專利名稱:一種dns和應用代理相結合對抗拒絕服務攻擊的方法
技術領域:
本發(fā)明涉及一種IPC分類H04L領域的計算機網絡安全領域中拒絕服務攻擊的方法�,尤其是一種利用DNS解析輪詢技術對抗拒絕服務攻擊的方法。
背景技術:
拒絕服務攻擊的作用是使網站服務器充斥大量要求回復的信息�����,消耗網絡帶寬或系統(tǒng)資源����,導致網絡或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網絡服務。而分布式拒絕服務攻擊采用了一種比較特別的體系結構����,從許多分布的主機同時攻擊一個目標。其主要特點是流量巨大�����,往往以耗盡目標網絡有限帶寬從而達到目標癱瘓的目的。
對抗拒絕服務攻擊和分布式拒絕服務攻擊通常有以下方法1.屏蔽攻擊數據包中的來源地址或目標地址當發(fā)現(xiàn)DoS或DDoS攻擊時���,通過在防火墻網關上手工或自動屏蔽從攻擊數據包分析得到的來源地址或目標地址����,從而實現(xiàn)在防火墻網關上將這些數據包過濾的目的��。缺陷在于(1)來源地址極其容易偽造���;(2)屏蔽目標地址相當于目標主機不再允許外部連接��,實際效果仍相當于停止了目標主機的網絡服務�。
2.負載均衡設備通過增加負載均衡設備��,采用多主機同時分流網絡流量的方法�。缺陷除了所需資金(負載均衡設備和主機)較高外,如果負載均衡設備前的帶寬被占滿�,拒絕服務攻擊的目的仍然能夠達到�。
3.提高網絡設備和主機性能缺陷同上。
4.操作系統(tǒng)網絡層防護通過采用諸如syncookies����、random drop等算法編碼��,在操作系統(tǒng)網絡層提高對抗拒絕服務攻擊的防護能力��。這種方法的缺陷在于(1)往往要求硬件配置較高���;(2)在大流量的DoS攻擊下所能起到的作用極其有限。
上述幾種方法在一定程度上能減緩拒絕服務攻擊對網絡服務的影響��,但當攻擊者通過分布式拒絕服務攻擊方式�,用巨量的網絡攻擊數據包來耗盡目標網絡的有限帶寬,這幾種方法基本上都是無能為力的�����。因此有必要尋找一種更好的對抗以帶寬耗盡為攻擊手段的分布式拒絕服務攻擊的技術途徑或方法����。
發(fā)明內容
本發(fā)明所要解決的技術問題是提供一種利用DNS解析輪詢技術對抗拒絕服務攻擊的方法,該方法以解析輪詢和應用代理相結合的技術解決了一個域名擁有多個不同的IP���,來自不同客戶端的對該域名的每一次IP地址解析都可能不同(也可能相同���,視服務端的設置而定)及在網絡應用層向用戶提供透明的后臺服務,用戶只能知道代理服務器的IP地址,而無法得到在后臺提供真正應用服務的主機地址的問題����。為此,本發(fā)明的主要技術方案是一種利用DNS解析輪詢技術對抗拒絕服務攻擊的方法�,其中,所述方法包括確定至少一個域名和多個DNS客戶分配的步驟���、建立多個不同的IDC機房申請托管主機服務的步驟�����、實現(xiàn)獲取互聯(lián)網IP地址又且安裝好代理服務器的步驟以及將所述代理服務器的配置向后臺的至少一個應用服務器轉發(fā)訪問請求的步驟���。如此方法可以巧妙地分流、旁路諸如syn flood和連接耗盡等拒絕服務攻擊且易于擴展和管理��,特別適用于中小型企業(yè)�。
圖1為實現(xiàn)本發(fā)明目的網絡拓撲圖實例1,圖2為本發(fā)明工作流程圖���。
具體實施例方式
結合圖1��、圖2����,本發(fā)明提供了一種利用DNS解析輪詢技術對抗拒絕服務攻擊的方法����,在所述方法中DNS解析輪詢是以一個域名擁有多個不同的IP,來自不同客戶端的對該域名的每一次IP地址解析都可能不同(也可能相同���,視服務端的設置而定)���,而在應用代理步驟中是以在網絡應用層向用戶提供透明的后臺服務為前提,用戶只能知道代理服務器的IP地址��,而無法得到在后臺提供真正應用服務的主機地址����。本方法的具體實施步驟如下1、在多個不同的IDC機房申請托管主機服務��,獲取互聯(lián)網IP地址并安裝好代理服務器����。
2、將代理服務器配置為向后臺的應用服務器轉發(fā)訪問請求�。
3、在域名服務器上設置如下單域名多地址解析記錄(以域名www.abc.com為例)www.abc.com.IN A AAA.AAA.AAA.AAAwww.abc.com.IN A BBB.BBB.BBB.BBBwww.abc.com.IN A CCC.CCC.CCC.CCC如圖1所示,A�、B、C(或更多的)分別位于不同的網絡或IDC中心�����,在這些機器上并不沒有運行真正的網絡服務�����,而只是代理服務器���。它們的作用是將來自互聯(lián)網的訪問請求代理轉發(fā)給后臺的SVR��,并將SVR對網絡服務的響應代理回復給客戶端�����。
在采用DNS解析輪詢時�,對第一個www.abc.com域名解析請求�����,將返回AAA.AAA.AAA.AAA這個互聯(lián)網IP地址�。當第二個解析www.abc.com域名的請求時���,DNS服務器將返回BBB.BBB.BBB.BBB地址。第三次則是CCC.CCC.CCC.CCC�����,第四次則重新回到AAA.AAA.AAA.AAA�,依此類推�。。����。。�。。
顯而易見的����,對于來自互聯(lián)網的訪問請求,DNS域名解析輪詢能夠平均地將請求數量分配到不同的網絡地址上��,即實現(xiàn)了基本的負載均衡���。由于這些網絡地址上運行的僅是代理服務器��,所以訪問請求最終仍將由后臺的SVR服務器處理����。但后臺的SVR服務器對于客戶來講是透明的,不可見的�����。
現(xiàn)在來看看這種技術如何對抗拒絕服務攻擊(以最常見的SYN Flood為例)�。
工作步驟如下1、假設攻擊者Attacker向DNS服務器請求解析www.abc.com時得到AAA.AAA.AAA.AAA這個地址����,則其攻擊程序將向該IP地址發(fā)送大量的SYN攻擊包,代理服務器A由于無法抵御過于兇猛的攻擊流量而陷于癱瘓(主機癱瘓或網絡帶寬被占滿)�����。但由于此時TCP連接未建立�����,代理服務器A與后臺SVR服務器之間不會充斥攻擊流量����。
2����、此時其他合法客戶端(CIient1/CIient2)也向DNS服務器請求解析www.abc.com域名�����。結果有兩種可能的響應a.DNS服務器向其返回代理服務器B或代理服務器C的IP地址�����,則
a1.由于B和C未受拒絕服務攻擊���,仍能提供正常的網絡服務訪問,故由B或C向后臺SVR服務器轉發(fā)合法客戶端的請求a2.后臺應用服務器SVR響應客戶端請求���,并將響應結果通過代理服務器返回給客戶端b.DNS服務器向其返回代理服務器A的IP地址����,則由于A已經不能提供正常訪問����,客戶端將在短暫的連接超時后再次請求解析域名,當返回的IP地址為B或C時��,滿足a。
圖2為本發(fā)明的工作流程圖�����。
由上可知�,只要繼續(xù)增加代理服務器的數量,不難保證合法客戶端在某一臺甚至某幾臺代理服務器被攻擊的同時仍能正常訪問網絡服務�。
本發(fā)明主要是結合了DNS域名解析輪詢和應用代理服務這兩種技術的特點和優(yōu)點,并將其運用到對抗拒絕服務攻擊解決方法領域中�����。其特征是配置非常靈活��,易于擴展和管理��,特別適用于中小型企業(yè)�����。
權利要求
1.一種利用DNS解析輪詢技術對抗拒絕服務攻擊的方法��,其特征是�,所述方法包括如下步驟確定至少一個域名服務器和多個DNS客戶分配的步驟、建立多個不同的IDC機房申請托管主機服務的步驟����、實現(xiàn)獲取互聯(lián)網IP地址又且安裝好代理服務器的步驟以及將所述代理服務器的配置向后臺的至少一個應用服務器轉發(fā)訪問請求的步驟���。
2.根據權利要求1所述的利用DNS解析輪詢技術對抗拒絕服務攻擊的方法,其特征是����,在所述的域名服務器上設置單域名多地址解析記錄。
3.根據權利要求2所述的利用DNS解析輪詢技術對抗拒絕服務攻擊的方法�,其特征是,所述的單域名多地址解析記錄的解析步驟(以域名www.abc.com為例)是www.abc.com.IN A AAA.AAA.AAA.AAAwww.abc.com. IN A BBB.BBB.BBB.BBBwww.abc.com. IN A CCC CCC CCC CCC�。
全文摘要
本發(fā)明涉及一種利用DNS解析輪詢技術對抗拒絕服務攻擊的方法�����,其中���,所述方法包括確定至少一個域名和多個DNS客戶分配的步驟�����、建立多個不同的IDC機房申請托管主機服務的步驟���、實現(xiàn)獲取互聯(lián)網IP地址又且安裝好代理服務器的步驟以及將所述代理服務器的配置向后臺的至少一個應用服務器轉發(fā)訪問請求的步驟���。如此方法可以巧妙地分流、旁路諸如syn flood和連接耗盡等拒絕服務攻擊且易于擴展和管理��,特別適用于中小型企業(yè)����。
文檔編號H04L12/26GK1510872SQ0215811
公開日2004年7月7日 申請日期2002年12月24日 優(yōu)先權日2002年12月24日
發(fā)明者陳海衛(wèi) 申請人:中聯(lián)綠盟信息技術(北京)有限公司