CN112910839B - 一种dns攻击的防御方法和装置 - Google Patents
一种dns攻击的防御方法和装置 Download PDFInfo
- Publication number
- CN112910839B CN112910839B CN202110036029.5A CN202110036029A CN112910839B CN 112910839 B CN112910839 B CN 112910839B CN 202110036029 A CN202110036029 A CN 202110036029A CN 112910839 B CN112910839 B CN 112910839B
- Authority
- CN
- China
- Prior art keywords
- dns
- request message
- dns request
- address
- blacklist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本公开提供一种DNS攻击的防御方法和装置,其中,所述方法应用于防护设备,包括:接收第一客户端发送的第一DNS请求报文,所述DNS请求报文中携带着第一源网际互连协议IP地址;若确定所述第一源IP地址在黑名单IP表中,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP表用于存储黑名单IP地址;若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器。本公开提供的方法对黑名单IP地址发出的DNS请求报文进行校验,阻拦校验不通过的DNS请求报文对应的DNS会话,在有效防御DNS攻击的情况下,避免了正常的客户端IP地址无法正常上网的情况,最大程度地降低对用户的影响。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种DNS攻击的防御方法和装置。
背景技术
在因特网上域名与IP地址之间是一对一(或者多对一)的关系,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的DNS服务器(Domain Name Server,域名服务器)来完成。
DNS攻击是一种典型的网络攻击,通过伪造IP(Internet Protocol,网际互连协议)地址向DNS服务器发送大量的DNS请求报文,通常这些DNS请求报文中请求解析的域名是随机生成的,甚至是根本不存在的。被攻击的DNS服务器在接受到DNS请求报文的时候,首先查找是否有请求解析的域名对应的缓存,如果查不到并且该域名无法直接由服务器解析的时候,就会递归向上一层的服务器查找。DNS服务器在极短的时间内需要处理大量的域名解析工作,从而导致DNS服务器严重超载甚至瘫痪,无法响应正常用户的DNS请求报文。
相关技术中,有两种方法防御DNS攻击,一是通过DNS Cache(Domain Name SystemCache,缓存域名系统)替代DNS服务器回复DNS请求报文,然而DNS Cache存储的DNS记录有限,导致大量正常DNS请求报文无法查到Cache表项而被丢弃,影响用户上网;二是把域名无法解析的DNS请求报文中的客户端IP地址加入黑名单,处于黑名单中客户端发送的DNS请求报文就无法到达DNS服务器,由于攻击时DNS请求报文中IP地址是伪造的,有可能和正常的用户IP地址相同,导致正常的客户端被加入黑名单,影响正常用户。
发明内容
有鉴于此,本公开实施例提供一种DNS攻击的防御方法和装置,以对DNS攻击进行有效防御,同时不影响正常用户的访问。
具体地,本公开实施例是通过如下技术方案实现的:
第一方面,提供一种DNS攻击的防御方法,所述方法应用于防护设备,包括:
接收第一客户端发送的第一DNS请求报文,所述第一DNS请求报文中携带着第一源网际互连协议IP地址;
若确定所述第一源IP地址在黑名单IP表中,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP表用于存储黑名单IP地址;
若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器。
第二方面,提供一种DNS攻击的防御方法,所述方法应用于管理设备,所述方法包括:
接收分析日志,所述分析日志至少包括:DNS请求报文的源IP地址和解析失败的域名;
若所述解析失败的域名达到第一阈值,则开启DNS防御:在所述源IP地址中确定黑名单IP地址,下发所述黑名单IP地址到防护设备。
第三方面,提供一种DNS攻击的防御装置,所述装置应用于防护设备,包括:
接收模块,用于接收第一客户端发送的第一DNS请求报文,所述第一DNS请求报文中携带着第一源网际互连协议IP地址;
校验模块,用于若确定所述第一源IP地址在黑名单IP表中,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP表用于存储黑名单IP地址;
处理模块,用于若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器。
第四方面,提供一种DNS攻击的防御装置,所述装置应用于管理设备,包括:
日志模块,用于接收分析日志,所述分析日志至少包括:DNS请求报文的源IP地址和解析失败的域名;
防御模块,用于若所述解析失败的域名达到第一阈值,则开启DNS防御:在所述源IP地址中确定黑名单IP地址,下发所述黑名单IP地址到防护设备。
本公开提供的技术方案由防护设备对黑名单IP地址发出的DNS请求报文进行校验,阻拦校验不通过的DNS请求报文对应的DNS会话,而不是阻拦被拉黑的IP地址发出的所有DNS请求报文,在有效防御DNS攻击的情况下,避免了正常的客户端IP地址无法正常上网的情况,最大程度地降低对用户的影响。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例示出的一种DNS攻击的防御方法的流程图;
图2是本公开实施例示出的一种获取黑名单IP地址的方式的流程图;
图3是本公开实施例示出的另一种DNS攻击的防御方法的流程图;
图4是本公开实施例示出的一种DNS攻击的防御装置的框图;
图5是本公开实施例示出的另一种DNS攻击的防御装置的框图;
图6本公开实施例示出的一种DNS攻击的防御装置的框图;
图7是本公开实施例示出的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
针对上述问题,发明人经过深入研究发现:DNS攻击之所以不易防御,主要是因为DNS服务器的防护设备无法判断域名是否合法,域名是否合法只能由DNS服务器及其上级权威服务器决定。DNS攻击中的域名是随机构造的,无法通过简单的限速或者特征识别进行防护。并且正常情况下也会因用户域名输入错误而导致域名无法解析,比如用户访问百度网站,应该输入域名www.baidu.com,可能会不小心输错字符,如www.baidf.com,导致DNS请求报文携带此错误的域名,DNS服务器回应No such name报文,意味着域名解析失败。
为了解决上述问题,本公开实施例提供了一种DNS攻击的防御方法,以对DNS攻击进行精确识别与防护,并且降低对正常用户的影响。请参见图1,图1是本公开实施例示出的一种DNS攻击的防御方法的流程图,该方法可用于防护设备,具体步骤如下:
步骤S11,接收第一客户端发送的第一DNS请求报文,所述第一DNS请求报文中携带着第一源IP地址。
所述防护设备为防护DNS服务器的设备,一般为服务器,可以只有一台防护设备,也可以有多台防护设备,对一个或多个DNS服务器进行防护。DNS攻击为DDOS(Distributeddenial of service,分布式拒绝服务)攻击时,防护设备可以是DDOS防护服务器。第一客户端可以是正常用户的设备,也可以是攻击设备。第一DNS请求报文携带着第一源IP地址为报文头信息中的源IP地址,报文的内容包括请求解析的域名。其中,源IP地址可以是攻击设备伪造的IP地址,而非攻击设备真正的IP地址。
本步骤中,在DNS防御开启的情况下,防护设备会代替DNS服务器接收客户端发来的DNS请求报文。
步骤S12,若确定所述第一源IP地址在黑名单IP表中,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP表用于存储黑名单IP地址。
在防护设备有黑名单IP表,存储着黑名单IP地址,黑名单IP地址为有攻击DNS服务器嫌疑的IP地址,本实施例不限制黑名单IP地址的获取方式,可以由管理设备统计分析无法解析的域名所在DNS请求报文得到并下发给防护设备,可以是DNS服务器历史记录中收到过的无法解析的域名对应的IP地址,也可以是由管理人员根据经验录入的可疑IP地址。防护设备还可以接收来自其他设备的指令将黑名单IP表中的指定黑名单IP地址进行删除。
参见图2所示,在本实施例或本公开其他某些实施例中,黑名单IP地址的获取方式可以是如下步骤:
步骤S121,获取所述DNS服务器发送给第二客户端的响应报文,所述响应报文用于响应所述第二客户端发送给所述DNS服务器的第二DNS请求报文,所述第二DNS请求报文携带着域名和第二源IP地址。
本获取方式可以在DNS防御未开启的情况下进行,也可以在DNS防御开启的情况下进行。DNS服务器在接收到第二客户端发送的第二DNS请求报文后,第二DNS请求报文携带着域名和第二源IP地址,无论解析域名的结果是成功还是失败,都会发送响应报文给第二客户端,响应报文也携带着域名和第二源IP地址,以及域名的解析结果,响应报文发给第二客户端的时候,防护设备也同样会获取到。
步骤S122,对于表示所述域名解析失败的所述响应报文,向管理设备上报分析日志,所述分析日志包括:所述第二源IP地址,所述管理设备用于根据所述分析日志确定所述黑名单IP地址。
当防护设备获取到的响应报文表示所述域名解析失败时,比如该响应报文为Nosuch name报文时,防护设备分析该响应报文并生成分析日志,分析日志包括:发起DNS请求报文的用户IP地址(可能是伪造的)即第二源IP地址,还可以包括解析失败的域名,时间及日志类型。其中,时间可以是响应报文的发送时间,也可以是防护设备接收到响应报文的时间。日志类型可以是响应报文的类型,比如,No such name类型。
向管理设备上报分析日志,管理设备可以对分析日志进行汇总统计并从第二源IP地址中确定出黑名单IP地址。管理设备可以接收到多个防护设备的分析日志,可以统一进行处理,也可以将每台防护设备的分析日志分开进行处理。
步骤S123,接收所述管理设备下发的所述黑名单IP地址并将其加入所述黑名单IP表。
防护设备接收到管理设备下发的黑名单IP地址,将其加入黑名单IP表。此外,黑名单IP表还可以存储其他来源的黑名单IP地址。
本实施例给出的黑名单IP地址的获取方式可以使防护设备针对性对DNS服务器进行防护,而不必校验所有的IP地址发送的DNS请求报文,缩小了校验的范围,提高了防护效率,同时使没有请求过无法解析的域名的正常用户可以正常访问,降低了对正常用户的影响。
若第一源IP地址不在黑名单IP表中,则说明第一DNS请求报文目前不具备攻击嫌疑,可以直接转发给DNS服务器,也可以进行其他的安全校验后再转发给DNS服务器。
在本步骤中,若第一源IP地址在黑名单IP表中,则说明第一DNS请求报文具备攻击嫌疑,根据校验规则校验所述第一DNS请求报文。本实施例不限制校验规则的具体方式,可以是发送验证报文给第一源IP地址,若可以接收到回应报文,回应报文表示第一源IP地址确实发送过第一DNS请求报文,则校验结果为通过,若不能接收到回应报文或者回应报文表示第一源IP地址没有发送过第一DNS请求报文,则说明第一源IP地址是伪造的,校验结果为不通过;可以是检验第一DNS请求报文中的域名是否历史记录中频次高的无法解析的域名,若是,则校验结果为不通过。
在一种可选的实施方式中,校验规则还可以是丢弃第一次的DNS请求报文,对重传的DNS请求报文进行校验。如果是正常的用户或者合法的客户端,由于DNS请求报文被丢弃而得不到响应报文,将会按照报文重传规则重传DNS请求报文。而攻击设备或者其他不合法的客户端并不会重传DNS请求报文,或者重传DNS请求报文的次数及时间不正常。防护设备可以根据请求报文是否重传、重传次数及重传时间进行校验。
在本实施例或本公开其他某些实施例中,根据校验规则校验所述第一DNS请求报文,具体包括:
在DNS会话表中查找所述第一DNS请求报文对应的DNS会话表项。为了便于重传的DNS请求报文进行校验,可以预先建立DNS会话表。在本实施例中,校验规则可以指定对第几次重传的DNS请求报文进行校验,一般可以默认为对第一次重传的报文进行校验。
若没有查找到所述第一DNS请求报文对应的DNS会话表项,则不校验所述第一DNS请求报文。没有查找到对应的DNS会话表项,说明DNS防御开启后,这是第一次收到此会话的请求报文,无法了解其是否符合报文重传规则,所以不对其进行进一步的校验。
根据所述第一DNS请求报文中的报文信息在所述DNS会话表中建立所述DNS会话表项,并在所述DNS会话表项中记录所述第一DNS请求报文的接收时间。报文信息可以包括报文头部的源IP地址,源端口,目的IP地址,目的端口和协议。重传的DNS请求报文与第一DNS请求报文为同一会话的报文,报文信息一致。在对应的DNS会话表项记录接收第一DNS请求报文的时间,以使可以根据重传时间进行校验。
丢弃所述第一DNS请求报文。若丢弃后没有接收到与第一DNS请求报文同一会话的重传的DNS请求报文,则校验结果为不通过;若丢弃后接收到与第一DNS请求报文同一会话的重传的DNS请求报文,则根据报文重传规则进行校验,或者当校验规则为校验第二次重传报文时,再次丢弃该重传的DNS请求报文。
在一种可选的实施方式中,上述方法还包括:
若查找到所述第一DNS请求报文对应的DNS会话表项,根据所述校验规则判断是否对所述第一DNS请求报文进行校验。查找到对应的DNS会话表项,说明此第一DNS请求报文为重传的DNS请求报文。校验规则可以指定对第几次重传的DNS请求报文进行校验,比如,若校验规则指定对第三次重传的DNS请求报文进行校验,当此第一DNS请求报文为第二次重传的DNS请求报文时,则不对此第一DNS请求报文进行校验,而是在DNS会话表项中记录此第一DNS请求报文的接收时间并丢弃;当此第一DNS请求报文为第三次重传的DNS请求报文时,则满足校验规则,对此第一DNS请求报文进行校验。
在对所述第一DNS请求报文进行校验的情况下,比较所述第一DNS请求报文对应的第一接收时间与所述DNS会话表项中的第二接收时间。DNS会话表项中存储着的第二接收时间为DNS会话中报文的接收时间:第一次收到该会话DNS请求报文的时间以及接收到后续重传的DNS请求报文的时间。根据校验规则,比较第一接收时间与第二接收时间,还可以互相比较第二接收时间中的各个时间。
若所述第一接收时间和所述第二接收时间之间的时间间隔,符合报文重传规则中的报文重传时间间隔,则校验结果为通过。不同系统的报文重传规则不同。一般情况下,不同系统的报文重传规则中报文重传时间间隔为整秒,由于传输有延时,可以设置最大延时阈值,重传时间间隔的误差在最大延时阈值内即可。若第一接收时间和所述第二接收时间之间的时间间隔与整秒的误差超出,最大延时阈值,则校验结果为不通过。比如,设置最大延时阈值为0.1秒,第一次重传请求报文和第二次重传请求报文的间隔在1.05秒或者2.08秒,则校验结果为通过,若为1.2秒或2.3秒,则校验结果为不通过。
在一种可选的实施方式中,还可以进行精确校验,防护设备保存多种系统的报文重传规则,比如Windows XP系统的报文重传规则一般为:依次以1、2、4、8、10秒的间隔进行重传,Windows7系统的报文重传规则一般为:依次以1、1、1、2、4秒的间隔进行重传。下面举例说明防护设备如何利用报文重传规则进行检验:
比如,在校验规则指定对第四次重传的DNS请求报文进行校验的情况下,前三次的重传DNS请求报文均在记录下接收时间后被丢弃,在接收到第一DNS请求报文即第四次重传的DNS请求报文后,此时接收时间为E,在DNS会话表中查询到对应的DNS会话表项,DNS会话表项中记录着第二接收时间包括:第一次接收到DNS请求报文的时间A,接收到第一次重传的DNS请求报文的时间B,接收到第二次重传的DNS请求报文的时间C以及接收到第三次重传的DNS请求报文的时间D。可以匹配各接收时间的时间间隔与不同系统的报文重传规则的时间间隔,允许微小的误差,误差的阈值可以设置,满足任意一个系统的报文重传规则即为校验通过;也可以根据DNS请求报文的信息得到发出请求报文的客户端的操作系统,比如,不同的操作系统的默认TTL(Time To Live,生存时间)值是不同的,可以通过DNS请求报文中的TTL值来判断主机的操作系统,例如,Windows 7系统的TTL值为64,Windows XP系统的TTL值为128。对于DNS请求报文的TTL值为64时,则对第四次重传的DNS请求报文按照Windows 7系统的报文重传规则进行校验,可以是依次比较接收时间A与接收时间B,接收时间B与接收时间C,接收时间C与接收时间D,接收时间D与接收时间E的时间间隔是否符合1、1、1、2、4秒的报文重传时间间隔,允许微小的误差,误差的阈值可以设置。若符合,则校验通过;若不符合,则校验不通过;还可以是只比较接收时间D与接收时间E的时间间隔是否符合4秒的报文重传时间间隔;还可以是比较较接收时间A与接收时间E的时间间隔是否符合1+1+1+2+4=9秒的报文重传时间间隔。本实施例不对利用时间间隔的校验的具体校验方式做出限制,利用报文重传规则进行校验的各种方式均可以。
本公开实施例提供的根据校验规则校验DNS请求报文的方法,先丢弃DNS请求报文,还可以根据校验规则丢弃后续重传的DNS请求报文,利用了合法客户端的报文重传规则,可以将大量伪造的DNS请求报文过滤掉,而合法的DNS请求报文可以校验通过。
步骤S13,若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器。
校验结果为通过时,转发第一DNS请求报文到DNS服务器,以使DNS服务器对DNS请求报文中的域名进行解析,并生成包含解析结果的响应报文。
在一种可选的实施方式中,在所述转发所述第一DNS请求报文到DNS服务器之后,还包括:
接收所述DNS服务器返回所述第一DNS请求报文的第一响应报文;第一响应报文中包含域名的解析结果。
在所述第二响应报文表示所述域名解析成功的情况下,修改所述第一响应报文中的DNS TTL值,发送修改后的第一响应报文到所述第一客户端。DNS TTL值为域名解析信息的存在时间,比如,可以将第一响应报文中TTL值扩大为当前的3倍,增大了域名解析信息在客户端的缓存时间,正常用户再次有域名解析需求时可以直接在客户端缓存获取,不需要向DNS服务器发送DNS请求报文,降低了正常用户访问发起DNS解析请求的频率,提升了DNS请求报文的解析效率,提高了用户体验。
在一种可选的实施方式中,若校验结果为不通过,丢弃所述第一DNS请求报文之后,若接收到第三DNS请求报文,所述第三DNS请求报文与所述第三DNS请求报文的报文信息相同,则丢弃所述第三DNS请求报文。报文信息相同意味着同属一条会话,可以丢弃此条会话后面的部分或所有报文。比如,在校验结果为不通过的情况下,在DNS会话上设置丢弃标志位,此条会话后续报文都会被丢弃,这样攻击报文就无法到达DNS服务器端,从而保护了DNS服务器。
本公开实施例提供的方法通过由防护设备对黑名单IP地址发出的DNS请求报文进行校验,阻拦校验不通过的DNS请求报文对应的DNS会话,而不是阻拦被拉黑的IP地址发出的所有DNS请求报文,在有效防御DNS攻击的情况下,避免了正常的客户端IP地址无法正常上网,最大程度地降低对用户的影响。
请参见图3,图3是本公开实施例示出的另一种DNS攻击的防御方法的流程图,该方法可用于管理设备,具体步骤如下:
步骤S21,接收分析日志,所述分析日志至少包括:DNS请求报文的源IP地址和解析失败的域名。
管理设备一般为服务器,DNS攻击为DDOS攻击时,防护设备可以是DDOS管理设备。分析日志可以是由防护设备发送给管理设备,也可以接收其他具有报文分析能力的设备发送的分析日志。分析日志由分析DNS响应报文得到,至少包括:DNS请求报文的源IP地址和解析失败的域名,还可以包括时间信息和日志类型。
步骤S22,若所述解析失败的域名达到第一阈值,则开启DNS防御:在所述源IP地址中确定黑名单IP地址,下发所述黑名单IP地址到防护设备。
正常情况下,DNS响应报文中解析域名失败的报文比例很小,可以通过监控DNS服务器响应报文中解析域名失败的报文的突增来快速发现未知域名攻击,如No such name报文突增,然后启动DNS防御。可以预先设置第一阈值,单位时间内解析失败的域名达到第一阈值,则开启DNS防御。可以通过第一阈值的大小,控制对DNS攻击的敏感度。比如,第一阈值为10万,解析失败的域名个数达到1分钟10万个,则开启DNS防御。具体的第一阈值设置可以参考历史域名解析失败趋势图配置。
开启DNS防御包括从源IP地址中确定黑名单IP地址,下发所述黑名单IP地址到防护设备。可以将源IP地址均确定为黑名单IP地址,也可以将出现频率高的源IP地址确定为黑名单IP地址。下发黑名单IP地址到防护设备,以使防护设备对黑名单IP地址发出的DNS请求报文进行防护。另外,当单位时间内解析失败的域名个数低于预设的阈值时,这个阈值可以等于第一阈值,也可以另外设置,则通知防护设备删除下发的黑名单IP地址。
在本实施例或本公开其他某些实施例中,在所述源IP地址中确定黑名单IP地址,具体包括:
对于任一所述源IP地址,若其对应的解析失败的域名的次数达到第二阈值,则确定为所述黑名单IP地址;和,对于任一所述解析失败的域名,若其次数达到第三阈值,则确定其对应的源IP地址为所述黑名单IP地址。
在IP维度统计单位时间内解析失败的域名次数,和第二阈值进行比较。比如,第二阈值为6时,某个源IP地址对应的解析失败的域名次数达到1分钟6个时,即有6次解析失败的域名所在的DNS请求报文均为此源IP地址时,则确定该源IP地址为黑名单IP地址。
同时,在域名维度统计单位时间内解析失败的域名次数,和第三阈值进行比较。比如,第三阈值为7时,某个解析失败的域名1分钟在分析日志中出现的次数达到7次,则确定此域名所在的所有DNS请求报文的源IP地址为黑名单IP地址。
第二阈值和第三阈值可以由用户进行配置,以控制检验源IP地址的范围,特别的,可以把单位时间内的第二阈值和第三阈值配置成1,这样单位时间内存在域名解析失败的DNS请求报文对应的源IP地址都要进行校验。
本公开实施例提供的方法通过管理设备筛选黑名单IP地址并下发到防护设备,进而由防护设备对黑名单IP地址发出的DNS请求报文进行校验,可以在有效防御DNS攻击的情况下,避免了正常的客户端IP地址无法正常上网,最大程度的降低对用户的影响。
如图4所示,图4是本公开实施例示出的一种DNS攻击的防御装置的框图,所述装置可以应用于防护设备,具体包括:
接收模块31,用于接收第一客户端发送的第一DNS请求报文,所述第一DNS请求报文中携带着第一源网际互连协议IP地址;
校验模块32,用于若确定所述第一源IP地址在黑名单IP表中,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP表用于存储黑名单IP地址;
处理模块33,用于若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器。
本公开实施例提供的装置通过由防护设备对黑名单IP地址发出的DNS请求报文进行校验,阻拦校验不通过的DNS请求报文对应的DNS会话,而不是阻拦被拉黑的IP地址发出的所有DNS请求报文,在有效防御DNS攻击的情况下,避免了正常的客户端IP地址无法正常上网,最大程度地降低对用户的影响。
如图5所示,图5是本公开实施例示出的另一种DNS攻击的防御装置的框图,在前述装置实施例的基础上,所述装置还包括:
分析模块30,由于获取所述DNS服务器发送给第二客户端的响应报文,所述响应报文用于响应所述第二客户端发送给所述DNS服务器的第二DNS请求报文,所述第二DNS请求报文携带着域名和第二源IP地址;对于表示所述域名解析失败的所述响应报文,向管理设备上报分析日志,所述分析日志包括:所述第二源IP地址,所述管理设备用于根据所述分析日志确定所述黑名单IP地址;接收所述管理设备下发的所述黑名单IP地址并将其加入所述黑名单IP表。
所述校验模块32,在根据校验规则校验所述第一DNS请求报文时,具体用于:
在DNS会话表中查找所述第一DNS请求报文对应的DNS会话表项;
若没有查找到所述第一DNS请求报文对应的DNS会话表项,则不校验所述第一DNS请求报文;
根据所述第一DNS请求报文中的报文信息在所述DNS会话表中建立所述DNS会话表项,并在所述DNS会话表项中记录所述第一DNS请求报文的接收时间;
丢弃所述第一DNS请求报文。
还具体用于:
若查找到所述第一DNS请求报文对应的DNS会话表项,根据所述校验规则判断是否对所述第一DNS请求报文进行校验;
在对所述第一DNS请求报文进行校验的情况下,比较所述第一DNS请求报文对应的第一接收时间与所述DNS会话表项中的第二接收时间。
若所述第一接收时间和所述第二接收时间之间的时间间隔,符合报文重传规则中的报文重传时间间隔,则校验结果为通过。
所述处理模块33,在转发所述第一DNS请求报文到DNS服务器之后,还用于:
接收所述DNS服务器返回所述第一DNS请求报文的第二响应报文;
在所述第二响应报文表示所述域名解析成功的情况下,修改所述第二响应报文中的生存时间TTL值,发送所述修改后的第二响应报文到所述第一客户端。
还具体用于:
若校验结果为不通过,则丢弃所述第一DNS请求报文;
丢弃所述第一DNS请求报文之后,若接收到第三DNS请求报文,所述第三DNS请求报文与所述第三DNS请求报文的报文信息相同,则丢弃所述第三DNS请求报文。
如图6所示,图6是本公开实施例示出的一种DNS攻击的防御装置的框图,所述装置可以应用于管理设备,具体包括:
日志模块41,用于接收分析日志,所述分析日志至少包括:DNS请求报文的源IP地址和解析失败的域名;
防御模块42,用于若所述解析失败的域名达到第一阈值,则开启DNS防御:在所述源IP地址中确定黑名单IP地址,下发所述黑名单IP地址到防护设备。
本公开实施例提供的装置中通过管理设备筛选黑名单IP地址并下发到防护设备,进而由防护设备对黑名单IP地址发出的DNS请求报文进行校验,可以在有效防御DNS攻击的情况下,避免了正常的客户端IP地址无法正常上网,最大程度的降低对用户的影响。
在本实施例或本公开其他某些实施例中,所述防御模块42,在所述源IP地址中确定黑名单IP地址时,具体包括:
对于任一所述源IP地址,若其对应的解析失败的域名的次数达到第二阈值,则确定为所述黑名单IP地址;和,
对于任一所述解析失败的域名,若其次数达到第三阈值,则确定其对应的源IP地址为所述黑名单IP地址。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本公开实施例提供一种DNS攻击的防御系统,所述防御系统中包括管理设备和至少一个防护设备,
任一所述防护设备,被配置为用于执行:
接收第一客户端发送的第一DNS请求报文,所述第一DNS请求报文中携带着第一源网际互连协议IP地址;
若确定所述第一源IP地址在黑名单IP表中,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP表用于存储黑名单IP地址;
若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器。
所述管理设备,被配置为用于执行:
接收分析日志,所述分析日志至少包括:DNS请求报文的源IP地址和解析失败的域名;
若所述解析失败的域名达到第一阈值,则开启DNS防御:在所述源IP地址中确定黑名单IP地址,下发所述黑名单IP地址到防护设备。
本公开实施例还提供了一种电子设备,如图7所示,所述电子设备包括存储器51、处理器52,所述存储器51用于存储可在处理器上运行的计算机指令,所述处理器52用于在执行所述计算机指令时实现本公开任一实施例所述的DNS攻击的防御的方法。
本公开实施例还提供了一种计算机程序产品,该产品包括计算机程序/指令,该计算机程序/指令被处理器执行时实现本公开任一实施例所述的DNS攻击的防御的方法。
本公开实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现本公开任一实施例所述的DNS攻击的防御的方法。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (7)
1.一种域名服务器DNS攻击的防御方法,其特征在于,所述方法应用于防护设备,所述方法包括:
接收第一客户端发送的第一DNS请求报文,所述第一DNS请求报文中携带着第一源网际互连协议IP地址;
若确定第一源IP地址在黑名单IP表中,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP表用于存储黑名单IP地址;所述黑名单IP地址为有攻击DNS服务器嫌疑的IP地址;
若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器;所述方法还包括:
获取所述DNS服务器发送给第二客户端的响应报文,所述响应报文用于响应所述第二客户端发送给所述DNS服务器的第二DNS请求报文,所述第二DNS请求报文携带着域名和第二源IP地址;
对于表示所述域名解析失败的所述响应报文,向管理设备上报分析日志,所述分析日志包括:所述第二源IP地址,所述管理设备用于根据所述分析日志确定所述黑名单IP 地址;
接收所述管理设备下发的所述黑名单IP地址并将其加入所述黑名单IP表;
所述根据校验规则校验所述第一DNS请求报文,包括:
在DNS会话表中查找所述第一DNS请求报文对应的DNS会话表项;
若没有查找到所述第一DNS请求报文对应的DNS会话表项,则不校验所述第一DNS请求报文;
根据所述第一DNS请求报文中的报文信息在所述DNS会话表中建立所述DNS会话表项,并在所述DNS会话表项中记录所述第一DNS请求报文的接收时间;
丢弃所述第一DNS请求报文;
所述方法还包括:
若查找到所述第一DNS请求报文对应的DNS会话表项,根据所述校验规则判断是否对所述第一DNS请求报文进行校验;
在对所述第一DNS请求报文进行校验的情况下,比较所述第一DNS请求报文对应的第一接收时间与所述DNS会话表项中的第二接收时间;
若所述第一接收时间和所述第二接收时间之间的时间间隔,符合报文重传规则中的报文重传时间间隔,则校验结果为通过。
2.根据权利要求1所述的方法,其特征在于,在所述转发所述第一DNS请求报文到DNS服务器之后,还包括:
接收所述DNS服务器返回所述第一DNS请求报文的第一响应报文;
在所述第一响应报文表示所述域名解析成功的情况下,修改所述第一响应报文中的生存时间TTL值,发送所述修改后的第一响应报文到所述第一客户端。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
若校验结果为不通过,则丢弃所述第一DNS请求报文;
丢弃所述第一DNS请求报文之后,若接收到第三DNS请求报文,所述第三DNS请求报文与所述第三DNS请求报文的报文信息相同,则丢弃所述第三DNS请求报文。
4.一种DNS攻击的防御方法,其特征在于,所述方法应用于管理设备,所述方法包括:
接收分析日志,所述分析日志至少包括: DNS请求报文的源 IP 地址和解析失败的域名;
若所述解析失败的域名达到第一阈值,则开启DNS防御:在所述源 IP 地址中确定黑名单IP地址,下发所述黑名单IP地址到防护设备,以使所述防护设备在接收到第一客户端发送的第一DNS请求报文时,所述第一DNS请求报文中携带着第一源IP地址,若确定所述第一源IP地址为黑名单IP地址,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP地址为有攻击DNS服务器嫌疑的IP地址;若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器;
所述根据校验规则校验所述第一DNS请求报文,包括:
在DNS会话表中查找所述第一DNS请求报文对应的DNS会话表项;
若没有查找到所述第一DNS请求报文对应的DNS会话表项,则不校验所述第一DNS请求报文;
根据所述第一DNS请求报文中的报文信息在所述DNS会话表中建立所述DNS会话表项,并在所述DNS会话表项中记录所述第一DNS请求报文的接收时间;
丢弃所述第一DNS请求报文;
若查找到所述第一DNS请求报文对应的DNS会话表项,根据所述校验规则判断是否对所述第一DNS请求报文进行校验;
在对所述第一DNS请求报文进行校验的情况下,比较所述第一DNS请求报文对应的第一接收时间与所述DNS会话表项中的第二接收时间;
若所述第一接收时间和所述第二接收时间之间的时间间隔,符合报文重传规则中的报文重传时间间隔,则校验结果为通过。
5.根据权利要求4所述的方法,其特征在于,所述在所述源 IP 地址中确定黑名单IP地址,包括:
对于任一所述源 IP 地址,若其对应的解析失败的域名的次数达到第二阈值,则确定为所述黑名单IP地址;和,
对于任一所述解析失败的域名,若其次数达到第三阈值,则确定其对应的源IP 地址为所述黑名单IP地址。
6.一种DNS攻击的防御装置,其特征在于,所述装置应用于防护设备,所述装置包括:
接收模块,用于接收第一客户端发送的第一DNS请求报文,所述第一DNS请求报文中携带着第一源IP地址;
校验模块,用于若确定所述第一源IP地址在黑名单IP表中,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP表用于存储黑名单IP地址;所述黑名单IP地址为有攻击DNS服务器嫌疑的IP地址;
处理模块,用于若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器;
所述接收模块,还用于:
获取所述DNS服务器发送给第二客户端的响应报文,所述响应报文用于响应所述第二客户端发送给所述DNS服务器的第二DNS请求报文,所述第二DNS请求报文携带着域名和第二源IP地址;
对于表示所述域名解析失败的所述响应报文,向管理设备上报分析日志,所述分析日志包括:所述第二源IP地址,所述管理设备用于根据所述分析日志确定所述黑名单IP 地址;
接收所述管理设备下发的所述黑名单IP地址并将其加入所述黑名单IP表;
所述根据校验规则校验所述第一DNS请求报文,包括:
在DNS会话表中查找所述第一DNS请求报文对应的DNS会话表项;
若没有查找到所述第一DNS请求报文对应的DNS会话表项,则不校验所述第一DNS请求报文;
根据所述第一DNS请求报文中的报文信息在所述DNS会话表中建立所述DNS会话表项,并在所述DNS会话表项中记录所述第一DNS请求报文的接收时间;
丢弃所述第一DNS请求报文;
若查找到所述第一DNS请求报文对应的DNS会话表项,根据所述校验规则判断是否对所述第一DNS请求报文进行校验;
在对所述第一DNS请求报文进行校验的情况下,比较所述第一DNS请求报文对应的第一接收时间与所述DNS会话表项中的第二接收时间;
若所述第一接收时间和所述第二接收时间之间的时间间隔,符合报文重传规则中的报文重传时间间隔,则校验结果为通过。
7.一种DNS攻击的防御装置,其特征在于,所述装置应用于管理设备,所述装置包括:
日志模块,用于接收分析日志,所述分析日志至少包括: DNS请求报文的源 IP 地址和解析失败的域名;
防御模块,用于若所述解析失败的域名达到第一阈值,则开启DNS防御:在所述源 IP地址中确定黑名单IP地址,下发所述黑名单IP地址到防护设备,以使所述防护设备在接收到第一客户端发送的第一DNS请求报文时,所述第一DNS请求报文中携带着第一源IP地址,若确定所述第一源IP地址为黑名单IP地址,则根据校验规则校验所述第一DNS请求报文,所述黑名单IP地址为有攻击DNS服务器嫌疑的IP地址;若校验结果为通过,则转发所述第一DNS请求报文到DNS服务器;
所述根据校验规则校验所述第一DNS请求报文,包括:
在DNS会话表中查找所述第一DNS请求报文对应的DNS会话表项;
若没有查找到所述第一DNS请求报文对应的DNS会话表项,则不校验所述第一DNS请求报文;
根据所述第一DNS请求报文中的报文信息在所述DNS会话表中建立所述DNS会话表项,并在所述DNS会话表项中记录所述第一DNS请求报文的接收时间;
丢弃所述第一DNS请求报文;
若查找到所述第一DNS请求报文对应的DNS会话表项,根据所述校验规则判断是否对所述第一DNS请求报文进行校验;
在对所述第一DNS请求报文进行校验的情况下,比较所述第一DNS请求报文对应的第一接收时间与所述DNS会话表项中的第二接收时间;
若所述第一接收时间和所述第二接收时间之间的时间间隔,符合报文重传规则中的报文重传时间间隔,则校验结果为通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110036029.5A CN112910839B (zh) | 2021-01-12 | 2021-01-12 | 一种dns攻击的防御方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110036029.5A CN112910839B (zh) | 2021-01-12 | 2021-01-12 | 一种dns攻击的防御方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112910839A CN112910839A (zh) | 2021-06-04 |
| CN112910839B true CN112910839B (zh) | 2023-04-25 |
Family
ID=76112451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110036029.5A Active CN112910839B (zh) | 2021-01-12 | 2021-01-12 | 一种dns攻击的防御方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910839B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726874B (zh) * | 2021-08-27 | 2023-10-27 | 杭州迪普科技股份有限公司 | 一种会话表的备份方法、主机设备及双机热备系统 |
| CN114124442B (zh) * | 2021-09-30 | 2024-03-26 | 天翼数字生活科技有限公司 | 一种防御ddos攻击的方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468554A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 基于ip和host的攻击检测方法和装置 |
| CN106453215A (zh) * | 2015-08-13 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
| CN109981656A (zh) * | 2019-03-29 | 2019-07-05 | 成都知道创宇信息技术有限公司 | 一种基于cdn节点日志的cc防护方法 |
| CN110213204A (zh) * | 2018-03-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572701B (zh) * | 2009-02-10 | 2013-11-20 | 中科信息安全共性技术国家工程研究中心有限公司 | 针对DNS服务器的抗DDoS安全网关系统 |
| CN102739683B (zh) * | 2012-06-29 | 2015-09-09 | 杭州迪普科技有限公司 | 一种网络攻击过滤方法及装置 |
| US8856305B2 (en) * | 2012-07-11 | 2014-10-07 | Verisign, Inc. | System and method for adding a whitelist entry via DNS |
| CN103973506B (zh) * | 2013-01-30 | 2016-10-12 | 腾讯科技(深圳)有限公司 | 一种域名校验方法、装置及系统 |
| CN103152357B (zh) * | 2013-03-22 | 2015-09-30 | 北京网御星云信息技术有限公司 | 一种针对dns服务的防御方法、装置和系统 |
| CN103957195B (zh) * | 2014-04-04 | 2017-11-03 | 北京奇虎科技有限公司 | Dns系统以及dns攻击的防御方法和防御装置 |
| CN107819727B (zh) * | 2016-09-13 | 2020-11-17 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
| CN106506726A (zh) * | 2016-12-12 | 2017-03-15 | 北京云端智度科技有限公司 | 一种校验dns真实用户的方法 |
| CN110401644A (zh) * | 2019-07-12 | 2019-11-01 | 杭州迪普科技股份有限公司 | 一种攻击防护方法及装置 |
| CN110445779B (zh) * | 2019-08-02 | 2021-08-17 | 深圳互联先锋科技有限公司 | 一种dns系统被攻击时的自动保护方法及系统 |
-
2021
- 2021-01-12 CN CN202110036029.5A patent/CN112910839B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468554A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | 基于ip和host的攻击检测方法和装置 |
| CN106453215A (zh) * | 2015-08-13 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 一种网络攻击的防御方法、装置及系统 |
| CN110213204A (zh) * | 2018-03-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 攻击防护方法及装置、设备及可读存储介质 |
| CN109981656A (zh) * | 2019-03-29 | 2019-07-05 | 成都知道创宇信息技术有限公司 | 一种基于cdn节点日志的cc防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112910839A (zh) | 2021-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Whyte et al. | DNS-based Detection of Scanning Worms in an Enterprise Network. | |
| US7620733B1 (en) | DNS anti-spoofing using UDP | |
| US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| EP1433076B1 (en) | Protecting against distributed denial of service attacks | |
| Kambourakis et al. | Detecting DNS amplification attacks | |
| Mahoney et al. | Learning nonstationary models of normal network traffic for detecting novel attacks | |
| US7934254B2 (en) | Method and apparatus for providing network and computer system security | |
| US20080040801A1 (en) | Method and System for Managing Denial of Service Situations | |
| CN112910839B (zh) | 一种dns攻击的防御方法和装置 | |
| JP6033021B2 (ja) | 不正通信検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び不正通信検出方法 | |
| KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN110266673B (zh) | 基于大数据的安全策略优化处理方法和装置 | |
| CN111756728B (zh) | 一种漏洞攻击检测的方法、装置、计算设备及存储介质 | |
| CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN112491911B (zh) | Dns分布式拒绝服务防御方法、装置、设备及存储介质 | |
| JP3986871B2 (ja) | アンチプロファイリング装置およびアンチプロファイリングプログラム | |
| JP6004862B2 (ja) | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 | |
| Arkin | A remote active OS fingerprinting tool using ICMP | |
| Roolvink | Detecting attacks involving DNS servers: a netflow data based approach | |
| JP5980072B2 (ja) | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 | |
| KR102401661B1 (ko) | DDoS 공격의 탐지 및 방어 시스템 및 그 방법 | |
| Prabadevi et al. | Lattice structural analysis on sniffing to denial of service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |