CN109981605A - 一种针对dns服务器的ddos防御攻击*** - Google Patents
一种针对dns服务器的ddos防御攻击*** Download PDFInfo
- Publication number
- CN109981605A CN109981605A CN201910171979.1A CN201910171979A CN109981605A CN 109981605 A CN109981605 A CN 109981605A CN 201910171979 A CN201910171979 A CN 201910171979A CN 109981605 A CN109981605 A CN 109981605A
- Authority
- CN
- China
- Prior art keywords
- packet
- dns
- source
- address
- hop count
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种针对DNS服务器的DDOS防御攻击***,包括信息提取模块、对比检测模块和决策判断模块,信息提取模块通过对比检测模块与决策判断模块连接;决策判断模块包括检测模式单元、过滤模式单元和模式转换单元,模式转换单元分别与检测模式单元和过滤模式单元连接。本发明提供的针对DNS服务器的DDOS防御攻击***,通过统计DNS包到达服务器跳数的信息提取模块、以及判断DNS包是否为源IP地址伪造包的对比检测模块并结合决策判断模块对源IP地址伪造包的检测模式进行筛选,能够有效地提高对源IP地址伪造包的检测效率和识别准确性,降低误报率,以消除源IP地址伪造包对DNS服务器的攻击,提高了抵御能力。
Description
技术领域
本发明属于服务器防御技术领域,涉及到一种针对DNS服务器的DDOS防御攻击***。
背景技术
随着网络技术和网络应用的发展,网络安全问题显得越来越重要。分布式拒绝服务(DDoS)攻击由于实现容易、追踪困难、后果严重等而成为网络安全的一大难题。
域名***(DNS)是互联网的地址簿,主要负责将域名转化为IP地址,几乎所有的互联网服务都依赖于DNS服务器,因此,直接向DNS服务器发动DDoS攻击或利用DNS服务向其它受害者发动DDoS攻击,产生的破坏性远大于其它类型的攻击。
针对DNS服务器的DDoS攻击流的合法性导致无法区分攻击流量和合法流量,并且开放递归服务的DNS服务器等资源的易得性,以及DNS协议在设计时存在缺陷,导致近年来针对DNS服务器的DDoS攻击频频发生,且存在DNS服务器在遭到攻击时易发生瘫痪,间接导致了全国大范围断网。因此,针对DNS服务器的DDoS攻击已成为互联网的重大安全威胁之一,深入分析针对DNS服务器的DDoS攻击原理,并提出有效的防范策略,对互联网的通信安全具有重要的意义。
发明内容
本发明的目的在于提供的针对DNS服务器的DDOS防御攻击***,通过信息提取模块、对比检测模块并结合决策判断模块,解决了现有DNS服务器存在的抵御能力差、安全性差的问题。
本发明的目的可以通过以下技术方案实现:
一种针对DNS服务器的DDOS防御攻击***,包括信息提取模块、对比检测模块和决策判断模块,信息提取模块通过对比检测模块与决策判断模块连接;
所述信息提取模块用于对访问服务器的DNS包进行信息处理,提取DNS包中的源IP地址字段和TTL值,且统计该DNS包到达服务器所经过的跳数,并将DNS包中的源IP地址字段以及跳数发送至对比检测模块;
所述对比检测模块用于接收信息提取模块发送的DNS包中的源IP地址字段以及跳数,并将接收的跳数作为比对检测算法的输入,通过与IPH_Bloom结构中存储的跳数进行对比来确定待检测的DNS包是否为源IP地址伪造包;
决策判断模块包括检测模式单元、过滤模式单元和模式转换单元,模式转换单元分别与检测模式单元和过滤模式单元连接,检测模式单元采用检测模式,用于抽样检测访问服务器的DNS包中是否存在源IP地址伪造包,过滤模式单元采用过滤模式,用于逐个检测访问服务器的每个DNS包是否存在源IP地址伪造包,模式转换单元用于对检测模式单元和过滤模式单元的检测进行转换。
进一步地,数据包访问服务器的跳数,采用TTL值推算方法进行统计,以确定待检测的DNS包是否为源IP地址伪造包,所述TTL值推算跳数的方法,包括以下步骤:
S1、从待检测的DNS包中提取源IP地址S和最终TTL值Tf;
S2、根据Tf推出初始TTL值Ti,并计算其跳数值Hc,以S和跳数值Hc为关键检索IPH_Bloom中存储的标准跳数Hs;
S3、判断跳数值Hc与标准跳数Hs是否相等,若相等,则DNS包未合法包,反之,则为源IP地址伪造包。
进一步地,在判断DNS包为源IP地址伪造包且Ti和Tf属于模糊集合中的元素,则统计另一可能的跳数值并根据新的跳数值对该DNS包进行重新判定,当跳数值Hc与标准跳数Hs之间差的绝对值在设定的阈值内,则判定该DNS包为合法包,否则,为源IP地址伪造包。
进一步地,所述模糊集合包括若干组模糊数组,分别为{Ti1,Ff1}、{Ti2,Ff2}、...、{Tik,Ffk}、...、{Tiz,Ffz}。
进一步地,所述决策判断模块采用检测模式,检测访问服务器的DNS包并判断DNS包是否为源IP地址伪造包,且不丢失源IP地址伪造包,当抽样检测到单位时间内源IP地址伪造包的数量超过设定的伪造包数量阈值上限时,模式转换单元将从检测模式转换成过滤模式,检测访问服务器的每个DNS包并丢弃源IP地址伪造包,当检测到单位时间内源IP地址伪造包的数量低于设定的伪造包数量阈值下限时,模式转换单元将从过滤模式转换成检测模式,并继续抽样检测访问服务器的DNS包,停止丢弃数据包。
本发明的有益效果:
本发明提供的针对DNS服务器的DDOS防御攻击***,通过统计DNS包到达服务器跳数的信息提取模块、以及判断DNS包是否为源IP地址伪造包的对比检测模块并结合决策判断模块对源IP地址伪造包的检测模式进行筛选,能够有效地提高对源IP地址伪造包的检测效率和识别准确性,降低误报率,以消除源IP地址伪造包对DNS服务器的攻击,提高了抵御能力。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明中一种针对DNS服务器的DDOS防御攻击***的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,一种针对DNS服务器的DDOS防御攻击***,包括信息提取模块、对比检测模块和决策判断模块,信息提取模块通过对比检测模块与决策判断模块连接;
信息提取模块用于对访问服务器的DNS包进行信息处理,提取DNS包中的源IP地址字段和TTL值,且统计该DNS包到达服务器所经过的跳数,并将DNS包中的源IP地址字段以及跳数发送至对比检测模块;
对比检测模块用于接收信息提取模块发送的DNS包中的源IP地址字段以及跳数,并将接收的跳数作为比对检测算法的输入,通过与IPH_Bloom结构中存储的跳数进行对比来确定待检测的DNS包是否为源IP地址伪造包;
在检测之前,需要一段时间的学习来初始化IPH_Bloom以便用于比对检测。IPH_Bloom需要一定时间内访问DNS服务器真实源IP地址及该源IP地址对应的主机发送的数据包到达DNS服务器所经过的跳数进行初始化。跳数简单地说,就是数据包从发送源端到达目的端所经过的路由器的个数。
其中,IPH_Bloom存储一定时间内访问DNS服务器真实源IP地址及该源IP地址对应的主机发送的数据包到达DNS服务器所经过的跳数(真实跳数),在BH_Comp防御方法中,首先要提取待检测的DNS包中的源IP地址和TTL值信息,并推算该DNS包从源端到达DNS服务器所经过的跳数,接着进行比对检测,将待检测DNS包的源IP地址和跳数与IPH_Bloom中存储的对应信息进行比对来确定待检测的DNS包是否为源IP地址伪造包。
数据包访问服务器的跳数,采用TTL值推算方法进行统计,以确定待检测的DNS包是否为源IP地址伪造包,所述TTL值推算跳数的方法,包括以下步骤:
S1、从待检测的DNS包中提取源IP地址S和最终TTL值Tf;
S2、根据Tf推出初始TTL值Ti,并计算其跳数值Hc,以S和跳数值Hc为关键检索IPH_Bloom中存储的标准跳数Hs;
S3、判断跳数值Hc与标准跳数Hs是否相等,若相等,则DNS包未合法包,反之,则为源IP地址伪造包。
另外,在判断DNS包为源IP地址伪造包且Ti和Tf属于模糊集合中的元素,则统计另一可能的跳数值并根据新的跳数值对该DNS包进行重新判定,当跳数值Hc与标准跳数Hs之间差的绝对值在设定的阈值内,则判定该DNS包为合法包,否则,为源IP地址伪造包,减少误报,能够准确、有效地识别源IP地址伪造包,降低了误判带来的影响。
其中,模糊集合包括若干组模糊数组,分别为{Ti1,Ff1}、{Ti2,Ff2}、...、{Tik,Ffk}、...、{Tiz,Ffz}。
决策判断模块包括检测模式单元、过滤模式单元和模式转换单元,模式转换单元分别与检测模式单元和过滤模式单元连接,检测模式单元采用检测模式,用于抽样检测访问服务器的DNS包中是否存在源IP地址伪造包,过滤模式单元采用过滤模式,用于逐个检测访问服务器的每个DNS包是否存在源IP地址伪造包,模式转换单元用于对检测模式单元和过滤模式单元的检测进行转换。
所述决策判断模块采用检测模式与过滤模式间的转换,可将检测和过滤进行分离,以提高未收攻击时进行抽样检测的效率,并提高了在遭受攻击时能很好地过滤攻击流量,在默认情况下,所述决策判断模块采用检测模式,检测访问服务器的DNS包并判断DNS包是否为源IP地址伪造包,且不丢失源IP地址伪造包,当抽样检测到单位时间内源IP地址伪造包的数量超过设定的伪造包数量阈值上限时,模式转换单元将从检测模式转换成过滤模式,检测访问服务器的每个DNS包并丢弃源IP地址伪造包,当检测到单位时间内源IP地址伪造包的数量低于设定的伪造包数量阈值下限时,模式转换单元将从过滤模式转换成检测模式,并继续抽样检测访问服务器的DNS包,停止丢弃数据包。
本发明提供的针对DNS服务器的DDOS防御攻击***,通过统计DNS包到达服务器跳数的信息提取模块、以及判断DNS包是否为源IP地址伪造包的对比检测模块并结合决策判断模块对源IP地址伪造包的检测模式进行筛选,能够有效地提高对源IP地址伪造包的检测效率和识别准确性,降低误报率,以消除源IP地址伪造包对DNS服务器的攻击,提高了抵御能力。
以上内容仅仅是对本发明的构思所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的构思或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (5)
1.一种针对DNS服务器的DDOS防御攻击***,其特征在于:包括信息提取模块、对比检测模块和决策判断模块;
所述信息提取模块用于对访问服务器的DNS包进行信息处理,提取DNS包中的源IP地址字段和TTL值,且统计该DNS包到达服务器所经过的跳数,并将DNS包中的源IP地址字段以及跳数发送至对比检测模块;
所述对比检测模块用于接收信息提取模块发送的DNS包中的源IP地址字段以及跳数,并将接收的跳数作为比对检测算法的输入,通过与IPH_Bloom结构中存储的跳数进行对比来确定待检测的DNS包是否为源IP地址伪造包;
决策判断模块包括检测模式单元、过滤模式单元和模式转换单元,模式转换单元分别与检测模式单元和过滤模式单元连接,检测模式单元采用检测模式,用于抽样检测访问服务器的DNS包中是否存在源IP地址伪造包,过滤模式单元采用过滤模式,用于逐个检测访问服务器的每个DNS包是否存在源IP地址伪造包,模式转换单元用于对检测模式单元和过滤模式单元的检测进行转换。
2.根据权利要求1所述的一种针对DNS服务器的DDOS防御攻击***,其特征在于:数据包访问服务器的跳数,采用TTL值推算方法进行统计,以确定待检测的DNS包是否为源IP地址伪造包,所述TTL值推算跳数的方法,包括以下步骤:
S1、从待检测的DNS包中提取源IP地址S和最终TTL值Tf;
S2、根据Tf推出初始TTL值Ti,并计算其跳数值Hc,以S和跳数值Hc为关键检索IPH_Bloom中存储的标准跳数Hs;
S3、判断跳数值Hc与标准跳数Hs是否相等,若相等,则DNS包未合法包,反之,则为源IP地址伪造包。
3.根据权利要求2所述的一种针对DNS服务器的DDOS防御攻击***,其特征在于:在判断DNS包为源IP地址伪造包且Ti和Tf属于模糊集合中的元素,则统计另一可能的跳数值并根据新的跳数值对该DNS包进行重新判定,当跳数值Hc与标准跳数Hs之间差的绝对值在设定的阈值内,则判定该DNS包为合法包,否则,为源IP地址伪造包。
4.根据权利要求3所述的一种针对DNS服务器的DDOS防御攻击***,其特征在于:所述模糊集合包括若干组模糊数组,分别为{Ti1,Ff1}、{Ti2,Ff2}、...、{Tik,Ffk}、...、{Tiz,Ffz}。
5.根据权利要求1所述的一种针对DNS服务器的DDOS防御攻击***,其特征在于:所述决策判断模块采用检测模式,检测访问服务器的DNS包并判断DNS包是否为源IP地址伪造包,且不丢失源IP地址伪造包,当抽样检测到单位时间内源IP地址伪造包的数量超过设定的伪造包数量阈值上限时,模式转换单元将从检测模式转换成过滤模式,检测访问服务器的每个DNS包并丢弃源IP地址伪造包,当检测到单位时间内源IP地址伪造包的数量低于设定的伪造包数量阈值下限时,模式转换单元将从过滤模式转换成检测模式,并继续抽样检测访问服务器的DNS包,停止丢弃数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910171979.1A CN109981605A (zh) | 2019-03-07 | 2019-03-07 | 一种针对dns服务器的ddos防御攻击*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910171979.1A CN109981605A (zh) | 2019-03-07 | 2019-03-07 | 一种针对dns服务器的ddos防御攻击*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109981605A true CN109981605A (zh) | 2019-07-05 |
Family
ID=67078096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910171979.1A Pending CN109981605A (zh) | 2019-03-07 | 2019-03-07 | 一种针对dns服务器的ddos防御攻击*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109981605A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111177513A (zh) * | 2019-12-31 | 2020-05-19 | 北京百度网讯科技有限公司 | 异常访问地址的确定方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357660A (zh) * | 2016-09-29 | 2017-01-25 | 广州华多网络科技有限公司 | 一种ddos防御***中检测伪造源ip的方法和装置 |
| US20180176248A1 (en) * | 2016-12-21 | 2018-06-21 | Verisign, Inc. | Anycast-based spoofed traffic detection and mitigation |
-
2019
- 2019-03-07 CN CN201910171979.1A patent/CN109981605A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357660A (zh) * | 2016-09-29 | 2017-01-25 | 广州华多网络科技有限公司 | 一种ddos防御***中检测伪造源ip的方法和装置 |
| US20180176248A1 (en) * | 2016-12-21 | 2018-06-21 | Verisign, Inc. | Anycast-based spoofed traffic detection and mitigation |
Non-Patent Citations (1)
| Title |
|---|
| 余园芝: "DNS服务器DDoS防御方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑(月刊)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111177513A (zh) * | 2019-12-31 | 2020-05-19 | 北京百度网讯科技有限公司 | 异常访问地址的确定方法、装置、电子设备及存储介质 |
| CN111177513B (zh) * | 2019-12-31 | 2023-10-31 | 北京百度网讯科技有限公司 | 异常访问地址的确定方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN108282497B (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
| CN105141604B (zh) | 一种基于可信业务流的网络安全威胁检测方法及*** | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及*** | |
| CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、*** | |
| CN101924757B (zh) | 追溯僵尸网络的方法和*** | |
| CN106357641B (zh) | 一种内容中心网络中兴趣包洪泛攻击的防御方法以及装置 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN108063765A (zh) | 适于解决网络安全的sdn*** | |
| CN105681250A (zh) | 一种僵尸网络分布式实时检测方法和*** | |
| CN102594825A (zh) | 一种内网木马的检测方法和装置 | |
| CN107888605A (zh) | 一种物联网云平台流量安全分析方法和*** | |
| WO2005074215A1 (ja) | 不正情報検知システム及び不正攻撃元探索システム | |
| CN109951459A (zh) | 一种基于局域网的arp欺骗攻击检测方法 | |
| CN102026199B (zh) | 一种WiMAX***及其防御DDoS攻击的装置和方法 | |
| CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
| CN101888329A (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| CN108683686A (zh) | 一种随机子域名DDoS攻击检测方法 | |
| CN106357660A (zh) | 一种ddos防御***中检测伪造源ip的方法和装置 | |
| CN111970261A (zh) | 网络攻击的识别方法、装置及设备 | |
| CN107426132B (zh) | 网络攻击的检测方法和装置 | |
| DE202022102631U1 (de) | Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen | |
| CN109981605A (zh) | 一种针对dns服务器的ddos防御攻击*** | |
| CN104883362A (zh) | 异常访问行为控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190705 |
|
| RJ01 | Rejection of invention patent application after publication |