[發(fā)明專利]網(wǎng)絡(luò)攻擊的防護(hù)方法及裝置在審
| 申請?zhí)枺?/td> | 201310350396.8 | 申請日: | 2013-08-12 |
| 公開(公告)號: | CN104378450A | 公開(公告)日: | 2015-02-25 |
| 發(fā)明(設(shè)計)人: | 羅喜軍;白驚濤 | 申請(專利權(quán))人: | 深圳市騰訊計算機系統(tǒng)有限公司 |
| 主分類號: | H04L29/12 | 分類號: | H04L29/12;H04L29/06 |
| 代理公司: | 深圳中一專利商標(biāo)事務(wù)所 44237 | 代理人: | 張全文 |
| 地址: | 518057 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 網(wǎng)絡(luò) 攻擊 防護(hù) 方法 裝置 | ||
技術(shù)領(lǐng)域
本發(fā)明屬于通信領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)攻擊的防護(hù)方法及裝置。
背景技術(shù)
域名服務(wù)系統(tǒng)(Domain?Name?System,DNS)洪水(Flood)攻擊是一種拒絕服務(wù)(Denial?of?Sdrvice,DoS)攻擊,通過構(gòu)造大量惡意的域名解析請求發(fā)送到服務(wù)器,消耗服務(wù)器帶寬或者服務(wù)器中央處理器(Central?Processing?Unit,CPU)資源,使之無法正常對外服務(wù)。
為了防護(hù)上述網(wǎng)絡(luò)攻擊,通常在服務(wù)器端配置安全防護(hù)設(shè)備,其在接收到用戶端的域名解析請求之后,通過構(gòu)造帶TC標(biāo)記位的DNS響應(yīng)包,強制用戶將非可靠的用戶數(shù)據(jù)報協(xié)議(User?Datagram?Protocol,UDP)更改為可靠的傳輸控制協(xié)議(Transmission?Control?Protocol,TCP),再次發(fā)送域名解析請求,由此來實現(xiàn)對正常用戶端和攻擊用戶端的區(qū)分,為服務(wù)器過濾掉攻擊用戶端的域名解析請求,實現(xiàn)對網(wǎng)絡(luò)攻擊的阻斷。
然而,由于目前大部分用戶端的本地緩存域名服務(wù)器(Local?Domain?Name?System,LDNS)并不支持對帶TC標(biāo)記位的DNS響應(yīng)包的識別功能,因此,上述防護(hù)方式會導(dǎo)致服務(wù)器無法處理正常用戶端的域名解析請求,嚴(yán)重影響了正常用戶端與服務(wù)器之間的網(wǎng)絡(luò)通信。
發(fā)明內(nèi)容
本發(fā)明實施例的目的在于提供一種網(wǎng)絡(luò)攻擊的防護(hù)方法,旨在解決現(xiàn)有的針對DNS洪水攻擊的防護(hù)方法會導(dǎo)致服務(wù)器無法處理正常用戶端的域名解析請求的問題。
本發(fā)明實施例是這樣實現(xiàn)的,一種網(wǎng)絡(luò)攻擊的防護(hù)方法,包括:
接收用戶端發(fā)送的關(guān)于第一域名的第一域名解析請求,提取出其中的源地址和所述第一域名;
基于所述第一域名生成包含所述用戶端的cookie的第二域名,所述用戶端的cookie為根據(jù)預(yù)設(shè)算法計算所述第一域名解析請求中的源地址得到;
向所述用戶端返回第一響應(yīng),所述第一響應(yīng)中攜帶了所述第二域名,以使所述用戶端根據(jù)所述第一響應(yīng)返回關(guān)于所述第二域名的第二域名解析請求;
在所述第二域名解析請求中提取源地址和所述第二域名;
判斷所述第二域名解析請求中的源地址與所述第二域名中包含的所述用戶端的cookie是否匹配,是則向所述用戶端返回第二響應(yīng),所述第二響應(yīng)中攜帶了所述第一域名,以使所述用戶端根據(jù)所述第二響應(yīng)返回關(guān)于所述第一域名的第三域名解析請求;
將所述第三域名解析請求轉(zhuǎn)發(fā)給權(quán)威域名服務(wù)系統(tǒng)DNS服務(wù)器。
本發(fā)明實施例的另一目的在于提供一種網(wǎng)絡(luò)攻擊的防護(hù)裝置,包括:
第一接收單元,用于接收用戶端發(fā)送的關(guān)于第一域名的第一域名解析請求,提取出其中的源地址和所述第一域名;
生成單元,用于基于所述第一域名生成包含所述用戶端的cookie的第二域名,所述用戶端的cookie為根據(jù)預(yù)設(shè)算法計算所述第一域名解析請求中的源地址得到;
第一返回單元,用于向所述用戶端返回第一響應(yīng),所述第一響應(yīng)中攜帶了所述第二域名,以使所述用戶端根據(jù)所述第一響應(yīng)返回關(guān)于所述第二域名的第二域名解析請求;
提取單元,用于在所述第二域名解析請求中提取源地址和所述第二域名;
第二返回單元,用于判斷所述第二域名解析請求中的源地址與所述第二域名中包含的所述用戶端的cookie是否匹配,是則向所述用戶端返回第二響應(yīng),所述第二響應(yīng)中攜帶了所述第一域名,以使所述用戶端根據(jù)所第二響應(yīng)返回第三域名解析請求;
第一轉(zhuǎn)發(fā)單元,用于將所述第三域名解析請求轉(zhuǎn)發(fā)給權(quán)威域名服務(wù)系統(tǒng)DNS服務(wù)器。
本發(fā)明實施例針對DNS洪水攻擊提供了一種防護(hù)方法,在不需要強制用戶端改用TCP協(xié)議的前提下,能夠有效地識別出正常發(fā)送域名解析請求的用戶端,為服務(wù)器過濾掉攻擊用戶端發(fā)送的域名解析請求,有效地保障了用戶端與服務(wù)器之間的正常通信。
附圖說明
圖1是本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法的實現(xiàn)流程圖;
圖2是本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法S105的具體實現(xiàn)流程圖;
圖3是本發(fā)明另一實施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法的實現(xiàn)流程圖;
圖4是本發(fā)明另一實施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法的實現(xiàn)流程圖;
圖5是本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法的交互流程圖;
圖6是本發(fā)明實施例提供的網(wǎng)絡(luò)攻擊的防護(hù)裝置的結(jié)構(gòu)框圖;
圖7是本發(fā)明另一實施例提供的網(wǎng)絡(luò)攻擊的防護(hù)裝置的結(jié)構(gòu)框圖;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深圳市騰訊計算機系統(tǒng)有限公司,未經(jīng)深圳市騰訊計算機系統(tǒng)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310350396.8/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 網(wǎng)絡(luò)和網(wǎng)絡(luò)終端
- 網(wǎng)絡(luò)DNA
- 網(wǎng)絡(luò)地址自適應(yīng)系統(tǒng)和方法及應(yīng)用系統(tǒng)和方法
- 網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)至網(wǎng)絡(luò)橋接器
- 一種電力線網(wǎng)絡(luò)中根節(jié)點網(wǎng)絡(luò)協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡(luò)定位方法、存儲介質(zhì)及移動終端
- 網(wǎng)絡(luò)裝置、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)方法以及網(wǎng)絡(luò)程序
- 從重復(fù)網(wǎng)絡(luò)地址自動恢復(fù)的方法、網(wǎng)絡(luò)設(shè)備及其存儲介質(zhì)
- 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練方法、裝置及存儲介質(zhì)
- 網(wǎng)絡(luò)管理方法和裝置
- 防護(hù)裝置和防護(hù)方法
- 防護(hù)材料與防護(hù)結(jié)構(gòu)與防護(hù)方法
- 一種用于評估防護(hù)工程綜合防護(hù)效能的數(shù)學(xué)計算模型
- 平面防護(hù)板、拐角防護(hù)板及防護(hù)裝置
- 平面防護(hù)板、拐角防護(hù)板及防護(hù)裝置
- 防護(hù)裝置及防護(hù)系統(tǒng)
- 防護(hù)蓋(接頭防護(hù)蓋)
- 巖爆防護(hù)臺車防護(hù)網(wǎng)以及防護(hù)臺車防護(hù)架
- 巖爆防護(hù)臺車防護(hù)網(wǎng)以及防護(hù)臺車防護(hù)架
- 防護(hù)罩、防護(hù)服及防護(hù)系統(tǒng)
