CN113301001B - 攻击者确定方法、装置、计算设备和介质 - Google Patents
攻击者确定方法、装置、计算设备和介质 Download PDFInfo
- Publication number
- CN113301001B CN113301001B CN202010266070.7A CN202010266070A CN113301001B CN 113301001 B CN113301001 B CN 113301001B CN 202010266070 A CN202010266070 A CN 202010266070A CN 113301001 B CN113301001 B CN 113301001B
- Authority
- CN
- China
- Prior art keywords
- domain name
- preset
- address
- resolution
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击者确定方法、装置、计算设备和介质。该方法,包括:获取解析到被攻击的第一网际互连协议IP地址上的多个子域名;发送第一预设解析策略至域名系统协议DNS服务器,第一预设解析策略用于指示DNS服务器将多个子域名解析到各自关联的预设智能解析域名,且至少两个子域名关联的预设智能解析域名不同;基于预先保存的预设智能解析域名和IP地址的对应关系,确定每个子域名关联的预设智能解析域名对应的第二IP地址;根据每个第二IP地址的流量参数,从多个子域名中确定攻击者。根据本发明实施例,能够解决在智能域名解析的场景下找到攻击者的问题。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种攻击者确定方法、装置、计算设备和介质。
背景技术
对象存储服务(Object Storage Service,OSS)全球传输加速是为加速远距离数据传输推出的新功能。此功能利用全球分布的云机房能力,将来自全球各地的用户访问由域名系统协议(Domain Name System,DNS)路由至就近的机房接入点。用户请求到达就近节点后,会经过优化过的网络及协议访问数据所在的数据中心。
全球加速利用DNS的分线路解析功能,在全球各地分出数百条线路,每条线路对应不同的解析。OSS对外提供的是统一的服务域名,如果攻击者攻击该域名对应的网际互连协议(Internet Protocol,IP)地址以攻击该域名,则会很难找出攻击者。
因此,在分线路智能解析的场景下,急需提供一种确定攻击者的方法。
发明内容
本发明实施例提供一种攻击者确定方法、装置、计算设备和介质,能够解决分线路智能解析的情况下无法确定攻击者的问题。
根据本发明实施例的第一方面,提供一种攻击者确定方法,该方法包括:
获取解析到被攻击的第一网际互连协议IP地址上的多个子域名;
发送第一预设解析策略至DNS服务器,第一预设解析策略用于指示DNS服务器将多个子域名解析到各自关联的预设智能解析域名,且至少两个子域名关联的预设智能解析域名不同;
基于预先保存的预设智能解析域名和IP地址的对应关系,确定每个子域名关联的预设智能解析域名对应的第二IP地址;
根据每个第二IP地址的流量参数,从多个子域名中确定攻击者。
根据本发明实施例的第二方面,提供一种攻击者确定装置,该装置包括:
域名获取模块,用于获取解析到被攻击的第一网际互连协议IP地址上的多个子域名;
第一发送模块,用于发送第一预设解析策略至域名系统协议DNS服务器,第一预设解析策略用于指示DNS服务器将多个子域名解析到各自关联的预设智能解析域名,且至少两个子域名关联的预设智能解析域名不同;
第一确定模块,用于基于预先保存的预设智能解析域名和IP地址的对应关系,确定每个子域名关联的预设智能解析域名对应的第二IP地址;
第二确定模块,用于根据每个第二IP地址的流量参数,从多个子域名中确定攻击者。
根据本发明实施例的第三方面,提供了一种计算设备,包括:处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现如上述第一方面提供的攻击者确定方法。
根据本发明实施例的第四方面,提供一种计算机存储介质,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如上述第一方面提供的攻击者确定方法。
根据本发明实施例,按照第一预设解析策略将解析到被攻击的第一IP地址上的多个子域名解析至各自关联的预设智能解析域名上,而不是对每个子域名分线路解析到具体的IP地址上,在分线路的智能域名解析的场景下,可以大大减少寻找攻击者的成本和时间,提高了从这多个子域名中找出攻击者的效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的攻击者确定系统的结构示意图;
图2为本发明实施例提供的攻击者确定方法的流程示意图;
图3为本发明实施例提供的攻击者确定装置的结构示意图;
图4为本发明实施例提供的计算设备的结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
域名,是由一串用点分隔的名字组成的网络上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。
由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过DNS服务器来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。
IP地址和域名是一一对应的,这份域名地址的信息存放在一个叫DNS服务器内,使用者只需了解易记的域名地址,其对应转换工作就留给了DNS服务器。DNS服务器就是提供IP地址和域名之间的转换服务的服务器。
域名解析也叫域名指向、服务器设置、域名配置以及反向IP登记等等。域名解析由DNS服务器完成,是把域名解析到一个IP地址,然后在此IP地址的主机上将一个子目录与域名绑定。
域名解析的常用类型包括地址(Address,A)记录和别名指向(Canonical Name,CNAME)记录。
其中,A记录用来把一个域名解析到一个IP地址,又称IP指向。
其中,CNAME记录,通常称别名指向。可以为一个主机设置别名,也可以理解为一个跳转。比如设置“ftp.***.com”,用来指向一个主机“www.***.com”,那么以后就可以用“ftp.***.com”来代替访问“www.***.com”了。
子域名是指在域名系统等级中,属于更高一层域的域。比如,“mail.example.com”和“calendar.example.com”是“example.com”的两个子域,而“example.com”则是一级域“.com”的子域。即子域名是一级域名的下一级。例如,一级域名可以为“.com”、“.net”、“.org”、“.cn”等等。
泛域名,泛域名在实际使用中的作用是非常广泛的,例如实现无限二级域名功能,提供免费的统一资源定位符转发,在互联网数据中心部门实现自动分配免费网址,在大型企业中实现网址分类管理等等,都发挥了巨大的作用。
所谓泛域名解析,是指利用通配符*(星号)来做子域名以实现所有的子域名均指向同一IP地址。也就是说,泛域名解析是指将“*.域名”解析到同一IP。在域名前添加任何子域名,均可访问到所指向的IP地址。
例如,域名“dns-example.com”,设置泛解析“*.dns-example.com”,则该域名下所有的子域名(如“a.dns-example.com”,“b.dns-example.com”,“c.dns-example.com”等)都将指向与“*.dns-example.com”相同的IP地址。
如果泛域名的某个子域名有单独解析则使用单独解析,否则就使用该泛域名的解析。
泛域名拆分是指对泛域名的若干子域名进行单独解析,与泛域名解析分开。
智能解析(分线路解析)是指根据DNS请求来源位置(所在地域、运营商等),对同一域名作出相应不同解析。例如,对IP来自电信的访问者,将域名解析到该域名对应IP地址为电信的服务器上。对IP来自网通的访问者,将域名解析到该域名对应IP地址为网通的服务器上,以保证访问者不因网通电信线路瓶颈而造成网速慢。
域名跟随攻击是指攻击者跟随域名进行攻击。例如,攻击者“attack.***.com”此时域名的解析为A,那么攻击目标IP就为A,攻击流量会打到A上,此时将“attack.***.com”解析切换为B,那么攻击流量会随之跟随到B,即攻击目标IP为B。
在非智能解析的场景下,若某个IP地址被攻击,则可以将解析到该IP地址上的每个子域名进行域名拆分,也就是对每个子域名分别进行单独解析,即可以找到攻击者。
作为一个示例,假设解析到被攻击IP的现在有100个子域名,例如子域名1、子域名2、子域名3、……、子域名100。然后可以将子域名1至子域名10解析到IP1,将子域名11至子域名20解析到IP2,将子域名21至子域名30解析到IP3,……,将子域名91至子域名100解析到IP10,此时攻击者会跟随到IP1~IP10中的某一个。
假设攻击者为子域名21,则攻击者的流量会打到IP3上。此时,将子域名21至子域名30进行二次拆分,即将子域名21至子域名30分别解析到IP1~IP10上。若子域名21攻击者为子域名21,则攻击者流量会跟随到IP1,则通过IP1的流量异常可以确定子域名21为攻击者。
作为一个具体示例,在非智能解析的场景下具有泛域名“*.abcd.com”,该泛域名解析到的IP地址为C。若IP地址C出现流量异常,则代表该泛域名对应的IP地址C被攻击,即该泛域名被攻击。上述在非智能解析场景下对泛域名的拆分只有一条解析记录,若要找出攻击者,则可以按照上述的方法,将解析到这个泛域名上的多个子域名进行拆分,即对解析到该泛域名上的每个子域名进行单独解析,将每个子域名解析到对应的IP地址上。由于攻击者跟随域名进行攻击,因此,通过将不同的子域名解析到不同的IP地址上,则可以找出攻击者。为了提高寻找攻击者的效率,可以对解析到被攻击的泛域名上的多个子域名进行分组,将同一组的子域名解析到同一个IP地址上,可以加快寻找攻击者的效率。
但是,现在的OSS全球传输加速服务利用的是分线路的智能解析功能。对于智能解析,线路会有一条到数百条不等。对于同一个域名,在每条线路上对应不同的解析。并且OSS服务对外提供的是一般是统一的服务域名,例如,“*.abcd.com”,若该泛域名被攻击,根据上述的非智能解析场景下拆分子域名进行寻找攻击者的方法,则需要对每个子域名进行分线路解析到不同的IP地址上,因此要涉及的域名和解析记录太多。若将上述在非智能解析场景下寻找攻击者的方法运用在智能解析场景下,则需要操作大量的DNS记录,操作成本及时间成本都非常高,基本无法实现。
因此,本发明实施例提供一种攻击者确定方法、装置、计算设备和介质,可以实现在域名智能解析场景下,从解析到被攻击IP地址中的多个子域名中找到攻击者。下面结合附图和实施例进行详细介绍。
图1示出本发明实施例提供的攻击者确定的系统结构示意图。该系统包括对象存储系统110和DNS服务器120。
其中,对象存储可以理解为关键字(key)和值(value)的一种存储结构,是云端的一种存储系统。对象存储系统110全是扁平化的结构。每个对象都在一个被称作存储桶(bucket)的扁平地址空间的同一级别里。一个对象不会属于另一个对象的下一级。
对象存储系统110中的bucket,为存储对象(object)的容器。同一个bucket下面的object的key不能相同,但不同bucket下面的object的key可以相同,同一个object只能属于唯一的一个bucket。不同的用户可以创建不同的bucket,每个bucket的名字不同,这样不同的用户的数据就可以区分开来。
对于对象存储系统110对外提供的是一般是统一的服务域名,即泛域名,例如可以为“*.oss-accelerate.***.com”。“*.oss-accelerate.***.com”被解析到IP地址D。假设对象存储系统110的泛域名上活跃的有多个bucket。其中,每个bucket均具有对应的子域名。则泛域名“*.oss-accelerate.***.com”上活跃的多个bucket对应的子域名将均会解析到IP地址D上。若对象存储系统110对应的泛域名被攻击,即IP地址D为被攻击的IP地址,则需要从泛域名上活跃的多个bucket对应的子域名中找出攻击者。
对象存储系统110中预先设置有第一预设解析策略以及多个预设智能解析域名。其中,第一预设解析策略包括了上述多个bucket对应的子域名中每个子域名关联的预设智能解析域名,即包括了这些子域名分别要解析到的预设智能解析域名。其中,至少两个子域名关联的预设智能解析域名不同。
假设,对象存储系统110对应的泛域名上活跃的有10个bucket。第一预设解析策略中包括:
将“bucket-1.oss-accelerate.***.com”进行CNAME解析,解析到第一预设智能解析域名,即“oss-acc-1.***.com”,将“bucket-2.oss-accelerate.***.com”进行CNAME解析,解析到第二预设智能解析域名,即“oss-acc-2.***.com”,……,将“bucket-10.oss-accelerate.***.com”进行CNAME解析,解析到第十预设智能解析域名,即“oss-acc-10.***.com”。
对象存储系统110将第一预设解析策略发送至DNS服务器120。DNS服务器120根据第一预设解析策略,对上述10个子域名分别进行CNAME解析,以将每个子域名解析到各自关联的预设智能解析域名上。
当DNS服务器120完成对上述10个子域名的解析之后,攻击者的攻击流量会跟随到“oss-acc-1.***.com”至“oss-acc-10.***.com”中某一个预设智能解析域名解析到的IP地址上。
对象存储系统110基于预先保存的预设智能解析域名和IP地址的对应关系,可以确定“oss-acc-1.***.com”至“oss-acc-10.***.com”中每个预设智能解析域名对应的第二IP地址。
对象存储系统110根据每个述第二IP地址的流量参数,从泛域名上活跃的多个bucket对应的多个子域名中确定攻击者。在上述示例中,对象存储系统110根据“oss-acc-1.***.com”至“oss-acc-10.***.com”中每个预设智能解析域名解析到的第二IP地址的流量参数,可以确定流量参数满足预设条件(例如出现异常)的第二IP地址。其中,解析到流量参数满足预设条件的第二IP地址上的预设智能解析域名,即为目标预设智能解析域名。则解析到目标预设智能解析域名上的子域名即可以确定为攻击者。
在本发明的实施例中,在域名智能解析的场景下,通过将解析到被攻击的IP上的子域名进行CNAME解析,将每个子域名解析到对应的预设智能解析域名上,而不是将子域名分线路解析到具体的IP地址上,可以大大减少寻找攻击者的操作步骤和时间,可以实现快速找到攻击者。
图2示出本发明实施例提供的攻击者确定方法的流程示意图。如图2所示,本发明实施例提供的攻击者确定方法,可以应用于图1中的对象存储系统110,包括S210~S240。
S210,获取解析到被攻击的第一网际互连协议IP地址上的多个子域名。
S220,发送第一预设解析策略至域名系统协议DNS服务器120。第一预设解析策略用于指示DNS服务器120将多个子域名解析到各自关联的预设智能解析域名,且至少两个子域名关联的预设智能解析域名不同;
S230,基于预先保存的预设智能解析域名和IP地址的对应关系,确定每个子域名关联的预设智能解析域名对应的第二IP地址。
S240,根据每个第二IP地址的流量参数,从多个子域名中确定攻击者。
根据本发明实施例,按照第一预设解析策略将解析到被攻击的第一IP地址上的多个子域名解析至各自关联的预设智能解析域名上,而不是对每个子域名分线路解析到具体的IP地址上,在域名智能解析的场景下,可以大大减少寻找攻击者的成本和时间,提高了从这多个子域名中找出攻击者的效率。
下面详细介绍S210~S240中每个步骤的具体实现方式。
首先介绍S210的具体实现方式。在一些实施例中,S210包括:获取解析到被攻击的第一网际互连协议IP地址上的每个泛域名;对于每个泛域名,将解析到泛域名上的每个子域名作为解析到被攻击的第一网际互连协议IP地址上的子域名。
也就是说,解析到被攻击的第一IP地址上的子域名包括解析到该地址上的泛域名上活跃的子域名(即解析到该泛域名上的子域名)。其中,解析到泛域名上的子域名可以理解为发送访问请求的子域名。
由于泛域名的解析规则,若泛域名的子域名没有单独的解析规则,则该子域名将解析到泛域名对应的IP地址上。因此,解析到被攻击的第一IP上的子域名包括解析到该地址上的泛域名上活跃的子域名。
在另一些实施例中,有些子域名具有单独的解析规则,则该子域名可以直接解析到第一IP地址上,则解析到被攻击的第一IP地址上的多个子域名还包括直接解析到该地址上的子域名。
下面介绍S220的具体实现方式。在S220中,第一预设解析策略为预先设置的解析策略。由于需要找出攻击者,而攻击者的攻击流量会进行域名跟随,因此为了找出攻击者,解析到被攻击的第一IP地址上的多个子域名中至少两个子域名关联的预设智能解析域名需要不同,才能实现对攻击者进行区分。
在一些实施例中,被攻击的第一IP地址上的多个子域名中每个子域名关联的预设智能解析域名可以均不相同,这样则可以直接找出攻击者。则第一预设解析策略中包括每个子域名各自关联的不同预设智能解析域名。
在另一些实施例中,为了提高寻找攻击者的效率,可以将被攻击的第一IP地址上的多个子域名中的子域名关联同一个预设智能解析域名,也就是将多个子域名进行分组,每组子域名可以关联同一个预设智能解析域名。第一预设解析策略中包括每组子域名各自关联的不同预设智能解析域名。
由于攻击流量会出现域名跟随,因此,可以快速找出攻击流量跟随的预设智能解析域名对应的一组子域名,从而快速筛选掉除该组之外的其他组子域名,提高了寻找攻击者的效率。然后,对攻击流量跟随的预设智能解析域名对应的一组子域名可以按照上述方法继续进行CNAME解析,直至找到攻击者。
作为一个具体示例,被攻击的第一IP地址为“*.oss-accelerate.***.com”解析到的地址。解析到被攻击的第一IP地址上的子域名包括在“*.oss-accelerate.***.com”上活跃的100个bucket分别对应的子域名。则第一预设解析策略中包括:
将“bucket-1.oss-accelerate.***.com~bucket-10.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-1.***.com”,将“bucket-11.oss-accelerate.***.com~bucket-20.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-2.***.com”,……,将“bucket-91.oss-accelerate.***.com~bucket-100.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-10.***.com”。
若“bucket-11.oss-accelerate.***.com”为攻击者,则“oss-acc-2.***.com”对应的第二IP地址的流量参数会满足预设条件。因此,可以将除“bucket-11.oss-accelerate.***.com~bucket-20.oss-accelerate.***.com”之外的子域名全部筛选掉。
由于快速筛选掉除“bucket-11.oss-accelerate.***.com~bucket-20.oss-accelerate.***.com”这10个子域名之外的90个子域名,因此可以提高寻找攻击者的效率。若要从“bucket-11.oss-accelerate.***.com~bucket-20.oss-accelerate.***.com”这10个子域名找出攻击者,则需要对这10个子域名进行二次拆分,即将这10个子域名重新进行CNAME解析。
例如,可以将“bucket-11.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-1.***.com”,将“bucket-12.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-2.***.com”,……,将“bucket-20.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-10.***.com”。
若“bucket-11.oss-accelerate.***.com”为攻击者,则攻击流量会跟随到“oss-acc-2.***.com”对应的IP地址上。因此,可以通过“oss-acc-1.***.com至oss-acc-10.***.com”中每个预设智能解析域名对应的第二IP地址的流量参数,从这10个子域名中确定“bucket-11.oss-accelerate.***.com”为最终的攻击者。
在S230中,由于每个预设智能解析域名会对应多条解析线路,因此,对于每个预设智能解析域名而言,该预设智能解析域名对应的第二IP地址有多个。并且,对于每个预设智能解析域名而言,该预设智能解析域名对应的第二IP地址的个数与该预设智能解析域名的解析线路条数相同。
为了能够准确地找出攻击者,对于每个预设智能解析域名而言,该预设智能解析域名的每条解析线路对应的第二IP地址均不相同。
并且,每个预设智能解析域名对应的IP地址不同。也就是说,每个预设智能解析域名的每条解析线路对应的IP地址均不相同。
下面介绍S240的具体实现方式。在一些实施例中,S240包括:
S2401,在解析到目标预设智能解析域名上的目标子域名的个数为1的情况下,将目标子域名确定为攻击者。目标预设智能解析域名为流量参数满足预设条件的第二IP地址对应的预设智能解析域名。
S2402,在解析到目标预设智能解析域名上的目标子域名的个数为多个的情况下,发送第二预设解析策略至DNS服务器,第二预设解析策略用于指示DNS服务器将多个目标子域名重新解析到各自关联的预设智能解析域名,且至少两个目标子域名关联的预设智能解析域名不同。
S2403,基于对应关系,确定每个目标子域名关联的预设智能解析域名对应的第三IP地址。
S2404,根据每个第三IP地址的流量参数,更新目标预设智能解析域名,然后返回S2402。
在S2401中,若某个第二IP地址的流量参数满足预设条件,则说明攻击者的攻击流量跟随到该第二IP地址上,因此可以判定攻击者在解析到该IP地址对应的预设智能解析域名上的至少一个子域名中。
需要说明的是,由于预设智能解析域名是多线路解析,因此预设智能解析域名对应的第二IP地址为多个。因此,由于攻击者的攻击,可能会造成攻击者所解析到的预设智能解析域名对应的至少一个第二IP地址的流量参数满足预设条件。
若在多个子域名中,解析到目标预设智能解析域名上的目标子域名的个数为1,则可以确定该子域名即为攻击者。
参见S220中的叙述,在第一预设解析策略中,可以为每个子域名分配不同的预设智能解析域名,也可以将多个子域名分成多组,且一组中的每个子域名对应的预设智能解析域名相同。其中,每组子域名中子域名的个数大于等于1。因此,解析到目标预设智能解析域名上的可能为一组子域名。
假设预设智能解析域名的个数只有5个,则在第一预设解析策略中可以将“*.oss-accelerate.***.com”上活跃的100个bucket对应的子域名分为5组。例如,将“bucket-1.oss-accelerate.***.com~bucket-20.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-1.***.com”,将“bucket-21.oss-accelerate.***.com~bucket-40.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-2.***.com”,……,将“bucket-81.oss-accelerate.***.com~bucket-100.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-5.***.com”。
若“oss-acc-1.***.com”对应的第二IP地址的流量参数满足预设条件,则“oss-acc-1.***.com”为目标预设智能解析域名。由于解析到“oss-acc-1.***.com”的子域名有20个,因此需要利用第二预设解析策略对这20个子域名进行重新解析。
在S2402中,为了确定攻击者,需要发送第二预设解析策略至DNS服务器,第二预设解析策略用于指示DNS服务器将多个目标子域名重新解析到各自关联的预设智能解析域名,且至少两个目标子域名关联的预设智能解析域名不同。
需要说明的是,第一预设解析策略中使用的预设解析智能域名可以与第二预设解析策略中使用的预设智能解析域名相同。
需要说明的是,第二预设解析策略可以包括将每个目标子域名解析到不同的预设智能解析域名上。若目标子域名的个数大于预设智能解析域名的个数,则需要对目标子域名进行再次分组。
例如,第二预设解析策略可以将“bucket-1.oss-accelerate.***.com~bucket-4.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-1.***.com”,将“bucket-5.oss-accelerate.***.com~bucket-8.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-2.***.com”,……,将“bucket-17.oss-accelerate.***.com~bucket-20.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-5.***.com”。
其中,S2403与S230的具体实现方式类似,在此不再赘述。
在S2404中,根据每个第三IP地址的流量参数,则会重新从每个目标子域名关联的预设智能解析域名中确定新的目标预设智能解析域名,直至从解析到第一IP地址上的多个子域名中找出攻击者。
在上述示例中,若“bucket-11.oss-accelerate.***.com”为攻击者,则将“oss-acc-3.***.com”更新为新的目标预设智能解析域名,由于解析到“oss-acc-3.***.com”上的子域名包括“bucket-9.oss-accelerate.***.com~bucket-12.oss-accelerate.***.com”,因此需要返回S2402,重新发送新的第二预设解析策略至DNS服务器。
作为一个示例,新的第二预设解析策略可以将“bucket-9.oss-accelerate.***.com~bucket”进行CNAME解析,解析到“oss-acc-1.***.com”,将“bucket-10.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-2.***.com”,将“bucket-11.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-3.***.com”,将“bucket-12.oss-accelerate.***.com”进行CNAME解析,解析到“oss-acc-4.***.com”。
由于新的第二预设解析策略中每个子域名关联的预设智能解析域名不同,因此可以从中确定攻击者。若“bucket-11.oss-accelerate.***.com”为攻击者,则“oss-acc-3.***.com”对应的第二IP地址的流量参数会满足预设条件。
在本发明的一些实施例中,在S210之前,本发明实施例提供的攻击者确定方法还包括:
基于获取的预设IP地址集合中每个IP地址的流量参数,确定预设IP地址集合中被攻击的第一网际互连协议IP地址。
作为一个示例,预设IP地址集合可以包括对象存储系统中每个服务器的IP。
通过获取预设IP地址集合中每个IP地址的流量参数,可以将流量参数满足预设条件的IP地址确定为第一IP地址。
对于如何根据IP地址的流量参数确定该IP地址是否被攻击,在此不再赘述。
在本发明的一些实施例中,在S240之后,本发明实施例提供的攻击者确定方法还包括:
发送第三预设解析策略至DNS服务器,第三预设解析策略用于指示DNS服务器将攻击者解析至预设IP地址。
在本发明的实施例中,当确定攻击者之后,为了避免攻击者继续攻击第一IP地址,则可以发送第三预设解析策略至DNS服务器。DNS服务器接收到第三预设解析策略之后,将攻击者解析到预设IP地址,从而实现避免攻击者影响其他IP地址的工作。
图3示出本发明实施例提供的攻击者确定装置300的结构示意图。如图3所示,该装置包括:
域名获取模块310,用于获取解析到被攻击的第一网际互连协议IP地址上的多个子域名。
第一发送模块320,用于发送第一预设解析策略至域名系统协议DNS服务器,第一预设解析策略用于指示DNS服务器将多个子域名解析到各自关联的预设智能解析域名,且至少两个子域名关联的预设智能解析域名不同。
第一确定模块330,用于基于预先保存的预设智能解析域名和IP地址的对应关系,确定每个子域名关联的预设智能解析域名对应的第二IP地址。
第二确定模块340,用于根据每个第二IP地址的流量参数,从多个子域名中确定攻击者。
根据本发明实施例,按照第一预设解析策略将解析到被攻击的第一IP地址上的多个子域名解析至各自关联的预设智能解析域名上,而不是对每个子域名分线路解析到具体的IP地址上,在域名智能解析的场景下,可以大大减少寻找攻击者的成本和时间,提高了从这多个子域名中找出攻击者的效率。
在本发明的一些实施例中,域名获取模块310,用于:
获取解析到被攻击的第一网际互连协议IP地址上的每个泛域名;
对于每个泛域名,将解析到泛域名上的每个子域名作为解析到被攻击的第一网际互连协议IP地址上的子域名。
在本发明的一些实施例中,第二确定模块340,包括:
在解析到目标预设智能解析域名上的目标子域名的个数为1的情况下,将目标子域名确定为攻击者;目标预设智能解析域名为流量参数满足预设条件的第二IP地址对应的预设智能解析域名;
在解析到目标预设智能解析域名上的目标子域名的个数为多个的情况下,发送第二预设解析策略至DNS服务器,第二预设解析策略用于指示DNS服务器将多个目标子域名重新解析到各自关联的预设智能解析域名,且至少两个目标子域名关联的预设智能解析域名不同;
基于对应关系,确定每个目标子域名关联的预设智能解析域名对应的第三IP地址;
根据每个第三IP地址的流量参数,更新目标预设智能解析域名,执行在解析到目标预设智能解析域名上的目标子域名的个数为多个的情况下,发送第二预设解析策略至DNS服务器。
在本发明的一些实施例中,攻击者确定装置300还包括:
第二发送模块,用于发送第三预设解析策略至DNS服务器,第三预设解析策略用于指示DNS服务器将攻击者解析至预设IP地址。
在本发明的一些实施例中,每个预设智能解析域名对应的IP地址不同。
在本发明的一些实施例中,攻击者确定装置300还包括:
第三确定模块,用于基于获取的预设IP地址集合中每个IP地址的流量参数,确定预设IP地址集合中被攻击的第一网际互连协议IP地址。
结合图2和图3描述的根据本发明实施例的攻击者确定方法和装置可以由计算设备来实现。图4是示出根据发明实施例的计算设备的硬件结构400示意图。
如图4所示,计算设备400包括输入设备401、输入接口402、中央处理器403、存储器404、输出接口405、以及输出设备406。其中,输入接口402、中央处理器403、存储器404、以及输出接口405通过总线410相互连接,输入设备401和输出设备406分别通过输入接口402和输出接口405与总线410连接,进而与计算设备400的其他组件连接。
具体地,输入设备401接收来自外部的输入信息,并通过输入接口402将输入信息传送到中央处理器403;中央处理器403基于存储器404中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器404中,然后通过输出接口405将输出信息传送到输出设备406;输出设备406将输出信息输出到计算设备400的外部供用户使用。
也就是说,图4所示的计算设备也可以被实现为包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1和图3描述的攻击者确定方法和装置。
本发明实施例还提供一种计算机存储介质,该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现本发明实施例提供的攻击者确定方法。
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (12)
1.一种攻击者确定方法,其中,所述方法包括:
获取解析到被攻击的第一网际互连协议IP地址上的多个子域名;
发送第一预设解析策略至域名系统协议DNS服务器,所述第一预设解析策略用于指示所述DNS服务器将所述多个子域名解析到各自关联的预设智能解析域名,且至少两个所述子域名关联的预设智能解析域名不同;
基于预先保存的预设智能解析域名和IP地址的对应关系,确定每个所述子域名关联的预设智能解析域名对应的第二IP地址;
根据每个所述第二IP地址的流量参数,从所述多个子域名中确定攻击者;其中,在解析到目标预设智能解析域名上的目标子域名的个数为1的情况下,将所述目标子域名确定为所述攻击者;所述目标预设智能解析域名为流量参数满足预设条件的第二IP地址对应的预设智能解析域名;在解析到所述目标预设智能解析域名上的目标子域名的个数为多个的情况下,发送第二预设解析策略至所述DNS服务器,所述第二预设解析策略用于指示所述DNS服务器将多个所述目标子域名重新解析到各自关联的预设智能解析域名,且至少两个所述目标子域名关联的预设智能解析域名不同;
基于所述对应关系,确定每个所述目标子域名关联的预设智能解析域名对应的第三IP地址;
根据每个所述第三IP地址的流量参数,更新目标预设智能解析域名,执行所述在解析到所述目标预设智能解析域名上的目标子域名的个数为多个的情况下,发送第二预设解析策略至所述DNS服务器。
2.根据权利要求1所述的方法,其中,所述获取解析到被攻击的第一网际互连协议IP地址上的多个子域名,包括:
获取解析到所述被攻击的第一网际互连协议IP地址上的每个泛域名;
对于每个所述泛域名,将解析到所述泛域名上的每个子域名作为解析到所述被攻击的第一网际互连协议IP地址上的子域名。
3.根据权利要求1所述的方法,其中,所述根据每个所述第二IP地址的流量参数,从所述多个子域名中确定攻击者之后,所述方法还包括:
发送第三预设解析策略至DNS服务器,所述第三预设解析策略用于指示所述DNS服务器将所述攻击者解析至预设IP地址。
4.根据权利要求1所述的方法,其中,每个所述预设智能解析域名对应的IP地址不同。
5.根据权利要求1所述的方法,其中,在所述获取解析到被攻击的第一网际互连协议IP地址上的多个子域名之前,所述方法还包括:
基于获取的预设IP地址集合中每个IP地址的流量参数,确定所述预设IP地址集合中被攻击的第一网际互连协议IP地址。
6.一种攻击者确定装置,其中,所述装置包括:
域名获取模块,用于获取解析到被攻击的第一网际互连协议IP地址上的多个子域名;
第一发送模块,用于发送第一预设解析策略至域名系统协议DNS服务器,所述第一预设解析策略用于指示所述DNS服务器将所述多个子域名解析到各自关联的预设智能解析域名,且至少两个所述子域名关联的预设智能解析域名不同;
第一确定模块,用于基于预先保存的预设智能解析域名和IP地址的对应关系,确定每个所述子域名关联的预设智能解析域名对应的第二IP地址;
第二确定模块,用于根据每个所述第二IP地址的流量参数,从所述多个子域名中确定攻击者;其中,所述第二确定模块具体用于,在解析到目标预设智能解析域名上的目标子域名的个数为1的情况下,将所述目标子域名确定为所述攻击者;所述目标预设智能解析域名为流量参数满足预设条件的第二IP地址对应的预设智能解析域名;在解析到所述目标预设智能解析域名上的目标子域名的个数为多个的情况下,发送第二预设解析策略至所述DNS服务器,所述第二预设解析策略用于指示所述DNS服务器将多个所述目标子域名重新解析到各自关联的预设智能解析域名,且至少两个所述目标子域名关联的预设智能解析域名不同;基于所述对应关系,确定每个所述目标子域名关联的预设智能解析域名对应的第三IP地址;根据每个所述第三IP地址的流量参数,更新目标预设智能解析域名,执行所述在解析到所述目标预设智能解析域名上的目标子域名的个数为多个的情况下,发送第二预设解析策略至所述DNS服务器。
7.根据权利要求6所述的装置,其中,所述域名获取模块,用于:
获取解析到所述被攻击的第一网际互连协议IP地址上的每个泛域名;
对于每个所述泛域名,将解析到所述泛域名上的每个子域名作为解析到所述被攻击的第一网际互连协议IP地址上的子域名。
8.根据权利要求6所述的装置,其中,所述装置还包括:
第二发送模块,用于发送第三预设解析策略至DNS服务器,所述第三预设解析策略用于指示所述DNS服务器将所述攻击者解析至预设IP地址。
9.根据权利要求6所述的装置,其中,每个所述预设智能解析域名对应的IP地址不同。
10.根据权利要求6所述的装置,其中,所述装置还包括:
第三确定模块,用于基于获取的预设IP地址集合中每个IP地址的流量参数,确定所述预设IP地址集合中被攻击的第一网际互连协议IP地址。
11.一种计算设备,其中,所述计算设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-5任意一项所述的攻击者确定方法。
12.一种计算机存储介质,其中,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-5任意一项所述的攻击者确定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010266070.7A CN113301001B (zh) | 2020-04-07 | 2020-04-07 | 攻击者确定方法、装置、计算设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010266070.7A CN113301001B (zh) | 2020-04-07 | 2020-04-07 | 攻击者确定方法、装置、计算设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113301001A CN113301001A (zh) | 2021-08-24 |
| CN113301001B true CN113301001B (zh) | 2023-05-23 |
Family
ID=77317919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010266070.7A Active CN113301001B (zh) | 2020-04-07 | 2020-04-07 | 攻击者确定方法、装置、计算设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113301001B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553826B (zh) * | 2022-01-11 | 2023-10-17 | 阿里巴巴(中国)有限公司 | 域名管理方法、装置、电子设备、介质及程序产品 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015078388A1 (zh) * | 2013-11-29 | 2015-06-04 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
| CN106470251A (zh) * | 2015-08-19 | 2017-03-01 | 互联网域名系统北京市工程研究中心有限公司 | 域名解析方法及虚拟dns权威服务器 |
| CN106657432A (zh) * | 2016-11-17 | 2017-05-10 | 中国移动通信集团江苏有限公司 | 域名解析方法及装置 |
| CN107528862A (zh) * | 2017-10-23 | 2017-12-29 | 北京京东金融科技控股有限公司 | 域名解析的方法及装置 |
| CN108206814A (zh) * | 2016-12-20 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
| CN108574742A (zh) * | 2017-03-10 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 域名信息收集方法及域名信息收集装置 |
| CN109561101A (zh) * | 2018-12-25 | 2019-04-02 | 上海点融信息科技有限责任公司 | 针对拒绝服务攻击的处理方法和装置 |
| CN110324295A (zh) * | 2018-03-30 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 一种域名系统泛洪攻击的防御方法和装置 |
| CN110855633A (zh) * | 2019-10-24 | 2020-02-28 | 华为终端有限公司 | 分布式拒绝服务ddos攻击的防护方法、装置及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8613089B1 (en) * | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
| US10185761B2 (en) * | 2015-08-07 | 2019-01-22 | Cisco Technology, Inc. | Domain classification based on domain name system (DNS) traffic |
-
2020
- 2020-04-07 CN CN202010266070.7A patent/CN113301001B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015078388A1 (zh) * | 2013-11-29 | 2015-06-04 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法及装置 |
| CN106470251A (zh) * | 2015-08-19 | 2017-03-01 | 互联网域名系统北京市工程研究中心有限公司 | 域名解析方法及虚拟dns权威服务器 |
| CN106657432A (zh) * | 2016-11-17 | 2017-05-10 | 中国移动通信集团江苏有限公司 | 域名解析方法及装置 |
| CN108206814A (zh) * | 2016-12-20 | 2018-06-26 | 腾讯科技(深圳)有限公司 | 一种防御dns攻击的方法、装置及系统 |
| CN108574742A (zh) * | 2017-03-10 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 域名信息收集方法及域名信息收集装置 |
| CN107528862A (zh) * | 2017-10-23 | 2017-12-29 | 北京京东金融科技控股有限公司 | 域名解析的方法及装置 |
| CN110324295A (zh) * | 2018-03-30 | 2019-10-11 | 阿里巴巴集团控股有限公司 | 一种域名系统泛洪攻击的防御方法和装置 |
| CN109561101A (zh) * | 2018-12-25 | 2019-04-02 | 上海点融信息科技有限责任公司 | 针对拒绝服务攻击的处理方法和装置 |
| CN110855633A (zh) * | 2019-10-24 | 2020-02-28 | 华为终端有限公司 | 分布式拒绝服务ddos攻击的防护方法、装置及系统 |
Non-Patent Citations (3)
| Title |
|---|
| S. M. Zia Ur Rashid ; MD. Imtiaz Kamrul ; Asraful Islam.Understanding the Security Threats of Esoteric Subdomain Takeover and Prevention Scheme.《IEEE》.2019, * |
| 内容分发网络抗DDoS攻击性能研究;熊宇;《中国优秀硕士学位论文全文数据库信息科技辑》;20130331;全文 * |
| 基于云的域名解析服务模型;秦臻等;《通信学报》;20130225(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113301001A (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8447846B2 (en) | Using unique local unicast addresses in a global domain name server by providing a centralized registry | |
| US6249813B1 (en) | Automated method of and apparatus for internet address management | |
| US6526450B1 (en) | Method and apparatus for domain name service request resolution | |
| Fiebig et al. | Something from nothing (There): collecting global IPv6 datasets from DNS | |
| CN107528862B (zh) | 域名解析的方法及装置 | |
| US20040039844A1 (en) | Automatically identifying subnetworks in a network | |
| US8819282B2 (en) | Using unique local unicast addresses in a global domain name server | |
| EP0889418A2 (en) | Abstract URL resolution via relocation service | |
| CN1759568A (zh) | 路由器中的基于接收到的分组的样式来生成路由的配置 | |
| CN104378452A (zh) | 一种用于域名解析的方法、装置及系统 | |
| CN107342913B (zh) | 一种cdn节点的探测方法和装置 | |
| CN107786678B (zh) | 域名解析方法、装置及系统 | |
| Berger et al. | Internet nameserver IPv4 and IPv6 address relationships | |
| CN112445828B (zh) | 工业互联网标识解析递归查询路由方法、装置及计算机可读存储介质 | |
| CN113301001B (zh) | 攻击者确定方法、装置、计算设备和介质 | |
| CN112235436A (zh) | 网络地址转换规则匹配方法及设备 | |
| CN110798545B (zh) | 一种基于Web的域名数据获取方法 | |
| CN114430382A (zh) | 基于被动dns流量的权威域名服务器冗余度缩减检测方法及装置 | |
| KR100342107B1 (ko) | 인터넷 주소 부가정보 서비스 제공을 위한 기관 및 지역별 인터넷 주소 묶음결정 방법, 인터넷 주소 묶음별 사용지역 정보 획득 방법 | |
| CN108768853B (zh) | 基于域名路由器的分布式混合域名系统及方法 | |
| JP2018174469A (ja) | Dnsサーバ、dnsサーバにおけるブラックリスト生成方法、dnsサーバに用いるブラックリスト生成プログラム | |
| CN115225613A (zh) | 一种IPv6地址信息确定方法、装置、设备及介质 | |
| CN114363287B (zh) | 域名递归查询方法、装置、递归服务器以及dns系统 | |
| CN111225072B (zh) | 一种基于区块链的动态寻址方法及系统 | |
| CN114520784A (zh) | 一种动态内容加速访问方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40057488 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |