定疑似受害主机,并采集疑似受害主机端口的DNS数据包;
受害主机保护模块308,用于在DNS数据包中的DNS回复包数量与DNS请求包数量的比值大于第二阈值的情况下,控制器判定疑似受害主机遭受DNS攻击,并对遭受DNS攻击的疑似受害主机进行保护。
上述实施例中,充分利用SDN强可视性架构优势,在反射攻击路径上游同时对来自网络系统多个交换机的数据包进行快速采集,进而通过请求包速度、请求包源IP分布情况对DNS放大攻击进行初步监测,通过对疑似受害主机端口DNS数据包的实际采集准确判断攻击是否发生。因此,本发明能够快速准确识别DNS放大攻击,并保护受到DNS放大攻击的主机。
在一些实施例中,控制器的个数为多个,各个控制器中的请求包采集模块302用于采用负载均衡策略向交换机采集DNS请求包。
在一些实施例中,请求包采集模块302用于:向交换机下发第一流表,以指示交换机将匹配第一流表中流表项的DNS请求包转发至控制器;指示交换机将匹配table-miss流表项的DNS请求包转发至控制器。
上述实施例中设计的SDN安全架构设立专门包含负载均衡的安全控制器组,减轻数据采集与分析对控制层的压力。该SDN安全架构扩展性强,还可以为其它攻击防御算法的部署提供有力支撑。同时,上述SDN安全架构对于针对控制层的DDoS攻击也会起到很好的防护作用,当负载均衡器与转发层之间的控制通道被占用时,非控制器组的成员依然可以控制网络,减小整个网络瘫痪的风险。
此外,上述SDN安全架构中使得两种Packet_in数据包转发路径的改变,均交由安全控制器成员处理,能够避免转发层无法匹配到流表的数据包造成的DNS放大攻击,增强DNS放大攻击的防御方法的鲁棒性。
在一些实施例中,受害主机诊断模块306用于:分析预设数量的DNS请求包的IP地址;将IP地址中数量占比大于第三阈值的IP地址确定为疑似受害主机的IP地址。
在一些实施例中,受害主机保护模块308用于:向交换机下发第二流表,以指示交换机丢弃目的IP地址为所述遭受DNS攻击的疑似受害主机IP地址、UDP协议号为17、DNS源端口号为53、出端口为所述遭受DNS攻击的受害主机与交换机直连端口的DNS回复包。
在一些实施例中,控制器还包括预设速度值更新模块305,用于在熵值运算结果大于第一阈值的情况下,提高预设速度值,以便继续向交换机采集DNS请求包,并测量DNS请求包的采集速度。
图4示出了本发明域名系统攻击的防御装置的一个实施例的结构示意图。如图4所示,该实施例的域名系统攻击的防御装置40包括:存储器410以及耦接至该存储器410的处理器420,处理器420被配置为基于存储在存储器410中的指令,执行前述任意一个实施例中的域名系统攻击的防御方法。
其中,存储器410例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
域名系统攻击的防御装置40还可以包括输入输出接口430、网络接口440、存储接口450等。这些接口430,440,450以及存储器410和处理器420之间例如可以通过总线460连接。其中,输入输出接口430为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口440为各种联网设备提供连接接口。存储接口450为SD卡、U盘等外置存储设备提供连接接口。
本发明还包括一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现前述任意一个实施例中的域名系统攻击的防御方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种域名系统攻击的防御方法,包括:
控制器向交换机采集域名系统DNS请求包,并测量DNS请求包的采集速度,其中,采集的DNS请求包包括匹配控制器下发的第一流表中流表项的DNS请求包和匹配table-miss流表项的DNS请求包;
在所述采集速度大于预设速度值的情况下,控制器采集预设数量的DNS请求包后对所述预设数量的DNS请求包进行熵值运算,所述预设数量的DNS请求包不含来自入口网关交换机上报的源IP为内部DNS服务器的数据包;
在熵值运算结果小于第一阈值的情况下,控制器利用所述预设数量的DNS请求包确定疑似受害主机,并采集所述疑似受害主机端口的DNS数据包;
在所述DNS数据包中的DNS回复包数量与DNS请求包数量的比值大于第二阈值的情况下,控制器判定所述疑似受害主机遭受DNS攻击,并对遭受DNS攻击的疑似受害主机进行保护;
其中,采集的DNS请求包通过专门的SDN安全控制器组中前端的负载均衡器交由SDN安全控制器组中后端的多个安全控制器处理,所述控制器属于SDN安全控制器组,SDN安全控制器组不包括负载均衡器与转发层之间的控制通道被占用时控制网络的控制器。
2.如权利要求1所述的防御方法,其中,所述控制器利用所述预设数量的DNS请求包确定疑似受害主机包括:
控制器分析所述预设数量的DNS请求包的IP地址;
控制器将所述IP地址中数量占比大于第三阈值的IP地址确定为疑似受害主机的IP地址。
3.如权利要求2所述的防御方法,其中,所述对遭受DNS攻击的疑似受害主机进行保护包括:
控制器向所述交换机下发第二流表,以指示所述交换机丢弃目的IP地址为所述遭受DNS攻击的疑似受害主机IP地址、UDP协议号为17、DNS源端口号为53、出端口为所述遭受DNS攻击的受害主机与交换机直连端口的DNS回复包。
4.如权利要求1所述的防御方法,其中,所述防御方法还包括:
在熵值运算结果大于第一阈值的情况下,控制器提高所述预设速度值,继续向交换机采集DNS请求包,并测量DNS请求包的采集速度。
5.一种控制器,包括:
请求包采集模块,用于向交换机采集域名系统DNS请求包,并测量DNS请求包的采集速度,其中,采集的DNS请求包包括匹配控制器下发的第一流表中流表项的DNS请求包和匹配table-miss流表项的DNS请求包;
熵值运算模块,用于在所述采集速度大于预设速度值的情况下,采集预设数量的DNS请求包后对所述预设数量的DNS请求包进行熵值运算,所述预设数量的DNS请求包不含来自入口网关交换机上报的源IP为内部DNS服务器的数据包;
受害主机诊断模块,用于在熵值运算结果小于第一阈值的情况下,利用所述预设数量的DNS请求包确定疑似受害主机,并采集所述疑似受害主机端口的DNS数据包;
受害主机保护模块,用于在所述DNS数据包中的DNS回复包数量与DNS请求包数量的比值大于第二阈值的情况下,控制器判定所述疑似受害主机遭受DNS攻击,并对遭受DNS攻击的疑似受害主机进行保护;
其中,采集的DNS请求包通过专门的SDN安全控制器组中前端的负载均衡器交由SDN安全控制器组中后端的多个安全控制器处理,所述控制器属于SDN安全控制器组,SDN安全控制器组不包括负载均衡器与转发层之间的控制通道被占用时控制网络的控制器。
6.如权利要求5所述的控制器,其中,所述受害主机诊断模块用于:
分析所述预设数量的DNS请求包的IP地址;
将所述IP地址中数量占比大于第三阈值的IP地址确定为疑似受害主机的IP地址。
7.如权利要求6所述的控制器,其中,所述受害主机保护模块用于:
向所述交换机下发第二流表,以指示所述交换机丢弃目的IP地址为所述遭受DNS攻击的疑似受害主机IP地址、UDP协议号为17、DNS源端口号为53、出端口为所述遭受DNS攻击的受害主机与交换机直连端口的DNS回复包。
8.如权利要求5所述的控制器,其中,所述控制器还包括预设速度值更新模块,用于在熵值运算结果大于第一阈值的情况下,提高所述预设速度值,以便继续向交换机采集DNS请求包,并测量DNS请求包的采集速度。
9.一种域名系统攻击的防御装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至4中任一项所述的域名系统攻击的防御方法。
10.一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1至4中任一项所述的域名系统攻击的防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711370860.4A CN109936551B (zh) | 2017-12-19 | 2017-12-19 | 域名系统攻击的防御方法、防御装置以及控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711370860.4A CN109936551B (zh) | 2017-12-19 | 2017-12-19 | 域名系统攻击的防御方法、防御装置以及控制器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109936551A CN109936551A (zh) | 2019-06-25 |
| CN109936551B true CN109936551B (zh) | 2022-03-25 |
Family
ID=66983176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711370860.4A Active CN109936551B (zh) | 2017-12-19 | 2017-12-19 | 域名系统攻击的防御方法、防御装置以及控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109936551B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110908798B (zh) * | 2019-11-08 | 2022-11-25 | 丁剑明 | 多进程协同式网络流量解析方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378394B (zh) * | 2008-09-26 | 2012-01-18 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测方法及网络设备 |
| CN103001825B (zh) * | 2012-11-15 | 2016-03-02 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和系统 |
| CN104580222B (zh) * | 2015-01-12 | 2018-01-05 | 山东大学 | 基于信息熵的DDoS攻击分布式检测与响应方法 |
| CN105847281B (zh) * | 2016-05-12 | 2019-02-19 | 中国联合网络通信集团有限公司 | 一种dns防御攻击的方法及系统 |
| CN106341418B (zh) * | 2016-10-08 | 2019-07-02 | 中国科学院信息工程研究所 | Dns分布式反射型拒绝服务攻击检测、防御方法与系统 |
| CN106572107B (zh) * | 2016-11-07 | 2019-08-09 | 北京科技大学 | 一种面向软件定义网络的DDoS攻击防御系统与方法 |
| CN107248996A (zh) * | 2017-06-29 | 2017-10-13 | 南京邮电大学 | 一种dns放大攻击的检测与过滤方法 |
-
2017
- 2017-12-19 CN CN201711370860.4A patent/CN109936551B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| "基于OpenFlow的数据中心网络研究与应用 ";马文杰;《绥化学院学报》;20151101;第35卷(第11期);第150-153页 * |
| "支撑电力业务规划的软件定义网络控制器时延性能分析";刘川等;《电力系统自动化》;20170721;第41卷(第7期);第142-147页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109936551A (zh) | 2019-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10397260B2 (en) | Network system | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
| JP4626811B2 (ja) | ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| CN107113228B (zh) | 控制装置、边界路由器、控制方法和计算机可读存储介质 | |
| US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
| US10701076B2 (en) | Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources | |
| Ha et al. | Suspicious flow forwarding for multiple intrusion detection systems on software-defined networks | |
| US10693890B2 (en) | Packet relay apparatus | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| CN110011983B (zh) | 一种基于流表特征的拒绝服务攻击检测方法 | |
| US20180309781A1 (en) | Sdn controller assisted intrusion prevention systems | |
| CN109194608B (zh) | 一种基于流的DDoS攻击与闪拥事件检测方法 | |
| CN114513340B (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
| CN109347889B (zh) | 一种针对软件定义网络的混合型DDoS攻击检测的方法 | |
| CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
| US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
| CN109936551B (zh) | 域名系统攻击的防御方法、防御装置以及控制器 | |
| CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
| KR20110028106A (ko) | 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법 | |
| US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
| KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
| Yuwen et al. | Probability-based delay scheme for resisting SDN scanning | |
| JP6476853B2 (ja) | ネットワーク監視システム及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220207 Address after: 100007 room 205-32, floor 2, building 2, No. 1 and No. 3, qinglonghutong a, Dongcheng District, Beijing Applicant after: Tianyiyun Technology Co.,Ltd. Address before: No.31, Financial Street, Xicheng District, Beijing, 100033 Applicant before: CHINA TELECOM Corp.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |