发明名称 |
一种针对不断变化前缀域名攻击的防护方法及装置 |
摘要 |
本发明涉及一种针对不断变化前缀域名攻击的防护方法及装置,该方法包括以下步骤:1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据,并对数据进行统计和计算,然后将统计和计算出的数据发送到管理系统服务器;2)管理系统服务器将统计的数据与设定的阈值进行比较;3)管理系统服务器根据防护策略发送指令到DNS服务器,使得DNS服务器不向超过阈值的目的IP发起递归查询,同时清除DNS服务器的当前递归查询队列中的数据;该装置包括旁路分析系统服务器和管理系统服务器。与现有技术相比,本发明具有针对不断变化前置域名攻击的防护具有实时性高、效率高和误判率低等优点。 |
申请公布号 |
CN102868669B |
申请公布日期 |
2016.04.06 |
申请号 |
CN201110190540.7 |
申请日期 |
2011.07.08 |
申请人 |
上海寰雷信息技术有限公司 |
发明人 |
龙雷 |
分类号 |
H04L29/06(2006.01)I;H04L29/12(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
上海科盛知识产权代理有限公司 31225 |
代理人 |
赵继明 |
主权项 |
一种针对不断变化前缀域名攻击的防护方法,其特征在于,该方法包括以下步骤:1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据,并统计当前时间段内递归查询包中的目的IP查询总次数,同时计算出当前时间段内的目的IP查询总次数与前一时间段内的目的IP查询总次数的变化幅度值,然后将目的IP查询总次数和变化幅度值发送到管理系统服务器;2)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目的IP查询总次数阈值,同时比较判断变化幅度值是否大于设定的变化幅度阈值,如果有一个判断为是,则进行步骤3),否则返回步骤1);3)管理系统服务器根据防护策略发送指令到DNS服务器,使得DNS服务器不向超过阈值的目的IP发起递归查询,同时清除DNS服务器的当前递归查询队列中的数据;所述的步骤1)中的设定时间段为一分钟;所述的步骤3)中的防护策略为:A、丢弃查询,即丢弃所有向此目的IP查询的数据包;B、拒绝响应,即回复所有向此目的IP查询的数据包REFUSED响应;或C、假记录响应,即回复所有向此目的IP查询的数据包一个假的记录响应。 |
地址 |
200241 上海市闵行区东川路555号乙楼5052室 |