CN1510872A - 一种dns和应用代理相结合对抗拒绝服务攻击的方法 - Google Patents
一种dns和应用代理相结合对抗拒绝服务攻击的方法 Download PDFInfo
- Publication number
- CN1510872A CN1510872A CNA021581126A CN02158112A CN1510872A CN 1510872 A CN1510872 A CN 1510872A CN A021581126 A CNA021581126 A CN A021581126A CN 02158112 A CN02158112 A CN 02158112A CN 1510872 A CN1510872 A CN 1510872A
- Authority
- CN
- China
- Prior art keywords
- service attack
- server
- dns
- denial
- aaa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明涉及一种利用DNS解析轮询技术对抗拒绝服务攻击的方法,其中,所述方法包括确定至少一个域名和多个DNS客户分配的步骤、建立多个不同的IDC机房申请托管主机服务的步骤、实现获取互联网IP地址又且安装好代理服务器的步骤以及将所述代理服务器的配置向后台的至少一个应用服务器转发访问请求的步骤。如此方法可以巧妙地分流、旁路诸如syn flood和连接耗尽等拒绝服务攻击且易于扩展和管理,特别适用于中小型企业。
Description
技术领域
本发明涉及一种IPC分类H04L领域的计算机网络安全领域中拒绝服务攻击的方法,尤其是一种利用DNS解析轮询技术对抗拒绝服务攻击的方法。
背景技术
拒绝服务攻击的作用是使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。而分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标。其主要特点是流量巨大,往往以耗尽目标网络有限带宽从而达到目标瘫痪的目的。
对抗拒绝服务攻击和分布式拒绝服务攻击通常有以下方法:
1.屏蔽攻击数据包中的来源地址或目标地址:当发现DoS或DDoS攻击时,通过在防火墙网关上手工或自动屏蔽从攻击数据包分析得到的来源地址或目标地址,从而实现在防火墙网关上将这些数据包过滤的目的。缺陷在于(1)来源地址极其容易伪造;(2)屏蔽目标地址相当于目标主机不再允许外部连接,实际效果仍相当于停止了目标主机的网络服务。
2.负载均衡设备:通过增加负载均衡设备,采用多主机同时分流网络流量的方法。缺陷除了所需资金(负载均衡设备和主机)较高外,如果负载均衡设备前的带宽被占满,拒绝服务攻击的目的仍然能够达到。
3.提高网络设备和主机性能:缺陷同上。
4.操作系统网络层防护:通过采用诸如syncookies、random drop等算法编码,在操作系统网络层提高对抗拒绝服务攻击的防护能力。这种方法的缺陷在于(1)往往要求硬件配置较高;(2)在大流量的DoS攻击下所能起到的作用极其有限。
上述几种方法在一定程度上能减缓拒绝服务攻击对网络服务的影响,但当攻击者通过分布式拒绝服务攻击方式,用巨量的网络攻击数据包来耗尽目标网络的有限带宽,这几种方法基本上都是无能为力的。因此有必要寻找一种更好的对抗以带宽耗尽为攻击手段的分布式拒绝服务攻击的技术途径或方法。
发明内容
本发明所要解决的技术问题是提供一种利用DNS解析轮询技术对抗拒绝服务攻击的方法,该方法以解析轮询和应用代理相结合的技术解决了一个域名拥有多个不同的IP,来自不同客户端的对该域名的每一次IP地址解析都可能不同(也可能相同,视服务端的设置而定)及在网络应用层向用户提供透明的后台服务,用户只能知道代理服务器的IP地址,而无法得到在后台提供真正应用服务的主机地址的问题。为此,本发明的主要技术方案是一种利用DNS解析轮询技术对抗拒绝服务攻击的方法,其中,所述方法包括确定至少一个域名和多个DNS客户分配的步骤、建立多个不同的IDC机房申请托管主机服务的步骤、实现获取互联网IP地址又且安装好代理服务器的步骤以及将所述代理服务器的配置向后台的至少一个应用服务器转发访问请求的步骤。如此方法可以巧妙地分流、旁路诸如syn flood和连接耗尽等拒绝服务攻击且易于扩展和管理,特别适用于中小型企业。
附图说明
图1为实现本发明目的网络拓扑图实例1,
图2为本发明工作流程图。
具体实施方式
结合图1、图2,本发明提供了一种利用DNS解析轮询技术对抗拒绝服务攻击的方法,在所述方法中DNS解析轮询是以一个域名拥有多个不同的IP,来自不同客户端的对该域名的每一次IP地址解析都可能不同(也可能相同,视服务端的设置而定),而在应用代理步骤中是以在网络应用层向用户提供透明的后台服务为前提,用户只能知道代理服务器的IP地址,而无法得到在后台提供真正应用服务的主机地址。本方法的具体实施步骤如下:
1、在多个不同的IDC机房申请托管主机服务,获取互联网IP地址并安装好代理服务器。
2、将代理服务器配置为向后台的应用服务器转发访问请求。
3、在域名服务器上设置如下单域名多地址解析记录(以域名:www.abc.com为例):www.abc.com.IN A AAA.AAA.AAA.AAAwww.abc.com.IN A BBB.BBB.BBB.BBBwww.abc.com.IN A CCC.CCC.CCC.CCC
如图1所示,A、B、C(或更多的)分别位于不同的网络或IDC中心,在这些机器上并不没有运行真正的网络服务,而只是代理服务器。它们的作用是将来自互联网的访问请求代理转发给后台的SVR,并将SVR对网络服务的响应代理回复给客户端。
在采用DNS解析轮询时,对第一个www.abc.com域名解析请求,将返回
AAA.AAA.AAA.AAA这个互联网IP地址。当第二个解析www.abc.com域名的请求时,DNS服务器将返回BBB.BBB.BBB.BBB地址。第三次则是CCC.CCC.CCC.CCC,第四次则重新回到AAA.AAA.AAA.AAA,依此类推。。。。。。
显而易见的,对于来自互联网的访问请求,DNS域名解析轮询能够平均地将请求数量分配到不同的网络地址上,即实现了基本的负载均衡。由于这些网络地址上运行的仅是代理服务器,所以访问请求最终仍将由后台的SVR服务器处理。但后台的SVR服务器对于客户来讲是透明的,不可见的。
现在来看看这种技术如何对抗拒绝服务攻击(以最常见的SYN Flood为例)。
工作步骤如下:
1、假设攻击者Attacker向DNS服务器请求解析www.abc.com时得到AAA.AAA.AAA.AAA这个地址,则其攻击程序将向该IP地址发送大量的SYN攻击包,代理服务器A由于无法抵御过于凶猛的攻击流量而陷于瘫痪(主机瘫痪或网络带宽被占满)。但由于此时TCP连接未建立,代理服务器A与后台SVR服务器之间不会充斥攻击流量。
2、此时其他合法客户端(CIient1/CIient2)也向DNS服务器请求解析www.abc.com域名。结果有两种可能的响应:
a.DNS服务器向其返回代理服务器B或代理服务器C的IP地址,则:
a1.由于B和C未受拒绝服务攻击,仍能提供正常的网络服务访问,故由B或C向后台SVR服务器转发合法客户端的请求
a2.后台应用服务器SVR响应客户端请求,并将响应结果通过代理服务器返回给客户端
b.DNS服务器向其返回代理服务器A的IP地址,则由于A已经不能提供正常访问,客户端将在短暂的连接超时后再次请求解析域名,当返回的IP地址为B或C时,满足a。
图2为本发明的工作流程图。
由上可知,只要继续增加代理服务器的数量,不难保证合法客户端在某一台甚至某几台代理服务器被攻击的同时仍能正常访问网络服务。
本发明主要是结合了DNS域名解析轮询和应用代理服务这两种技术的特点和优点,并将其运用到对抗拒绝服务攻击解决方法领域中。其特征是配置非常灵活,易于扩展和管理,特别适用于中小型企业。
Claims (3)
1.一种利用DNS解析轮询技术对抗拒绝服务攻击的方法,其特征是,所述方法包括如下步骤:确定至少一个域名服务器和多个DNS客户分配的步骤、建立多个不同的IDC机房申请托管主机服务的步骤、实现获取互联网IP地址又且安装好代理服务器的步骤以及将所述代理服务器的配置向后台的至少一个应用服务器转发访问请求的步骤。
2.根据权利要求1所述的利用DNS解析轮询技术对抗拒绝服务攻击的方法,其特征是,在所述的域名服务器上设置单域名多地址解析记录。
3.根据权利要求2所述的利用DNS解析轮询技术对抗拒绝服务攻击的方法,其特征是,所述的单域名多地址解析记录的解析步骤(以域名:www.abc.com为例)是:
www.abc.com.IN A AAA.AAA.AAA.AAAwww.abc.com. IN A BBB.BBB.BBB.BBBwww.abc.com. IN A CCC CCC CCC CCC。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA021581126A CN1510872A (zh) | 2002-12-24 | 2002-12-24 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA021581126A CN1510872A (zh) | 2002-12-24 | 2002-12-24 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1510872A true CN1510872A (zh) | 2004-07-07 |
Family
ID=34236848
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA021581126A Pending CN1510872A (zh) | 2002-12-24 | 2002-12-24 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1510872A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101257502A (zh) * | 2008-01-31 | 2008-09-03 | 陈勇 | 一种保护服务器和网络方法 |
| CN100459611C (zh) * | 2004-08-06 | 2009-02-04 | 华为技术有限公司 | 超文本传输协议服务的安全管理方法 |
| CN101335649B (zh) * | 2008-08-06 | 2011-02-09 | 华为技术有限公司 | 一种管理大规模代理服务器的方法和装置 |
| CN101572700B (zh) * | 2009-02-10 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种HTTP Flood分布式拒绝服务攻击防御方法 |
| CN103501358A (zh) * | 2013-09-18 | 2014-01-08 | 北京蓝汛通信技术有限责任公司 | 一种域名托管管理方法及装置 |
| CN103685315A (zh) * | 2013-12-30 | 2014-03-26 | 曙光云计算技术有限公司 | 一种防御拒绝服务攻击的方法及系统 |
| US9419999B2 (en) | 2008-12-01 | 2016-08-16 | Huawei Digital Technologies (Cheng Du) Do., Ltd. | Method and device for preventing domain name system spoofing |
| CN105939347A (zh) * | 2016-05-05 | 2016-09-14 | 杭州迪普科技有限公司 | 防御域名攻击的方法及装置 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
| CN106941505A (zh) * | 2017-05-16 | 2017-07-11 | 成都迈瑞科科技有限公司 | 一种防御ddos攻击的方法及其系统 |
| CN109905397A (zh) * | 2019-03-12 | 2019-06-18 | 深圳市网心科技有限公司 | 一种建立数据连接的方法及内网服务器 |
| CN111769949A (zh) * | 2020-06-23 | 2020-10-13 | 上海擎感智能科技有限公司 | 双向认证的管理/执行方法/系统、介质、管理/代理端 |
-
2002
- 2002-12-24 CN CNA021581126A patent/CN1510872A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100459611C (zh) * | 2004-08-06 | 2009-02-04 | 华为技术有限公司 | 超文本传输协议服务的安全管理方法 |
| CN101257502B (zh) * | 2008-01-31 | 2013-10-23 | 陈勇 | 一种保护服务器和网络方法 |
| CN101257502A (zh) * | 2008-01-31 | 2008-09-03 | 陈勇 | 一种保护服务器和网络方法 |
| CN101335649B (zh) * | 2008-08-06 | 2011-02-09 | 华为技术有限公司 | 一种管理大规模代理服务器的方法和装置 |
| US9419999B2 (en) | 2008-12-01 | 2016-08-16 | Huawei Digital Technologies (Cheng Du) Do., Ltd. | Method and device for preventing domain name system spoofing |
| CN101572700B (zh) * | 2009-02-10 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种HTTP Flood分布式拒绝服务攻击防御方法 |
| CN103501358B (zh) * | 2013-09-18 | 2016-08-17 | 北京蓝汛通信技术有限责任公司 | 一种域名托管管理方法及装置 |
| CN103501358A (zh) * | 2013-09-18 | 2014-01-08 | 北京蓝汛通信技术有限责任公司 | 一种域名托管管理方法及装置 |
| CN103685315A (zh) * | 2013-12-30 | 2014-03-26 | 曙光云计算技术有限公司 | 一种防御拒绝服务攻击的方法及系统 |
| CN106302313A (zh) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 基于调度系统的DDoS防御方法和DDoS防御系统 |
| CN105939347A (zh) * | 2016-05-05 | 2016-09-14 | 杭州迪普科技有限公司 | 防御域名攻击的方法及装置 |
| CN105939347B (zh) * | 2016-05-05 | 2019-08-06 | 杭州迪普科技股份有限公司 | 防御域名攻击的方法及装置 |
| CN106941505A (zh) * | 2017-05-16 | 2017-07-11 | 成都迈瑞科科技有限公司 | 一种防御ddos攻击的方法及其系统 |
| CN109905397A (zh) * | 2019-03-12 | 2019-06-18 | 深圳市网心科技有限公司 | 一种建立数据连接的方法及内网服务器 |
| CN111769949A (zh) * | 2020-06-23 | 2020-10-13 | 上海擎感智能科技有限公司 | 双向认证的管理/执行方法/系统、介质、管理/代理端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7020783B2 (en) | Method and system for overcoming denial of service attacks | |
| Anagnostopoulos et al. | DNS amplification attack revisited | |
| US7039721B1 (en) | System and method for protecting internet protocol addresses | |
| CN1199418C (zh) | 安全会话定序的代理系统及其方法 | |
| US9003526B2 (en) | Detecting malicious behaviour on a network | |
| US10225282B2 (en) | System, method and program product to identify a distributed denial of service attack | |
| KR100900491B1 (ko) | 분산 서비스 거부 공격의 차단 방법 및 장치 | |
| US20160134548A1 (en) | Transparent provisioning of services over a network | |
| US8769681B1 (en) | Methods and system for DMA based distributed denial of service protection | |
| US20130254872A1 (en) | System and method for mitigating a denial of service attack using cloud computing | |
| US20210266342A1 (en) | System and method for scrubbing dns in a telecommunications network to mitigate attacks | |
| TW201242313A (en) | Detecting and mitigating denial of service attacks | |
| Arukonda et al. | The innocent perpetrators: reflectors and reflection attacks | |
| CN1510872A (zh) | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 | |
| CA3051168A1 (en) | Systems and methods for ip source address spoof detection | |
| Rajendran | DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches | |
| CN1741473A (zh) | 一种网络数据包有效性判定方法及系统 | |
| CN1152517C (zh) | 防范网络攻击的方法 | |
| US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
| WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| Al-Dalky et al. | Practical challenge-response for DNS | |
| EP4310708A2 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection | |
| Viktorovich et al. | Model of client-server information system functioning in the conditions of network reconnaissance | |
| Sanguankotchakorn et al. | Automatic attack detection and correction system development |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |