專利名稱:針對dns服務(wù)的防ddos攻擊方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)防攻擊的技術(shù)����,尤其涉及針對DNS服務(wù)的防DDOS攻擊方法和系統(tǒng)���。
背景技術(shù):
在網(wǎng)絡(luò)中需要防止DDOS的攻擊��,申請?zhí)枮椤癈N201010572112.6”���,發(fā)明名稱為“一種WiMAX系統(tǒng)及其防御DDoS攻擊的裝置和方法”的專利申請公開了 在WiMAX系統(tǒng)中配置一個或多個非法包攔截模塊��,非法包攔截模塊配置于基站和接入網(wǎng)關(guān)之間����,所述非法包攔截模塊對終端經(jīng)基站發(fā)送的上行數(shù)據(jù)進行合法性檢測���,若判斷為合法數(shù)據(jù)�����,則直接轉(zhuǎn)發(fā)給接入網(wǎng)關(guān)通過主干網(wǎng)絡(luò)發(fā)送給應(yīng)用服務(wù)器����;若判斷為非法數(shù)據(jù)�,則將上行數(shù)據(jù)進行攔截。進一步用于在攔截非法數(shù)據(jù)后��,通知基站對發(fā)送該非法數(shù)據(jù)的終端進行帶寬限制�,記錄檢測日志及生成告警。本發(fā)明能有效防御由網(wǎng)內(nèi)大量終端發(fā)起的DDoS攻擊�,增強網(wǎng)絡(luò)的安全性,保證了無線網(wǎng)絡(luò)的穩(wěn)定����。而DNS服務(wù)的現(xiàn)有技術(shù)較少,且存在以下一個或多個缺點僅針對單個IP攻擊檢測及過濾����,這在IPv6中及偽造來訪IP中將嚴重失效;僅根據(jù)最近兩個時間片的訪問情況來檢測和防御攻擊�,其精度性不高;根據(jù)多個特征向量來識別和區(qū)分攻擊��,存在較大的不確定性���,且不夠?qū)崟r���。
發(fā)明內(nèi)容
本發(fā)明的目的在于解決上述問題,提供了一種針對DNS服務(wù)的防DDOS攻擊的方法��,實時�����、準確地檢測和防御針對DNS服務(wù)的DDOS攻擊��。本發(fā)明的另一目的在于提供了一種針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)��,實時����、準確地檢測和防御針對DNS服務(wù)的DDOS攻擊���。本發(fā)明的技術(shù)方案為本發(fā)明揭示了一種針對DNS服務(wù)的防DDOS攻擊方法,包括步驟1 監(jiān)聽來訪IP的DNS請求�;步驟2 確定來訪IP所屬IP段和當前時間所屬時間段,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量�����;步驟3 檢測當前是否受到DDOS攻擊����;步驟4 若檢測到DDOS攻擊,則根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量過濾來訪IP請求�,若未檢測到DDOS攻擊,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量����,接著轉(zhuǎn)發(fā)來訪IP的DNS請求。根據(jù)本發(fā)明的針對DNS服務(wù)的防DDOS攻擊方法的一實施例��,在步驟1和2之間來包括根據(jù)預先配置的許可IP段和非法IP段來過濾來訪的IP請求����,若來訪IP不屬于許可IP段或者屬于非法IP段���,則拒絕來訪IP的DNS請求��。
根據(jù)本發(fā)明的針對DNS服務(wù)的防DDOS攻擊方法的一實施例��,步驟2進一步包括根據(jù)預設(shè)的IP段劃分獲得來訪IP的所屬IP段�;根據(jù)預設(shè)的時間模式獲得當前時間所屬時間段;統(tǒng)計當前時間片的總體訪問次數(shù)和來訪IP所屬IP段的訪問次數(shù)�����;在當前時間片結(jié)束后����,計算當前定時時間片的總體訪問流量為當前時間片總體訪問次數(shù)除以時間片的值,計算來訪IP所屬IP段訪問流量為當前時間片來訪IP所屬IP段訪問次數(shù)除以時間片的值��。根據(jù)本發(fā)明的針對DNS服務(wù)的防DDOS攻擊方法的一實施例����,步驟3進一步包括如果當前定時時間片的總體訪問流量超過總體預設(shè)值或者超過當前時間段歷史總體訪問流量的預設(shè)倍數(shù),或者當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP 段預設(shè)值或者超過當前時間段此IP段歷史訪問流量的預設(shè)倍數(shù)�����,則判斷為受到DDOS攻擊, 否則判斷為沒有受到DDOS攻擊�。根據(jù)本發(fā)明的針對DNS服務(wù)的防DDOS攻擊方法的一實施例,步驟4進一步包括若檢測到受到DDOS攻擊�,則判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬IP段的成功請求次數(shù),若超過則累加當前時間片來訪IP所屬IP段的成功請求次數(shù)��,接著轉(zhuǎn)發(fā)來訪IP的DNS請求��,否則拒絕來訪IP的DNS請求�,其中時間片間隔為當前時間和當前時間片的起始時間的差值,若小于1 秒則設(shè)置為1秒��;若沒有檢測到DDOS攻擊����,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量,接著轉(zhuǎn)發(fā)來訪IP的DNS請求�。本發(fā)明還揭示了一種針對DNS服務(wù)的防DDOS攻擊的系統(tǒng),包括監(jiān)聽裝置�����、流量統(tǒng)計裝置���、攻擊檢測裝置�、處理裝置,其中所述監(jiān)聽裝置監(jiān)聽來訪IP的DNS請求�;所述流量統(tǒng)計裝置連接所述監(jiān)聽裝置,確定來訪IP所屬IP段和當前時間所屬時間段��,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量�;所述攻擊檢測裝置連接所述流量統(tǒng)計裝置����,檢測當前是否受到DDOS攻擊;所述處理裝置連接所述攻擊檢測裝置�,若檢測到DDOS攻擊,則根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量過濾來訪IP請求�����,若未檢測到DDOS攻擊�����,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量��,接著轉(zhuǎn)發(fā)來訪IP 的DNS請求����。根據(jù)本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的一實施例���,所述系統(tǒng)還包括過濾裝置,連接在所述監(jiān)聽裝置和所述流量統(tǒng)計裝置之間����,根據(jù)預先配置的許可 IP段和非法IP段來過濾來訪的IP請求,若來訪IP不屬于許可IP段或者屬于非法IP段����, 則拒絕來訪IP的DNS請求。根據(jù)本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的一實施例�,所述流量統(tǒng)計裝置進一步包括來訪IP所屬IP段獲取單元、當前時間所屬時間段獲取單元�、訪問次數(shù)統(tǒng)計單元、計算單元�����,其中所述來訪IP所屬IP段獲取單元���,根據(jù)預設(shè)的IP段劃分獲得來訪IP的所屬IP段���;所述當前時間所屬時間段獲取單元�����,根據(jù)預設(shè)的時間模式獲得當前時間所屬時間段�;所述訪問次數(shù)統(tǒng)計單元����,統(tǒng)計當前時間片的總體訪問次數(shù)和來訪IP所屬IP段的訪問次數(shù);所述計算單元����,在當前時間片結(jié)束后���,計算當前定時時間片的總體訪問流量為當前時間片總體訪問次數(shù)除以時間片的值�����,計算來訪IP所屬IP段訪問流量為當前時間片來訪IP所屬IP段訪問次數(shù)除以時間片的值����。根據(jù)本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的一實施例���,在所述攻擊檢測裝置中����,如果當前定時時間片的總體訪問流量超過總體預設(shè)值或者超過當前時間段歷史總體訪問流量的預設(shè)倍數(shù),或者當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP段預設(shè)值或者超過當前時間段此IP段歷史訪問流量的預設(shè)倍數(shù)�����,則判斷為受到DDOS攻擊����,否則判斷為沒有受到DDOS攻擊。根據(jù)本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的一實施例��,所述處理裝置包括受到DDOS攻擊后處理單元�,在檢測到受到DDOS攻擊后運行,判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬IP段的成功請求次數(shù)����,若超過則累加當前時間片來訪IP所屬IP段的成功請求次數(shù),接著轉(zhuǎn)發(fā)來訪IP的DNS請求���,否則拒絕來訪IP的DNS請求���,其中時間片間隔為當前時間和當前時間片的起始時間的差值,若小于1秒則設(shè)置為1秒�����;未受DDOS攻擊后處理單元,在沒有檢測到DDOS攻擊后運行��,更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量�,接著轉(zhuǎn)發(fā)來訪IP的DNS 請求。本發(fā)明對比現(xiàn)有技術(shù)有如下的有益效果本發(fā)明的方案是步驟監(jiān)聽來訪IP的DNS 請求���,確定來訪IP所屬IP段和當前時間所屬時間段��,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量�����,檢測當前是否受到DDOS攻擊,若檢測到DDOS攻擊�����,則根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量過濾來訪IP請求�,若未檢測到DDOS攻擊,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量��,接著轉(zhuǎn)發(fā)來訪IP的DNS請求����。對比現(xiàn)有技術(shù)��,本發(fā)明可以實時���、準確地檢測和防御針對 DNS服務(wù)的DDOS攻擊。
圖1示例性的示出了本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的方法的第一實施例的流程圖�。圖2示例性的示出了本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的方法的第二實施例的流程圖。圖3示出了圖1實施例中的步驟S 11以及圖2實施例中的步驟S22的細化流程圖��。圖4示出了圖1實施例中的步驟S 12以及圖2實施例中的步驟S23的細化流程圖�。圖5示出了圖1實施例中的步驟S 13以及圖2實施例中的步驟S24的細化流程圖。圖6示出了圖1實施例中的步驟S 14以及圖2實施例中的步驟S25的細化流程圖����。圖7示出了圖2實施例中的步驟S21的細化流程圖。圖8示出了本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的第一實施例的原理圖�。圖9示出了本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的第二實施例的原理圖。
具體實施例方式下面結(jié)合附圖和實施例對本發(fā)明作進一步的描述�。針對DNS服務(wù)的防DDOS 擊的方法的Il一實施例圖1示出了本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的方法的第一實施例的流程。請參見圖1��,本實施例的方法的詳細步驟如下詳述��。步驟S 10 監(jiān)聽來訪IP的DNS請求。步驟Sll 確定來訪IP所屬IP段和當前時間所屬時間段�,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量。對于這一步驟����,其細化步驟如圖3所示,詳述如下����。第一步,根據(jù)預設(shè)的IP段劃分來獲得來訪IP的所屬IP段����。例如,根據(jù)來訪IP和255. 255. 255. 0的與操作來獲得來訪IP的所屬IP段��。第二步根據(jù)預設(shè)的時間模式獲得當前時間所屬時間段���。由于DNS的訪問流量在周期上是相對穩(wěn)定的�����,特別是7拉4的周期,故采用7拉4小時來獲得當前時間所屬時間段��,當然可以根據(jù)實際應(yīng)用場景的需求加大或減少這個周期粒度���。另各個IP段在指定時間段上DNS的訪問流量也是相對穩(wěn)定的����,這里采用ITA來獲得來訪IP所屬IP段,當然可可以根據(jù)實際應(yīng)用場景的需求來調(diào)整這個規(guī)則��,如針對某些重要的 IP可分為一個或多個IP段��,而其他一些不怎么重要的IP可歸于同一個IP段��,這樣受攻擊后有效減少受影響的重要IP�。當時間片結(jié)束時(時間片可設(shè)置為60秒),統(tǒng)計當前時間段的總體訪問流量及當前時間段來訪IP所屬IP段的訪問流量��。第三步統(tǒng)計當前時間片的總體訪問次數(shù)和來訪IP所屬IP段的訪問次數(shù)�����;第四步等待當前時間片是否結(jié)束���。第五步在當前時間片結(jié)束后�,計算當前定時時間片的總體訪問流量和來訪IP所屬IP段訪問流量�����。其中總體訪問流量=當前時間片總體訪問次數(shù)/時間片;來訪IP所屬IP段訪問流量=當前時間片來訪IP所屬IP段訪問次數(shù)/時間片��。步驟S12 檢測當前是否受到DDOS攻擊�,如果是受到攻擊則轉(zhuǎn)入步驟S14,如果未受到攻擊則轉(zhuǎn)入步驟S13�����。對于檢測是否受到DDOS攻擊的細化步驟請參見圖4所示�,以下為結(jié)合圖4的詳細描述。第一步判斷當前定時時間片的總體訪問流量是否超過總體預設(shè)值或者超過當前時間段歷史總體訪問流量的預設(shè)倍數(shù)��。如果超過則判定為受到DDOS攻擊����,如果沒有則進入第二步的判斷。
第二步判斷當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP段預設(shè)值或者超過當前時間段此IP段歷史訪問流量的預設(shè)倍數(shù)����。如果超過則判定為受到DDOS攻擊,如果沒有則判斷為沒有受到DDOS攻擊���。步驟S13 更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量,然后進入步驟S15。這一步驟的細化如圖5所示�����,結(jié)合圖5說明該步驟的具體實現(xiàn)���。第一步��,初始時加載所有歷史訪問流量信息各時間段總體以及所有IP段的歷史訪問流量�����。第二步若備份歷史訪問流量時間片結(jié)束����,則備份所有歷史訪問流量信息各時間段總體及所有IP段的歷史訪問流量���。自動加載和備份各時間段總體及所有IP段的歷史訪問流量�����,允許人工調(diào)整各時間段上總體和所有IP段的歷史訪問流量����,具備較大的人工操作空間。第三步判斷預設(shè)時間段內(nèi)是否受到攻擊��,如果未受到攻擊��,則繼續(xù)下面的步驟�����。將預設(shè)時間段設(shè)置為M小時��,從而保證服務(wù)已經(jīng)回歸正常運行狀態(tài)���。第四步計算當前時間段總體歷史訪問流量��。當前時間段總體歷史訪問流量=當前時間段總體歷史訪問流量X系數(shù)+當前時間總體訪問流量χα-系數(shù))����。第五步計算當前時間段來訪IP所屬IP段歷史訪問流量���,然后進入步驟S15�。當前時間段來訪IP所屬IP段歷史訪問流量=當前時間段來訪IP所屬IP段歷史訪問流量X系數(shù)+當前時間來訪IP所屬IP段訪問流量X (1-系數(shù))�����。其中加權(quán)系數(shù)可設(shè)為0. 85,當然也可用其他加權(quán)方式�,或者根據(jù)各種數(shù)據(jù)模型來計算獲得。步驟S 14 根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量來確定是否需要過濾來訪IP請求���。如果需要過濾則轉(zhuǎn)入步驟S16,如果不需要過濾則轉(zhuǎn)入步驟S15�����。這一步驟的細化流程如圖6所示�����,結(jié)合如圖6描述如下��。第一步�����,設(shè)置時間片間隔��。例如�,時間片間隔=當前時間-當前時間片的起始時間。若小于1秒則設(shè)置為1秒�����。第二步判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬IP段的成功請求次數(shù)。若超過則進入第三步��,若未超過則進入步驟S16���。第三步累加當前時間片來訪IP所屬IP段的成功請求次數(shù)��,接著進入步驟S15��。步驟S15 轉(zhuǎn)發(fā)來訪IP的DNS請求��。流程結(jié)束��。步驟S16 拒絕來訪IP的DNS請求���。針對DNS服務(wù)的防DDOS攻擊的方法的第二實施例圖2示出了本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的方法的第二實施例的流程。請參見圖2�����,本實施例的方法的詳細步驟如下詳述�����。步驟S20 監(jiān)聽來訪IP的DNS請求。步驟S21 根據(jù)預先配置的許可IP段和非法IP段來過濾來訪的IP請求���,若來訪IP不屬于許可IP段或者屬于非法IP段���,則進入步驟S27。本步驟的細化如圖7所示�����。第一步判定來訪IP是否屬于白名單列表(即許可IP段)�����,若白名單為空則默認屬于���。如果不屬于則進入步驟S27,如果屬于則進入下一步的判斷�����。第二步判定來訪IP是否屬于黑名單列表(即非法IP段)����,若黑名單列表為空則默認不屬于��,如果屬于則進入步驟S27����,如果不屬于則進入步驟S22的處理�。步驟S22 確定來訪IP所屬IP段和當前時間所屬時間段,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量����。對于這一步驟,其細化步驟如圖3所示�,詳述如下。第一步��,根據(jù)預設(shè)的IP段劃分獲得來訪IP的所屬IP段���。例如�����,根據(jù)來訪IP和255. 255. 255. 0的與操作來獲得來訪IP的所屬IP段���。第二步根據(jù)預設(shè)的時間模式獲得當前時間所屬時間段。由于DNS的訪問流量在周期上是相對穩(wěn)定的,特別是7拉4的周期����,故采用7拉4小時來獲得當前時間所屬時間段,當然可以根據(jù)實際應(yīng)用場景的需求加大或減少這個周期粒度��。另各個IP段在指定時間段上DNS的訪問流量也是相對穩(wěn)定的����,這里采用ITA來獲得來訪IP所屬IP段,當然可可以根據(jù)實際應(yīng)用場景的需求來調(diào)整這個規(guī)則�����,如針對某些重要的 IP可分為一個或多個IP段�����,而其他一些不怎么重要的IP可歸于同一個IP段�,這樣受攻擊后有效減少受影響的重要IP��。當時間片結(jié)束時(時間片可設(shè)置為60秒)��,統(tǒng)計當前時間段的總體訪問流量及當前時間段來訪IP所屬IP段的訪問流量�����。第三步統(tǒng)計當前時間片的總體訪問次數(shù)和來訪IP所屬IP段的訪問次數(shù);第四步等待當前時間片是否結(jié)束����。第五步在當前時間片結(jié)束后,計算當前定時時間片的總體訪問流量和來訪IP所屬IP段訪問流量���。其中總體訪問流量=當前時間片總體訪問次數(shù)/時間片����;來訪IP所屬IP段訪問流量=當前時間片來訪IP所屬IP段訪問次數(shù)/時間片�。步驟S23 檢測當前是否受到DDOS攻擊,如果是受到攻擊則轉(zhuǎn)入步驟S25����,如果未受到攻擊則轉(zhuǎn)入步驟S24。對于檢測是否受到DDOS攻擊的細化步驟請參見圖4所示�,以下為結(jié)合圖4的詳細描述。第一步判斷當前定時時間片的總體訪問流量是否超過總體預設(shè)值或者超過當前時間段歷史總體訪問流量的預設(shè)倍數(shù)����。如果超過則判定為受到DDOS攻擊,如果沒有則進入第二步的判斷��。第二步判斷當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP段預設(shè)值或者超過當前時間段此IP段歷史訪問流量的預設(shè)倍數(shù)。如果超過則判定為受到DDOS攻擊��,如果沒有則判斷為沒有受到DDOS攻擊���。步驟S24 更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量���,然后進入步驟S26。這一步驟的細化如圖5所示���,結(jié)合圖5說明該步驟的具體實現(xiàn)���。第一步,初始時加載所有歷史訪問流量信息各時間段總體以及所有IP段的歷史訪問流量�����。第二步若備份歷史訪問流量時間片結(jié)束�,則備份所有歷史訪問流量信息各時間段總體及所有IP段的歷史訪問流量�。自動加載和備份各時間段總體及所有IP段的歷史訪問流量,允許人工調(diào)整各時間段上總體和所有IP段的歷史訪問流量�,具備較大的人工操作空間。第三步判斷預設(shè)時間段內(nèi)是否受到攻擊����,如果未受到攻擊���,則繼續(xù)下面的步驟。將預設(shè)時間段設(shè)置為M小時��,從而保證服務(wù)已經(jīng)回歸正常運行狀態(tài)���。第四步計算當前時間段總體歷史訪問流量����。當前時間段總體歷史訪問流量=當前時間段總體歷史訪問流量X系數(shù)+當前時間總體訪問流量χα-系數(shù))��。第五步計算當前時間段來訪IP所屬IP段歷史訪問流量��,然后進入步驟S26����。當前時間段來訪IP所屬IP段歷史訪問流量=當前時間段來訪IP所屬IP段歷史訪問流量X系數(shù)+當前時間來訪IP所屬IP段訪問流量X (1-系數(shù))。其中加權(quán)系數(shù)可設(shè)為0. 85�,當然也可用其他加權(quán)方式,或者根據(jù)各種數(shù)據(jù)模型來計算獲得��。步驟S25 根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量來確定是否需要過濾來訪IP請求���。如果需要過濾則轉(zhuǎn)入步驟S27����,如果不需要過濾則轉(zhuǎn)入步驟S26。這一步驟的細化流程如圖6所示�,結(jié)合如圖6描述如下。第一步�����,設(shè)置時間片間隔��。例如��,時間片間隔=當前時間-當前時間片的起始時間��。若小于1秒則設(shè)置為1秒�。第二步判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬IP段的成功請求次數(shù)。若超過則進入第三步�,若未超過則進入步驟S27。第三步累加當前時間片來訪IP所屬IP段的成功請求次數(shù)�,接著進入步驟S15��。步驟S26 轉(zhuǎn)發(fā)來訪IP的DNS請求���。流程結(jié)束�����。步驟S27 拒絕來訪IP的DNS請求���。針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的第一實施例圖8示出了本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的第一實施例�����。請參見圖8�,本實施例的系統(tǒng)包括依序連接的監(jiān)聽裝置10��、流量統(tǒng)計裝置11���、攻擊檢測裝置12��、處理裝置13�����。監(jiān)聽裝置10監(jiān)聽來訪IP的DNS請求�。流量統(tǒng)計裝置11確定來訪IP所屬IP段和當前時間所屬時間段���,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量�。流量統(tǒng)計裝置11進一步包括來訪IP所屬IP段獲取單元110、當前時間所屬時間段獲取單元111���、訪問次數(shù)統(tǒng)計單元112�����、計算單元113��。來訪IP所屬IP段獲取單元110根據(jù)預設(shè)的IP段劃分獲得來訪IP的所屬IP段�����。 例如根據(jù)來訪IP和255. 255. 255. 0的與操作來獲得來訪IP的所屬IP段��。當前時間所屬時間段獲取單元111根據(jù)預設(shè)的時間模式獲得當前時間所屬時間
10段����。訪問次數(shù)統(tǒng)計單元112統(tǒng)計當前時間片的總體訪問次數(shù)和來訪IP所屬IP段的訪問次數(shù)����。計算單元113中,在當前時間片結(jié)束后����,計算當前定時時間片的總體訪問流量為當前時間片總體訪問次數(shù)除以時間片的值,計算來訪IP所屬IP段訪問流量為當前時間片來訪IP所屬IP段訪問次數(shù)除以時間片的值�。攻擊檢測裝置12檢測當前是否受到DDOS攻擊。在攻擊檢測裝置12中��,如果當前定時時間片的總體訪問流量超過總體預設(shè)值或者超過當前時間段歷史總體訪問流量的預設(shè)倍數(shù)����,或者當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP段預設(shè)值或者超過當前時間段此IP段歷史訪問流量的預設(shè)倍數(shù),則判斷為受到DDOS攻擊����,否則判斷為沒有受到DDOS攻擊。處理裝置13中��,若檢測到DDOS攻擊���,則根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量過濾來訪IP請求�,若未檢測到DDOS攻擊�����,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量�,接著轉(zhuǎn)發(fā)來訪IP的DNS請求�����。處理裝置13包括受到DDOS攻擊后處理單元130和未受DDOS攻擊后處理單元131��。受到DDOS攻擊后處理單元130在檢測到受到DDOS攻擊后運行����,判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬 IP段的成功請求次數(shù)����,若超過則累加當前時間片來訪IP所屬IP段的成功請求次數(shù),接著轉(zhuǎn)發(fā)來訪IP的DNS請求�����,否則拒絕來訪IP的DNS請求�����,其中時間片間隔為當前時間和當前時間片的起始時間的差值��,若小于1秒則設(shè)置為1秒���。未受DDOS攻擊后處理單元131在沒有檢測到受到DDOS攻擊后運行���,更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量�,接著轉(zhuǎn)發(fā)來訪 IP的DNS請求���。針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的第二實施例圖9示出了本發(fā)明的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)的第二實施例。請參見圖9����,本實施例的系統(tǒng)包括依序連接的監(jiān)聽裝置20、過濾裝置M����、流量統(tǒng)計裝置21、攻擊檢測裝置22����、處理裝置23。監(jiān)聽裝置20監(jiān)聽來訪IP的DNS請求���。過濾裝置M根據(jù)預先配置的許可IP段和非法IP段來過濾來訪的IP請求����,若來訪IP不屬于許可IP段或者屬于非法IP段,則拒絕來訪IP的DNS請求��。流量統(tǒng)計裝置21確定來訪IP所屬IP段和當前時間所屬時間段�����,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量�。流量統(tǒng)計裝置21進一步包括來訪IP所屬IP段獲取單元210、當前時間所屬時間段獲取單元211��、訪問次數(shù)統(tǒng)計單元212���、計算單元213�。來訪IP所屬IP段獲取單元210根據(jù)預設(shè)的IP段劃分獲得來訪IP的所屬IP段��。 例如根據(jù)來訪IP和255. 255. 255. 0的與操作來獲得來訪IP的所屬IP段���。當前時間所屬時間段獲取單元211根據(jù)預設(shè)的時間模式獲得當前時間所屬時間段�����。訪問次數(shù)統(tǒng)計單元212統(tǒng)計當前時間片的總體訪問次數(shù)和來訪IP所屬IP段的訪問次數(shù)��。計算單元213中�,在當前時間片結(jié)束后,計算當前定時時間片的總體訪問流量為當前時間片總體訪問次數(shù)除以時間片的值���,計算來訪IP所屬IP段訪問流量為當前時間片來訪IP所屬IP段訪問次數(shù)除以時間片的值����。攻擊檢測裝置22檢測當前是否受到DDOS攻擊�����。在攻擊檢測裝置22中��,如果當前定時時間片的總體訪問流量超過總體預設(shè)值或者超過當前時間段歷史總體訪問流量的預設(shè)倍數(shù)�,或者當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP段預設(shè)值或者超過當前時間段此IP段歷史訪問流量的預設(shè)倍數(shù)�����,則判斷為受到DDOS攻擊��,否則判斷為沒有受到DDOS攻擊����。處理裝置23中,若檢測到DDOS攻擊����,則根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量過濾來訪IP請求���,若未檢測到DDOS攻擊,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量����,接著轉(zhuǎn)發(fā)來訪IP的DNS請求。處理裝置23包括受到DDOS攻擊后處理單元230和未受DDOS攻擊后處理單元231�����。受到DDOS攻擊后處理單元230在檢測到受到DDOS攻擊后運行��,判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬 IP段的成功請求次數(shù)�����,若超過則累加當前時間片來訪IP所屬IP段的成功請求次數(shù)����,接著轉(zhuǎn)發(fā)來訪IP的DNS請求,否則拒絕來訪IP的DNS請求����,其中時間片間隔為當前時間和當前時間片的起始時間的差值����,若小于1秒則設(shè)置為1秒���。未受DDOS攻擊后處理單元231在沒有檢測到受到DDOS攻擊后運行�,更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量���,接著轉(zhuǎn)發(fā)來訪 IP的DNS請求���。上述實施例是提供給本領(lǐng)域普通技術(shù)人員來實現(xiàn)和使用本發(fā)明的,本領(lǐng)域普通技術(shù)人員可在不脫離本發(fā)明的發(fā)明思想的情況下�����,對上述實施例做出種種修改或變化��,因而本發(fā)明的發(fā)明范圍并不被上述實施例所限�����,而應(yīng)該是符合權(quán)利要求書所提到的創(chuàng)新性特征的最大范圍����。
權(quán)利要求
1.一種針對DNS服務(wù)的防DDOS攻擊方法,包括步驟1 監(jiān)聽來訪IP的DNS請求��;步驟2 確定來訪IP所屬IP段和當前時間所屬時間段����,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量;步驟3 檢測當前是否受到DDOS攻擊�;步驟4 若檢測到DDOS攻擊,則根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量過濾來訪IP請求�����,若未檢測到DDOS攻擊�����,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量����,接著轉(zhuǎn)發(fā)來訪IP的DNS請求。
2.根據(jù)權(quán)利要求1所述的針對DNS服務(wù)的防DDOS攻擊方法��,其特征在于����,在步驟1和 2之間來包括根據(jù)預先配置的許可IP段和非法IP段來過濾來訪的IP請求���,若來訪IP不屬于許可 IP段或者屬于非法IP段,則拒絕來訪IP的DNS請求��。
3.根據(jù)權(quán)利要求1所述的針對DNS服務(wù)的防DDOS攻擊方法�����,其特征在于��,步驟2進一步包括根據(jù)預設(shè)的IP段劃分獲得來訪IP的所屬IP段��;根據(jù)預設(shè)的時間模式獲得當前時間所屬時間段��;統(tǒng)計當前時間片的總體訪問次數(shù)和來訪IP所屬IP段的訪問次數(shù)��;在當前時間片結(jié)束后�����,計算當前定時時間片的總體訪問流量為當前時間片總體訪問次數(shù)除以時間片的值�,計算來訪IP所屬IP段訪問流量為當前時間片來訪IP所屬IP段訪問次數(shù)除以時間片的值�。
4.根據(jù)權(quán)利要求1所述的針對DNS服務(wù)的防DDOS攻擊方法,其特征在于�����,步驟3進一步包括如果當前定時時間片的總體訪問流量超過總體預設(shè)值或者超過當前時間段歷史總體訪問流量的預設(shè)倍數(shù),或者當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP段預設(shè)值或者超過當前時間段此IP段歷史訪問流量的預設(shè)倍數(shù)���,則判斷為受到DDOS攻擊�,否則判斷為沒有受到DDOS攻擊���。
5.根據(jù)權(quán)利要求1所述的針對DNS服務(wù)的防DDOS攻擊方法�����,其特征在于�,步驟4進一步包括若檢測到受到DDOS攻擊�,則判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬IP段的成功請求次數(shù),若超過則累加當前時間片來訪IP所屬IP段的成功請求次數(shù)��,接著轉(zhuǎn)發(fā)來訪IP的DNS請求�����,否則拒絕來訪IP 的DNS請求����,其中時間片間隔為當前時間和當前時間片的起始時間的差值�,若小于1秒則設(shè)置為1秒��;若沒有檢測到DDOS攻擊�����,則更新當前時間段歷史總體訪問流量以及當前時間段來訪 IP所屬IP段的歷史訪問流量���,接著轉(zhuǎn)發(fā)來訪IP的DNS請求����。
6.一種針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)��,包括監(jiān)聽裝置��、流量統(tǒng)計裝置��、攻擊檢測裝置�����、處理裝置����,其中所述監(jiān)聽裝置監(jiān)聽來訪IP的DNS請求;所述流量統(tǒng)計裝置連接所述監(jiān)聽裝置���,確定來訪IP所屬IP段和當前時間所屬時間段��,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量����;所述攻擊檢測裝置連接所述流量統(tǒng)計裝置�����,檢測當前是否受到DDOS攻擊���;所述處理裝置連接所述攻擊檢測裝置���,若檢測到DDOS攻擊,則根據(jù)當前時間段來訪IP 所屬IP段的歷史訪問流量過濾來訪IP請求�����,若未檢測到DDOS攻擊�,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量,接著轉(zhuǎn)發(fā)來訪IP的 DNS請求。
7.根據(jù)權(quán)利要求6所述的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)��,其特征在于���,所述系統(tǒng)還包括過濾裝置���,連接在所述監(jiān)聽裝置和所述流量統(tǒng)計裝置之間,根據(jù)預先配置的許可IP段和非法IP段來過濾來訪的IP請求��,若來訪IP不屬于許可IP段或者屬于非法IP段��,則拒絕來訪IP的DNS請求�����。
8.根據(jù)權(quán)利要求6所述的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)����,其特征在于,所述流量統(tǒng)計裝置進一步包括來訪IP所屬IP段獲取單元�����、當前時間所屬時間段獲取單元���、訪問次數(shù)統(tǒng)計單元��、計算單元���,其中所述來訪IP所屬IP段獲取單元,根據(jù)預設(shè)的IP段劃分獲得來訪IP的所屬IP段�����;所述當前時間所屬時間段獲取單元�����,根據(jù)預設(shè)的時間模式獲得當前時間所屬時間段�����;所述訪問次數(shù)統(tǒng)計單元�����,統(tǒng)計當前時間片的總體訪問次數(shù)和來訪IP所屬IP段的訪問次數(shù)�;所述計算單元,在當前時間片結(jié)束后�����,計算當前定時時間片的總體訪問流量為當前時間片總體訪問次數(shù)除以時間片的值,計算來訪IP所屬IP段訪問流量為當前時間片來訪IP 所屬IP段訪問次數(shù)除以時間片的值���。
9.根據(jù)權(quán)利要求6所述的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng)�����,其特征在于��,在所述攻擊檢測裝置中�,如果當前定時時間片的總體訪問流量超過總體預設(shè)值或者超過當前時間段歷史總體訪問流量的預設(shè)倍數(shù)��,或者當前定時時間片的來訪IP所屬IP段的訪問流量超過此IP段預設(shè)值或者超過當前時間段此IP段歷史訪問流量的預設(shè)倍數(shù)����,則判斷為受到DDOS 攻擊,否則判斷為沒有受到DDOS攻擊����。
10.根據(jù)權(quán)利要求6所述的針對DNS服務(wù)的防DDOS攻擊的系統(tǒng),其特征在于���,所述處理裝置包括受到DDOS攻擊后處理單元����,在檢測到受到DDOS攻擊后運行,判定時間片間隔與當前時間段來訪IP所屬IP段的歷史訪問流量的乘積是否超過當前時間片來訪IP所屬IP段的成功請求次數(shù)���,若超過則累加當前時間片來訪IP所屬IP段的成功請求次數(shù)���,接著轉(zhuǎn)發(fā)來訪IP 的DNS請求�,否則拒絕來訪IP的DNS請求,其中時間片間隔為當前時間和當前時間片的起始時間的差值�����,若小于1秒則設(shè)置為1秒���;未受DDOS攻擊后處理單元�,在沒有檢測到DDOS攻擊后運行���,更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量���,接著轉(zhuǎn)發(fā)來訪IP的DNS請求。
全文摘要
本發(fā)明公開了針對DNS服務(wù)的防DDOS攻擊方法和系統(tǒng)�,實時���、準確地檢測和防御針對DNS服務(wù)的DDOS攻擊。其技術(shù)方案為監(jiān)聽來訪IP的DNS請求�;確定來訪IP所屬IP段和當前時間所屬時間段,并統(tǒng)計當前定時時間片的總體訪問流量和來訪IP所屬IP段的訪問流量���;檢測當前是否受到DDOS攻擊����;若檢測到DDOS攻擊�����,則根據(jù)當前時間段來訪IP所屬IP段的歷史訪問流量過濾來訪IP請求�����,若未檢測到DDOS攻擊����,則更新當前時間段歷史總體訪問流量以及當前時間段來訪IP所屬IP段的歷史訪問流量,接著轉(zhuǎn)發(fā)來訪IP的DNS請求���。
文檔編號H04L29/06GK102291411SQ20111023799
公開日2011年12月21日 申請日期2011年8月18日 優(yōu)先權(quán)日2011年8月18日
發(fā)明者劉成彥, 洪珂, 蘇射雄 申請人:網(wǎng)宿科技股份有限公司