專利名稱:一種攻擊防范方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�,尤其是一種攻擊防范方法和裝置�。
背景技術(shù):
DNS (Domain Name System,域名系統(tǒng))是一種用于TCP/IP應(yīng)用程序的分布 式數(shù)據(jù)庫,提供主機(jī)名字和IP地址之間的轉(zhuǎn)換及有關(guān)電子郵件的選路信息����。DNS 服務(wù)器在internet應(yīng)用中起重要的作為, 一旦DNS服務(wù)器受到DDOS攻擊���,將 嚴(yán)重影響人們的正常網(wǎng)絡(luò)應(yīng)用。
DNS flood是一種基于特定應(yīng)用協(xié)議的UDP flood,攻擊方向DNS月l務(wù)器 發(fā)送大量域名解析請求�,致使DNS服務(wù)器嚴(yán)重超載,無法繼續(xù)響應(yīng)正常用戶的 DNS請求����,從而達(dá)到攻擊的目的。 一般情況下攻擊方發(fā)送的DNS請求是隨機(jī)生成 的網(wǎng)絡(luò)中根本不存在的域名��,受攻擊的DNS服務(wù)器接收到此請求時(shí)����,對該域名 進(jìn)行解析�,解析不成功,則該DNS服務(wù)器通過遞歸查詢向其上級DNS服務(wù)器遞 交解析請求���,進(jìn)而形成對上級DNS服務(wù)器的攻擊����,形成連鎖反應(yīng)。域名解析的 過程會給DNS服務(wù)器帶來很大的負(fù)載�����, 一般一臺DNS服務(wù)器的域名解析上限是 9000個(gè)/秒�����,當(dāng)超過此值時(shí)����,將造成DNS服務(wù)器解析超時(shí)直至癱瘓。
為了保護(hù)DNS服務(wù)器���,進(jìn)而保證網(wǎng)絡(luò)的正常應(yīng)用�,產(chǎn)生了 DNS flood防 范技術(shù)?,F(xiàn)有技術(shù)中的常用防范技術(shù)包括在保護(hù)設(shè)備上建立DNS cache,在保 護(hù)設(shè)備上? 1入域名信譽(yù)機(jī)制以及二者的結(jié)合����,其主要工作原理如下 (1) 在保護(hù)設(shè)備上采用DNS cache技術(shù)
保護(hù)設(shè)備在沒有檢測到發(fā)生攻擊時(shí)主動(dòng)學(xué)習(xí)域名解析結(jié)果,記錄域名和ip 的對應(yīng)關(guān)系�����,建立DNS cache;
在檢測到發(fā)生攻擊時(shí)���,保護(hù)設(shè)備在接收到域名解析請求時(shí)��,首先查詢DNS cache,沖艮據(jù)查詢結(jié)果響應(yīng)域名解析請求�����,對于不在DNS cache中的域名解析i貪 求交由DNS服務(wù)器解析�,并在DNS cache中記錄解析結(jié)果��。從而減輕DNS服務(wù)器負(fù)載����。
(2) 在保護(hù)設(shè)備上采用域名信譽(yù)機(jī)制
保護(hù)設(shè)備在沒有^f全測到發(fā)生攻擊時(shí)主動(dòng)學(xué)習(xí)域名解析結(jié)果,統(tǒng)計(jì)同一域名 解析次數(shù)及域名解析失敗的次數(shù)���,建立域名信譽(yù)機(jī)制����;對于域名解析失敗次數(shù) 或者請求同 一域名次數(shù)超過一定值的,相應(yīng)得調(diào)低其域名信譽(yù)等級���。
在檢測到發(fā)生攻擊時(shí)����,保護(hù)設(shè)備在接收到域名解析請求時(shí)��,查詢域名信譽(yù) 等級表����,根據(jù)域名信譽(yù)機(jī)制,過濾部分域名解析請求��;限制發(fā)起信譽(yù)等級低的 域名解析請求的源ip的帶寬��。例如可以將域名等級分為不信任級��、中間級�、信
任級,對于不信任級的源發(fā)送的域名解析請求全部丟棄��,進(jìn)而實(shí)現(xiàn)過濾�。對于 中間級的源發(fā)送的域名解析請求,根據(jù)情況限制其帶寬�。 當(dāng)然�,這兩種技術(shù)可以結(jié)合使用�。
上述技術(shù)方案在發(fā)生攻擊時(shí)能在一定程度上降低對DNS服務(wù)器的影響�����。 在實(shí)現(xiàn)本發(fā)明過程中�,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題 對于目前在DNS flood中占絕大多凄t的偽造源ip的DNS flood攻擊,域名 解析請求都在隨機(jī)變化的情況下�,由于這些域名大多不存在,DNS cache這時(shí)將 起不到任何作用�����。而通過域名信譽(yù)機(jī)制�,要么全部丟棄信譽(yù)級別低的源的域名 請求,要么只過濾部分���,其余的交由DNS服務(wù)器解析����。對于全部丟棄的情況�, 影響部分正常用戶的DNS請求,間接達(dá)到攻擊目的��;而只過濾部分,則仍會對 服務(wù)器造成很大沖擊��,不能很好的保護(hù)服務(wù)器�����?�?梢娺@兩種技術(shù)不能很好的識 別偽造源ip的攻擊�����,因而不能有效防范DNS flood攻擊����。
對于第二種技術(shù),由于域名信譽(yù)機(jī)制的建立需要較長時(shí)間的學(xué)習(xí)�,而且學(xué)
域名信譽(yù)機(jī)制需要維護(hù)大量數(shù)據(jù),信譽(yù)評估算法又較為復(fù)雜��,評估結(jié)果直接影 響防御的有效性���??梢姡摷夹g(shù)實(shí)施復(fù)雜����,不利于有效的實(shí)現(xiàn)DNS flood攻擊。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提出一種攻擊防范方法和裝置�����,l是高DNS flood攻擊防范的能力����。
根據(jù)本發(fā)明的一方面�,提供一種攻擊防范方法,包括
接收來自客戶端的域名解析請求��,并獲得所述域名解析請求的源地址��;
驗(yàn)證所述源地址是真實(shí)的源地址�����;
向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求�。
根據(jù)本發(fā)明的另一方面,提供一種檢測設(shè)備���,包括
接收單元�����,用于接收來自客戶端的域名解析請求����,并獲得所述域名解析請 求的源地址;
驗(yàn)證單元����,用于-驗(yàn)證所述源地址是真實(shí)的源地址;
轉(zhuǎn)發(fā)單元�,用于根據(jù)驗(yàn)證單元的輸出結(jié)果,向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解 析請求���。
本發(fā)明實(shí)施例的有益效果在于由于對于域名解析請求��,在驗(yàn)證其為真實(shí) 源的情況下才向DNS服務(wù)器轉(zhuǎn)發(fā)該域名解析請求�,能有效的防止目前在DNS flood攻擊中占絕大多數(shù)的偽造源ip的攻擊�����,防范效果顯著��,有效保證DNS服 務(wù)器的正常運(yùn)行;同時(shí)����,由于驗(yàn)證域名解析請求為真實(shí)源不需要占用系統(tǒng)大量 的資源,本發(fā)明實(shí)施例具有實(shí)施簡單���,應(yīng)用范圍廣泛的優(yōu)點(diǎn)��。
圖1是本發(fā)明攻擊防范方法的一個(gè)實(shí)施例的流程示意圖���; 圖2是本發(fā)明攻擊防范方法的一個(gè)實(shí)施例的流程示意圖�����; 圖3是本發(fā)明攻擊防范方法的一個(gè)實(shí)施例的流程示意圖�����; 圖4是本發(fā)明攻擊防范方法的一個(gè)實(shí)施例的流程示意圖�; 圖5是本發(fā)明攻擊防范方法的一個(gè)實(shí)施例的流程示意圖; 圖6是本發(fā)明檢測設(shè)備一個(gè)實(shí)施例的結(jié)構(gòu)示意圖��; 圖7是本發(fā)明檢測設(shè)備另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖���;圖8是本發(fā)明檢測設(shè)備中驗(yàn)證單元一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����; 圖9是本發(fā)明檢測設(shè)備中驗(yàn)證單元一個(gè)實(shí)施例的結(jié)構(gòu)示意圖; 圖10是本發(fā)明;f企測設(shè)備中驗(yàn)證單元一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�。
具體實(shí)施例方式
下面結(jié)合附圖及具體實(shí)施例對本發(fā)明再作進(jìn)一步詳細(xì)的說明。 本發(fā)明攻擊防范方法的一個(gè)實(shí)施例中��,當(dāng)斥企測i殳備才企測到DNS flood攻擊 后�,進(jìn)入防范流程針對客戶端發(fā)送的域名解析請求,首先驗(yàn)證該域名解析請 求來源于一個(gè)真實(shí)源����,再向DNS服務(wù)器轉(zhuǎn)發(fā)該域名解析請求,并響應(yīng)終端��。所 述檢測設(shè)備���,可為專門的檢測設(shè)備或防火墻本身��,根據(jù)組網(wǎng)而定��。 參照圖1,本發(fā)明攻擊防范方法的一個(gè)實(shí)施例主要包括以下步驟 S101:接收來自客戶端的域名解析請求�,并獲得該域名解析請求的源地址���; S102:— 驗(yàn)i正該源地址是否真實(shí)的源地址�����;
S103:如果源地址是真實(shí)的源地址���,則向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請
求��;
S104:如果該源地址不是真實(shí)的源地址�����,則不向DNS服務(wù)器轉(zhuǎn)發(fā)該域名解 析請求�����。具體的,可以不處理該域名解析請求���,也可以將該域名解析請求直接 丟棄�。
上述實(shí)施例中���,對于域名解析請求�,在驗(yàn)證其來自真實(shí)源的情況下才向DNS 服務(wù)器轉(zhuǎn)發(fā)該域名解析請求,對于不是來自真實(shí)源的域名解析請求����,不向DNS 服務(wù)器轉(zhuǎn)發(fā)。能有效的防止目前在DNS flood攻擊中占絕大多數(shù)的偽造源ip的 攻擊�;防范效果顯著,有效保證DNS服務(wù)器的正常運(yùn)行���;同時(shí)�,由于驗(yàn)證域名 解析請求為真實(shí)源不需要占用系統(tǒng)大量的資源�����,該實(shí)施例具有實(shí)施簡單����,應(yīng)用 范圍廣泛的優(yōu)點(diǎn)。
參照圖2���,本發(fā)明攻擊防范方法的一個(gè)實(shí)施例主要包括以下步驟
S201:接收來自客戶端的域名解析請求�,并獲得該域名解析請求的源地址;S202:向該源地址對應(yīng)的客戶端發(fā)送一個(gè)源探測報(bào)文�; 源探測報(bào)文即TC標(biāo)記置1的DNS應(yīng)答報(bào)文;用于觸發(fā)客戶端發(fā)起tcp連接�����, 使用tcp方式進(jìn)行域名解析請求;
S203:判斷是否接收到客戶端合法的響應(yīng)報(bào)文���;
當(dāng)然�,在實(shí)際應(yīng)用中��,可以判斷在預(yù)定時(shí)間內(nèi)是否接收到客戶端的響應(yīng)報(bào) 文���,以避免過長的等候時(shí)間�����,預(yù)定時(shí)間值可以根據(jù)網(wǎng)絡(luò)情況確定���。例如,設(shè)置 一定時(shí)器�,在定時(shí)器設(shè)定的時(shí)間內(nèi)判斷是否接收到客戶端的響應(yīng)報(bào)文。
S204:如果收到客戶端的響應(yīng)報(bào)文�����,對響應(yīng)報(bào)文合法性進(jìn)行校驗(yàn)��,如果驗(yàn) 證通過����,則確認(rèn)該源地址為真實(shí)的源地址,向DNS月l務(wù)器轉(zhuǎn)發(fā)所述域名解析請 求�;若響應(yīng)報(bào)文不合法,則丟棄響應(yīng)報(bào)文�����。
真實(shí)源的客戶端接收到帶有TC標(biāo)記的源探測報(bào)文后�����,會向檢測設(shè)備發(fā)送一 個(gè)syn響應(yīng)報(bào)文��,使用tcp方式向DNS服務(wù)器進(jìn)行域名請求��。檢測設(shè)備在驗(yàn)證 響應(yīng)報(bào)文的合法性后���,對其進(jìn)行轉(zhuǎn)發(fā)�����,客戶端與DNS服務(wù)器完成tcp三次握手 之后�,完成tcp報(bào)文類型的DNS請求、應(yīng)答�����。
S205:如果未收到客戶端的響應(yīng)報(bào)文�,或者接收到的響應(yīng)報(bào)文沒有通過合 法性檢測,則確認(rèn)該源地址不是真實(shí)的源地址���,不向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名 解析請求�。
如果該源地址是一個(gè)偽造源��,如果該偽造源地址在現(xiàn)網(wǎng)不存在���,則不會響 應(yīng)探測報(bào)文�;或者由于該偽造源地址在現(xiàn)網(wǎng)存在��,則該被偽造地址響應(yīng)探測報(bào) 文����,檢測設(shè)備將檢測到該響應(yīng)報(bào)文不合法并將其丟棄。
本實(shí)施例通過向客戶端發(fā)送源探測報(bào)文的方式���,實(shí)現(xiàn)對域名解析請求的源 地址進(jìn)行驗(yàn)證����,由于偽造的源地址不會發(fā)送響應(yīng)報(bào)文�,或者響應(yīng)的報(bào)文不合法, 從而能有效的識別域名解析請求的源地址的真實(shí)性�����。有效的過濾目前在DNS flood攻擊中占絕大多數(shù)的偽造源ip的攻擊�。
參照圖3,本發(fā)明攻擊防范方法的一個(gè)實(shí)施例主要包括以下步驟S301:接收來自客戶端的域名解析請求,并獲得該域名解析請求的源地址��; S302:以該源地址為關(guān)4建詞查詢真實(shí)源列表��;
真實(shí)源列表存儲有確認(rèn)是真實(shí)的源的源地址���。真實(shí)源列表可以稱為白名 單�。另一種替代方案中��,可以將源地址監(jiān)控表中設(shè)置了白名單標(biāo)記的源地址集 合稱為白名單���。其中源地址監(jiān)控表中存儲有多個(gè)源地址��,對于真實(shí)的源地址則 帶有白名單標(biāo)記�。
可以通過以下幾種方式將源地址加入白名單"接收來自客戶端的域名解析 請求,并獲得該域名解析請求的源地址����;向該源地址對應(yīng)的終端發(fā)送源探測報(bào) 文;在預(yù)定時(shí)間內(nèi)收到客戶端的響應(yīng)報(bào)文�,并且響應(yīng)報(bào)文通過合法性驗(yàn)證,則 確認(rèn)該源地址為真實(shí)的源地址���,將該源地址存儲到白名單中����。在另一種實(shí)施方 式中���,可以通過搜集在未發(fā)生攻擊時(shí)正常訪問的域名解析請求對應(yīng)的源地址���, 把這類源地址存儲到白名單中。當(dāng)然���,還可以通過其它方式檢驗(yàn)源地址的真實(shí) 性��,并將其加入到白名單中���。
S303:判斷白名單中是否包含該源地址�;
S304:如果白名單中包含該源地址��,則確^人該源地址為真實(shí)的源地址���,向 DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求;
S205:如果白名單中不包含該源地址��,則確i人該源地址不是真實(shí)的源地址�, 不向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求。
本實(shí)施例將真實(shí)的源地址存儲在白名單中�����,通過查詢白名單的方式能快速 的驗(yàn)證域名解析請求是否來自真實(shí)源��,能有效的防止目前在DNS flood攻擊中 占絕大多數(shù)的偽造源ip的攻擊����,有效保證DNS服務(wù)器的正常運(yùn)行。同時(shí)�,本實(shí) 施例的方案進(jìn) 一 步降低系統(tǒng)資源的占用,實(shí)施筒單�。
參照圖4���,本發(fā)明攻擊防范方法的一個(gè)實(shí)施例主要包括以下步驟
S401:接收來自客戶端的域名解析請求,并獲得該域名解析請求的源地址�;
S402:以該源地址為關(guān)鍵詞查詢真實(shí)源列表;真實(shí)源列表存儲有確認(rèn)是真實(shí)的源的源地址��。真實(shí)源列表可以稱為白名 單�����。另一種替代方案中�����,可以將源地址監(jiān)控表中設(shè)置了白名單標(biāo)記的源地址集 合稱為白名單�����。其中源地址監(jiān)控表中存儲有多個(gè)源地址�,對于真實(shí)的源地址則 帶有白名單標(biāo)記。
可以通過以下幾種方式將源地址加入白名單接收來自客戶端的域名解析 請求�,并獲得該域名解析請求的源地址;向該源地址對應(yīng)的終端發(fā)送源探測報(bào) 文��;在預(yù)定時(shí)間內(nèi)收到客戶端的響應(yīng)報(bào)文���,并且響應(yīng)報(bào)文通過合法性驗(yàn)證�,則 確認(rèn)該源地址為真實(shí)的源地址,將該源地址存儲到白名單中��。在另一種實(shí)施方 式中�,可以通過搜集在未發(fā)生攻擊時(shí)正常訪問的域名解析請求對應(yīng)的源地址, 把這類源地址存儲到白名單中��。當(dāng)然�����,還可以通過其它方式^r驗(yàn)源地址的真實(shí) 性���,并將其加入到白名單中。
S403:判斷白名單中是否包含該源地址���;
S404:如果白名單中包含該源地址����,則確認(rèn)該源地址為真實(shí)的源地址�,向 DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求;
S405:如果白名單中不包含該源地址����,則向該源地址對應(yīng)的終端發(fā)送一個(gè) 源探測報(bào)文�;
S406:判斷是否接收到客戶端響應(yīng)報(bào)文���;
S407:如果收到客戶端的響應(yīng)報(bào)文�����,并且響應(yīng)報(bào)文驗(yàn)證通過���,則確認(rèn)該源 地址為真實(shí)的源地址,向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求�;
進(jìn)一步的,可以更新白名單����,將該源地址存儲到白名單中;
S408:如果未收到客戶端的響應(yīng)報(bào)文��,或者檢驗(yàn)到響應(yīng)報(bào)文不合法�����,則確 認(rèn)該源地址不是真實(shí)的源地址�����,不向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求。
本實(shí)施例中����,通過白名單與源探測報(bào)文技術(shù)結(jié)合,驗(yàn)證域名解析請求的源 地址的真實(shí)性����,進(jìn)一步提高源地址驗(yàn)證的正確性,更有效的識別域名解析請求 的源地址的真實(shí)性����。有效的過濾目前在DNS flood攻擊中占絕大多數(shù)的偽造源 ip的攻擊��。參照圖5,本發(fā)明攻擊防范方法的一個(gè)實(shí)施例主要包括以下步驟
S501:接收來自客戶端的域名解析請求����,并獲得該域名解析請求的源地址;
S502:以該源地址為關(guān)鍵詞查詢真實(shí)源列表���;
真實(shí)源列表包括源地址����、過濾標(biāo)記、行為^r測字段�。其中,過濾標(biāo)記表 明源地址對應(yīng)的源行為4企測異常����,需要過濾該源地址的流量;行為檢測字段���, 表明該源地址對應(yīng)的行為情況���,可以包括請求頻率,請求周期����,請求失敗次數(shù), 相同域名請求次數(shù)等����。
由于正常源的域名解析請求行為具有突發(fā)性、隨機(jī)性等特點(diǎn)����,而攻擊源的 域名解析請求行為具有持續(xù)性、周期性、請求解析內(nèi)容虛假性等特點(diǎn)�����,因此通 過上述行為^r測字l殳可以準(zhǔn)確快速識別加入真實(shí)源列表的源地址是否為攻擊 源����,如果是,則切斷其DNS請求報(bào)文�����,不向DNS服務(wù)器轉(zhuǎn)發(fā)�����,保護(hù)DNS服務(wù)器 的正常運(yùn)行���。
S503:判斷真實(shí)源列表是否包含該源地址;
S504:如果真實(shí)源列表中不包含該源地址�,則確認(rèn)該源地址不是真實(shí)的源 地址,不向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求��;
S505:如果真實(shí)源列表中包含該源地址��,則沖企查該源地址是否對應(yīng)過濾標(biāo)
記����;
S506:如果該源地址對應(yīng)過濾標(biāo)記���,則表明該真實(shí)源是一個(gè)攻擊源,不向
DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求�����;
S507:如果該源地址不對應(yīng)過濾標(biāo)記�����,則纟企測該源行為是否異常�����; 可以通過以下方式4企測該源行為是否異常根據(jù)該域名解析請求更新所述
源地址對應(yīng)的行為檢測字段�;通過檢查行為檢測字段判斷該源行為是否異常。 S508:如果該源行為正常��,表明該源地址不是攻擊源�,則向DNS服務(wù)器轉(zhuǎn)
發(fā)所述域名解析請求;
如果更新后的行為檢測字段不超過配置閥值�,則確認(rèn)該源行為正常。 S509:如果該源行為異常,表明該源地址是攻擊源����,則不向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求;
如果更新后的行為檢測字段超過配置閥值��,則確認(rèn)該源行為異常���。這種情
況下�,還可以為該源i也址i殳置對應(yīng)的過濾標(biāo)記���。
本實(shí)施例中��,在真實(shí)源列表進(jìn)一步包括過濾標(biāo)記和行為檢測字段�����;對于真 實(shí)源地址進(jìn)一步進(jìn)行行為檢測���,檢測其請求合法性,發(fā)現(xiàn)行為異常���,則不轉(zhuǎn)發(fā) 域名解析請求;進(jìn)而有效阻斷真實(shí)源的DNS flood攻擊��。進(jìn)一步凈是高DNS flood 攻擊的防范能力�����。
是可以通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成��,所述的程序可存儲于一計(jì)算 機(jī)可讀取存儲介質(zhì)中�����,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程��。 其中�,所述的存儲介質(zhì)可為磁碟�����、光盤����、只讀存儲記憶體(Read-Only Memory, ROM)或隨才幾存儲記憶體(RandomAccess Memory, RAM)等���。
參照圖6�����,本發(fā)明用于攻擊防范的^r測i殳備一個(gè)實(shí)施例��,其在;f全測到DNS flood攻擊時(shí)啟動(dòng)防范功能���,主要包括
接收單元61,用于接收來自客戶端的域名解析請求,并獲得所述域名解析 請求的源地址���;
驗(yàn)證單元62�,用于驗(yàn)證所述源地址是真實(shí)的源地址�;
轉(zhuǎn)發(fā)單元63,與所述驗(yàn)證單元連接����,用于根據(jù)驗(yàn)證單元的輸出結(jié)果�,向DNS 服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求�。
所述檢測設(shè)備,可為專門的檢測設(shè)備或防火墻本身�,根據(jù)組網(wǎng)而定。 上述實(shí)施例中���,4企測設(shè)備在發(fā)現(xiàn)DNS flood攻擊時(shí)�,對于接收到的域名解 析請求����,在驗(yàn)證其來自真實(shí)源的情況下才向DNS服務(wù)器轉(zhuǎn)發(fā)該域名解析請求。 能有效的防止目前在DNS flood攻擊中占絕大多數(shù)的偽造源ip的攻擊����;防范效 果顯著,有效保證DNS服務(wù)器的正常運(yùn)行�����;由于驗(yàn)證域名解析請求為真實(shí)源不需要占用系統(tǒng)大量的資源�,該實(shí)施例具有實(shí)施簡單,應(yīng)用范圍廣泛的優(yōu)點(diǎn)�。同 時(shí)�,由于本實(shí)施例不需要專門的設(shè)備串聯(lián)到網(wǎng)絡(luò)中�,不依賴于具體組網(wǎng)方式, 可以適用于來回if各徑一致和來回^4圣不一致等各種組網(wǎng)環(huán)境��,組網(wǎng)靈活�����,可有 效避免設(shè)備本身成為瓶頸�,影響整個(gè)網(wǎng)絡(luò)的傳輸��。
參照圖7,本發(fā)明用于攻擊防范的檢測設(shè)備一個(gè)實(shí)施例��,其在檢測到DNS flood攻擊時(shí)啟動(dòng)防范功能�,主要包括
接收單元71,用于接收來自客戶端的域名解析請求,并獲得所述域名解析 請求的源地址�����;
驗(yàn)證單元72,用于驗(yàn)證所述源地址是真實(shí)的源地址���; 源行為檢查單元73,用于驗(yàn)證該源地址對應(yīng)的源行為正常��; 轉(zhuǎn)發(fā)單元74�����,用于向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求。 所述檢測設(shè)備�,可為專門的檢測設(shè)備或防火墻本身,根據(jù)組網(wǎng)而定���。 上述實(shí)施例中����,才企測設(shè)備在發(fā)現(xiàn)DNS flood攻擊時(shí)��,對于接收到的域名解 析請求����,在驗(yàn)證其來自真實(shí)源的情況下,進(jìn)一步進(jìn)行行為檢測,檢測其請求合 法性�����,發(fā)現(xiàn)行為異常��,則不轉(zhuǎn)發(fā)域名解析請求�����;進(jìn)而有效阻斷真實(shí)源的DNS flood 攻擊�。進(jìn)一步提高DNS flood攻擊的防范能力。
參照圖8�����,本發(fā)明-驗(yàn)證單元62的一個(gè)實(shí)施例包括
發(fā)送單元811,用于向所述源地址對應(yīng)的客戶端發(fā)送一個(gè)源探測報(bào)文��;
響應(yīng)接收單元812���,用于接收客戶端發(fā)送的針對所述源探測報(bào)文的響應(yīng)報(bào)
文����;
合法性驗(yàn)證單元813�,用于驗(yàn)證所述響應(yīng)報(bào)文的合法性,并輸出所述源地址 是真實(shí)的源地址的結(jié)果。
參照圖9,本發(fā)明驗(yàn)證單元62/72的一個(gè)實(shí)施例包括:真實(shí)源列表911����,存儲有至少一個(gè)真實(shí)的源地址;
檢索單元912����,用于以所述源地址為關(guān)鍵詞查詢真實(shí)源列表,并在查到所述 源地址時(shí)���,輸出所述源地址是真實(shí)的源地址的結(jié)果����。
參照圖10�,本發(fā)明驗(yàn)證單元62/72的一個(gè)實(shí)施例包括 真實(shí)源列表1011,存儲有至少一個(gè)真實(shí)的源地址及源地址對應(yīng)的行為4企測 字段�����;
檢索單元1012,用于以所述源地址為關(guān)鍵詞查詢真實(shí)源列表�����,在查到所述 源地址時(shí)����,輸出所述源地址是真實(shí)的源地址的結(jié)果���;在未查到所述源地址時(shí), 輸出無對應(yīng)地址的結(jié)果��;
發(fā)送單元1013�����,用于在接收到無對應(yīng)地址的結(jié)果時(shí),判斷所述行為檢測字 段正常時(shí)�����,用于向所述源地址對應(yīng)的客戶端發(fā)送一個(gè)源探測報(bào)文�;
響應(yīng)接收單元1014�����,用于接收客戶端發(fā)送的針對所述源探測報(bào)文的響應(yīng)報(bào)
文�����;
合法性驗(yàn)證單元1015���,用于驗(yàn)證所述響應(yīng)報(bào)文的合法性����,并輸出所述源地 址是真實(shí)的源地址的結(jié)果。
以上所述僅為本發(fā)明的較佳實(shí)施例�����,并不用以限制本發(fā)明����,凡在本發(fā)明的 精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等��,均應(yīng)包含在本發(fā)明的保 護(hù)范圍之內(nèi)���。
權(quán)利要求
1�、一種攻擊防范方法�,其特征在于���,包括接收來自客戶端的域名解析請求����,并獲得所述域名解析請求的源地址;驗(yàn)證所述源地址是真實(shí)的源地址��;向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求�。
2、 如權(quán)利要求l所述的方法���,其特征在于�,驗(yàn)證所述源地址是真實(shí)的源 地址的步驟包括向所述源地址對應(yīng)的客戶端發(fā)送一個(gè)源探測凈艮文�;接收到客戶端發(fā)送的合法的響應(yīng)報(bào)文,則確認(rèn)所述源地址是真實(shí)的源地址��。
3��、 如權(quán)利要求l所述的方法�����,其特征在于�,驗(yàn)證所述源地址是真實(shí)的源 地址的步驟包括以所述源地址為關(guān)^fc詞查詢真實(shí)源列表;真實(shí)源列表中包含該源地址��,則確認(rèn)所述源地址是真實(shí)的源地址�����。
4、 如權(quán)利要求3所述的方法�,其特征在于,驗(yàn)證所述源地址是真實(shí)的源 地址步驟之后還包括檢測所述源地址的源行為正常�。
5、 如權(quán)利要求4所述的方法�,其特征在于,檢測所述源地址的源行為正 常的步驟包括確i人所述源地址不^j"應(yīng)過濾標(biāo)i己�����;和/或根據(jù)該域名解析請求更新所述源地址對應(yīng)的行為一企測字段���,所述行為枱���, 測字段不超過配置閥值,則確認(rèn)該源行為正常���。
6��、 如權(quán)利要求l所述的方法���,其特征在于�,驗(yàn)證所述源地址是真實(shí)的源 地址的步驟包括以所述源地址為關(guān)詞查詢真實(shí)源列表�����;如果真實(shí)源列表中不包含該源地址����,向所述源地址對應(yīng)的客戶端發(fā)送一個(gè)源探測報(bào)文��;接收到客戶端發(fā)送的合法的響應(yīng)報(bào)文��,則確認(rèn)所述源地址是真實(shí)的源地址���。
7��、 如權(quán)利要求l所述的方法�,其特征在于�����,還包括 將所述源地址存入真實(shí)源列表���。
8�����、 如權(quán)利要求1-6任一權(quán)利要求所述的方法�����,其特征在于���,還包括 -瞼證所述源地址不是真實(shí)的源地址�����;不向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名解析請求���。
9、 一種檢測設(shè)備��,用于攻擊防范����,其特征在于,包括接收單元��,用于接收來自客戶端的域名解析請求��,并獲得所述域名解析 請求的源地址;驗(yàn)證單元����,用于-瞼證所述源地址是真實(shí)的源地址�����;轉(zhuǎn)發(fā)單元���,用于根據(jù)驗(yàn)證單元的輸出結(jié)果�,向DNS服務(wù)器轉(zhuǎn)發(fā)所述域名 解析請求����。
10、 如權(quán)利要求9所述的檢測設(shè)備����,其特征在于,還包括 源行為4企查單元�,用于驗(yàn)證該源地址對應(yīng)的源行為正常;其中����,所述轉(zhuǎn)發(fā)單元,用于根據(jù)源行為檢測單元的輸出結(jié)果,向DNS服 務(wù)器轉(zhuǎn)發(fā)所述域名解析請求�����。
11�、 如權(quán)利要求9所述的檢測設(shè)備,其特征在于���,所述驗(yàn)證單元包括 發(fā)送單元����,用于向所述源地址對應(yīng)的客戶端發(fā)送一個(gè)源探測報(bào)文�����; 響應(yīng)接收單元�����,用于接收客戶端發(fā)送的針對所述源探測報(bào)文的響應(yīng)報(bào)文���; 合法性驗(yàn)證單元��,用于驗(yàn)證所述響應(yīng)才艮文的合法性�,并輸出所述源地址是真實(shí)的源地址的結(jié)果。
12��、 如權(quán)利要求9或10所述的檢測設(shè)備�,其特征在于,所述驗(yàn)證單元包括真實(shí)源列表��,存儲有至少一個(gè)真實(shí)的源地址��;檢索單元���,用于以所述源地址為關(guān)鍵詞查詢真實(shí)源列表,并在查到所述 源地址時(shí)����,輸出所述源地址是真實(shí)的源地址的結(jié)果。
13����、如權(quán)利要求9或IO所述的檢測設(shè)備,其特征在于��,所述驗(yàn)證單元包括真實(shí)源列表�����,存儲有至少 一個(gè)真實(shí)的源地址及源地址對應(yīng)的行為檢測字段;檢索單元����,用于以所述源地址為關(guān)4建詞查詢真實(shí)源列表,在查到所述源 地址時(shí)��,輸出所述源地址是真實(shí)的源地址的結(jié)果�����;在未查到所述源地址時(shí)����, 輸出無對應(yīng)地址的結(jié)果;發(fā)送單元��,用于在接收到無對應(yīng)地址的結(jié)果時(shí)����,判斷所述行為檢測字段 正常時(shí),用于向所述源地址對應(yīng)的客戶端發(fā)送一個(gè)源探測報(bào)文���;響應(yīng)接收單元����,用于接收客戶端發(fā)送的針對所述源探測報(bào)文的響應(yīng)報(bào)文;合法性驗(yàn)證單元��,用于驗(yàn)證所述響應(yīng)凈艮文的合法性�����,并輸出所述源地址 是真實(shí)的源地址的結(jié)果��。
全文摘要
本發(fā)明提供一種攻擊防范方法和裝置�。本發(fā)明攻擊防范方法的一個(gè)實(shí)施例中,當(dāng)檢測設(shè)備檢測到DNS flood攻擊后����,進(jìn)入防范流程針對客戶端發(fā)送的域名解析請求�����,首先驗(yàn)證該域名解析請求來源于一個(gè)真實(shí)源�����,再向DNS服務(wù)器轉(zhuǎn)發(fā)該域名解析請求�����,并響應(yīng)終端。本發(fā)明實(shí)施例�,能有效防范DNS flood,有效保證DNS服務(wù)器的正常運(yùn)行���,具有實(shí)施簡單���、應(yīng)用廣泛的優(yōu)點(diǎn)。
文檔編號H04L9/00GK101321055SQ20081006821
公開日2008年12月10日 申請日期2008年6月28日 優(yōu)先權(quán)日2008年6月28日
發(fā)明者張進(jìn)軍, 毛世峰, 肖洪亮 申請人:華為技術(shù)有限公司