基于可编程交换机的攻防演练方法及装置制造方法及图纸

本公开提供了一种基于可编程交换机的攻防演练方法及装置，涉及网络安全技术领域。具体实现方案为：获取种子域名系统DNS查询数据包；获取指定DNS服务器的地址信息和待检验目标主机的IP地址信息；根据指定DNS服务器的地址信息和待检验目标主机的IP地址信息更新种子DNS查询数据包；根据更新后的种子DNS查询数据包生成DNS查询数据包，基于更新后的种子DNS查询数据包和DNS查询数据包产生DNS反射放大攻击流量，以用于检验目标主机的防御系统。本公开可实现在满足灵活性的同时，提高DNS反射放大攻击演练的攻击流量生成速度，提升网络安全攻防演练的攻击效率。全攻防演练的攻击效率。全攻防演练的攻击效率。

【技术实现步骤摘要】
基于可编程交换机的攻防演练方法及装置


[0001]本公开涉及网络安全
，尤其涉及一种基于可编程交换机的攻防演练方法及装置。

技术介绍

[0002]随着互联网时代的发展，人们日常使用的网站也越来越多。由于使用IP(Internet Protocol)地址来记忆各个网站比较困难，所以就产生了使用主机名称来表示对应的服务器，主机名称通过域名解析的过程转换成IP地址。规范这类过程的协议称为DNS(Domain Name System，域名系统)。
[0003]DNS反射放大攻击主要是利用DNS网络协议应答数据包比请求数据包体积大的特点，向目标服务器发送大量的请求，从而使目标服务器被压垮的攻击方式。攻击者通过将请求包的源IP地址伪造为受害者的IP地址，将应答包的流量引入受害的服务器，占用被攻击者的网络资源，阻塞正常的网络服务。
[0004]现有的DNS反射放大攻击产生方法多是通过编写软件脚本产生异常流量，再通过主机网卡将异常流量发送到网络中发起攻击。这类方式的缺点是软件产生异常流量的速度较慢(多为千兆级)，攻击效率不高。攻击方需要同时控制大量的主机进行操作，费时费力。

技术实现思路

[0005]本公开提供了一种基于可编程交换机的攻防演练方法及装置。
[0006]根据本公开的第一方面，提供了一种基于可编程交换机的攻防演练方法，包括：
[0007]获取种子域名系统DNS查询数据包；
[0008]获取指定DNS服务器的地址信息和待检验目标主机的IP地址信息；
[0009]根据所述指定DNS服务器的地址信息和所述待检验目标主机的IP地址信息更新所述种子DNS查询数据包；
[0010]根据更新后的所述种子DNS查询数据包生成DNS查询数据包，基于更新后的种子DNS查询数据包和DNS查询数据包产生DNS反射放大攻击流量，以用于检验所述目标主机的防御系统。
[0011]根据本公开的第二方面，提供了一种基于可编程交换机的攻防演练装置，包括：
[0012]第一获取模块，用于获取种子域名系统DNS查询数据包；
[0013]第二获取模块，获取指定DNS服务器的地址信息和待检验目标主机的IP地址信息；
[0014]更新模块，用于根据所述指定DNS服务器的地址信息和所述待检验目标主机的IP地址信息更新所述种子DNS查询数据包；
[0015]攻防演练模块，用于根据更新后的所述种子DNS查询数据包生成DNS查询数据包，基于更新后的种子DNS查询数据包和DNS查询数据包产生DNS反射放大攻击流量，以用以检验所述目标主机的防御系统。
[0016]根据本公开的第三方面，提供了一种攻防演练系统，包括：
[0017]电子设备，被配置为生成种子域名系统DNS查询数据包；
[0018]可编程交换机，被配置为实现前述第一方面所述的方法。
[0019]根据本公开的第四方面，提供了一种可编程交换机，包括：
[0020]至少一个处理器；以及
[0021]与至少一个处理器通信连接的存储器；其中，
[0022]存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行前述第一方面所述的方法。
[0023]根据本公开的第五方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，计算机指令用于使计算机执行前述第一方面所述的方法。
[0024]根据本公开的技术方案，依托可编程交换机高灵活性及高吞吐性的特点，基于可编程交换机快速生成DNS反射放大攻击流量检验被攻击方的防御系统，以进行攻防演练。相较于传统的攻防演练方案，本公开所提出的方案可以提高流量的生成速率以快速生成大规模流量，并且无需控制大量设备即可省时省力的完成DNS反射放大攻击攻防演练。
[0025]应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0026]附图用于更好地理解本方案，不构成对本公开的限定。其中：
[0027]图1是本公开实施例提供的一种基于可编程交换机实现的DNS反射放大攻击演练方法的流程示意图；
[0028]图2是本公开实施例提供的一种生成种子DNS查询数据包的流程示意图；
[0029]图3是本公开实施例提供的基于P4语言的DNS反射放大攻防演练程序设计的流程示意图；
[0030]图4是本公开实施例提供的一种基于可编程交换机实现的DNS反射放大攻击演练装置的结构框图；
[0031]图5是本公开实施例提供的基于可编程交换机实现的DNS反射放大攻击演练系统的交互流程示意图。
[0032]图6是用以实现本公开实施例的一种用以实现基于可编程交换机的攻防演练方法的可编程交换机的框图。
具体实施方式
[0033]以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
[0034]首先，为了方便本领域技术人员对本公开的理解，下面先对DNS协议工作流程进行简介，该DNS协议工作流程可包括如下步骤101
’
至步骤106
’
：
[0035]步骤101
’
：用户向最邻近的DNS缓存服务器询问某个域名(例如www.example.com)的IP地址。
[0036]步骤102
’
：如果该服务器没有域名对应的网址，该服务器会向根域名服务器发送查询请求。
[0037]步骤103
’
：根权威服务器告诉缓存服务器其他权威服务器的地址。
[0038]步骤104
’
：缓存服务器向其他权威服务器查询。
[0039]步骤105
’
：权威服务器向缓存服务器返回域名对应的IP地址。
[0040]步骤106
’
：缓存服务器向用户返回域名对应的IP地址。
[0041]值得注意的是，步骤104
’
和105
’
一般会进行多次，查询时会先向顶级域名进行询问，接着依次向二级、三级域名服务器进行查询，因此缓存服务器也被称为递归服务器。
[0042]需要说明的是，DNS反射放大攻击主要是利用DNS网络协议应答数据包比请求数据包体积大的特点，向目标服务器发送大量的请求，从而使目标服务器被压垮的攻击方式。攻击者通过将请求包的源IP地址伪造为受害者的IP地址，将应答包的流量引入受害的服务器，占用被攻击者的网络资源，阻塞正常的网络服务。
[0043]然而，由于现有的DNS反射放大攻击演练方法多是通过软件编写本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可编程交换机的攻防演练方法，其特征在于，所述方法包括：获取种子域名系统DNS查询数据包；获取指定DNS服务器的地址信息和待检验目标主机的IP地址信息；根据所述指定DNS服务器的地址信息和所述待检验目标主机的IP地址信息更新所述种子DNS查询数据包；根据更新后的所述种子DNS查询数据包生成DNS查询数据包，基于更新后的所述种子DNS查询数据包和所述DNS查询数据包产生DNS反射放大攻击流量，以用于检验所述目标主机的防御系统。2.如权利要求1所述的方法，其特征在于，所述获取种子DNS查询数据包，包括：获取待处理数据包；对所述待处理数据包进行解析，得到所述待处理数据包中的端口号、查询请求/响应QR字段及期望递归RD字段；确定所述待处理数据包中的端口号为预设端口号，确定所述待处理数据包中的QR字段为第一预设值且RD字段为第二预设值，则将所述待处理数据包确定为所述种子DNS查询数据包。3.如权利要求1所述的方法，其特征在于，所述根据所述指定DNS服务器的地址信息和所述待检验目标主机的IP地址信息更新所述种子DNS查询数据包，包括：根据所述指定DNS服务器的地址信息和所述待检验目标主机的IP地址信息，替换所述种子DNS查询数据包之中对应的字段的值。4.如权利要求1所述的方法，其特征在于，所述根据更新后的所述种子DNS查询数据包生成DNS查询数据包，包括：基于更新后的种子DNS查询数据包首部与种子DNS查询数据包包身进行克隆，以得到克隆数据包首部及其包身，并将所述种子DNS查询数据包及克隆数据包首部与各自对应的包身进行拼接结合；将所述克隆数据包确定为所述DNS查询数据包。5.如权利要求1所述的方法，其特征在于，所述基于更新后的所述种子DNS查询数据包和所述DNS查询数据包产生DNS反射放大攻击流量，包括：将更新后的种子DNS查询数据包发送到所述指定DNS服务器，其中，所述种子DNS查询数据包用于所述指定DNS服务器向所述目标主机返回DNS响应数据包；采用所述基于可编程交换机的回环技术，将所述DNS查询数据包作为新的种子DNS查询数据包，并返回执行所述获取指定DNS服务器的地址信息和待检验目标主机的IP地址信息的步骤，以产生DNS反射放大攻击流量。6.如权利要求1所述的方法，其特征在于，所述获取指定DNS服务器的地址...

【专利技术属性】
技术研发人员：王德志，申旭辉，王榆涵，孙财新，耿元龙，潘霄峰，俞亚勇，任晓馗，庞逸晨，郝健强，章怡晨，
申请(专利权)人：中国华能集团清洁能源技术研究院有限公司华能海上风电科学技术研究有限公司，
类型：发明
国别省市：