一種dns防御攻擊的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種DNS防御攻擊的方法及系統(tǒng)�,屬于通信技術(shù)領(lǐng)域,其可至少部分解決現(xiàn)有的DNS防御攻擊的方法不能準確無誤地判定DNS是否遭受攻擊的問題�����。本發(fā)明的DNS防御攻擊的方法根據(jù)統(tǒng)計IP地址發(fā)送域名解析請求的實際數(shù)量N和端口發(fā)送的實際數(shù)量Np�����,計算出IP地址發(fā)送域名解析請求的預(yù)測數(shù)量Nf和端口發(fā)送域名解析請求的預(yù)測數(shù)量Npf����;然后���,根據(jù)Nf��、Npf以及攻擊判定閥值����,判定IP地址以及端口是否向主域名服務(wù)器發(fā)出攻擊�����,相比現(xiàn)有技術(shù)中只根據(jù)統(tǒng)計的實際數(shù)量和預(yù)設(shè)閥值來判斷主域名服務(wù)器是否遭受攻擊��,能夠更加準確地判定主域名服務(wù)器是否遭受攻擊,避免將正常用戶誤判為發(fā)起攻擊的用戶�、導(dǎo)致其無法正常使用互聯(lián)網(wǎng)。
【專利說明】
一種DNS防御攻擊的方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于通信技術(shù)領(lǐng)域���,具體涉及一種DNS防御攻擊的方法及系統(tǒng)�。
【背景技術(shù)】
[0002]DNS是域名系統(tǒng)(Domain Name System)的縮寫��,它是由解析器和域名服務(wù)器組成�����。域名服務(wù)器(DNS Server)是指保存有該網(wǎng)絡(luò)中所有主機的域名和對應(yīng)IP地址�����,并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器��。DNS解析域名的流程大體如下:首先由用戶發(fā)起域名解析請求���,本地DNS服務(wù)器收到該請求后����,會在本地緩存中查找�,如果沒有找到����,則會向上一級DNS服務(wù)器發(fā)起請求�����,上一級DNS服務(wù)器會將解析結(jié)果通過回應(yīng)報文返回給本地DNS服務(wù)器�����,本地DNS服務(wù)器將解析結(jié)果返回給本次請求解析該域名的用戶���。
[0003]近年來DNS攻擊事件屢屢發(fā)生��,DNS遭受攻擊的常見形式是:攻擊方向DNS服務(wù)器發(fā)送大量域名解析請求報文��,致使DNS服務(wù)器嚴重超載,無法繼續(xù)響應(yīng)正常用戶的DNS請求�����,從而達到攻擊的目的���。
[0004]現(xiàn)有技術(shù)中���,DNS防御攻擊的方法主要是通過統(tǒng)計周期內(nèi)請求次數(shù)��,正常的域名請求次數(shù)一般是不超過一定閥值的����,如果超過此閥值����,就認為發(fā)出該請求的IP地址為攻擊源,便將此IP地址過濾����。
[0005]發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題:
[0006]1.正常的域名請求次數(shù)的閥值不易設(shè)定,因此���,不能準確無誤地判定DNS是否遭受攻擊���;
[0007]2.DNS遭受攻擊到解除攻擊的過程中,DNS性能極大降低�,將影響DNS為正常用戶提供域名解析服務(wù),導(dǎo)致正常用戶不能正常使用互聯(lián)網(wǎng)�。
[0008]因此,設(shè)計一種DNS防御攻擊的方法及系統(tǒng)����,能夠較為準確地判定DNS是否遭受攻擊����,以及能夠在解除攻擊的過程中使DNS保持良好的性能�,這是目前亟待解決的技術(shù)問題。
【發(fā)明內(nèi)容】
[0009]本發(fā)明為至少部分地解決現(xiàn)有的上述的問題��,提供一種DNS防御攻擊的方法及系統(tǒng)���,該DNS防御攻擊的方法及系統(tǒng)能夠較為準確地判定DNS是否遭受攻擊�����,以及能夠在解除攻擊的過程中使DNS保持良好的性能���。
[0010]解決本發(fā)明技術(shù)問題所采用的技術(shù)方案是:一種DNS防御攻擊的方法,包括:
[0011]統(tǒng)計每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量N�,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量Np;
[0012]根據(jù)實際數(shù)量N和實際數(shù)量Np,計算每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf����,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量NPf ��;
[0013]預(yù)設(shè)攻擊判定閥值,根據(jù)預(yù)測數(shù)量Nf判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊;以及���,在該IP地址向主域名服務(wù)器發(fā)出攻擊的情況下����,根據(jù)該IP地址的每個端口的Npf判斷該端口是否向主域名服務(wù)器發(fā)出攻擊���;
[0014]過濾向主域名服務(wù)器發(fā)出攻擊的端口���,以降低主域名服務(wù)器的使用狀態(tài)值。
[0015]優(yōu)選的是�,預(yù)設(shè)的攻擊判定閥值包括第一數(shù)量閥值t和第二數(shù)量閥值U,
[0016]判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊包括:計算每個IP地址的N-Nf�����,若N-Nf>t�,則判定該IP地址向主域名服務(wù)器發(fā)出攻擊;
[0017]以及��,判斷該端口是否向主域名服務(wù)器發(fā)出攻擊包括:計算該IP地址的每個端口的Np-Npf���,若Np-Npf > u�,則判定該端口向主域名服務(wù)器發(fā)出攻擊。
[0018]優(yōu)選的是�,IP地址第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf(c+1)的計算公式為:
[0019]Nf (c+i) =Mi*Ni+M2*N2+...+Mc*Nc
[0020]式中,N���。為IP地址第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量����,Μ���。為N�。的權(quán)重參數(shù)�����,Μι+Μ2+..-+Mc = I ο
[0021]優(yōu)選的是��,端口第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Npf(c+1)的計算公式為:
[0022]Npf (c+i) =ffi*NPi+ff2*NP2+..-+Wc^Npc
[0023]式中�,Npc為端口第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量,Wc為Npc的權(quán)重參數(shù)�����,Wi+W2+."+Wc = I���。
[0024]優(yōu)選的是��,還包括:
[0025]實時監(jiān)測主域名服務(wù)器的使用狀態(tài)值�,當主域名服務(wù)器的使用狀態(tài)值大于使用閥值時�,則相繼啟動輔助域名服務(wù)器,使主域名服務(wù)器和輔助域名服務(wù)器共同為用戶提供域名解析服務(wù)��;
[0026]當過濾向主域名服務(wù)器發(fā)出攻擊的端口后��、且主域名服務(wù)器的使用狀態(tài)值小于或等于使用閥值�,則相繼關(guān)閉輔助域名服務(wù)器;其中,主域名服務(wù)器的使用狀態(tài)值的計算公式為:
[0027]r = qi*pi+q2*p2+q3*p3
[0028]式中��,r為主域名服務(wù)器的使用狀態(tài)值���,qi為主域名服務(wù)器的CPU的使用比例參數(shù)����,pACPU的使用比例參數(shù)所占的比重���,q2為主域名服務(wù)器的內(nèi)存的使用比例參數(shù)�,p2為內(nèi)存的使用比例參數(shù)所占的比重,q3為主域名服務(wù)器的帶寬的使用比例參數(shù)���,P3為帶寬的使用比例參數(shù)所占的比重�����。
[0029]本發(fā)明提供的另一技術(shù)方案:一種DNS防御攻擊的系統(tǒng)�����,包括攻擊源探測單元�����,所述攻擊源探測單元包括實際數(shù)量統(tǒng)計模塊��、預(yù)測數(shù)量計算模塊���、攻擊源鎖定模塊和攻擊源過濾模塊,其中:
[0030]所述實際數(shù)量統(tǒng)計模塊���,用于統(tǒng)計每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量N���,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量Np;
[0031]所述預(yù)測數(shù)量計算模塊,用于根據(jù)實際數(shù)量N和實際數(shù)量Np,計算每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf���,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Npf;
[0032]所述攻擊源鎖定模塊�,用于預(yù)設(shè)攻擊判定閥值��,根據(jù)預(yù)測數(shù)量Nf判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊��;以及�,在該IP地址向主域名服務(wù)器發(fā)出攻擊的情況下����,根據(jù)該IP地址的每個端口的Npf判斷該端口是否向主域名服務(wù)器發(fā)出攻擊;
[0033]所述攻擊源過濾模塊���,用于過濾向主域名服務(wù)器發(fā)出攻擊的端口�,以降低主域名服務(wù)器的使用狀態(tài)值�。
[0034]優(yōu)選的是,所述攻擊源鎖定模塊預(yù)設(shè)的攻擊判定閥值包括第一數(shù)量閥值t和第二數(shù)量閥值U�����,
[0035]判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊包括:計算每個IP地址的N-Nf���,若N-Nf>t�,則判定該IP地址向主域名服務(wù)器發(fā)出攻擊;
[0036]以及�,判斷該端口是否向主域名服務(wù)器發(fā)出攻擊包括:計算該IP地址的每個端口的Np-Npf,若Np-Npf > u����,則判定該端口向主域名服務(wù)器發(fā)出攻擊。
[0037]優(yōu)選的是��,所述預(yù)測數(shù)量計算模塊計算IP地址第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nfk+υ所采用的公式為:
[0038]Nf (c+i) =Mi*Ni+M2*N2+...+Mc*Nc
[0039]式中����,N。為IP地址第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量�,M。為Nc的權(quán)重參數(shù)���,Μι+Μ2+..-+Mc = I ο
[0040]優(yōu)選的是�,所述預(yù)測數(shù)量計算模塊計算端口第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量ΝΡ&+υ所采用的公式為:
[0041 ] Npf (c+l) =ffl*NPl+ff2*NP2+..-+ffc^Npc
[0042]式中���,Npc為端口第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量����,Wc為Npc的權(quán)重參數(shù),Wi+W2+."+Wc = I�。
[0043]優(yōu)選的是,還包括使用狀態(tài)監(jiān)控單元和開關(guān)控制單元����,其中:
[0044]所述使用狀態(tài)監(jiān)控單元,與主域名服務(wù)器連接���,用于實時監(jiān)測主域名服務(wù)器的使用狀態(tài)值;
[0045]所述開關(guān)控制單元�,與輔助域名服務(wù)器和所述使用狀態(tài)監(jiān)控單元連接,用于當主域名服務(wù)器的使用狀態(tài)值大于使用閥值時�����,則相繼啟動輔助域名服務(wù)器���,使主域名服務(wù)器和輔助域名服務(wù)器共同為用戶提供域名解析服務(wù)��;
[0046]當過濾向主域名服務(wù)器發(fā)出攻擊的端口后����、且主域名服務(wù)器的使用狀態(tài)值小于或等于使用閥值����,則相繼關(guān)閉輔助域名服務(wù)器;其中���,主域名服務(wù)器的使用狀態(tài)值的計算公式為:
[0047]r = qi*pi+q2*p2+q3*p3
[0048]式中,r為主域名服務(wù)器的使用狀態(tài)值�����,qi為主域名服務(wù)器的CPU的使用比例參數(shù)�,pACPU的使用比例參數(shù)所占的比重,q2為主域名服務(wù)器的內(nèi)存的使用比例參數(shù)�,p2為內(nèi)存的使用比例參數(shù)所占的比重,q3為主域名服務(wù)器的帶寬的使用比例參數(shù)�,P3為帶寬的使用比例參數(shù)所占的比重。
[0049]本發(fā)明提供的DNS防御攻擊的方法及系統(tǒng)����,首先,根據(jù)統(tǒng)計IP地址發(fā)送域名解析請求的實際數(shù)量N和端口發(fā)送的實際數(shù)量Np���,計算出IP地址發(fā)送域名解析請求的預(yù)測數(shù)量Nf和端口發(fā)送域名解析請求的預(yù)測數(shù)量Npf;然后����,根據(jù)Nf����、Npf以及攻擊判定閥值�,判定IP地址以及端口是否向主域名服務(wù)器發(fā)出攻擊�����,相比現(xiàn)有技術(shù)中只根據(jù)統(tǒng)計的實際數(shù)量和預(yù)設(shè)閥值來判斷主域名服務(wù)器是否遭受攻擊���,能夠更加準確地判定主域名服務(wù)器是否遭受攻擊�����,避免將正常用戶誤判為發(fā)起攻擊的用戶、導(dǎo)致其無法正常使用互聯(lián)網(wǎng)�����。
[0050]其次�����,在主域名服務(wù)器遭受攻擊���,使其使用狀態(tài)值小于或等于使用閥值時��,相繼啟動輔助域名服務(wù)器�����,使主域名服務(wù)器和輔助域名服務(wù)器共同為用戶提供域名解析服務(wù)��,能夠保證用戶在主域名服務(wù)器遭受攻擊到解除攻擊的過程中����,依然能正常使用互聯(lián)網(wǎng)。
【附圖說明】
[0051 ]圖1為本發(fā)明的實施例1的DNS防御攻擊的方法的流程示意圖���;
[0052]圖2為本發(fā)明的實施例2的DNS防御攻擊的系統(tǒng)的組成示意框圖�����;
[0053]其中���,附圖標記為:
[0054]10、攻擊源探測單元;11��、實際數(shù)量統(tǒng)計模塊�����;12、預(yù)測數(shù)量計算模塊;13����、攻擊源鎖定模塊;14�����、攻擊源過濾模塊;20�、使用狀態(tài)監(jiān)控單元;30、開關(guān)控制單元;40����、主域名服務(wù)器;50�、輔助域名服務(wù)器。
【具體實施方式】
[0055]為使本領(lǐng)域技術(shù)人員更好地理解本發(fā)明的技術(shù)方案�,下面結(jié)合附圖和【具體實施方式】對本發(fā)明作進一步詳細描述���。
[0056]實施例1:
[0057]本實施例提供一種DNS防御攻擊的方法�����,該方法能夠準確鎖定發(fā)起攻擊的IP地址及其端口���,并過濾該端口��。
[0058]圖1為本實施例的DNS防御攻擊的方法流程示意圖��,如圖1所示���,該方法包括以下步驟:
[0059]步驟S1:統(tǒng)計每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量N,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量NP�����。
[0060]一個主域名服務(wù)器管轄多個用戶����,這些用戶都是私網(wǎng)IP地址,私網(wǎng)IP地址必須通過公網(wǎng)IP地址才能訪問主域名服務(wù)器進行域名解析�。在該步驟中,統(tǒng)計每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量N��,例如���,第C天第d個公網(wǎng)IP地址發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量可記為Nm每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量Np�,例如,第c天第d個公網(wǎng)IP地址的第P個端口發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量可記為nm�。
[0061]這樣,即可清楚地統(tǒng)計記錄每個IP地址及其各個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量�����。
[0062]步驟S2:根據(jù)實際數(shù)量N和實際數(shù)量Np�����,計算每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf����,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Npf。
[0063]根據(jù)每天統(tǒng)計記錄的IP地址發(fā)送域名解析請求的實際數(shù)量N�,計算出該IP地址第二天發(fā)送域名解析請求的預(yù)測數(shù)量Nf,相應(yīng)的���,IP地址第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf (�。+1)的計算公式為:
[0064]Nf(c+i)=Mi*Ni+M2*N2+H.+Mc*Nc (I)
[0065]式中��,N�����。為IP地址第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量����,Μ。為N�。的權(quán)重參數(shù),Ml+M2 +..-+Mc= I O
[0066]具體的�,第c+1天第d個公網(wǎng)IP地址發(fā)送域名解析請求的預(yù)測數(shù)量可記為Nf(c+1)d,其計算公式為:
[0067]Nf(c+i)d=Mi*Nid+M2*N2d+...+Mc*Ncd (2)
[0068]式中�,Nd為第d個IP地址第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量。
[0069]按照公式(I)和(2)�,即可計算出每個IP地址每天發(fā)送域名解析請求的預(yù)測數(shù)量
Nf0
[0070]根據(jù)每天統(tǒng)計記錄的端口發(fā)送域名解析請求的實際數(shù)量NP,計算出該端口第二天發(fā)送域名解析請求的預(yù)測數(shù)量Npf�,相應(yīng)的,端口第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Npf (c+1)的計算公式為:
[0071]Npf (c+i) =ffi*NPi+ff2*NP2+..-+Wc^Npc (3)
[0072]式中�����,Npc為端口第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量��,W�����。為Npc的權(quán)重參數(shù)����,Wi+W2+."+Wc = I���。
[0073]具體的,第c+1天第d個公網(wǎng)IP地址的第P個端口發(fā)送域名解析請求的預(yù)測數(shù)量可記為NPf (c+i)d���,其計算公式為:
[0074]Npf (c+i)d=ffi*Npid+ff2*Np2d+..-+ffc^Npcd (4)
[0075]式中����,Npcd為第d個公網(wǎng)IP地址的第P個端口第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量���。
[0076]按照公式(3)和(4)�����,即可計算出每個端口每天發(fā)送域名解析請求的預(yù)測數(shù)量Npf�。
[0077]此外�,為了使第c+1天第d個公網(wǎng)IP地址的預(yù)測數(shù)量Nf(c+1)d盡可能地接近第c+1天第d個公網(wǎng)IP地址的實際數(shù)量N(c;+1)d�����,優(yōu)選�����,C越大����,W。隨之越大�,以提高預(yù)測數(shù)量的精準度。
[0078]同理��,為了使第c+1天第d個公網(wǎng)IP地址的第P個端口的預(yù)測數(shù)量Npf(c+1)d盡可能地接近第c+1天第d個公網(wǎng)IP地址的的第P個端口的實際數(shù)量NP(c���;+1)d����,優(yōu)選���,c越大���,W。隨之越大�,以提高預(yù)測數(shù)量的精準度。
[0079]步驟S3:預(yù)設(shè)攻擊判定閥值�����,根據(jù)預(yù)測數(shù)量Nf判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊;以及�����,在該IP地址向主域名服務(wù)器發(fā)出攻擊的情況下�,根據(jù)該IP地址的每個端口的Npf判斷該端口是否向主域名服務(wù)器發(fā)出攻擊。
[0080]具體的�,預(yù)設(shè)的攻擊判定閥值包括第一數(shù)量閥值t和第二數(shù)量閥值iut和u的具體大小可根據(jù)本方法運用的場景靈活設(shè)定。
[0081 ]判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊包括:計算每個IP地址的N-Nf����,若N-Nf>t,則判定該IP地址向主域名服務(wù)器發(fā)出攻擊��。
[0082]判斷該端口是否向主域名服務(wù)器發(fā)出攻擊包括:計算該IP地址的每個端口的Np-Npf�,若Np-Npf > u����,則判定該端口向主域名服務(wù)器發(fā)出攻擊�。
[0083]按照上述步驟,能夠首先找出發(fā)起攻擊的IP地址��,然后,進一步鎖定該IP地址中發(fā)起攻擊的端口����,從而精確地鎖定攻擊源�����。
[0084]步驟S4:過濾向主域名服務(wù)器發(fā)出攻擊的端口,以降低主域名服務(wù)器的使用狀態(tài)值���。
[0085]在步驟S3的基礎(chǔ)上,本步驟將向主域名服務(wù)器發(fā)出攻擊的端口過濾�����,能夠降低主域名服務(wù)器的使用狀態(tài)值,即恢復(fù)主域名服務(wù)器的性能���。
[0086]為了保證主域名服務(wù)器管轄下的用戶能夠一直正常接受域名解析服務(wù)��,對主域名服務(wù)器并聯(lián)連接至少一個輔助域名服務(wù)器���,并且�����,實時監(jiān)測主域名服務(wù)器的使用狀態(tài)值,當主域名服務(wù)器的使用狀態(tài)值大于使用閥值時�,則相繼啟動輔助域名服務(wù)器,使主域名服務(wù)器和輔助域名服務(wù)器共同為用戶提供域名解析服務(wù)���;
[0087]當過濾向主域名服務(wù)器發(fā)出攻擊的端口后�����、且主域名服務(wù)器的使用狀態(tài)值小于或等于使用閥值,則相繼關(guān)閉輔助域名服務(wù)器;其中����,主域名服務(wù)器的使用狀態(tài)值的計算公式為:
[0088]r = qi*pi+q2*p2+q3*p3
[0089]式中,r為主域名服務(wù)器的使用狀態(tài)值�,qi為主域名服務(wù)器的CPU的使用比例參數(shù),pACPU的使用比例參數(shù)所占的比重��,q2為主域名服務(wù)器的內(nèi)存的使用比例參數(shù)��,p2為內(nèi)存的使用比例參數(shù)所占的比重���,q3為主域名服務(wù)器的帶寬的使用比例參數(shù)�����,P3為帶寬的使用比例參數(shù)所占的比重����。
[0090]設(shè)定使用閥值為S,其具體大小值根據(jù)運用環(huán)境具體確定�����。當r>s時���,表示主域名服務(wù)器的性能已降低��,則相繼啟動輔助域名服務(wù)器�,相應(yīng)的增加帶寬�����;當s時����,表示主域名服務(wù)器的性能已恢復(fù),則相繼關(guān)閉輔助域名服務(wù)器,相應(yīng)的減小帶寬���。
[0091]此外�,在主域名服務(wù)器未遭受攻擊的情況下�����,由于該主域名服務(wù)器管轄下的用戶增加或者用戶訪問互聯(lián)網(wǎng)的頻率增加����,也可能導(dǎo)致主域名服務(wù)器的使用狀態(tài)值大于使用閥值,此時�,則先啟動第一臺輔助域名服務(wù)器,增加相應(yīng)的帶寬�,如果主域名服務(wù)器的使用狀態(tài)值仍然大于使用閥值,則相繼啟動第二臺輔助域名服務(wù)器����,增加相應(yīng)的帶寬��,以保證所有用戶正常使用互聯(lián)網(wǎng)����。在主域名服務(wù)器的使用狀態(tài)值逐漸減小時,則相繼關(guān)閉第二臺輔助域名服務(wù)器和第一臺輔助域名服務(wù)器��。
[0092 ]本實施例的DNS防御攻擊的方法����,根據(jù)Nf����、Npf以及攻擊判定閥值,判定IP地址以及端口是否向主域名服務(wù)器發(fā)出攻擊��,相比現(xiàn)有技術(shù)中只根據(jù)統(tǒng)計的實際數(shù)量和預(yù)設(shè)閥值來判斷主域名服務(wù)器是否遭受攻擊�����,能夠更加準確地判定主域名服務(wù)器是否遭受攻擊���,避免將正常用戶誤判為發(fā)起攻擊的用戶、導(dǎo)致其無法正常使用互聯(lián)網(wǎng)�����。其次�,在主域名服務(wù)器遭受攻擊����,使其使用狀態(tài)值小于或等于使用閥值時,相繼啟動輔助域名服務(wù)器���,使主域名服務(wù)器和輔助域名服務(wù)器共同為用戶提供域名解析服務(wù)�����,能夠保證用戶在主域名服務(wù)器遭受攻擊到解除攻擊的過程中��,依然能正常使用互聯(lián)網(wǎng)�����。
[0093]實施例2:
[0094]本實施例提供一種DNS防御攻擊的系統(tǒng),該系統(tǒng)為實現(xiàn)實施例1的方法的設(shè)備����。圖2為本實施例的DNS防御攻擊的系統(tǒng)的組成示意框圖,如圖2所示���,該系統(tǒng)包括與主域名服務(wù)器40相連的攻擊源探測單元10����,攻擊源探測單元10包括實際數(shù)量統(tǒng)計模塊11、預(yù)測數(shù)量計算模塊12���、攻擊源鎖定模塊13和攻擊源過濾模塊14,其中:
[0095]實際數(shù)量統(tǒng)計模塊11用于統(tǒng)計每個IP地址每天發(fā)送至主域名服務(wù)器40的域名解析請求的實際數(shù)量N,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器40的域名解析請求的實際數(shù)量Np�����。
[0096]例如�,第c天第d個公網(wǎng)IP地址的第P個端口發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量可記為Npcd�����。實際數(shù)量統(tǒng)計模塊即可清楚地統(tǒng)計記錄每個IP地址及其各個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量��。
[0097]預(yù)測數(shù)量計算模塊12用于根據(jù)實際數(shù)量N和實際數(shù)量Np���,計算每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf����,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Npf。
[0098]預(yù)測數(shù)量計算模塊12計算IP地址第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf(c+1)所采用的公式為:
[0099]Nf (c+i) =Mi*Ni+M2*N2+..-+Mc^Nc
[0100]式中���,N。為IP地址第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量�����,Μ�����。為N��。的權(quán)重參數(shù)�����,Μι+Μ2+..-+Mc = I ο
[0101]預(yù)測數(shù)量計算模塊12計算端口第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Npf(M)所采用的公式為:
[0102]Npf (c+i) =ffi*NPi+ff2*NP2+..-+Wc^Npc
[0103]式中,Npc為端口第c天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量��,W。為Npc的權(quán)重參數(shù)��,Wi+W2+."+Wc = I�����。
[0104]按照上述公式,即可計算出每個IP地址每天發(fā)送域名解析請求的預(yù)測數(shù)量Nf以及每個端口每天發(fā)送域名解析請求的預(yù)測數(shù)量Npf��。
[0105]攻擊源鎖定模塊13用于預(yù)設(shè)攻擊判定閥值�,根據(jù)預(yù)測數(shù)量Nf判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊�;以及��,在該IP地址向主域名服務(wù)器發(fā)出攻擊的情況下�,根據(jù)該IP地址的每個端口的Npf判斷該端口是否向主域名服務(wù)器發(fā)出攻擊。
[0106]攻擊源鎖定模塊13預(yù)設(shè)的攻擊判定閥值包括第一數(shù)量閥值t和第二數(shù)量閥值uο t和u的具體大小可根據(jù)本方法運用的場景靈活設(shè)定����。
[0107]判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊包括:計算每個IP地址的N-Nf,若N-Nf>t����,則判定該IP地址向主域名服務(wù)器發(fā)出攻擊�。
[0108]判斷該端口是否向主域名服務(wù)器發(fā)出攻擊包括:計算該IP地址的每個端口的Np-Npf,若Np-Npf > u,則判定該端口向主域名服務(wù)器發(fā)出攻擊。
[0109]按照上述判斷方式���,攻擊源鎖定模塊13能夠首先找出發(fā)起攻擊的IP地址���,然后,進一步鎖定該IP地址中發(fā)起攻擊的端口�,從而精確地鎖定攻擊源�。
[0110]攻擊源過濾模塊14用于過濾向主域名服務(wù)器發(fā)出攻擊的端口�����,以降低主域名服務(wù)器的使用狀態(tài)值����。
[0111]在攻擊源鎖定模塊13鎖定發(fā)起攻擊的IP地址及其端口之后,攻擊源過濾模塊14將向主域名服務(wù)器發(fā)出攻擊的端口過濾�,能夠降低主域名服務(wù)器的使用狀態(tài)值,即恢復(fù)主域名服務(wù)器的性能�。
[0112]為了保證主域名服務(wù)器管轄下的用戶能夠一直正常接受域名解析服務(wù)�����,對主域名服務(wù)器并聯(lián)連接至少一個輔助域名服務(wù)器50�,相應(yīng)的�����,該系統(tǒng)還包括使用狀態(tài)監(jiān)控單元20和開關(guān)控制單元30�����,其中:
[0113]使用狀態(tài)監(jiān)控單元20與主域名服務(wù)器40連接�����,用于實時監(jiān)測主域名服務(wù)器的使用狀態(tài)值�;
[0114]開關(guān)控制單元30與輔助域名服務(wù)器50和使用狀態(tài)監(jiān)控單元20連接���,用于當主域名服務(wù)器40的使用狀態(tài)值大于使用閥值時�,則相繼啟動輔助域名服務(wù)器50����,使主域名服務(wù)器40和輔助域名服務(wù)器50共同為用戶提供域名解析服務(wù)�����;
[0115]當過濾向主域名服務(wù)器發(fā)出攻擊的端口后���、且主域名服務(wù)器的使用狀態(tài)值小于或等于使用閥值�����,則相繼關(guān)閉輔助域名服務(wù)器50;其中,主域名服務(wù)器40的使用狀態(tài)值的計算公式為:
[0116]r = qi*pi+q2*p2+q3*p3
[0117]式中���,r為主域名服務(wù)器的使用狀態(tài)值��,qi為主域名服務(wù)器的CPU的使用比例參數(shù)����,pACPU的使用比例參數(shù)所占的比重,q2為主域名服務(wù)器的內(nèi)存的使用比例參數(shù)�����,p2為內(nèi)存的使用比例參數(shù)所占的比重,q3為主域名服務(wù)器的帶寬的使用比例參數(shù)��,P3為帶寬的使用比例參數(shù)所占的比重�。
[0118]設(shè)定使用閥值為S���,其具體大小值根據(jù)運用環(huán)境具體確定。當r>s時�����,表示主域名服務(wù)器的性能已降低,則開關(guān)控制單元30相繼啟動輔助域名服務(wù)器,相應(yīng)的增加帶寬���;當r< s時��,表示主域名服務(wù)器的性能已恢復(fù)���,則開關(guān)控制單元30相繼關(guān)閉輔助域名服務(wù)器,相應(yīng)的減小帶寬�。
[0119]本實施例的DNS防御攻擊的系統(tǒng),首先能夠更加準確地判定主域名服務(wù)器是否遭受攻擊�����,避免將正常用戶誤判為發(fā)起攻擊的用戶�、導(dǎo)致其無法正常使用互聯(lián)網(wǎng);其次���,在主域名服務(wù)器遭受攻擊�,使其使用狀態(tài)值小于或等于使用閥值時����,相繼啟動輔助域名服務(wù)器�,使主域名服務(wù)器和輔助域名服務(wù)器共同為用戶提供域名解析服務(wù),保證用戶在主域名服務(wù)器遭受攻擊到解除攻擊的過程中����,依然能正常使用互聯(lián)網(wǎng)���。
[0120]可以理解的是��,以上實施方式僅僅是為了說明本發(fā)明的原理而采用的示例性實施方式�����,然而本發(fā)明并不局限于此���。對于本領(lǐng)域內(nèi)的普通技術(shù)人員而言����,在不脫離本發(fā)明的精神和實質(zhì)的情況下��,可以做出各種變型和改進,這些變型和改進也視為本發(fā)明的保護范圍�����。
【主權(quán)項】
1.一種DNS防御攻擊的方法,其特征在于�,包括: 統(tǒng)計每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量N��,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量Np; 根據(jù)實際數(shù)量N和實際數(shù)量Np,計算每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf�,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Npf; 預(yù)設(shè)攻擊判定閥值��,根據(jù)預(yù)測數(shù)量Nf判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊;以及���,在該IP地址向主域名服務(wù)器發(fā)出攻擊的情況下��,根據(jù)該IP地址的每個端口的Npf判斷該端口是否向主域名服務(wù)器發(fā)出攻擊��; 過濾向主域名服務(wù)器發(fā)出攻擊的端口�����,以降低主域名服務(wù)器的使用狀態(tài)值����。2.根據(jù)權(quán)利要求1所述的DNS防御攻擊的方法,其特征在于��,預(yù)設(shè)的攻擊判定閥值包括第一數(shù)量閥值t和第二數(shù)量閥值u, 判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊包括:計算每個IP地址的N-Nf����,若N-Nf > t�,則判定該IP地址向主域名服務(wù)器發(fā)出攻擊; 以及�����,判斷該端口是否向主域名服務(wù)器發(fā)出攻擊包括:計算該IP地址的每個端口的Np-Npf,若Np-Npf > u,則判定該端口向主域名服務(wù)器發(fā)出攻擊�。3.根據(jù)權(quán)利要求1所述的DNS防御攻擊的方法����,其特征在于���,IP地址第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf (����。+1)的計算公式為:Nf(c+1) =Ml*Nl+M2*N2 +.*.+Mc^Nc 式中���,N����。為IP地址第C天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量����,Μ。為N����。的權(quán)重參數(shù)�,Μι+Μ2+...+Μ。= I��。4.根據(jù)權(quán)利要求1所述的DNS防御攻擊的方法�,其特征在于�,端口第C+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量ΝΡ&+υ的計算公式為: Npf (c+1) =Wl*Npl+ff2*Np2 +..-+Wc^Npc 式中���,Npc為端口第C天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量,W��。為Npc的權(quán)重參數(shù)�����,Wl+ff2+...+Wc = I。5.根據(jù)權(quán)利要求1所述的DNS防御攻擊的方法�����,其特征在于�����,還包括: 實時監(jiān)測主域名服務(wù)器的使用狀態(tài)值�����,當主域名服務(wù)器的使用狀態(tài)值大于使用閥值時��,則相繼啟動輔助域名服務(wù)器,使主域名服務(wù)器和輔助域名服務(wù)器共同為用戶提供域名解析服務(wù)���; 當過濾向主域名服務(wù)器發(fā)出攻擊的端口后���、且主域名服務(wù)器的使用狀態(tài)值小于或等于使用閥值����,則相繼關(guān)閉輔助域名服務(wù)器;其中����,主域名服務(wù)器的使用狀態(tài)值的計算公式為:r = qi*pi+q2*p2+q3*p3 式中�����,r為主域名服務(wù)器的使用狀態(tài)值��,qi為主域名服務(wù)器的CPU的使用比例參數(shù),�����?1為CHJ的使用比例參數(shù)所占的比重,q2為主域名服務(wù)器的內(nèi)存的使用比例參數(shù)�����,p2為內(nèi)存的使用比例參數(shù)所占的比重�,q3為主域名服務(wù)器的帶寬的使用比例參數(shù)�����,P3為帶寬的使用比例參數(shù)所占的比重�����。6.一種DNS防御攻擊的系統(tǒng)�����,其特征在于,包括攻擊源探測單元,所述攻擊源探測單元包括實際數(shù)量統(tǒng)計模塊�����、預(yù)測數(shù)量計算模塊�、攻擊源鎖定模塊和攻擊源過濾模塊��,其中: 所述實際數(shù)量統(tǒng)計模塊�,用于統(tǒng)計每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量N�,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量Np; 所述預(yù)測數(shù)量計算模塊�,用于根據(jù)實際數(shù)量N和實際數(shù)量Np���,計算每個IP地址每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf��,以及每個IP地址的每個端口每天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Npf; 所述攻擊源鎖定模塊����,用于預(yù)設(shè)攻擊判定閥值�����,根據(jù)預(yù)測數(shù)量Nf判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊�;以及�����,在該IP地址向主域名服務(wù)器發(fā)出攻擊的情況下�,根據(jù)該IP地址的每個端口的Npf判斷該端口是否向主域名服務(wù)器發(fā)出攻擊; 所述攻擊源過濾模塊���,用于過濾向主域名服務(wù)器發(fā)出攻擊的端口,以降低主域名服務(wù)器的使用狀態(tài)值�。7.根據(jù)權(quán)利要求6所述的DNS防御攻擊的系統(tǒng),其特征在于���,所述攻擊源鎖定模塊預(yù)設(shè)的攻擊判定閥值包括第一數(shù)量閥值t和第二數(shù)量閥值U���, 判斷該IP地址是否向主域名服務(wù)器發(fā)出攻擊包括:計算每個IP地址的N-Nf,若N-Nf > t�,則判定該IP地址向主域名服務(wù)器發(fā)出攻擊; 以及��,判斷該端口是否向主域名服務(wù)器發(fā)出攻擊包括:計算該IP地址的每個端口的Np-Npf�����,若Np-Npf > u,則判定該端口向主域名服務(wù)器發(fā)出攻擊��。8.根據(jù)權(quán)利要求6所述的DNS防御攻擊的系統(tǒng)�����,其特征在于�,所述預(yù)測數(shù)量計算模塊計算IP地址第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量Nf^1)所采用的公式為:Nf(c+1) =Ml*Nl+M2*N2 +.*.+Mc^Nc 式中,N。為IP地址第C天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量���,Μ��。為N�。的權(quán)重參數(shù),Μι+Μ2+...+Μ��。= I���。9.根據(jù)權(quán)利要求6所述的DNS防御攻擊的系統(tǒng)���,其特征在于��,所述預(yù)測數(shù)量計算模塊計算端口第c+1天發(fā)送至主域名服務(wù)器的域名解析請求的預(yù)測數(shù)量ΝΡ&+1)所采用的公式為: Npf (c+1) =Wl*Npl+ff2*Np2 +.--+Wc^Npc 式中�����,Npc為端口第C天發(fā)送至主域名服務(wù)器的域名解析請求的實際數(shù)量�,W。為Npc的權(quán)重參數(shù)��,Wl+ff2+...+Wc = I�����。10.根據(jù)權(quán)利要求6所述的DNS防御攻擊的系統(tǒng),其特征在于�,還包括使用狀態(tài)監(jiān)控單元和開關(guān)控制單元�,其中: 所述使用狀態(tài)監(jiān)控單元��,與主域名服務(wù)器連接��,用于實時監(jiān)測主域名服務(wù)器的使用狀態(tài)值����; 所述開關(guān)控制單元����,與輔助域名服務(wù)器和所述使用狀態(tài)監(jiān)控單元連接�����,用于當主域名服務(wù)器的使用狀態(tài)值大于使用閥值時�,則相繼啟動輔助域名服務(wù)器,使主域名服務(wù)器和輔助域名服務(wù)器共同為用戶提供域名解析服務(wù)���; 當過濾向主域名服務(wù)器發(fā)出攻擊的端口后���、且主域名服務(wù)器的使用狀態(tài)值小于或等于使用閥值����,則相繼關(guān)閉輔助域名服務(wù)器;其中,主域名服務(wù)器的使用狀態(tài)值的計算公式為:r = qi*pi+q2*p2+q3*p3 式中�����,r為主域名服務(wù)器的使用狀態(tài)值�����,qi為主域名服務(wù)器的CPU的使用比例參數(shù)�����,���?1為CHJ的使用比例參數(shù)所占的比重����,q2為主域名服務(wù)器的內(nèi)存的使用比例參數(shù),p2為內(nèi)存的使用比例參數(shù)所占的比重,q3為主域名服務(wù)器的帶寬的使用比例參數(shù)��,P3為帶寬的使用比例參數(shù)所占的比重�����。
【文檔編號】H04L29/12GK105847281SQ201610317345
【公開日】2016年8月10日
【申請日】2016年5月12日
【發(fā)明人】張余
【申請人】中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司