一种网络攻击的防御方法、装置及系统制造方法及图纸

本申请提供了一种网络攻击的防御方法、装置及系统，其中方法包括：接收外网设备旨在向内网设备发送的目标DNS应答报文；在动态白名单包含所述目标DNS应答报文中的源地址的情况下，判断所述目标DNS应答报文是否满足预设条件；若所述目标DNS应答报文满足预设条件，则丢弃所述目标DNS应答报文；其中，所述预设条件至少包括：所述目标DNS应答报文中的目标域名不包含在历史域名记录中，所述历史域名记录中的每个历史域名均从所述外网设备所发送的历史DNS应答报文中提取。本申请可以过滤掉真实源以不同域名的方式来攻击内网设备的DNS应答报文，从而缓解DNS应答攻击对业务和网络造成的冲击。

【技术实现步骤摘要】

本申请涉及网络
，尤其涉及一种网络攻击的防御方法、装置及系统。
技术介绍
随着网络技术的不断进步，网络领域中的网络攻击也越来越多。目前，在众多网络攻击中分布式拒绝服务攻击(DistributedDenialofService，DDoS)已经成为较为严重的攻击手段。在DDOS攻击中DNS应答攻击已成为主流攻击类型，DNS应答攻击又可以称为域名解析系统(DNS，DomainNameSystem)应答攻击。为了防范DNS应答攻击，可以在原有系统中加入清洗设备进而形成防御系统。参见图1为一种防御系统结构示意图，在图示中可以看出清洗设备旁路设置在路由设备的一侧。在清洗设备旁路设置的情况下，可以使用源探测的方式来清洗外网设备向内网设备发送的具有攻击性的DNS应答报文。具体清洗过程可以为：清洗设备接收外网设备向内网设备发送的DNS应答报文后，提取其中的源地址，并判断源地址是否包含在动态白名单中。如果源地址没有包含在动态白名单中，则向外网设备发送一个DNSRequest报文作为探测报文，如果未接收到外网设备反馈的DNS应答报文，则确定外网设备为虚假源，丢弃DNS应答报文；如果接收到外网设备反馈的DNS应答报文，且DNS应答报文中的域名满足一定条件，则确定外网设备为真实源，将外网设备的IP地址加入至动态白名单中。如果源地址包含在动态白名单中，即外网设备为真实源，则转发DNS应答报文。DNS应答攻击按攻击类型又可以分为：真实源攻击和虚假源攻击。由于动态白名单中仅包含真实源的IP地址，不包含虚假源的IP地址，所以源探测方式仅能够清洗虚假源发起的DNS应答攻击，而不能够清洗掉真实源发起的DNS应答攻击。鉴于此，现在需要一种方法来清洗真实源发起的DNS应答攻击，以缓解DNS应答攻击对业务和网络造成的冲击。
技术实现思路
本申请提供了一种网络攻击的防御方法、装置及系统，清洗真实源发起的DNS应答攻击，以缓解DNS应答攻击对业务和网络造成的冲击。为了实现上述目的，本申请提供了以下技术手段：一种网络攻击的防御方法，包括：接收外网设备旨在向内网设备发送的目标DNS应答报文；在动态白名单包含所述目标DNS应答报文中的源地址的情况下，判断所述目标DNS应答报文是否满足预设条件；若所述目标DNS应答报文满足预设条件，则丢弃所述目标DNS应答报文；其中，所述预设条件至少包括：所述目标DNS应答报文中的目标域名不包含在历史域名记录中，所述历史域名记录中的每个历史域名均从所述外网设备所发送的历史DNS应答报文中提取。优选的，所述预设条件还包括：所述外网设备发起访问所述目标域名的第一发送时间与第二发送时间的时间间隔小于预设时间间隔；其中，所述第一发送时间为所述目标DNS应答报文的发送时间，所述第二发送时间为所述外网设备在所述第一发送时间之前最近一次发送包含所述目标域名的DNS应答报文的时间。优选的，还包括：在所述时间间隔不小于预设时间间隔情况下，将所述目标DNS应答报文转发给所述内网设备。优选的，还包括：若所述目标DNS应答报文中的目标域名不包含在历史域名记录中，则将所述目标域名和所述目标DNS应答报文的发送时间，存储在所述历史域名记录中。优选的，还包括：依据与所述外网设备的源地址对应的所述历史域名记录，计算命中次数超过预设次数的域名数量与所有域名数量的比值；其中，所述历史域名记录中包含所述外网设备所发送的历史DNS应答报文中所有域名以及每个域名的命中次数；所述预设次数为不小于3的自然数；若所述比值大于预设比值，则删除所述动态白名单中的所述外网设备的源地址；将所述外网设备的源地址添加至动态黑名单中。优选的，所述历史域名记录中每个域名的命中次数的计算方式包括：在接收一个DNS应答报文之后，在所述历史域名记录中查找该DNS应答报文中的域名；将所述域名的命中次数增加1；其中，每个域名的命中次数的初始值为零。优选的，所述预设条件还包括：所述目标DNS应答报文的流量值及历史DNS应答报文的流量值的总和流量值大于所述预设流量值；其中，所述历史DNS应答报文为所述外网设备在发送目标DNS应答报文之前所发送的所有DNS应答报文。优选的，还包括：在所述总和流量值大于所述预设流量值的情况下，删除所述动态白名单中的所述源地址；将所述源地址加入至动态黑名单中。优选的，所述历史DNS应答报文的流量值计算过程包括：在所述外网设备的源地址发送一个DNS应答报文之后，在所述历史DNS应答报文的流量值上叠加该DNS应答报文的流量值；所述历史DNS应答报文的流量值的初始值为零。优选的，还包括：在动态黑名单中包含所述目标DNS应答报文中的源地址的情况下，丢弃所述目标DNS应答报文。一种网络攻击的防御装置，包括：接收单元，用于接收外网设备旨在向内网设备发送的目标DNS应答报文；判断单元，用于在动态白名单包含所述目标DNS应答报文中的源地址的情况下，判断所述目标DNS应答报文是否满足预设条件；第一丢弃单元，用于若所述目标DNS应答报文满足预设条件，则丢弃所述目标DNS应答报文；其中，所述预设条件至少包括：所述目标DNS应答报文中的目标域名不包含在历史域名记录中，所述历史域名记录中的每个历史域名均从所述外网设备所发送的历史DNS应答报文中提取。优选的，所述预设条件还包括：所述外网设备发起访问所述目标域名的第一发送时间与第二发送时间的时间间隔小于预设时间间隔；其中，所述第一发送时间为所述目标DNS应答报文的发送时间，所述第二发送时间为所述外网设备在所述第一发送时间之前最近一次发送包含所述目标域名的DNS应答报文的时间。优选的，还包括：转发单元，用于在所述时间间隔不小于预设时间间隔情况下，将所述目标DNS应答报文转发给所述内网设备。优选的，还包括：存储单元，用于若所述目标DNS应答报文中的目标域名不包含在历史域名记录中，则将所述目标域名和所述目标DNS应答报文的发送时间，存储在所述历史域名记录中。优选的，还包括：比值计算单元，用于依据与所述外网设备的源地址对应的所述历史域名记录，计算命中次数超过预设次数的域名数量与所有域名数量的比值；其中，所述历史域名记录中包含所述外网设备所发送的历史DNS应答报文中所有域名以及每个域名的命中次数；所述预设次数为不小于3的自然数；第一删除单元，用于若所述比值大于预设比值，则删除所述动态白名单中的所述外网设备的源地址；第一添加单元，用于将所述外网设备的源地址添加至动态黑名单中。优选的，还包括：命中次数计算单元，用于在接收一个DNS应答报文之后，在所述历史域名记录中查找该DNS应答报文中的域名；将所述域名的命中次数增加1；其中，每个域名的命中次数的初始值为零。优选的，所述预设条件还包括：所述目标DNS应答报文的流量值及历史DNS应答报文的流量值的总和流量值大于所述预设流量值；其中，所述历史DNS应答报文为所述外网设备在发送目标DNS应答报文之前所发送的所有DNS应答报文。优选的，还包括：第二删除单元，用于在所述总和流量值大于所述预设流量值的情况下，删除所述动态白名单中的所述源地址；第二添加单元，用于将所述源地址加入至动态黑名单中。优选的，还包括：流量计算单元，用于在所述外网设备的源地址发送一个DNS应答报文之后，在所述历史DNS应答报文的流量值上叠本文档来自技高网...

【技术保护点】
一种网络攻击的防御方法，其特征在于，包括：接收外网设备旨在向内网设备发送的目标DNS应答报文；在动态白名单包含所述目标DNS应答报文中的源地址的情况下，判断所述目标DNS应答报文是否满足预设条件；若所述目标DNS应答报文满足预设条件，则丢弃所述目标DNS应答报文；其中，所述预设条件至少包括：所述目标DNS应答报文中的目标域名不包含在历史域名记录中，所述历史域名记录中的每个历史域名均从所述外网设备所发送的历史DNS应答报文中提取。

【技术特征摘要】
1.一种网络攻击的防御方法，其特征在于，包括：接收外网设备旨在向内网设备发送的目标DNS应答报文；在动态白名单包含所述目标DNS应答报文中的源地址的情况下，判断所述目标DNS应答报文是否满足预设条件；若所述目标DNS应答报文满足预设条件，则丢弃所述目标DNS应答报文；其中，所述预设条件至少包括：所述目标DNS应答报文中的目标域名不包含在历史域名记录中，所述历史域名记录中的每个历史域名均从所述外网设备所发送的历史DNS应答报文中提取。2.如权利要求1所述的方法，其特征在于，所述预设条件还包括：所述外网设备发起访问所述目标域名的第一发送时间与第二发送时间的时间间隔小于预设时间间隔；其中，所述第一发送时间为所述目标DNS应答报文的发送时间，所述第二发送时间为所述外网设备在所述第一发送时间之前最近一次发送包含所述目标域名的DNS应答报文的时间。3.如权利要求2所述的方法，其特征在于，还包括：在所述时间间隔不小于预设时间间隔情况下，将所述目标DNS应答报文转发给所述内网设备。4.如权利要求1所述的方法，其特征在于，还包括：若所述目标DNS应答报文中的目标域名不包含在历史域名记录中，则将所述目标域名和所述目标DNS应答报文的发送时间，存储在所述历史域名记录中。5.如权利要求4所述的方法，其特征在于，还包括：依据与所述外网设备的源地址对应的所述历史域名记录，计算命中次数超过预设次数的域名数量与所有域名数量的比值；其中，所述历史域名记录中包含所述外网设备所发送的历史DNS应答报文中所有域名以及每个域名的命中次数；所述预设次数为不小于3的自然数；若所述比值大于预设比值，则删除所述动态白名单中的所述外网设备的源地址；将所述外网设备的源地址添加至动态黑名单中。6.如权利要求5所述的方法，其特征在于，所述历史域名记录中每个域名的命中次数的计算方式包括：在接收一个DNS应答报文之后，在所述历史域名记录中查找该DNS应答报文中的域名；将所述域名的命中次数增加1；其中，每个域名的命中次数的初始值为零。7.如权利要求1所述的方法，其特征在于，所述预设条件还包括：所述目标DNS应答报文的流量值及历史DNS应答报文的流量值的总和流量值大于所述预设流量值；其中，所述历史DNS应答报文为所述外网设备在发送目标DNS应答报文之前所发送的所有DNS应答报文。8.如权利要求7所述的方法，其特征在于，还包括：在所述总和流量值大于所述预设流量值的情况下，删除所述动态白名单中的所述源地址；将所述源地址加入至动态黑名单中。9.如权利要求8所述的方法，其特征在于，所述历史DNS应答报文的流量值计算过程包括：在所述外网设备的源地址发送一个DNS应答报文之后，在所述历史DNS应答报文的流量值上叠加该DNS应答报文的流量值；所述历史DNS应答报文的流量值的初始值为零。10.如权利要求1-8任一项所述的方法，其特征在于，还包括：在动态黑名单中包含所述目标DNS应答报文中的源地址的情况下，丢弃所述目标DNS应答报文。11.一种网络攻击的防御装置，其特征在于，包括：接收单元，用于接收外网设备旨在向内网设备发送的目标DNS应答报文；判断单元，用于在动态白名单包含所述目标DNS应答报文中的源地址的情况下，判断所述目标DNS应答报文是否满足预设条件；第一丢弃单元，用于若所述目标DNS应答报文满足预设条件，则丢弃所述目标DNS应答报文；其中，所述预设条件至少包括：所述目标DNS应答报文中的目标域名不包含在历史域名...

【专利技术属性】
技术研发人员：肖洪亮，张大成，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY