【技术实现步骤摘要】
本申请涉及网络安全,具体地涉及一种dns反射放大攻击防护方法、防火墙设备、系统及机器可读存储介质。
技术介绍
1、dns(domain name system,域名系统)是互联网重要的基础服务,它是几乎所有应用安全可靠运行的基础,可谓是互联网基础设施中的基础设施。因其独特地位,dns也是网络攻击的重要目标。围绕域名和域名系统的经济、政治和法律问题也是近年来网络空间治理领域关注的焦点。dns反射放大攻击是一种利用dns服务器进行攻击的网络攻击手段。攻击者通过伪造ip等方法,模拟被攻击目标向dns服务器发送大量的dns查询请求,并将请求的回应报文长度放大后发送到攻击目标,导致攻击目标收到大量的dns回应报文,所在网络链路拥塞,以及占用大量dns服务器资源。
2、针对dns反射放大攻击,现有的一些方案,虽然可以基于dns报文流量或者dns报文特征来判断是否存在dns反射放大攻击,但大多检测方法受限于dns拓展协议的配置权限、复杂的计算流程等因素,对防护设备的性能要求较高且使用范围有限。
技术实现思路
1、本申请实施例的目的是提供一种dns反射放大攻击防护方法、防火墙设备、系统及机器可读存储介质。
2、为了实现上述目的,本申请第一方面提供一种dns反射放大攻击防护方法,应用于防火墙设备,dns反射放大攻击防护方法包括:
3、在防护功能开启的情况下,获取dns请求报文,其中,dns请求报文包括源协议ip、源端口以及真实ip,其中,真实ip为发送dns请求报
4、基于源ip和真实ip确定是否需要阻断dns请求报文;
5、在需要阻断dns请求报文的情况下,基于源ip和源端口确定dns请求报文速率是否达到第一阈值;
6、在dns请求报文速率达到第一阈值的情况下,发送预警通知至控制设备,以使控制设备封堵源ip和源端口。
7、在本申请实施例中,防护方法还包括:
8、在防护功能未开启的情况下,确定自动检测功能是否开启;
9、在自动检测功能开启的情况下,确定dns请求报文速率是否达到第二阈值,其中,第二阈值小于第一阈值;
10、在dns请求报文速率达到第二阈值的情况下,基于dns请求报文速率和dns请求报文速率达到第二阈值的时间生成防护启动通知;
11、将防护启动通知发送至控制设备,以使控制设备控制防火墙设备开启防护功能。
12、在本申请实施例中,在dns请求报文速率达到第二阈值的情况下,基于dns请求报文速率和dns请求报文速率达到第二阈值的时间生成防护启动通知,包括:
13、在dns请求报文速率达到第二阈值的情况下,判断源ip和源端口是否处于预设白名单中;
14、在源ip和源端口均未处于预设白名单中的情况下,基于dns请求报文速率和dns请求报文速率达到第二阈值的时间生成防护启动通知。
15、在本申请实施例中,基于源ip和真实ip确定是否需要阻断dns请求报文,包括:
16、判断源ip和真实ip是否相同;
17、在源ip与真实ip相同的情况下,确定不需要阻断dns请求报文;
18、在源ip与真实ip不相同的情况下,确定需要阻断dns请求报文。
19、在本申请实施例中,在源ip与真实ip相同的情况下,确定不需要阻断dns请求报文的步骤之后,还包括:
20、删除dns请求报文中的真实ip,并放行dns请求报文。
21、在本申请实施例中,在dns请求报文速率达到第一阈值的情况下,发送预警通知至控制设备,以使控制设备控制终端设备封堵源ip和源端口,包括:
22、在dns请求报文速率达到第一阈值的情况下,判断源ip和源端口是否处于预设白名单中;
23、在源ip和源端口未处于预设白名单中的情况下,将源ip和源端口记录至预设黑名单,并发送预警通知至控制设备,以使控制设备控制终端设备封堵源ip和源端口。
24、在本申请实施例中,防护方法还包括:
25、确定预设检测周期内所有dns请求报文对应的dns请求报文速率;
26、确定所有dns请求报文中是否存在dns请求报文速率达到第一阈值的目标dns请求报文;
27、在存在目标dns请求报文,且目标dns请求报文中的源ip和源端口均处于预设白名单的情况下,发送防护关闭通知至控制设备,以使控制设备关闭防护功能;
28、在不存在目标dns请求报文的情况下,发送防护关闭通知至控制设备,以使控制设备关闭防护功能。
29、本专利技术第二方面提供了一种防火墙设备,包括:
30、存储器,被配置成存储指令;以及
31、处理器,被配置成从存储器调用指令以及在执行指令时能够实现如上述实施例所述的dns反射放大攻击防护方法。
32、本专利技术第三方面提供了一种dns反射放大攻击防护系统,包括:
33、如上述实施例所述的防火墙设备;以及
34、控制设备,用于封堵源ip和源端口。
35、本专利技术第四方面提供了一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令用于使得机器执行如上述实施例所述的dns反射放大攻击防护方法。
36、通过上述技术方案,防火墙设备在防护功能开启的情况下,获取dns请求报文,其中,dns请求报文包括源协议ip、源端口以及真实ip。通过获取源ip和真实ip为是否存在dns反射放大攻击提供有力的判断依据。从而基于源ip和真实ip确定是否需要阻断dns请求报文;在需要阻断dns请求报文的情况下,基于源ip和源端口确定dns请求报文速率是否达到第一阈值;在dns请求报文速率达到第一阈值的情况下,发送预警通知至控制设备,以使控制设备封堵源ip和源端口。通过第一阈值对dns请求报文速率进行判断,提升dns反射放大攻击检测的精准性,提升防火墙设备的工作效率。
37、本申请实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
本文档来自技高网...【技术保护点】
1.一种域名系统DNS反射放大攻击防护方法,其特征在于,应用于防火墙设备,所述DNS反射放大攻击防护方法包括:
2.根据权利要求1所述的防护方法,其特征在于,所述防护方法还包括:
3.根据权利要求2所述的防护方法,其特征在于,所述在所述DNS请求报文速率达到所述第二阈值的情况下,基于所述DNS请求报文速率和所述DNS请求报文速率达到所述第二阈值的时间生成防护启动通知,包括:
4.根据权利要求1所述的防护方法,其特征在于,所述基于所述源IP和所述真实IP确定是否需要阻断所述DNS请求报文,包括:
5.根据权利要求4所述的防护方法,其特征在于,所述在所述源IP与所述真实IP相同的情况下,确定不需要阻断所述DNS请求报文的步骤之后,还包括:
6.根据权利要求1所述的防护方法,其特征在于,所述在所述DNS请求报文速率达到所述第一阈值的情况下,发送预警通知至控制设备,以使所述控制设备控制终端设备封堵所述源IP和所述源端口,包括:
7.根据权利要求1所述的防护方法,其特征在于,所述防护方法还包括:
8.一种防
9.一种DNS反射放大攻击防护系统,其特征在于,包括:
10.一种机器可读存储介质,其特征在于,该机器可读存储介质上存储有指令,该指令用于使得机器执行根据权利要求1至7中任一项所述的DNS反射放大攻击防护方法。
...【技术特征摘要】
1.一种域名系统dns反射放大攻击防护方法,其特征在于,应用于防火墙设备,所述dns反射放大攻击防护方法包括:
2.根据权利要求1所述的防护方法,其特征在于,所述防护方法还包括:
3.根据权利要求2所述的防护方法,其特征在于,所述在所述dns请求报文速率达到所述第二阈值的情况下,基于所述dns请求报文速率和所述dns请求报文速率达到所述第二阈值的时间生成防护启动通知,包括:
4.根据权利要求1所述的防护方法,其特征在于,所述基于所述源ip和所述真实ip确定是否需要阻断所述dns请求报文,包括:
5.根据权利要求4所述的防护方法,其特征在于,所述在所述源ip与所述真实ip相同的...
【专利技术属性】
技术研发人员:刘孝达,晏尉,范鸿雷,
申请(专利权)人:北京天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。