[发明专利]基于云平台的DNS欺骗攻击探测及定位的系统和方法

权利要求书

1.一种基于云平台的DNS欺骗攻击探测及定位的系统，所述云平台包括运行在覆盖全国所有省市各运营商的虚拟资源；其特征在于，所述系统包括探测子系统和定位子系统；所述探测子系统下发探测任务，分析探测的数据，并将探测结果递至所述定位子系统；所述定位子系统接收所述探测结果，并进行定位和警示；

DNS欺骗攻击探测子系统的方法包括以下步骤：

1)在每个测试机上，按照待检测URL列表进行DNS解析，返回解析得到的IP地址；

2)对DNS解析结果与列表中注册URL对应的IP地址进行比较，返回探测结果：

3)如果收到两个DNS解析结果，则记录结果为“收到两条解析结果”；

4)如果收到的DNS解析结果与预存登记的IP地址不符，则记录结果为“错误”；

5)如果收到的DNS解析结果与预存登记的IP地址相符，则记录结果为“正确”；DNS欺骗攻击定位子系统的方法包括以下步骤：

6)当测试机N收到探测结果为“收到两条解析结果”时，说明网络用户终端出现了问题，标记为“测试机N终端劫持”；

7)当测试机N的某条URL的探测结果中出现被记录为“错误”的结果，则进一步判断该URL在其他测试机上的探测结果，如果结果存在“正确”，说明本地域名服务器受到了攻击，标记为“测试机N的本地域名服务器受到攻击”；

8)当所有测试机针对某条URL的探测结果全部为“错误”时，进一步判断与该URL的顶级域名相同的其他URL的探测结果；

9)如果8)的探测结果中存在“正确”时，说明web应用服务器受到了攻击，标记为“该URL所对应的web应用服务器受到攻击”；

10)如果8)的所有探测结果全为“错误”时，说明相对应的顶级域名服务器受到了攻击，标记为“该GTLD域名服务器受到攻击”；

所述探测子系统设于测试机上，所述测试机为所述云平台上的虚拟资源；所述探测子系统将探测任务参数转换为目标格式下发到测试机上，并接收所述测试机返回的探测结果。

2.如权利要求1所述的系统，其特征在于：所述DNS解析结果为对待监测URL列表进行DNS解析后得到的IP地址；所述探测子系统设置延时，对每个URL进行解析。

3.如权利要求1所述的系统，其特征在于，所述定位子系统定位的受攻击位置包括：网络用户终端、某级DNS服务器和URL所对应的web应用服务器。

4.一种基于云平台的DNS欺骗攻击探测及定位的方法，所述云平台包括运行在覆盖全国所有省市各运营商的虚拟资源；其特征在于，所述方法包括如下步骤：

A.探测子系统下发探测任务；

B.探测子系统分析探测的数据，将探测结果递至定位子系统；

C.定位子系统接收所述探测结果，并进行定位和警示；

所述探测子系统设于测试机上，所述测试机为所述云平台上的虚拟资源；步骤A包括：所述探测子系统将探测任务参数转换为目标格式下发到测试机上，并接收所述测试机返回的探测结果；

步骤B包括：根据待探测URL列表进行DNS解析，并将DNS解析结果与注册URL列表中预存登记的IP地址进行比较，返回探测结果；所述DNS解析结果为对待监测URL列表进行DNS解析后得到的IP地址；所述探测子系统设置延时，对每个URL进行解析；探测结果包括：

B-1.若收到的DNS解析结果数目为2，则标记为收到两条解析结果；

B-2.若收到的DNS解析结果与注册URL列表中预存登记的IP地址不符，则标记为错误；

B-3.若收到的DNS解析结果与注册URL列表中预存登记的IP地址相符，则标记为正确；

步骤C中，定位的受攻击位置包括：网络用户终端、某级DNS服务器和URL所对应的web应用服务器；

所述步骤C包括：

C-1.若定位子系统收到两条解析结果，则记为测试机终端劫持；

C-2.若定位子系统收到的针对某条URL的探测结果中存在被标记为正确和被标记为错误两种情况，则记为探测结果为错误的测试机本地DNS服务器受到攻击；

C-3.若定位子系统收到的针对某条URL的探测结果都被标记为错误，则进一步判断与该URL的顶级域名相同的其他URL的探测结果；

C-4.若C-3中所述其他URL的探测结果存在被标记为正确的情况，则记为URL所对应的web应用服务器受到攻击；

C-5.若C-3中所述其他URL的探测结果不存在被标记为正确的情况；则记为GTLD域名服务器受到攻击。