本发明专利技术提出了一种DNS反射放大攻击检测方法、装置及系统,所提出的方法包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及,在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。所提出的检测方法、装置及系统能够及时检测DNS放大攻击的发生并进行告警。
【技术实现步骤摘要】
一种DNS反射放大攻击检测方法、装置及系统
本专利技术涉及分布式拒绝服务攻击检测
,尤其涉及一种DNS反射放大攻击检测方法、装置及系统。
技术介绍
在计算机网络通信中,主机之间需要知道通信对端的IP地址才能够通过IP网络与对方进行通信。然而,32位的IPv4地址(IPv6地址为128位)对于通信参与者来说是不容易记忆的。因此,更为直观的域名(如www.google.com.hk)被广泛采用以解决IP地址难以记忆的问题。同时,网络通信又是基于IP协议来运转的,仅仅通过域名并不能直接找到要访问的主机。因此,主机需要将用户输入的域名转换为IP地址,这个过程被称为域名解析。为了完成域名解析,需要域名系统(DomainNameSystem,DNS)来配合,其是一种用于TCP/IP应用程序的分布式数据库,提供了域名与IP地址之间的转换。通过域名系统,用户在进行某些应用时,可以直接使用便于记忆且有意义的域名,而网络中的DNS服务器则负责将域名解析为正确的IP地址并将其返回给用户的主机。DNS服务器,是指保存有该网络中所有主机的域名和与之对应的IP地址、并具有将域名转换为IP地址功能的服务器。当某一个应用进程需要将主机名解析为IP地址时,该应用进程就成为域名系统DNS的一个客户。域名解析的过程是应用进程把待解析的域名放在DNS请求报文中发给DNS服务器,DNS服务器在查找域名后将与之对应的IP地址放在回答报文中返回给客户机应用进程的过程。能够执行递归查询的DNS服务器是域名系统中的重要设备,这种DNS服务器根据缓存中的域名地址信息,对终端用户发起的DNS查询进行响应。随着网络技术的不断发展,利用互联网进行攻击的黑客行为也越来越多。目前,对域名系统的攻击方式主要有以下几种方式:第一种攻击方式是流量型拒绝服务攻击。例如基于用户数据包协议(UDP,UserDatagramProtocol)流(flood)、基于传输控制协议(TCP,TransmissionControlProtocol)流、基于DNS请求流、或基于拼(PING)流等。该种攻击方式的典型特征是消耗掉DNS服务器的资源,使其不能及时响应正常的DNS解析请求。其中,资源的消耗包括对服务器CPU、网络资源等的消耗。第二种攻击方式是异常请求(例如超长域名请求、异常域名请求等)访问攻击。该种攻击方式的特点是发掘DNS服务器的漏洞,通过伪造特定的请求报文,导致DNS服务器软件因工作异常而退出或崩溃以致无法启动,达到影响DNS服务器正常工作的目的。第三种攻击方式是DNS劫持攻击。例如DNS缓存“投毒”、篡改授权域内容、ARP欺骗劫持授权域等。该种攻击方式的特点是通过直接篡改解析记录或在解析记录传递过程中篡改其内容或抢先应答,达到影响解析结果的目的。第四种攻击方式是攻击者利用DNS攻击被攻击者。例如攻击者控制僵尸机群并且使其采用被攻击主机的IP地址从而伪装成被攻击主机来发送域名解析请求,大量的域名解析请求被DNS服务器通过递归查询被解析后,DNS服务器发送响应给被攻击者,大量的响应数据包从不同的DNS服务器传回构成了分布式拒绝服务(DDoS,DistributedDenialofService)攻击,这种攻击也被称作DNS放大攻击。上述第四种攻击方式,不仅会造成被攻击者的服务及带宽受到攻击流量的影响,以致于不能正常提供服务,而且还会对DNS服务器自身的响应带宽造成影响,使DNS服务器不能提供正常的DNS解析服务。因此,需要一种检测方法和装置来及时检测DNS放大攻击的发生并进行告警。
技术实现思路
为了解决上述问题,本专利技术提出了一种DNS反射放大攻击检测方法、装置及系统。根据本专利技术的DNS反射放大攻击检测方法,包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及,在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。根据本专利技术的攻击检测方法,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽进行计算,以获取该指定目的IP的应答报文的带宽统计数值,其中,该带宽统计数值所对应的设定阈值是应答报文的带宽阈值。根据本专利技术的攻击检测方法,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP及ANY标志位,如果为ANY应答包,统计指定目的IP收到的DNSANY响应报文数量,以获取该指定目的IP的ANY应答报文的数量值,作为数量统计数值,其中,该数量统计数值所对应的设定阈值是ANY应答报文的数量阈值。根据本专利技术的攻击检测方法,还包括:接收镜像的DNS查询报文;解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与指定目的IP进行比对,如果比对成功,则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者,则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值;以及,将访问量统计值提供给DNS服务运维人员,或者,将所获取的对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值提供给DNS服务运维人员。根据本专利技术的DNS反射放大攻击检测装置,包括:DNS应答报文接收模块,用于接收镜像的DNS应答报文;DNS应答报文解析和统计模块,用于解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及,攻击告警模块,用于在统计数值超过该统计数值所对应的设定阈值时发出攻击告警。根据本专利技术的攻击检测装置,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽进行计算,以获取该指定目的IP的应答报文的带宽统计数值,其中,该带宽统计数值所对应的设定阈值是应答报文的带宽阈值。根据本专利技术的攻击检测装置,其中,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP及ANY标志位,如果为ANY应答包,统计指定目的IP收到的DNSANY响应报文数量,以获取该指定目的IP的ANY应答报文的数量值,作为数量统计数值,其中,该数量统计数值所对应的设定阈值是ANY应答报文的数量阈值。根据本专利技术的攻击检测装置,还包括:DNS查询报文接收模块,用于接收镜像的DNS查询报文;DNS查询报文解析和统计模块,用于解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源本文档来自技高网...
【技术保护点】
一种DNS反射放大攻击检测方法,其特征在于,包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及在所述统计数值超过该统计数值所对应的设定阈值时发出攻击告警。
【技术特征摘要】
1.一种DNS反射放大攻击检测方法,其特征在于,包括:接收镜像的DNS应答报文;解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值;以及在所述统计数值超过该统计数值所对应的设定阈值时发出攻击告警。2.根据权利要求1所述的攻击检测方法,其特征在于,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP,对其报文大小进行统计,并根据所统计的报文大小,对指定目的IP的DNS响应带宽进行计算,以获取该指定目的IP的应答报文的带宽统计数值,其中,该带宽统计数值所对应的所述设定阈值是应答报文的带宽阈值。3.根据权利要求1所述的攻击检测方法,其特征在于,解析DNS应答报文中的DNS应答报文信息并进行数值统计,得到统计数值的步骤包括:提取DNS应答报文中的目的IP及ANY标志位,如果为ANY应答包,统计指定目的IP收到的DNSANY响应报文数量,以获取该指定目的IP的ANY应答报文的数量值,作为数量统计数值,其中,该数量统计数值所对应的所述设定阈值是ANY应答报文的数量阈值。4.根据权利要求1所述的攻击检测方法,其特征在于,还包括:接收镜像的DNS查询报文;解析DNS查询报文中的DNS查询报文信息以获取请求查询的源IP,将所获取的请求查询的源IP与所述指定目的IP进行比对,如果比对成功,则进一步获取域名,并且对单位时间内指定域名的访问量进行统计以获取该指定域名的访问量统计值,或者则进一步获取递归查询标志、EDNS标志、DNSSEC标志、启用COOKIE标志中的至少一种,并且对所对应的递归查询、支持EDNS的查询、支持DNSSEC的查询、启用COOKIE的查询中的至少一种在单位时间内的查询量进行统计以获取对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值;以及将所述访问量统计值提供给DNS服务运维人员,或者,将所获取的对应的递归查询的查询量统计值、支持EDNS的查询的查询量统计值、支持DNSSEC的查询的查询量统计值、启用COOKIE的查询的查询量统计值提供给DNS服务运维人员。5.一种DNS反射放大攻击检测装置,其特征在于,包括:DNS应答报文接收模块,用于接收镜像的DNS应答报文;DNS应答报文解析和统计模块,用于解析DNS应答报文中...
【专利技术属性】
技术研发人员:张恒,张鹏,姜涛,孙才,杨鞠华,
申请(专利权)人:中国互联网络信息中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。