[發明專利]一種針對DNS服務器的DDOS防御攻擊系統在審
| 申請號: | 201910171979.1 | 申請日: | 2019-03-07 |
| 公開(公告)號: | CN109981605A | 公開(公告)日: | 2019-07-05 |
| 發明(設計)人: | 胡磊 | 申請(專利權)人: | 北京華安普特網絡科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 上海精晟知識產權代理有限公司 31253 | 代理人: | 馮子玲 |
| 地址: | 100071 北京市豐臺*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 判斷模塊 源IP地址 信息提取模塊 對比檢測 攻擊系統 檢測模式 偽造 模式轉換單元 過濾模式 防御 決策 單元連接 誤報率 有效地 跳數 服務器 篩選 攻擊 檢測 統計 | ||
1.一種針對DNS服務器的DDOS防御攻擊系統,其特征在于:包括信息提取模塊、對比檢測模塊和決策判斷模塊;
所述信息提取模塊用于對訪問服務器的DNS包進行信息處理,提取DNS包中的源IP地址字段和TTL值,且統計該DNS包到達服務器所經過的跳數,并將DNS包中的源IP地址字段以及跳數發送至對比檢測模塊;
所述對比檢測模塊用于接收信息提取模塊發送的DNS包中的源IP地址字段以及跳數,并將接收的跳數作為比對檢測算法的輸入,通過與IPH_Bloom結構中存儲的跳數進行對比來確定待檢測的DNS包是否為源IP地址偽造包;
決策判斷模塊包括檢測模式單元、過濾模式單元和模式轉換單元,模式轉換單元分別與檢測模式單元和過濾模式單元連接,檢測模式單元采用檢測模式,用于抽樣檢測訪問服務器的DNS包中是否存在源IP地址偽造包,過濾模式單元采用過濾模式,用于逐個檢測訪問服務器的每個DNS包是否存在源IP地址偽造包,模式轉換單元用于對檢測模式單元和過濾模式單元的檢測進行轉換。
2.根據權利要求1所述的一種針對DNS服務器的DDOS防御攻擊系統,其特征在于:數據包訪問服務器的跳數,采用TTL值推算方法進行統計,以確定待檢測的DNS包是否為源IP地址偽造包,所述TTL值推算跳數的方法,包括以下步驟:
S1、從待檢測的DNS包中提取源IP地址S和最終TTL值Tf;
S2、根據Tf推出初始TTL值Ti,并計算其跳數值Hc,以S和跳數值Hc為關鍵檢索IPH_Bloom中存儲的標準跳數Hs;
S3、判斷跳數值Hc與標準跳數Hs是否相等,若相等,則DNS包未合法包,反之,則為源IP地址偽造包。
3.根據權利要求2所述的一種針對DNS服務器的DDOS防御攻擊系統,其特征在于:在判斷DNS包為源IP地址偽造包且Ti和Tf屬于模糊集合中的元素,則統計另一可能的跳數值并根據新的跳數值對該DNS包進行重新判定,當跳數值Hc與標準跳數Hs之間差的絕對值在設定的閾值內,則判定該DNS包為合法包,否則,為源IP地址偽造包。
4.根據權利要求3所述的一種針對DNS服務器的DDOS防御攻擊系統,其特征在于:所述模糊集合包括若干組模糊數組,分別為{Ti1,Ff1}、{Ti2,Ff2}、...、{Tik,Ffk}、...、{Tiz,Ffz}。
5.根據權利要求1所述的一種針對DNS服務器的DDOS防御攻擊系統,其特征在于:所述決策判斷模塊采用檢測模式,檢測訪問服務器的DNS包并判斷DNS包是否為源IP地址偽造包,且不丟失源IP地址偽造包,當抽樣檢測到單位時間內源IP地址偽造包的數量超過設定的偽造包數量閾值上限時,模式轉換單元將從檢測模式轉換成過濾模式,檢測訪問服務器的每個DNS包并丟棄源IP地址偽造包,當檢測到單位時間內源IP地址偽造包的數量低于設定的偽造包數量閾值下限時,模式轉換單元將從過濾模式轉換成檢測模式,并繼續抽樣檢測訪問服務器的DNS包,停止丟棄數據包。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京華安普特網絡科技有限公司,未經北京華安普特網絡科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910171979.1/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種快速檢測網頁黑鏈的方法
- 下一篇:通用串行總線的硬件防火墻檢測裝置
