齐鲁在线 > 资讯 > 科技 > DNS反射放大攻击检测方法和技术现实图纸 > 正文

DNS反射放大攻击检测方法和技术现实图纸

2017-09-08 15:18:53 来源:网络 编辑:K027_小凯乐

DNS反射放大攻击检测方法和技术现实图纸
一种DNS反射放大攻击检测方法、装置及系统本专利技术涉及分布式拒绝服务攻击检测,尤其涉及一种DNS反射放大攻击检测方法、装置及系统。
 
本发明专利技术提出了一种DNS反射放大攻击检测方法、装置及系统,所提出的方法包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及,在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。所提出的检测方法、装置及系统能够及时检测DNS放大攻击的发生并进行告警。
 
在计算机网络通信中,主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而,32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此,更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。同时,网络通信又是基于IP协议来运转的,仅仅通过域名并不能直接找到要访问的主机。因此,主机需要将用户输入的域名转换为IP地址,这个过程被称为域名解析。为了完成域名解析,需要域名系统(DomainNameSystem,DNS)来配合,其是一种用于TCP/IP应用程序的分布式数据库,提供了域名与IP地址之间的转换。通过域名系统,用户在进行某些应用时,可以直接使用便于记忆且有意义的域名,而网络中的DNS服务器则负责将域名解析为正确的IP地址并将其返回给用户的主机。DNS服务器,是指保存有该网络中所有主机的域名和与之对应的IP地址、并具有将域名转换为IP地址功能的服务器。当某一个应用进程需要将主机名解析为IP地址时,该应用进程就成为域名系统DNS的一个客户。域名解析的过程是应用进程把待解析的域名放在DNS请求报文中发给DNS服务器,DNS服务器在查找域名后将与之对应的IP地址放在回答报文中返回给客户机应用进程的过程。能够执行递归查询的DNS服务器是域名系统中的重要设备,这种DNS服务器根据缓存中的域名地址信息,对终端用户发起的DNS查询进行响应..
 
一种DNS反射放大攻击检测方法,其特征在于,包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及在所述统计数值超过该统计数值所对应的设定阈值时发出攻击告警。一种DNS反射放大攻击检测方法,其特征在于,包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及在所述统计数值超过该统计数值所对应的设定阈值时发出攻击告警。2.根据权利要求1所述的攻击检测方法,其特征在于,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽进行计算,以获取该指定目的IP的应答报文的带宽统计数值,其中,该带宽统计数值所对应的所述设定阈值是应答报文的带宽阈值。3.根据权利要求1所述的攻击检测方法,其特征在于,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP及ANY标志位,如果为ANY应答包,统计指定目的IP收到的DNSANY响应报文数量,以获取该指定目的IP的ANY应答报文的数量值,作为数量统计数值,其中,该数量统计数值所对应的所述设定阈值是ANY应答报文的数量阈值。4.根据权利要求1所述的攻击检测方法,其特征在于,还包括:接收镜像的DNS查询报文;解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与所述指定目的IP进行比对,如果比对成功,则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值;以及将所述访问量统计值提供给DNS服务运维人员,或者,将所获取的对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值提供给DNS服务运维人员。
 

大家都在看

猜你喜欢