The invention provides a DNS server identification and defense amplification attack methods, including: DNS server resource records TTL T1; query initiates the query request, the DNS server according to the query request to find the corresponding resource record while preserving the relevant data; each receives the query request, according to the data cache 2 IP lookup step the query, if found, the cache data, the last request time and resource records out the corresponding record in step 2 cache TTL T1 DNS server; the current system time minus step 3 out of the last request time, get the time difference is Tx; the size of resource records Tx and TTL removed in step 3 of T1, and then judge the suspicious requests, and the restriction on the. Through a simple and effective filtering method, the invention helps the DNS server to quickly identify the DNS amplification attack request and prevent the DNS server from being used for attack.
【技术实现步骤摘要】
一种DNS服务器识别并防御放大攻击的方法
本专利技术涉及放大攻击防御
,特别是一种DNS服务器识别并防御放大攻击的方法。
技术介绍
攻击者在进行放大攻击时,会伪造源IP为被攻击者的DNS请求报文,并发送到大量的DNS查询服务器,从而导致查询大量服务器的回应报文洪水般涌向被攻击者的IP,达到攻击的目的。传统的防御DNS放大攻击的方法与防御普通DDoS流量式攻击的方法一致,通过足够的带宽来防御DNS回应报文的流量攻击;其存在以下不足:1、需要足够的带宽承接产生的攻击流量;2、需要特殊的设备或者配置用来识别攻击报文并抛弃。DNS:域名解析系统;放大攻击:(DNSamplificationattacks)是一种数据包的大量变体能够产生针对一个目标的大量的虚假的通讯。
技术实现思路
本专利技术所要解决的技术问题是提供一种DNS服务器识别并防御放大攻击的方法,通过简单有效的过滤方法,帮助DNS服务器快速识别DNS放大攻击请求,防止DNS服务器被用来进行攻击。为解决上述技术问题,本专利技术采用的技术方案是:一种DNS服务器识别并防御放大攻击的方法,包括以下步骤:步骤1:DNS服务器设置资源记录的TTL为T1;步骤2:查询者发起查询请求,DNS服务器按照查询要求查找到对应的资源记录,同时保存以下数据:a、查询者的IP地址;b、所请求的域名;c、记录类型;d、最后一次请求产生的时间;e、查找到的资源记录的TTLT1;步骤3:每次收到查询请求时,首先按照查询者的IP查找步骤2中的缓存数据,若找到匹配的缓存数据,即查询者IP相同、域名相同、记录类型相同,则取出步骤2中对应记录 ...
【技术保护点】
一种DNS服务器识别并防御放大攻击的方法,其特征在于,包括以下步骤:步骤1:DNS服务器设置资源记录的TTL为T1;步骤2:查询者发起查询请求,DNS服务器按照查询要求查找到对应的资源记录,同时保存以下数据:a、查询者的IP地址;b、所请求的域名;c、记录类型;d、最后一次请求产生的时间;e、查找到的资源记录的TTL T1;步骤3:每次收到查询请求时,首先按照查询者的IP查找步骤2中的缓存数据,若找到匹配的缓存数据,即查询者IP相同、域名相同、记录类型相同,则取出步骤2中对应记录中缓存的最后一次请求时间与资源记录的TTL T1:步骤4:DNS服务器的当前系统时间减去步骤3中取出的最后一次请求时间,得到时间差为Tx;步骤5:判断Tx与步骤3中取出的资源记录TTL T1的大小:a、若Tx≥T1则当前是正常查询请求,结束本次识别处理;b、若Tx<T1则当前是可疑的请求,并将该IP的可疑请求次数加一;步骤6:判断步骤5中的IP可疑请求次数是否超过设置的阈值,若超过阈值,则将该IP加入黑名单,禁止该IP在一定时间内进行请求查询。
【技术特征摘要】
1.一种DNS服务器识别并防御放大攻击的方法,其特征在于,包括以下步骤:步骤1:DNS服务器设置资源记录的TTL为T1;步骤2:查询者发起查询请求,DNS服务器按照查询要求查找到对应的资源记录,同时保存以下数据:a、查询者的IP地址;b、所请求的域名;c、记录类型;d、最后一次请求产生的时间;e、查找到的资源记录的TTLT1;步骤3:每次收到查询请求时,首先按照查询者的IP查找步骤2中的缓存数据,若找到匹配的缓存数据,即查询者IP相同、域名相同、记录类型相同,则取出步骤2中对应记录中缓存的最后一次请求时间与资源记录的TTLT1:步骤4:...
【专利技术属性】
技术研发人员:陈海洋,叶兴,张文宇,吴文林,郑斌,
申请(专利权)人:成都知道创宇信息技术有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。