CN113285953B - 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质 - Google Patents

可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质 Download PDF

Info

Publication number
CN113285953B
CN113285953B CN202110605421.7A CN202110605421A CN113285953B CN 113285953 B CN113285953 B CN 113285953B CN 202110605421 A CN202110605421 A CN 202110605421A CN 113285953 B CN113285953 B CN 113285953B
Authority
CN
China
Prior art keywords
dns
attack
ddos attack
ddos
potential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110605421.7A
Other languages
English (en)
Other versions
CN113285953A (zh
Inventor
马小博
刘东锦
瞿建
潘鹏宇
李森
卞华峰
王鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN202110605421.7A priority Critical patent/CN113285953B/zh
Publication of CN113285953A publication Critical patent/CN113285953A/zh
Application granted granted Critical
Publication of CN113285953B publication Critical patent/CN113285953B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质,通过计算已知IP地址集合的DNS递归服务器攻击潜能函数,对获取的攻击潜能函数进行排序,取前N个DNS反射器作为潜在可用于DDoS攻击反射器,并对已知位置的攻击目标进行DDoS攻击,使用攻击效果函数对DDoS攻击的攻击效果进行评估,本发明通过在探测网络中的DNS反射器,并对其威胁程度进行评估,从而检测出潜在可用于DDoS攻击的DNS反射器,本发明能够提前发现网络中潜在的攻击资源,提前做好DDoS攻击防护,保障网络安全;本发明提出的检测方法能够发现网络中DNS服务器配置的异常,从而网络管理员及时处理异常的DNS服务器配置,减少网络中的潜在攻击资源,降低网络攻击风险。

Description

可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存 储介质
技术领域
本发明属于网络安全领域,具体涉及可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质。
背景技术
近年来,随着互联网的高速发展,网络已经紧密地融入我们的生产与生活,网络安全也成为一个不可忽视的问题。DNS(Domain Name System,域名系统)服务器是进行域名(domain name)和与之相对应的IP地址(IP address)转换的服务器。DNS服务器中保存了一张域名和与之相对应的IP地址的表,当DNS服务器收到用户发送的DNS解析请求时,向用户返回DNS解析的结果。一般来说,DNS解析结果的数据包大小要大于DNS请求数据包,因此DNS服务器可用于DDoS攻击的反射器,用来进行DDoS攻击(Distributed denial of serviceattack,分布式拒绝服务攻击),分布式拒绝服务(DDoS)攻击是一种恶意企图,通过大量互联网流量压倒目标或其周围的基础架构来破坏目标服务器,服务或网络的正常流量。DDoS攻击通过利用多个受损计算机系统作为攻击流量来源来实现有效性。网络中存在大量的DNS服务器,且DNS服务器拥有放大流量的能力,如果被实际用于DDoS攻击,将会产生严重的后果,国内外关于可用于DDoS攻击的DNS反射器检测方法目前并没有一个确切的定论,也没有一个确定的可用于DDoS攻击的DNS反射器检测方法。大多数关于DDoS攻击的研究都着力于DDoS攻击流量的识别,由此可见,关于可用于DDoS攻击的DNS反射器检测方法问题尚未被广泛深入研究,相关技术也尚未被广泛应用。
发明内容
本发明的目的在于提供可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质,以克服现有技术的不足。
为达到上述目的,本发明采用如下技术方案:
一种可用于DDoS攻击的DNS反射器检测方法,包括以下步骤:
S1,采集可用于反射攻击的DNS递归服务器的IP地址集合;
S2,计算已知IP地址集合的DNS递归服务器攻击潜能函数,对获取的攻击潜能函数进行排序,取前N个DNS反射器作为潜在可用于DDoS攻击反射器,并对已知位置的攻击目标进行DDoS攻击;
S3,使用攻击效果函数对DDoS攻击的攻击效果进行评估,若攻击效果大于等于设定阈值Y,则该DNS反射器潜在可用于DDoS攻击,否则不可用,即可实现可用于DDoS攻击的DNS反射器的快速检测。
进一步的,对IP地址集合中所有IP地址进行DNS扫描得到各IP地址的DNS信息向量,形成DNS信息向量集合;
DNS信息向量IX为:
IX={IP,SEC,ANY,RT,Country,City,Lat,Long,Time}
其中IP是被扫描的DNS服务器的IP地址,SEC是DNS服务器是否支持DNSSEC协议标记,0表示不支持,1表示支持;ANY是DNS服务器是否支持Any类型的DNS解析请求标记,0表示不支持,1表示支持;RT是DNS服务器响应的DNS请求数量在所有发送的DNS请求数量中所占的比例;Country是DNS服务器的IP所在的国家名称;City是DNS服务器的IP所在的城市名称;Lat是DNS服务器的IP所在的纬度;Long是DNS服务器的IP所在的经度;Time是本次扫描的时间。
进一步的,DNS扫描具体为构造多种类型的DNS请求包,包括不支持DNSSEC协议的A记录请求、支持DNSSEC协议的A记录请求、不支持DNSSEC协议的Any记录请求。
进一步的,获取已知位置的攻击目标的位置特征向量LV
LV={IP,Country,City,Lat,Long}
其中,IP是DDoS攻击目标的IP地址,Country是DDoS攻击目标的IP所在的国家名称,City是DDoS攻击目标的IP所在的城市名称,Lat是DDoS攻击目标的IP所在的纬度,Long是DDoS攻击目标的IP所在的经度。
进一步的,对DNS信息向量集合中的DNS信息向量和攻击目标的位置特征向量使用攻击潜能函数计算攻击潜能QXV
QXV=ARX+WXV
其中,ARX为DNS信息向量中IP对应的DNS反射器的放大潜力的一个函数;WXV为DNS信息向量中IP对应的DNS反射器和DDoS攻击目标IP的位置特征向量中IP对应的受害者主机之间位置关系的一个函数。
进一步的,具体的ARX为:
ARX=α1*IX[SEC]+α2*IX[ANY]+(1+IX[RT])
其中,IX[SEC]表示DNS信息向量IX中SEC元素的值,IX[ANY]表示DNS信息向量IX中ANY元素的值,IX[RT]表示DNS信息向量IX中RT元素的值,α1和α2为常数;
WXV为:
WXV=β1*SP(IX[IP],LV[IP])+β2*S(IX[Country],LV[Country])+β3*S(IX[City],LV[City])+β4*Dis(IX,LV)
其中,β1、β2、β3、β4为常数,SP(IP1,IP2)表示IP地址IP1和IP地址IP2的网段相似度,Dis(IX,LV)表示IX中的经纬度和LV中的经纬度之间的地理距离等级。
进一步的,其中攻击效果函数为:
GXV=Bind1-Bind2
其中,Bind1表示正常情况下DDoS攻击目标的出口带宽,Bind2表示攻击情况下DDoS攻击目标的出口带宽。
一种可用于DDoS攻击的DNS反射器检测系统,包括:
IP地址模块,用于采集可用于反射攻击的DNS递归服务器的IP地址形成IP地址集合;
攻击潜能模块,用于计算已知IP地址集合的DNS递归服务器攻击潜能函数,对获取的攻击潜能函数进行排序;
检测模块,用于根据攻击潜能函数进行排序结果取前N个DNS反射器作为潜在可用于DDoS攻击反射器,并对已知位置的攻击目标进行DDoS攻击,使用攻击效果函数对DDoS攻击的攻击效果进行评估,输出评估结果。
一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现可用于DDoS攻击的DNS反射器检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可用于DDoS攻击的DNS反射器检测方法的步骤。
与现有技术相比,本发明具有以下有益的技术效果:
本发明一种可用于DDoS攻击的DNS反射器检测方法,通过计算已知IP地址集合的DNS递归服务器攻击潜能函数,对获取的攻击潜能函数进行排序,取前N个DNS反射器作为潜在可用于DDoS攻击反射器,并对已知位置的攻击目标进行DDoS攻击,使用攻击效果函数对DDoS攻击的攻击效果进行评估,若攻击效果大于等于设定阈值Y,则该DNS反射器潜在可用于DDoS攻击,否则不可用,即可实现可用于DDoS攻击的DNS反射器的快速检测,本发明通过在探测网络中的DNS反射器,并对其威胁程度进行评估,从而检测出潜在可用于DDoS攻击的DNS反射器,本发明能够提前发现网络中潜在的攻击资源,提前做好DDoS攻击防护,保障网络安全;本发明提出的检测方法能够发现网络中DNS服务器配置的异常,从而网络管理员及时处理异常的DNS服务器配置,减少网络中的潜在攻击资源,降低网络攻击风险。
进一步的,对DNS信息向量集合中的DNS信息向量和攻击目标的位置特征向量使用攻击潜能函数计算攻击潜能,从而快速从众多DNS反射器中筛选出可用于DDoS攻击的DNS反射器,提供网络检测效率。
附图说明
图1为本发明实施例中具体方法流程图。
图2为本发明实施例中系统结构示意图。
具体实施方式
下面结合附图对本发明做进一步详细描述:
如图1所示,一种可用于DDoS攻击的DNS反射器检测方法,包括以下步骤:
S1,采集可用于反射攻击的DNS递归服务器的IP地址集合;
对IP地址集合中所有IP地址进行DNS扫描得到各IP地址的DNS信息向量,形成DNS信息向量集合;
IP地址集合通过指定或者数据分析获取,IP地址集合也可为IP地址范围;采集或者指定得到IP地址集合D,对IP地址集合D中的所有IP地址逐一进行DNS扫描,剔除非DNS服务器的IP地址;对于IP地址X,得到DNS信息向量IX,IP地址集合D中所有属于DNS服务器的IP地址的DNS信息向量组成DNS信息向量集合C;
S2,计算已知IP地址集合的DNS递归服务器攻击潜能函数,对获取的攻击潜能函数进行排序,取前N个DNS反射器作为潜在可用于DDoS攻击反射器,并对已知位置的攻击目标进行DDoS攻击;
设给定DDoS攻击目标IP为V,通过查询GeoIP2数据库得到V的位置特征向量LV
通过计算攻击潜能函数,对IP地址集合D中的IP地址对应的DNS反射器按照攻击潜能降序排序,得到有序序列SD,取SD中前N个DNS反射器作为潜在可用于DDoS攻击反射器,得到DNS反射器集合T,N为反射器选取个数,取常数;
利用DNS反射器集合T中的所有DNS反射器对给定的攻击目标V,依次发动DDoS攻击;
S3,使用攻击效果函数对发动的DDoS攻击的攻击效果进行评估,若攻击效果大于等于阈值Y,Y的值根据实际情况设置,则认为该DNS反射器潜在可用于大规模DDoS攻击,否则不可用,即可实现可用于DDoS攻击的DNS反射器的快速检测。
在步骤S1中,DNS扫描具体为构造多种类型的DNS请求包,包括不支持DNSSEC协议的A记录请求、支持DNSSEC协议的A记录请求、不支持DNSSEC协议的Any记录请求,快速地向扫描目标DNS服务器的53端口发送构造的数据包,解析目标DNS服务器返回的数据包,剔除非DNS服务器的IP地址,得到DNS信息向量IX;DNS信息向量IX的定义如下:
IX={IP,SEC,ANY,RT,Country,City,Lat,Long,Time}
其中IP是被扫描的DNS服务器的IP地址,SEC是DNS服务器是否支持DNSSEC协议标记,0表示不支持,1表示支持;ANY是DNS服务器是否支持Any类型的DNS解析请求标记,0表示不支持,1表示支持;RT是DNS服务器响应的DNS请求数量在所有发送的DNS请求数量中所占的比例;Country是DNS服务器的IP所在的国家名称;City是DNS服务器的IP所在的城市名称;Lat是DNS服务器的IP所在的纬度;Long是DNS服务器的IP所在的经度;Time是本次扫描的时间;集合D中所有IP地址的DNS信息向量组成DNS信息向量集合C。
在步骤S2中,DDoS攻击目标IP的位置特征向量LV定义如下:
LV={IP,Country,City,Lat,Long}
其中,IP是DDoS攻击目标的IP地址,Country是DDoS攻击目标的IP所在的国家名称,City是DDoS攻击目标的IP所在的城市名称,Lat是DDoS攻击目标的IP所在的纬度,Long是DDoS攻击目标的IP所在的经度。
对DNS信息向量集合C中的元素DNS信息向量IX和DDoS攻击目标IP的位置特征向量LV使用攻击潜能函数计算攻击潜能QXV,QXV表示IX中IP对应的DNS反射器对LV中IP对应的受害者主机的攻击潜能的大小,攻击潜能函数的定义如下:
QXV=ARX+WXV
其中,ARX是用来描述IX中IP对应的DNS反射器的放大潜力的一个函数,ARX的定义如下:
ARX=α1*IX[SEC]+α2*IX[ANY]+(1+IX[RT])
其中,IX[SEC]表示DNS信息向量IX中SEC元素的值,同样的,IX[ANY]表示DNS信息向量IX中ANY元素的值,IX[RT]表示DNS信息向量IX中RT元素的值,α1和α2为常数,根据实际情况灵活设置;WXV是用来描述IX中IP对应的DNS反射器和LV中IP对应的受害者主机之间位置关系的一个函数,WXV的定义如下:
WXV=β1*SP(IX[IP],LV[IP])+β2*S(IX[Country],LV[Country])+β3*S(IX[City],LV[City])+β4*Dis(IX,LV)
其中,β1、β2、β3、β4为常数,根据实际情况灵活设置,SP(IP1,IP2)表示IP地址IP1和IP地址IP2的网段相似度,若两个IP地址的前R位相同,则它们的网段相似度为R,S(S1,S2)表示字符串S1和字符串S2的完全匹配距离,Dis(IX,LV)表示IX中的经纬度和LV中的经纬度之间的地理距离等级;S(S1,S2)的定义如下:
Figure BDA0003093929640000081
Dis(IX,LV)的定义如下:
Figure BDA0003093929640000082
攻击效果函数为:
GXV=Bind1-Bind2
其中,Bind1表示正常情况下DDoS攻击目标的出口带宽,Bind2表示攻击情况下DDoS攻击目标的出口带宽。
本发明一个实施例中,提供了一种终端设备,该终端设备包括处理器以及存储器,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器用于执行所述计算机存储介质存储的程序指令。处理器采用中央处理单元(CPU),或者采用其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其是终端的计算核心以及控制核心,其适于实现一条或一条以上指令,具体适于加载并执行一条或一条以上指令从而实现相应方法流程或相应功能;本发明实施例所述的处理器可用于DDoS攻击的DNS反射器检测方法的操作。
如图2所示,一种可用于DDoS攻击的DNS反射器检测系统,包括:IP地址模块,用于采集可用于反射攻击的DNS递归服务器的IP地址形成IP地址集合;
攻击潜能模块,用于计算已知IP地址集合的DNS递归服务器攻击潜能函数,对获取的攻击潜能函数进行排序;
检测模块,用于根据攻击潜能函数进行排序结果取前N个DNS反射器作为潜在可用于DDoS攻击反射器,并对已知位置的攻击目标进行DDoS攻击,使用攻击效果函数对DDoS攻击的攻击效果进行评估,输出评估结果。
本发明再一个实施例中,本发明还提供了一种存储介质,具体采用计算机可读存储介质(Memory),所述计算机可读存储介质是终端设备中的记忆设备,用于存放程序和数据。计算机可读存储介质包括终端设备中的内置存储介质,提供存储空间,存储了终端的操作系统,也可包括终端设备所支持的扩展存储介质。并且,在该存储空间中还存放了适于被处理器加载并执行的一条或一条以上的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是,此处的计算机可读存储介质可以是高速RAM存储器,也可以是非不稳定的存储器(Non-volatile memory),例如至少一个磁盘存储器。可由处理器加载并执行计算机可读存储介质中存放的一条或一条以上指令,以实现上述实施例中可用于DDoS攻击的DNS反射器检测方法的相应步骤。
实施例
指定IP地址集合或者IP地址范围,本申请采用IP地址集合D{114.114.114.114,4.2.2.4,8.8.8,119.178.1.0,115.193.1.0,115.210.1.0,……},对集合D中的所有IP地址逐一进行DNS扫描,剔除非DNS服务器的IP地址,对于IP地址115.193.1.0,得到DNS信息向量I115.193.1.0={115.193.1.0,0,1,0.95,China,None,34.7725,113.7266},集合D中所有IP地址的DNS信息向量组成DNS信息向量集合C;
步骤2,给定DDoS攻击目标IP为16.156.2.2,查询GeoIP2数据库,得到攻击目标的位置特征向量L16.156.2.2={16.156.2.2,United States,None,37.751,-97.822};
步骤3,计算潜能函数,如I115.193.1.0和L16.156.2.2的潜能函数,取α1=3,α2=2.5,β1=0.05,β2=0.2,β3=0.2,β4=0.4
Q115.193.1.016.156.2.2=AR115.193.1.0+W115.193.1.0 16.156.2.2
AR115.193.1.0=3*IX[SEC]+2.5*IX[ANY]+(1+IX[RT])
=3*0+2.5*1+(1+0.95)=4.45
W115.193.1.0 16.156.2.2
=0.05*SP(115.193.1.0,16.156.2.2)+0.2*S(China,United States)+0.2*S(None,None)+0.4*Dis((34.7725,113.7266),(37.751,-97.822))
=0.05*1+0.2*0+0.2*1+0.4*0=0.25
Q115.193.1.0 16.156.2.2=AR115.193.1.0+W115.193.1.0 16.156.2.2=4.45+0.25=4.7
对集合D中的IP地址对应的DNS反射器按照攻击潜能降序排序,得到有序序列SD,取SD中前5个DNS反射器作为潜在可用于DDoS攻击反射器,得到DNS反射器集合T,;
步骤4,使用筛选的5个DNS反射器,对步骤2中给定的攻击目标16.156.2.2,发动DDoS攻击;
步骤5,使用攻击效果函数,对步骤4中发动的DDoS攻击的攻击效果进行评估,若攻击效果大于等于阈值30,则认为该DNS反射器潜在可用于大规模DDoS攻击。
本发明提出了攻击潜能函数来描述DNS反射器对DDoS攻击目标的攻击潜能,攻击潜能函数既考虑了DNS反射器本身的放大潜力,又考虑了DNS反射器与DDoS攻击目标之间的位置关系,从而检测出在利用相同的攻击资源条件下可能形成更严重的攻击后果的DNS反射器;本发明提出了攻击效果函数来评估当前选择的DNS反射器的攻击效果,实现了潜在可用于大规模DDoS攻击的DNS反射器检测方法。

Claims (5)

1.一种可用于DDoS攻击的DNS反射器检测方法,其特征在于,包括以下步骤:
S1,采集可用于反射攻击的DNS递归服务器的IP地址集合;
S2,计算已知IP地址集合的DNS递归服务器攻击潜能函数,对获取的攻击潜能函数进行排序,取前N个DNS反射器作为潜在可用于DDoS攻击反射器,并对已知位置的攻击目标进行DDoS攻击;
对IP地址集合中所有IP地址进行DNS扫描得到各IP地址的DNS信息向量,形成DNS信息向量集合;
DNS信息向量IX为:
IX={IP,SEC,ANY,RT,Country,City,Lat,Long,Time}
其中IP是被扫描的DNS服务器的IP地址,SEC是DNS服务器是否支持DNSSEC协议标记,0表示不支持,1表示支持;ANY是DNS服务器是否支持Any类型的DNS解析请求标记,0表示不支持,1表示支持;RT是DNS服务器响应的DNS请求数量在所有发送的DNS请求数量中所占的比例;Country是DNS服务器的IP所在的国家名称;City是DNS服务器的IP所在的城市名称;Lat是DNS服务器的IP所在的纬度;Long是DNS服务器的IP所在的经度;Time是本次扫描的时间;
获取已知位置的攻击目标的位置特征向量LV
LV={IP,Country,City,Lat,Long}
其中,IP是DDoS攻击目标的IP地址,Country是DDoS攻击目标的IP所在的国家名称,City是DDoS攻击目标的IP所在的城市名称,Lat是DDoS攻击目标的IP所在的纬度,Long是DDoS攻击目标的IP所在的经度;
对DNS信息向量集合中的DNS信息向量和攻击目标的位置特征向量使用攻击潜能函数计算攻击潜能QXV
QXV=ARX+WXV
其中,ARX为DNS信息向量中IP对应的DNS反射器的放大潜力的一个函数;WXV为DNS信息向量中IP对应的DNS反射器和DDoS攻击目标IP的位置特征向量中IP对应的受害者主机之间位置关系的一个函数;
ARX为:
ARX=α1*IX[SEC]+α2*IX[ANY]+(1+IX[RT])
其中,IX[SEC]表示DNS信息向量IX中SEC元素的值,IX[ANY]表示DNS信息向量IX中ANY元素的值,IX[RT]表示DNS信息向量IX中RT元素的值,α1和α2为常数;
WXV为:
WXV=β1*SP(IX[IP],LV[IP])+β2*S(IX[Country],LV[Country])+β3*S(IX[City],LV[City])+β4*Dis(IX,LV)
其中,β1、β2、β3、β4为常数,SP(IP1,IP2)表示IP地址IP1和IP地址IP2的网段相似度,若两个IP地址的前R位相同,则它们的网段相似度为R,S(S1,S2)表示字符串S1和字符串S2的完全匹配距离,Dis(IX,LV)表示IX中的经纬度和LV中的经纬度之间的地理距离等级;S(S1,S2)的定义如下:
Figure FDA0003664912320000021
Dis(IX,LV)的定义如下:
Figure FDA0003664912320000022
S3,使用攻击效果函数对DDoS攻击的攻击效果进行评估,若攻击效果大于等于设定阈值Y,则该DNS反射器潜在可用于DDoS攻击,否则不可用,即可实现可用于DDoS攻击的DNS反射器的快速检测;其中攻击效果函数为:
GXV=Bind1-Bind2
其中,Bind1表示正常情况下DDoS攻击目标的出口带宽,Bind2表示攻击情况下DDoS攻击目标的出口带宽。
2.根据权利要求1所述的一种可用于DDoS攻击的DNS反射器检测方法,其特征在于,DNS扫描具体为构造多种类型的DNS请求包,包括不支持DNSSEC协议的A记录请求、支持DNSSEC协议的A记录请求、不支持DNSSEC协议的Any记录请求。
3.一种可用于DDoS攻击的DNS反射器检测系统,其特征在于,包括:
IP地址模块,用于采集可用于反射攻击的DNS递归服务器的IP地址形成IP地址集合;
攻击潜能模块,用于计算已知IP地址集合的DNS递归服务器攻击潜能函数,对获取的攻击潜能函数进行排序;
检测模块,用于根据攻击潜能函数进行排序结果取前N个DNS反射器作为潜在可用于DDoS攻击反射器,并对已知位置的攻击目标进行DDoS攻击,使用攻击效果函数对DDoS攻击的攻击效果进行评估,输出评估结果;
对IP地址集合中所有IP地址进行DNS扫描得到各IP地址的DNS信息向量,形成DNS信息向量集合;
DNS信息向量IX为:
IX={IP,SEC,ANY,RT,Country,City,Lat,Long,Time}
其中IP是被扫描的DNS服务器的IP地址,SEC是DNS服务器是否支持DNSSEC协议标记,0表示不支持,1表示支持;ANY是DNS服务器是否支持Any类型的DNS解析请求标记,0表示不支持,1表示支持;RT是DNS服务器响应的DNS请求数量在所有发送的DNS请求数量中所占的比例;Country是DNS服务器的IP所在的国家名称;City是DNS服务器的IP所在的城市名称;Lat是DNS服务器的IP所在的纬度;Long是DNS服务器的IP所在的经度;Time是本次扫描的时间;
获取已知位置的攻击目标的位置特征向量LV
LV={IP,Country,City,Lat,Long}
其中,IP是DDoS攻击目标的IP地址,Country是DDoS攻击目标的IP所在的国家名称,City是DDoS攻击目标的IP所在的城市名称,Lat是DDoS攻击目标的IP所在的纬度,Long是DDoS攻击目标的IP所在的经度;
对DNS信息向量集合中的DNS信息向量和攻击目标的位置特征向量使用攻击潜能函数计算攻击潜能QXV
QXV=ARX+WXV
其中,ARX为DNS信息向量中IP对应的DNS反射器的放大潜力的一个函数;WXV为DNS信息向量中IP对应的DNS反射器和DDoS攻击目标IP的位置特征向量中IP对应的受害者主机之间位置关系的一个函数;
ARX为:
ARX=α1*IX[SEC]+α2*IX[ANY]+(1+IX[RT])
其中,IX[SEC]表示DNS信息向量IX中SEC元素的值,IX[ANY]表示DNS信息向量IX中ANY元素的值,IX[RT]表示DNS信息向量IX中RT元素的值,α1和α2为常数;
WXV为:
WXV=β1*SP(IX[IP],LV[IP])+β2*S(IX[Country],LV[Country])+β3*S(IX[City],LV[City])+β4*Dis(IX,LV)
其中,β1、β2、β3、β4为常数,SP(IP1,IP2)表示IP地址IP1和IP地址IP2的网段相似度,若两个IP地址的前R位相同,则它们的网段相似度为R,S(S1,S2)表示字符串S1和字符串S2的完全匹配距离,Dis(IX,LV)表示IX中的经纬度和LV中的经纬度之间的地理距离等级;S(S1,S2)的定义如下:
Figure FDA0003664912320000051
Dis(IX,LV)的定义如下:
Figure FDA0003664912320000052
其中攻击效果函数为:
GXV=Bind1-Bind2
其中,Bind1表示正常情况下DDoS攻击目标的出口带宽,Bind2表示攻击情况下DDoS攻击目标的出口带宽。
4.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至2任一项所述方法的步骤。
5.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至3任一项所述方法的步骤。
CN202110605421.7A 2021-05-31 2021-05-31 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质 Active CN113285953B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110605421.7A CN113285953B (zh) 2021-05-31 2021-05-31 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110605421.7A CN113285953B (zh) 2021-05-31 2021-05-31 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN113285953A CN113285953A (zh) 2021-08-20
CN113285953B true CN113285953B (zh) 2022-07-12

Family

ID=77282879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110605421.7A Active CN113285953B (zh) 2021-05-31 2021-05-31 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113285953B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194680A (zh) * 2018-09-27 2019-01-11 腾讯科技(深圳)有限公司 一种网络攻击识别方法、装置及设备
CN111385235A (zh) * 2018-12-27 2020-07-07 北京卫达信息技术有限公司 一种基于动态变换的DDoS攻击防御系统和方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104348811B (zh) * 2013-08-05 2018-01-26 深圳市腾讯计算机系统有限公司 分布式拒绝服务攻击检测方法及装置
CN105681133B (zh) * 2016-03-14 2018-09-07 中国科学院计算技术研究所 一种检测dns服务器是否防网络攻击的方法
WO2017166047A1 (zh) * 2016-03-29 2017-10-05 华为技术有限公司 网络攻击防御策略发送、网络攻击防御的方法和装置
CN106341418B (zh) * 2016-10-08 2019-07-02 中国科学院信息工程研究所 Dns分布式反射型拒绝服务攻击检测、防御方法与系统
EP3570504B1 (en) * 2017-03-09 2020-12-23 Nippon Telegraph and Telephone Corporation Attack countermeasure determination device, attack countermeasure determination method, and attack countermeasure determination program
CN110855633B (zh) * 2019-10-24 2021-10-15 华为终端有限公司 Ddos攻击的防护方法、装置、系统、通信设备和存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109194680A (zh) * 2018-09-27 2019-01-11 腾讯科技(深圳)有限公司 一种网络攻击识别方法、装置及设备
CN111385235A (zh) * 2018-12-27 2020-07-07 北京卫达信息技术有限公司 一种基于动态变换的DDoS攻击防御系统和方法

Also Published As

Publication number Publication date
CN113285953A (zh) 2021-08-20

Similar Documents

Publication Publication Date Title
US10867034B2 (en) Method for detecting a cyber attack
EP3430560B1 (en) Using private threat intelligence in public cloud
JP6894528B2 (ja) Dnsを評価するための方法及び装置
US10666672B2 (en) Collecting domain name system traffic
CN103152357B (zh) 一种针对dns服务的防御方法、装置和系统
US10541857B1 (en) Public DNS resolver prioritization
EP2180660B1 (en) Method and system for statistical analysis of botnets
US8195750B1 (en) Method and system for tracking botnets
CN109495521B (zh) 一种异常流量检测方法及装置
US20120124087A1 (en) Method and apparatus for locating naming discrepancies
CN112468364B (zh) Cip资产的探测方法、装置、计算机设备及可读存储介质
CN110809010A (zh) 威胁信息处理方法、装置、电子设备及介质
US7310660B1 (en) Method for removing unsolicited e-mail messages
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
JP6750457B2 (ja) ネットワーク監視装置、プログラム及び方法
US20240146753A1 (en) Automated identification of false positives in dns tunneling detectors
CN110061998B (zh) 一种攻击防御方法及装置
CN113285953B (zh) 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质
Xu et al. TsuKing: Coordinating DNS Resolvers and Queries into Potent DoS Amplifiers
CN112769635A (zh) 多粒度特征解析的服务识别方法及装置
US8595830B1 (en) Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address
Tatang et al. Below the radar: spotting DNS tunnels in newly observed hostnames in the wild
CN113965392B (zh) 恶意服务器检测方法、系统、可读介质及电子设备
CN113726775B (zh) 一种攻击检测方法、装置、设备及存储介质
US20230156044A1 (en) System and method for dns misuse detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant