CN111478876A - Dns放大攻击检测方法、系统、存储介质和电子设备 - Google Patents
Dns放大攻击检测方法、系统、存储介质和电子设备 Download PDFInfo
- Publication number
- CN111478876A CN111478876A CN201910068038.5A CN201910068038A CN111478876A CN 111478876 A CN111478876 A CN 111478876A CN 201910068038 A CN201910068038 A CN 201910068038A CN 111478876 A CN111478876 A CN 111478876A
- Authority
- CN
- China
- Prior art keywords
- target
- address
- attack
- dns
- dns server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000003321 amplification Effects 0.000 title claims abstract description 40
- 238000003199 nucleic acid amplification method Methods 0.000 title claims abstract description 40
- 238000001514 detection method Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 45
- 238000004140 cleaning Methods 0.000 claims abstract description 29
- 230000009471 action Effects 0.000 claims abstract description 17
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000012216 screening Methods 0.000 description 4
- 239000000126 substance Substances 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 241000287828 Gallus gallus Species 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种DNS放大攻击检测方法,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,包括:获取目标IP地址在所述目标DNS服务器中的第一攻击流量;接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。上述的方法不需要安装硬件设备,而且在源端对攻击流量进行清洗,不受DNS服务器接入带宽的限制,避免了防护失效的问题。
Description
技术领域
本发明涉及区块链技术领域,尤其涉及一种DNS放大攻击检测方法、系统、存储介质和电子设备。
背景技术
域名系统DNS(Domain Name System)系统是一种遍布全球的分布式开放系统,是互联网的基础资源。该系统为所有的互联网使用者提供域名解析服务,有着强大的解析响应能力,DNS系统采用用户数据报协议UDP(User Datagram Protocol)无连接协议难于形成对请求源的校验,另外DNS应答报文长度通常会比请求报文长度增大3~5倍。以上特点使得DNS系统天然地适合作为分布式放大攻击的中间节点,黑客可以很容易地操纵僵尸网络伪装受害者IP对DNS系统发起海量请求,海量请求通过DNS系统反射后被成倍甚至十数倍地放大后流向受害节点最终造成对受害节点的分布式拒绝服务DDOS(Distributed Denial ofService)攻击,导致受害节点网络阻断脱网。
DDOS攻击的防护通常采用专用的硬件安全设备进行攻击清洗,但专业设备的采购和使用维护成本相对较高,并不适用于低成本节点的防护,另外当第一攻击流量大大超过节点接入带宽后,正常流量将完全被压制无法到达受害节点,单纯的本地防护将完全失效。
发明内容
有鉴于此,本发明提供了一种DNS放大攻击检测方法、系统、存储介质和电子设备,用以解决现有技术中专业设备的采购和使用维护成本相对较高,并不适用于低成本节点的防护,另外当第一攻击流量大大超过节点接入带宽后,正常流量将完全被压制无法到达受害节点,单纯的本地防护将完全失效的问题。具体方案如下:
一种DNS放大攻击检测方法,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,包括:
获取目标IP地址在所述目标DNS服务器中的第一攻击流量;
接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;
依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;
若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。
上述的方法,可选的,获取目标IP地址在所述目标DNS服务器中的第一攻击流量,还包括:
依据所述第一攻击流量和报文源IP和/或域名和/或请求类型对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果;
将所述判断结果发送给所述目标系统中除所述目标DNS服务器之外的其它DNS服务器。
上述的方法,可选的,还包括:
将所述第一攻击流量和所述判断结果更新至所述目标DNS服务器的本地区块中。
上述的方法,可选的,依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击,包括:
获取各个判断结果中与所述目标IP地址对应的第二攻击流量;
判断各个第二攻击流量与所述第一攻击流量的和是否大于预设的流量阈值;
若是,判定所述目标IP地址被攻击,反之,判定所述目标IP地址状态正常。
一种DNS放大攻击检测系统,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,包括:
获取模块,用于获取目标IP地址在所述目标DNS服务器中的第一攻击流量;
接收模块,用于接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;
判断模块,用于依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;
清洗模块,用于若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。
上述的系统,可选的,还包括:
更新模块,用于将所述第一攻击流量和所述判断结果更新至所述目标DNS服务器的本地区块中。
上述的系统,可选的,所述获取模块还包括:
第一判断单元,用于依据所述第一攻击流量和报文源IP和/或域名和/或请求类型对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果;
发送单元,用于将所述判断结果发送给所述目标系统中除所述目标DNS服务器之外的其它DNS服务器。
上述的系统,可选的,所述判断模块包括:
获取单元,用于获取各个判断结果中与所述目标IP地址对应的第二攻击流量;
第二判断单元,用于判断各个第二攻击流量与所述第一攻击流量的和是否大于预设的流量阈值;
判定单元,用于若是,判定所述目标IP地址被攻击,反之,判定所述目标IP地址状态正常。
一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行上述的一种DNS放大攻击检测方法。
一种电子设备,包括存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行上述的一种DNS放大攻击检测方法。
与现有技术相比,本发明包括以下优点:
本发明公开了一种DNS放大攻击检测方法,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,包括:获取目标IP地址在所述目标DNS服务器中的第一攻击流量;接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。上述的方法不需要安装硬件设备,而且在源端对攻击流量进行清洗,不受DNS服务器接入带宽的限制,避免了防护失效的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的网络的示意图;
图2为本申请实施例公开的一种DNS放大攻击检测方法流程图;
图3为本申请实施例公开的一种DNS放大攻击检测方法又一方法流程图;
图4为本申请实施例公开的一种DNS放大攻击检测方法又一方法流程图;
图5为本申请实施例公开的一种DNS放大攻击检测系统结构框图;
图6为本发明提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明公开了一种DNS放大攻击检测方法、系统、存储介质和电子设备,应用在DNS方法攻击检测的过程中,DNS系统采用用户数据报协议UDP(User Datagram Protocol)无连接协议难于形成对请求源的校验,另外DNS应答报文长度通常会比请求报文长度增大3~5倍。请求通过DNS系统反射后被成倍甚至十数倍地放大后流向受害节点最终造成对受害节点的分布式拒绝服务DDOS(Distributed Denial of Service)攻击,导致受害节点网络阻断脱网,为了避免上述的问题。本发明提供了一种DNS放大攻击检测方法,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,其中,每一个目标服务器中都存在一个与其对应的本地区块链和对应的智能合约,各个DNS服务器之间通过共识机制实现数据的共享,其结构示意图如图1所示。所述检测方法的执行流程如图2所示,包括步骤:
S101、获取目标IP地址在所述目标DNS服务器中的第一攻击流量;
本发明实施例中,在所述目标IP地址为当前正在检测是否存在DNS放大攻击的IP地址,获取所述目标IP地址在所述目标DNS服务器中的第一攻击流量,其中,所述第一攻击流量为所述目标IP地址在所述目标DNS服务器中的疑似攻击流量。
S102、接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;
本发明实施例中,由于所述目标IP地址不单单访问所述目标DNS服务器,还可能会访问所述目标系统中的其它DNS服务器,每一个DNS服务器都会对所述目标IP地址在其内的攻击流量进行预判,得到对应的判断结果,并将各个判断结果发送给所述目标DNS服务器,同时将所述判断结果追加到对应的本地区块链中。其中,所述目标DNS服务器接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,优选的,可以采用区块链中的共识机制实现所述目标系统中各个DNS服务器中判断结果的共享,所述判断结果包含所述目标IP地址在对应的DNS服务器中的第二攻击流量和是否被攻击的初步判断结果。
在接收过程中对所述判断结果进行验证,验证其签名,若验证通过,将所述判断结果追加到所述目标DNS服务器的本地区块链上,反之,放弃对所述判断结果的追加。
S103、依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;
本发明实施例中,所述目标DNS系统中依据所述第二攻击流量和所述判断结果中对应的DNS服务器中所述目标IP地址对应的第一流量以及对应的初步判断结果,判断所述目标IP地址是否被攻击。
S104、若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。
本发明实施例中,若所述目标IP地址被攻击,说明存在伪装成所述目标IP地址的肉鸡(受黑客远程控制的电脑)向所述目标IP地址发送报文数据,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗,其中,所述源端为所述肉鸡的发送端,所述预设的清洗动作与所述被攻击的类型有关,所述被攻击的类型可以依据经验进行区分也可以依据实际的情况的进行区分。
S105、若否,所述目标IP地址状态正常。
本发明实施例中,针对每一个目标DNS服务器,S101-S105所述的执行过程是不分先后顺序同时执行的。
本发明公开了一种DNS放大攻击检测方法,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,包括:获取目标IP地址在所述目标DNS服务器中的第一攻击流量;接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。上述的方法不需要安装硬件设备,而且在源端对攻击流量进行清洗,不受DNS服务器接入带宽的限制,避免了防护失效的问题。
本发明实施例中,获以所述目标DNS服务器为例所述判断结果生成和发送步骤如图3所示,包括步骤:
S201、依据所述第一攻击流量和报文源IP和/或域名和/或请求类型对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果;
本发明实施例中,解析接收到的报文,获取其中包含的所述第一攻击流量和报文源IP和/或域名和/或请求类型,其中上述组合关系的选取依据具体的实际情况进行确定,对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果。
S202、将所述判断结果发送给所述目标系统中除所述目标DNS服务器之外的其它DNS服务器。
本发明实施例中,其中,所述判断结果中包含所述目标IP地址在对应的DNS服务器中的第一攻击流量和是否被攻击的初步判断结果。所述初步判断结果可以为对应的目标IP地址判断结果是否发送给其余DNS系统的一个筛选条件,当不满足对应的筛选条件时,可以不将其发送给对应的各个DNS系统,其中,所述筛选条件的选取与具体情况有关。
其中,进行初步判断的目的是为了控制数据量的情况下尽可能发现攻击,因此,上述的判断过程可以接受较高的虚警概率。
本发明实施例中,依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击的方法流程如图4所示,包括步骤:
S301、获取各个判断结果中与所述目标IP地址对应的第二攻击流量;
本发明实施例中,解析所述目标系统中除所述目标DNS服务器之外的其余DNS服务器中各个判断结果中包含的与所述目标IP地址对应的第二攻击流量。
S302、判断各个第二攻击流量与所述第一攻击流量的和是否大于预设的流量阈值;
本发明实施例中,将所述各个第二攻击流量与所述第一攻击流量求和,将求和结果与预设的流量阈值进行比较,判断所述求和结果是否大于预设的流量阈值,其中,所述预设的流量阈值可以依据经验值进行选取也可以依据实际情况进行选取。
S303、若是,判定所述目标IP地址被攻击;
本发明实施例中,若所述求和结果大于预设的流量阈值,判定所述目标IP地址被攻击。
S304、若否,判定所述目标IP地址状态正常。
本发明实施例中,若所述求和结果小于预设的流量阈值,判定所述目标IP地址状态正常。
基于上述的一种DNS方法攻击检测方法,本发明实施例中,还提供了一种DNS放大攻击检测系统,其特征在于,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器如图5所示,包括:
获取模块401、接收模块402、判断模块403和清洗模块401。
其中,
所述获取模块401,用于获取目标IP地址在所述目标DNS服务器中的第一攻击流量;
所述接收模块402,用于接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;
所述判断模块403,用于依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;
所述清洗模块404,用于若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。
本发明公开了一种DNS放大攻击检测系统,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,包括:获取目标IP地址在所述目标DNS服务器中的第一攻击流量;接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。上述的系统不需要安装硬件设备,而且在源端对攻击流量进行清洗,不受DNS服务器接入带宽的限制,避免了防护失效的问题。
本发明实施例中,所述检测模块还包括:更新模块405。
其中,
所述更新模块405,用于将所述第一攻击流量和所述判断结果更新至所述目标DNS服务器的本地区块中。
本发明实施例中,所述获取模块401还包括:
第一判断单元406和发送单元407。
其中,
所述第一判断单元406,用于依据所述第一攻击流量和报文源IP和/或域名和/或请求类型对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果;
所述发送单元407,用于将所述判断结果发送给所述目标系统中除所述目标DNS服务器之外的其它DNS服务器。
本发明实施例中,所述判断模块403包括:
获取单元408、第二判断单元409和判定单元410。
其中,
所述获取单元408,用于获取各个判断结果中与所述目标IP地址对应的第二攻击流量;
所述第二判断单元409,用于判断各个第二攻击流量与所述第一攻击流量的和是否大于预设的流量阈值;
所述判定单元410,用于若是,判定所述目标IP地址被攻击,反之,判定所述目标IP地址状态正常。
本发明实施例还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行上述一种DNS放大攻击检测方法。所述方法具体包括:
获取目标IP地址在所述目标DNS服务器中的第一攻击流量;
接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;
依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;
若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。
上述的方法,可选的,获取目标IP地址在所述目标DNS服务器中的第一攻击流量,还包括:
依据所述第一攻击流量和报文源IP和/或域名和/或请求类型对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果;
将所述判断结果发送给所述目标系统中除所述目标DNS服务器之外的其它DNS服务器。
上述的方法,可选的,还包括:
将所述第一攻击流量和所述判断结果更新至所述目标DNS服务器的本地区块中。
上述的方法,可选的,依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击,包括:
获取各个判断结果中与所述目标IP地址对应的第二攻击流量;
判断各个第二攻击流量与所述第一攻击流量的和是否大于预设的流量阈值;
若是,判定所述目标IP地址被攻击,反之,判定所述目标IP地址状态正常。
本发明实施例还提供了一种电子设备,其结构示意图如图6所示,具体包括存储器501,以及一个或者一个以上的程序502,其中一个或者一个以上程序502存储于存储器501中,且经配置以由一个或者一个以上处理器503执行所述一个或者一个以上程序502包含用于进行以下操作的指令:
获取目标IP地址在所述目标DNS服务器中的第一攻击流量;
接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;
依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;
若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。
上述的方法,可选的,获取目标IP地址在所述目标DNS服务器中的第一攻击流量,还包括:
依据所述第一攻击流量和报文源IP和/或域名和/或请求类型对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果;
将所述判断结果发送给所述目标系统中除所述目标DNS服务器之外的其它DNS服务器。
上述的方法,可选的,还包括:
将所述第一攻击流量和所述判断结果更新至所述目标DNS服务器的本地区块中。
上述的方法,可选的,依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击,包括:
获取各个判断结果中与所述目标IP地址对应的第二攻击流量;
判断各个第二攻击流量与所述第一攻击流量的和是否大于预设的流量阈值;
若是,判定所述目标IP地址被攻击,反之,判定所述目标IP地址状态正常。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明所提供的一种DNS放大攻击检测方法、系统、存储介质和电子设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种DNS放大攻击检测方法,其特征在于,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,包括:
获取目标IP地址在所述目标DNS服务器中的第一攻击流量;
接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;
依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;
若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。
2.根据权利要求1所述的方法,其特征在于,获取目标IP地址在所述目标DNS服务器中的第一攻击流量,还包括:
依据所述第一攻击流量和报文源IP和/或域名和/或请求类型对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果;
将所述判断结果发送给所述目标系统中除所述目标DNS服务器之外的其它DNS服务器。
3.根据权利要求1所述的方法,其特征在于,还包括:
将所述第一攻击流量和所述判断结果更新至所述目标DNS服务器的本地区块中。
4.根据权利要求1所述的方法,其特征在于,依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击,包括:
获取各个判断结果中与所述目标IP地址对应的第二攻击流量;
判断各个第二攻击流量与所述第一攻击流量的和是否大于预设的流量阈值;
若是,判定所述目标IP地址被攻击,反之,判定所述目标IP地址状态正常。
5.一种DNS放大攻击检测系统,其特征在于,应用于目标网络,其中,所述目标系统包含多个DNS服务器,分别选取每一个DNS服务器作为目标DNS服务器,包括:
获取模块,用于获取目标IP地址在所述目标DNS服务器中的第一攻击流量;
接收模块,用于接收所述目标系统中除所述目标DNS服务器之外的其它DNS服务器对所述目标IP地址的判断结果,其中,DNS服务器与判断结果存在对应关系;
判断模块,用于依据所述第一攻击流量和所述判断结果,判断所述目标IP地址是否被攻击;
清洗模块,用于若是,在源端对所述目标IP地址的攻击依据预设的清洗动作进行清洗。
6.根据权利要求5所述的系统,其特征在于,还包括:
更新模块,用于将所述第一攻击流量和所述判断结果更新至所述目标DNS服务器的本地区块中。
7.根据权利要求5所述的系统,其特征在于,所述获取模块还包括:
第一判断单元,用于依据所述第一攻击流量和报文源IP和/或域名和/或请求类型对所述目标IP地址是否为DNS放大攻击进行初次判断,得到与所述目标DNS服务器对应的判断结果;
发送单元,用于将所述判断结果发送给所述目标系统中除所述目标DNS服务器之外的其它DNS服务器。
8.根据权利要求5所述的系统,其特征在于,所述判断模块包括:
获取单元,用于获取各个判断结果中与所述目标IP地址对应的第二攻击流量;
第二判断单元,用于判断各个第二攻击流量与所述第一攻击流量的和是否大于预设的流量阈值;
判定单元,用于若是,判定所述目标IP地址被攻击,反之,判定所述目标IP地址状态正常。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行如权利要求1~4任意一项所述的一种DNS放大攻击检测方法。
10.一种电子设备,其特征在于,包括存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行如权利要求1~4任意一项所述的一种DNS放大攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910068038.5A CN111478876A (zh) | 2019-01-24 | 2019-01-24 | Dns放大攻击检测方法、系统、存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910068038.5A CN111478876A (zh) | 2019-01-24 | 2019-01-24 | Dns放大攻击检测方法、系统、存储介质和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111478876A true CN111478876A (zh) | 2020-07-31 |
Family
ID=71743568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910068038.5A Pending CN111478876A (zh) | 2019-01-24 | 2019-01-24 | Dns放大攻击检测方法、系统、存储介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111478876A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389829A (zh) * | 2020-10-20 | 2022-04-22 | 中国移动通信有限公司研究院 | DDoS攻击防护清洗方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685230A (zh) * | 2013-11-01 | 2014-03-26 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
| US20160234249A1 (en) * | 2013-05-03 | 2016-08-11 | John Wong | Method and system for mitigation of distributed denial of service (ddos) attacks |
| CN106534051A (zh) * | 2015-09-11 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种针对访问请求的处理方法和装置 |
| CN108206814A (zh) * | 2016-12-20 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
| CN108616534A (zh) * | 2018-04-28 | 2018-10-02 | 中国科学院信息工程研究所 | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 |
-
2019
- 2019-01-24 CN CN201910068038.5A patent/CN111478876A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160234249A1 (en) * | 2013-05-03 | 2016-08-11 | John Wong | Method and system for mitigation of distributed denial of service (ddos) attacks |
| CN103685230A (zh) * | 2013-11-01 | 2014-03-26 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
| CN106534051A (zh) * | 2015-09-11 | 2017-03-22 | 阿里巴巴集团控股有限公司 | 一种针对访问请求的处理方法和装置 |
| CN108206814A (zh) * | 2016-12-20 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
| CN108616534A (zh) * | 2018-04-28 | 2018-10-02 | 中国科学院信息工程研究所 | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陈竹秋等: "《通信网络与信息技术 2015》", 31 July 2015 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114389829A (zh) * | 2020-10-20 | 2022-04-22 | 中国移动通信有限公司研究院 | DDoS攻击防护清洗方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| US10841324B2 (en) | Method and system for uniquely identifying a user computer in real time using a plurality of processing parameters and servers | |
| Zhou et al. | Detection and defense of application-layer DDoS attacks in backbone web traffic | |
| US8646038B2 (en) | Automated service for blocking malware hosts | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| US8516595B2 (en) | Method and system for estimating the reliability of blacklists of botnet-infected computers | |
| US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
| US7171688B2 (en) | System, method and computer program for the detection and restriction of the network activity of denial of service attack software | |
| US9628513B2 (en) | Electronic message manager system, method, and computer program product for scanning an electronic message for unwanted content and associated unwanted sites | |
| KR20120096580A (ko) | Dns 캐시의 포이즈닝을 방지하기 위한 방법 및 시스템 | |
| EP2659647A1 (en) | Method for detecting and mitigating denial of service attacks | |
| KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| CN108737582A (zh) | 域名解析的方法及装置 | |
| US8856931B2 (en) | Network browser system, method, and computer program product for scanning data for unwanted content and associated unwanted sites | |
| Deshpande et al. | Formal analysis of the DNS bandwidth amplification attack and its countermeasures using probabilistic model checking | |
| Macia-Fernandez et al. | Evaluation of a low-rate DoS attack against application servers | |
| CN108737421B (zh) | 一种发现网络内潜在威胁的方法、系统、装置及存储介质 | |
| CN111478876A (zh) | Dns放大攻击检测方法、系统、存储介质和电子设备 | |
| Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
| US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
| US8365276B1 (en) | System, method and computer program product for sending unwanted activity information to a central system | |
| CN115776395A (zh) | 一种基于响应时间的http请求走私漏洞检测方法及系统 | |
| Ismail et al. | Malicious peers eviction for p2p overlays | |
| US20240171607A1 (en) | Techniques for detecting advanced application layer flood attack tools | |
| Randall | Names to Conjure With: Measuring and Combating Online Adversaries by Examining Their Use of Naming Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200731 |