基于专利分析DDoS防范方法

基于专利分析DDoS防范方法

孙芳芳  刘金鑫等同第一作者

国家知识产权局专利局专利审查协作天津中心   天津   300304

摘要：DDos 攻击是DNS常见的攻击方式，本文介绍了域名解析的过程、 DDos 攻击的形式和DDoS防范技术。集合专利结束，介绍了单特征DDoS攻击检测、多特征DDoS攻击检测和智能DDoS攻击检测。

关键词：域名解析；DNS；DDos攻击

一、域名解析基础

域名解析是就是DNS服务器将域名解析成IP地址的转换过程。域名解析系统的实现分为四个层次，包含根域名服务系统、顶级域名服务系统、二级及二级以下权威域名服务系统、递归域名服务系统。递归域名服务器负责处理上网用户的查询请求，帮助互联网用户从权威域名服务系统获取相关信息，权威域名系统从上一级的顶级域名系统获得数据，根域名系统涵盖所有域名数据。

一次完整的DNS查询包括：

1、在浏览器中输入待查询的域名，浏览器会检查缓存中有没有域名对应的解析过的IP地址，如果有，直接返回，完成域名解析。

2、如果用户浏览器缓存中没有这个域名的映射，操作系统会先检查自己本地的hosts文件是否有这个网址映射关系，如果有，就先调用这个IP地址映射，完成域名解析。

3、如果hosts与浏览器缓存都没有相应的网址映射关系，首先会找本地DNS服务器，本地DNS服务器收到查询时，如果要查询的域名，包含在本地配置区域资源中，则返回解析结果给客户机，完成域名解析，此解析具有权威性。

4、如果要查询的域名，不由本地DNS服务器区域解析，但该服务器已缓存了此网址映射关系，则调用这个IP地址映射，完成域名解析，此解析不具有权威性。 

5、如果本地DNS服务器本地区域文件与缓存解析都失效，则根据本地DNS服务器的设置进行查询，如果未用转发模式，本地DNS就把请求发至根DNS服务器，根DNS服务器收到请求后会判断这个域名是谁来授权管理，并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后，将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后，如果自己无法解析，它就会找一个管理.com域的下一级DNS服务器地址给本地DNS服务器。当本地DNS服务器收到这个地址后，就会找域服务器，重复上面的动作，进行查询，直至找到域名对应的主机。

6、如果用的是转发模式，此DNS服务器就会把请求转发至上一级DNS服务器，由上一级服务器进行解析，上一级服务器如果不能解析，或找根DNS或把转请求转至上上级，以此循环。不管是本地DNS服务器用是是转发，还是根提示，最后都是把结果返回给本地DNS服务器，由此DNS服务器再返回给客户机。 

DNS系统是一个完全开放的协作体系，该系统中传输的各类数据没有进行加密，没有提供适当的信息保护和认证机制，也没有对各种查询进行准确的识别，同时对网络基础设施和核心骨干设备的保护没有受到足够重视，因此导致了后期DNS系统很容易遭受攻击，安全性较差。

二、DDoS攻击的方式

对DNS系统常见的攻击方式包括以下方式：域名劫持、缓存投毒、DDoS攻击和DNS欺骗。DDoS攻击是指处于不同位置的多个攻击者同时向一个或者数个目标发送攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。下面我们主要介绍DDoS攻击。可以将DNS中的DDoS分为以下三类：

第一类：直接DDoS攻击

攻击者请求大量不存在的域名，使递归服务器进行大量递归查询，导致崩溃。这里受攻击对象多为递归服务器。攻击者的惯用手段通常有伪造源IP、随机化IP数据包TTL、随机化请求域名的特点。产生大量随机域名，耗尽递归解析器的资源，从而使正常域名请求无法得到递归解析。

第二类：放大攻击

攻击者的攻击目标不是DNS服务器，只是利用DNS服务器攻击其他系统。放大攻击使用针对无辜的第三方的欺骗性的数据包来放大通信流量，其目的是耗尽受害者的全部带宽。

第三类：跳板攻击

攻击者以DNS递归服务器为跳板，对DNS授权服务器实施DDoS攻击，故称其为DNS跳板攻击。其具体方式如下：在攻击者的控制下，由多个DNS客户端同时，大量地向某个DNS递归服务器查询一个并不存在的域名，这个域名的特点即一级域名全部相同，二级域名随机构造。由于这些域名本地缓存是查找不到的，因此势必会触发递归查询。而全部的递归请求都会发送到一个授权服务器上，造成其系统瘫痪，DDoS攻击成功。

三、DDoS攻击解决方案

常见的DDoS防范技术包括被动式防御和主动检测。被动式防御包括：采用高性能的网络设备，或者保证充足的网络带宽，或者升级服务器的硬件，或者增强操作系统的TCP/IP协议栈，或者安装专业的抗DDoS防火墙。主动检测包括DNS重定向、不支持域外解析请求的递归查询、限制每秒域名解析请求次数、统计域名解析的频度、检测报文长度、同一请求的查询个数、建立流量模型等。根据检测的方式可以将主动检测分为单特征DDoS攻击检测、多特征DDoS攻击检测和智能DDoS攻击检测。下面结合专利技术，对以下三种方式进行简单介绍。

（1）、单特征DDoS攻击检测，主要通过单个的特征，例如流量，源地址或者域名来判断是否存在DDoS攻击

对于异常流量检测DDoS攻击，CN103973663A公开了：获得异常流量检测历史数据，根据异常流量检测历史数据生成异常流量检测的容忍线上下流量阈值；将检测得到的流量值与所述异常流量检测的容忍线上下流量阈值进行比较；如果流量值大于容忍线上流量阈值或小于容忍线下流量阈值，发出异常流量检测告警。

对DNS请求的源地址检测DDoS攻击，CN101321055A公开了：对于域名解析请求，在验证其来自真实源的情况下才向DNS服务器转发该域名解析请求，对于不是来自真实源的域名解析请求，不向DNS服务器转发。此外，CN102404334A公开了：Firewall接收Local PC发送的DNS请求包；Firewall向Local PC返回应答消息；Firewall判断Local PC是否对应答消息进行反馈，如果反馈，则验证通过；Firewall将验证通过的DNS请求包发送至DNS服务器server。

2、多特征DDoS攻击检测。主要通过多个的特征协同判断是否存在DDOS攻击。

通过两个特征协同检测DDoS攻击，CN102291411A公开了：监听来访IP的DNS请求；确定来访IP所属IP段和当前时间所属时间段，并统计当前定时时间片的总体访问流量和来访IP所属IP段的访问流量；检测当前是否受到DDOS攻击。此外，CN106357660A公开了：获取其中一个待检测报文的源IP地址和生存时间值，根据该生存时间值计算该待检测报文途径网络节点的跳数；在本地数据表中查询所述源IP地址对应的跳数集合；当所述跳数属于所述跳数集合，或该跳数与所述跳数集合中最大或最小跳数的差距小于预设阈值时，判断所述待检测报文为非伪造源IP的攻击报文，更新所述本地数据表；否则，判断所述待检测报文为伪造源IP的攻击报文。采用本发明，可以准确地识别伪造源IP。

3、智能DDoS攻击检测，主要采用机器学习或者数据挖掘的方式识别DDoS攻击。

针对DNS放大攻击，CN104506538A公开了：将所接收的域名解析请求所含的数据与依据给定规则对历史域名解析记录运算而得的学习结果数据进行特征对比；仅针对特征相符的域名解析请求进行解析，生成域名解析记录；以该域名解析记录应答相应的域名解析请求。

为了提高检测的准确性，CN106657025A公开了：获取域名系统解析数据；然后采用预设的数据挖掘算法对所述域名系统解析数据进行数据挖掘，获得数据挖掘结果；最后根据所述数据挖掘结果对网络攻击行为进行检测。CN110912909A公开了获取DNS服务器接口的网络数据流；记录数据流中的特征；根据可分性判据选择特征组合并提取节点特征值；基于机器学习用不同的特征组合训练不同的分类模型；实时数据流经过复杂度低的模型进行分类；服务确定的正常请求，过滤确定的攻击数据；分类的数据流经过复杂度高的模型进行第二次分类。通过两次复杂程度不同的分类模型检测DNS服务器的DDoS攻击可以提高检测攻击的准确率。