CN113556342A

CN113556342A - 一种dns缓存服务器前缀变化攻击防护方法及装置

Info

Publication number: CN113556342A
Application number: CN202110827015.5A
Authority: CN
Inventors: 白锦龙; 李海亮; 张超
Original assignee: Jiang Nan Information Security Beijing Technology Co ltd
Current assignee: Jiang Nan Information Security Beijing Technology Co ltd
Priority date: 2021-07-21
Filing date: 2021-07-21
Publication date: 2021-10-26

Abstract

一种DNS缓存服务器前缀变化攻击防护方法及装置，通过在DNS缓存服务器的对外接口前端进行DNS监测和阻断，采用旁路方式监听DNS缓存服务器和权威服务器之间的通信；比较进入DNS缓存服务器的客户端流量和权威服务器发出的递归请求流量，判断当前是否存在域名前缀变化攻击，当判定存在域名前缀变换攻击时，启动对域名前缀变换攻击内容的缓存学习和源IP分析；对源IP发起的攻击内容对应的DNS请求停止转发，直接响应攻击内容对应的DNS请求。本发明部署简单灵活，无需改动现有DNS服务器的配置和对外接口，在不需要很高的计算能力和内存需求的情况下，对目前最常见的域名前缀变化攻击进行有效的防护。

Description

一种DNS缓存服务器前缀变化攻击防护方法及装置

技术领域

本发明涉及网络安全技术领域，具体涉及一种DNS缓存服务器前缀变化攻击防护方法及装置。

背景技术

目前，DNS缓存不命中攻击已经成为DNS服务器攻击的主要手段，其方法是，不断向DNS服务器发送大量的随机域名，导致DNS服务器的cache(高速缓冲存储器)不能命中，触发向上层DNS服务器的递归查询。这样当某个客户端发起的一个简单的DNS查询会触发DNS服务器的一连串动作，消耗数倍甚至数十倍于cache命中查询的处理能力和带宽资源。数个客户端、数十兆带宽的攻击者就可以发起一次导致整个省内DNS服务器无法正常工作的攻击。

现阶段，DNS缓存不命中攻击又分为两类：

第一、整个域名的变换攻击。譬如不断发送“Sadf.2ac3de.cc”，“Dfafa.3dfaf.org”，“5uoda.rewc.com”这些毫无意义的字母组合，或者基于某个字典发送一些看似有意义但是可能并不存在的域名，如：“www.hack.com”，“www.hackorg.com”，“www.orghack.com”。这种方式会导致整个DNS缓存服务器的拒绝服务。

第二、不断变化域名前缀的攻击。比如：“Enqw.abcd.com”，“Ww2w.abcd.com”，“4wwe.abcd.com”。这种情况，当流量达到一定值时会导致abcd.com域的DNS解析的瘫痪，达到更大流量时也可能导致整个DNS缓存服务器停止服务。

在当前的实际网络中，DNS攻击一般都是商业利益驱动，比如同业恶意竞争导致，攻击者使用一定的伪造流量即导致abcd.com对应的权威服务器停止响应，所以第二种方式更为常见。

现有技术中，存在的基于随机字符检查方案，可以大致的确定一个域名前缀是否随机生成的，尤其对于某个攻击者对某个域名的前缀采用随机数算法进行攻击时，可以比较有效的判断出来。该方法通过进行熵值运算等，如果确认某个IP发送的域名请求是随机生成，则对该IP进行阻断。

但是该方法很容易被攻击者破解，通过一个简单的预定义字典等方式，可以使得随机发送的字符串显得不那么随机，检测装置在不知道攻击者的预定义字典和随机算法的情况下，也基本无法检测出一个域名有多大概率是攻击者生成的，从而导致该防护方法失效。

现有技术中，还存在一种针对不断变化前缀域名攻击的防护方法及装置，采用“每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据，并统计当前时间段内递归查询包中的目的IP查询总次数”的方法，通过“比较判断当前时间段内的目的IP查询总次数是否大于设定的目的IP查询总次数阈值，同时比较判断变化幅度值是否大于设定的变化幅度阈值”来判断某个IP是否正在发起DNS前缀变化攻击。如果判断为存在攻击，则“根据防护策略发送指令到DNS服务器，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时清除DNS服务器的当前递归查询队列中的数据”。

但是该方法需要有比较准确的预设置阈值，否则会有较大的误报可能性。同时，基于IP的统计方法需要较高的实时处理能力，所以该方法采用每隔一个时间段采集一次的方法，这样检测可能会有一定的延迟。另外，向DNS服务器下发策略需要DNS服务器支持这样的配置接口，并在部署上和外网隔离。给该方案的部署带来一定困难。

发明内容

为此，本发明提供一种DNS缓存服务器前缀变化攻击防护方法及装置，在不需要很高的计算能力和内存需求的情况下，对目前最常见的域名前缀变化攻击进行有效的防护。

为了实现上述目的，本发明提供如下技术方案：一种DNS缓存服务器前缀变化攻击防护方法，包括：

在DNS缓存服务器的对外接口前端进行DNS监测和阻断，采用旁路方式监听所述DNS缓存服务器和权威服务器之间的通信；

比较进入所述DNS缓存服务器的客户端流量和权威服务器发出的递归请求流量，判断当前是否存在域名前缀变化攻击，当判定存在域名前缀变换攻击时，启动对域名前缀变换攻击内容的缓存学习和源IP分析；

对所述源IP发起的攻击内容对应的DNS请求停止转发，直接响应所述攻击内容对应的DNS请求。

作为DNS缓存服务器前缀变化攻击防护方法的优选方案，以在线部署的方式进行DNS缓存服务器对外接口前端的DNS监测和阻断；

采用旁路方式监听所述DNS缓存服务器进行上级请求的出口点。

作为DNS缓存服务器前缀变化攻击防护方法的优选方案，所述DNS监测和阻断，以及旁路方式监听共同使用一个域名系统的树形结构进行判断。

作为DNS缓存服务器前缀变化攻击防护方法的优选方案，DNS监测和阻断过程，根据收到的DNS请求更新树形结构的内容及访问量信息；

采用旁路方式监听所述DNS缓存服务器和权威服务器之间的通信过程，根据DNS缓存服务器发出的请求统计缓存未命中计数。

作为DNS缓存服务器前缀变化攻击防护方法的优选方案，启动对域名前缀变换攻击内容的缓存学习过程，对得到肯定应答的DNS请求进行记录；

启动对域名前缀变换攻击内容的源IP分析过程，对不同IP段的行为进行加权分组。

作为DNS缓存服务器前缀变化攻击防护方法的优选方案，判断进行DNS请求的源IP是否落入正常IP段：

a)如果是，则放行DNS请求，允许DNS缓存服务器正常解析该请求，并继续进行缓存学习；

b)如果不是，根据缓存学习的结果直接返回DNS响应，不能命中缓存则给出否定应答，并统计为缓存未命中。

作为DNS缓存服务器前缀变化攻击防护方法的优选方案，当进行DNS请求的域名流量或缓存命中率下降到预设范围时，结束攻击防护并清除DNS缓存学习和源IP分析结果。

本发明还提供一种DNS缓存服务器前缀变化攻击防护装置，包括：

入口防护模块，用于在DNS缓存服务器的对外接口前端进行DNS监测和阻断；

出口防护模块，用于采用旁路方式监听所述DNS缓存服务器和权威服务器之间的通信；

攻击判断模块，用于比较进入所述DNS缓存服务器的客户端流量和权威服务器发出的递归请求流量，判断当前是否存在域名前缀变化攻击；

学习分析模块，用于当判定存在域名前缀变换攻击时，启动对域名前缀变换攻击内容的缓存学习和源IP分析；

请求响应模块，用于对所述源IP发起的攻击内容对应的DNS请求停止转发，直接响应所述攻击内容对应的DNS请求。

作为DNS缓存服务器前缀变化攻击防护装置的优选方案，所述入口防护模块以在线部署的方式进行DNS缓存服务器对外接口前端的DNS监测和阻断。

作为DNS缓存服务器前缀变化攻击防护装置的优选方案，所述出口防护模块采用旁路方式监听所述DNS缓存服务器进行上级请求的出口点；

所述DNS监测和阻断，以及旁路方式监听共同使用一个域名系统的树形结构进行判断。

作为DNS缓存服务器前缀变化攻击防护装置的优选方案，所述学习分析模块中，启动对域名前缀变换攻击内容的缓存学习过程，对得到肯定应答的DNS请求进行记录；

作为DNS缓存服务器前缀变化攻击防护装置的优选方案，所述请求响应模块中，判断进行DNS请求的源IP是否落入正常IP段：

作为DNS缓存服务器前缀变化攻击防护装置的优选方案，还包括防护结束模块，用于当进行DNS请求的域名流量或缓存命中率下降到预设范围时，结束攻击防护并清除DNS缓存学习和源IP分析结果。

本发明具有如下优点：通过在DNS缓存服务器的对外接口前端进行DNS监测和阻断，采用旁路方式监听DNS缓存服务器和权威服务器之间的通信；比较进入DNS缓存服务器的客户端流量和权威服务器发出的递归请求流量，判断当前是否存在域名前缀变化攻击，当判定存在域名前缀变换攻击时，启动对域名前缀变换攻击内容的缓存学习和源IP分析；对源IP发起的攻击内容对应的DNS请求停止转发，直接响应攻击内容对应的DNS请求。本发明部署简单灵活，无需改动现有DNS服务器的配置和对外接口；平时不需要启动完整的缓存学习功能，整个防护方案可以达到很高的性能；可以保护数台DNS缓存服务器组成的集群；防护效果好，当出现前缀变换攻击时，不会影响无关域名的DNS请求和响应，仅针对存在攻击的二层域名请求进行防护，降低出现攻击时DNS服务器的负担，且基本不影响该域名的正常请求处理。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。

本说明书所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。

图1为本发明实施例1提供的DNS缓存服务器前缀变化攻击防护方法流程示意图；

图2为本发明实施例2提供的DNS缓存服务器前缀变化攻击防护装置示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

参见图1，提供一种DNS缓存服务器前缀变化攻击防护方法，包括以下步骤：

S1、在DNS缓存服务器的对外接口前端进行DNS监测和阻断，采用旁路方式监听所述DNS缓存服务器和权威服务器之间的通信；

S2、比较进入所述DNS缓存服务器的客户端流量和权威服务器发出的递归请求流量，判断当前是否存在域名前缀变化攻击，当判定存在域名前缀变换攻击时，启动对域名前缀变换攻击内容的缓存学习和源IP分析；

S3、对所述源IP发起的攻击内容对应的DNS请求停止转发，直接响应所述攻击内容对应的DNS请求。

本实施例中，在DNS缓存服务器的对外接口前进行一个在线的DNS监测和阻断，同时，以旁路方式监听DNS缓存服务器和权威服务器之间的通信。通过对进入DNS缓存服务器的客户端流量和服务器发出的递归请求流量的对比来判断出当前是否存在前缀变化攻击。如果存在针对诸如abcd.com的前缀变换攻击，开始启动针对该域名的缓存学习和源IP分析，短时间内即可得到源IP端是否是攻击者，对这些源IP发起的该域名的DNS请求不再转发到真正的DNS缓存服务器上，而是直接进行响应：能命中缓存的进行肯定应答，不能命中的回复否定应答，直到后续的源IP分析认为此次攻击已经结束。

具体的，以在线部署的方式进行DNS缓存服务器对外接口前端的DNS监测和阻断；从而在发生攻击时能够完成防护功能。并且采用旁路方式监听所述DNS缓存服务器进行上级请求的出口点，旁路方式监听处理的是DNS缓存服务器发出的流量，不需要进行拦截。

本实施例中，所述DNS监测和阻断，以及旁路方式监听共同使用一个域名系统的树形结构进行判断。DNS监测和阻断过程，根据收到的DNS请求更新树形结构的内容及访问量信息；采用旁路方式监听所述DNS缓存服务器和权威服务器之间的通信过程，根据DNS缓存服务器发出的请求统计缓存未命中计数。

具体的，设被保护的DNS缓存服务器正常情况下的最大处理能力(QPS)Cn。被保护的DNS缓存服务器全部不命中情况下的最大处理能力Ca。正常情况下，DNS监测和阻断过程根据收到的DNS请求更新域名系统树形结构的内容及其访问量信息。旁路方式监听过程，根据DNS缓存服务器发出的请求统计缓存未命中计数。譬如在某DNS缓存服务器统计出的域名系统树形结构信息如下：

此时流量大约达到了整个系统处理能力的70％，已经余量不多，但是还能够正常运行。进一步分析可以发现，针对.abcd.com的缓存未命中占.abcd.com总请求比例和系统所有缓存未命中比例都超过阈值，从而可以判定针对.abcd.com域名存在前缀变换攻击。此时启动对.abcd.com域名的缓存学习和源IP分析。

本实施例中，启动对域名前缀变换攻击内容的缓存学习过程，对得到肯定应答的DNS请求进行记录；

具体的，缓存学习过程会记录所有能够得到肯定应答的DNS请求。

比如学习到如下的DNS记录：

IP学习功能是对.abcd.com下不同IP段的行为进行加权分组，比如得到了如下结果(以请求数目排序)：

IP段	请求数目	未命中数目(比例)
			10.100.0.0/16	1020	40(3.9％)
10.101.0.0/16	1200	24(2.0％)
			10.200.0.0/16	20	19(95％)
10.201.0.0/16	25	23(92％)
			…

根据统计结果可以得到：前两个地址段工作正常，后续地址段请求异常，有攻击嫌疑。根据这个结果，开始启动针对.abcd.com域的防护功能。

本实施例中，判断进行DNS请求的源IP是否落入正常IP段：

具体的，在防护阶段，使用源IP分析和DNS缓存对每个收到的DNS请求进行如下处理：

(1)请求域名是否是.abcd.com的子域名，如果不是，放行；

(2)请求的IP是否是落在正常的IP段(上面的例子中，是前两段)。

如果是，则放行，让DNS缓存服务器正常解析该请求，并继续进行缓存学习。如果不是，则根据缓存学习的结果直接返回DNS响应，不能命中缓存的也直接给出否定应答，并统计为缓存未命中

本实施例中，当进行DNS请求的域名流量或缓存命中率下降到预设范围时，结束攻击防护并清除DNS缓存学习和源IP分析结果。具体的，当该域名.abcd.com的流量或缓存命中率下降到合理范围时，认为攻击已经停止，结束对.abcd.com的防护，并清除DNS缓存学习和源IP分析结果，回到正常监控阶段。

综上所述，本发明通过在DNS缓存服务器的对外接口前端进行DNS监测和阻断，采用旁路方式监听DNS缓存服务器和权威服务器之间的通信；比较进入DNS缓存服务器的客户端流量和权威服务器发出的递归请求流量，判断当前是否存在域名前缀变化攻击，当判定存在域名前缀变换攻击时，启动对域名前缀变换攻击内容的缓存学习和源IP分析；对源IP发起的攻击内容对应的DNS请求停止转发，直接响应攻击内容对应的DNS请求。本发明部署简单灵活，无需改动现有DNS服务器的配置和对外接口；平时不需要启动完整的缓存学习功能，整个防护方案可以达到很高的性能；可以保护数台DNS缓存服务器组成的集群；防护效果好，当出现前缀变换攻击时，不会影响无关域名的DNS请求和响应，仅针对存在攻击的二层域名请求进行防护，降低出现攻击时DNS服务器的负担，且基本不影响该域名的正常请求处理。

实施例2

本发明实施例2还提供一种DNS缓存服务器前缀变化攻击防护装置，包括：

入口防护模块1，用于在DNS缓存服务器的对外接口前端进行DNS监测和阻断；

出口防护模块2，用于采用旁路方式监听所述DNS缓存服务器和权威服务器之间的通信；

攻击判断模块3，用于比较进入所述DNS缓存服务器的客户端流量和权威服务器发出的递归请求流量，判断当前是否存在域名前缀变化攻击；

学习分析模块4，用于当判定存在域名前缀变换攻击时，启动对域名前缀变换攻击内容的缓存学习和源IP分析；

请求响应模块5，用于对所述源IP发起的攻击内容对应的DNS请求停止转发，直接响应所述攻击内容对应的DNS请求。

本实施例中，所述入口防护模块1以在线部署的方式进行DNS缓存服务器对外接口前端的DNS监测和阻断。

本实施例中，所述出口防护模块2采用旁路方式监听所述DNS缓存服务器进行上级请求的出口点；

本实施例中，所述学习分析模块4中，启动对域名前缀变换攻击内容的缓存学习过程，对得到肯定应答的DNS请求进行记录；

本实施例中，所述请求响应模块5中，判断进行DNS请求的源IP是否落入正常IP段：

本实施例中，还包括防护结束模块6，用于当进行DNS请求的域名流量或缓存命中率下降到预设范围时，结束攻击防护并清除DNS缓存学习和源IP分析结果。

需要说明的是，上述设备各模块/单元之间的信息交互、执行过程等内容，由于与本申请实施例1中的方法实施例基于同一构思，其带来的技术效果与本申请方法实施例相同，具体内容可参见本申请前述所示的方法实施例中的叙述，此处不再赘述。

实施例3

本发明实施例3提供一种计算机可读存储介质，所述计算机可读存储介质中存储DNS缓存服务器前缀变化攻击防护方法的程序代码，所述程序代码包括用于执行实施例1或其任意可能实现方式的DNS缓存服务器前缀变化攻击防护方法的指令。

计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(SolidStateDisk、SSD))等。

实施例4

本发明实施例4提供一种电子设备，所述电子设备包括处理器，所述处理器与存储介质耦合，当所述处理器执行存储介质中的指令时，使得所述电子设备执行实施例1或其任意可能实现方式的DNS缓存服务器前缀变化攻击防护方法。

具体的，处理器可以通过硬件来实现也可以通过软件来实现，当通过硬件实现时，该处理器可以是逻辑电路、集成电路等；当通过软件来实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现，该存储器可以集成在处理器中，可以位于所述处理器之外，独立存在。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。

Claims

1.一种DNS缓存服务器前缀变化攻击防护方法，其特征在于，包括：

2.根据权利要求1所述的一种DNS缓存服务器前缀变化攻击防护方法，其特征在于，以在线部署的方式进行DNS缓存服务器对外接口前端的DNS监测和阻断；

3.根据权利要求1所述的一种DNS缓存服务器前缀变化攻击防护方法，其特征在于，所述DNS监测和阻断，以及旁路方式监听共同使用一个域名系统的树形结构进行判断。

4.根据权利要求3所述的一种DNS缓存服务器前缀变化攻击防护方法，其特征在于，DNS监测和阻断过程，根据收到的DNS请求更新树形结构的内容及访问量信息；

5.根据权利要求4所述的一种DNS缓存服务器前缀变化攻击防护方法，其特征在于，启动对域名前缀变换攻击内容的缓存学习过程，对得到肯定应答的DNS请求进行记录；

6.根据权利要求5所述的一种DNS缓存服务器前缀变化攻击防护方法，其特征在于，判断进行DNS请求的源IP是否落入正常IP段：

7.根据权利要求1所述的一种DNS缓存服务器前缀变化攻击防护方法，其特征在于，当进行DNS请求的域名流量或缓存命中率下降到预设范围时，结束攻击防护并清除DNS缓存学习和源IP分析结果。

8.一种DNS缓存服务器前缀变化攻击防护装置，其特征在于，包括：

9.根据权利要求8所述的一种DNS缓存服务器前缀变化攻击防护装置，其特征在于，所述入口防护模块以在线部署的方式进行DNS缓存服务器对外接口前端的DNS监测和阻断；

所述出口防护模块采用旁路方式监听所述DNS缓存服务器进行上级请求的出口点；

10.根据权利要求8所述的一种DNS缓存服务器前缀变化攻击防护装置，其特征在于，所述学习分析模块中，启动对域名前缀变换攻击内容的缓存学习过程，对得到肯定应答的DNS请求进行记录；

启动对域名前缀变换攻击内容的源IP分析过程，对不同IP段的行为进行加权分组；

所述请求响应模块中，判断进行DNS请求的源IP是否落入正常IP段：

b)如果不是，根据缓存学习的结果直接返回DNS响应，不能命中缓存则给出否定应答，并统计为缓存未命中；

还包括防护结束模块，用于当进行DNS请求的域名流量或缓存命中率下降到预设范围时，结束攻击防护并清除DNS缓存学习和源IP分析结果。