WO2018113594A1

WO2018113594A1 - 防御dns攻击的方法、装置及存储介质

Info

Publication number: WO2018113594A1
Application number: PCT/CN2017/116436
Authority: WO
Inventors: 陈方舟; 姜凤波
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2016-12-20
Filing date: 2017-12-15
Publication date: 2018-06-28
Also published as: CN108206814A; US20190245875A1; CN108206814B; US11057404B2

Abstract

本申请涉及计算机安全技术领域，尤其涉及一种防御DNS攻击的方法、装置及存储介质。该方法在接收到DNS请求后，根据DNS请求的关联数据在内存中查找对应的标识信息，对于探测标识的DNS请求进行预定周期内请求次数的判断，丢弃超出请求阈值的DNS请求，对未超出请求阈值的DNS请求进行解封时间的判断，丢弃未到达解封时间的DNS请求。

Description

防御DNS攻击的方法、装置及存储介质

本申请要求于2016年12月20日提交中国专利局、申请号为201611183849.2、发明名称为“一种防御DNS攻击的方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机安全技术领域，尤其涉及一种防御DNS攻击的方法、装置及存储介质。

背景技术

DNS(Domain Name System，域名系统)，由解析器和域名服务器组成。域名服务器保存有该网络中的所有主机的域名和对应的IP地址，并具有将域名转换为IP地址的功能。其中，域名必须对应一个IP地址，而IP地址不一定有域名。互联网上域名与IP地址一一对应。域名虽便于人们记忆，但是机器之间只识别IP地址，两者之间的转换工作即称为域名解析，域名解析需要由专门的域名解析系统来完成的，DNS就是进行域名解析的系统。

现有技术中，域名解析的系统位于用户空间，当收到一个DNS数据包之后，先由硬件接收，之后往上传输到内核，再往上传输到用户空间，由用户空间的域名解析系统对该数据包进行解析，然后解析后的数据包再经由内核、硬件传输到该数据包的目的端口，完成解析工作。

发明内容

鉴于上述问题，本申请提供了一种防御DNS攻击的方法、装置及存储介质，以提高DNS攻击的判断效率。

本申请实施例提供了一种防御DNS攻击的方法，包括：

接收请求源发送的DNS请求，获取发送所述DNS请求的请求源的IP地址；

确定所述IP地址的特征值；

在内存中查找得到预设的与所述特征值对应的标识信息；

当所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述请求源在预定周期内的请求次数；

当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求，丢弃所述DNS请求。

本申请实施例提供了一种防御DNS攻击的方法，包括：

接收DNS请求，获取DNS请求包含的域名；

确定所述域名的特征值；

当确定内存中存储有所述域名的所述特征值时，获取与所述特征值对应的标识信息；

当所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述域名在预定周期内的请求次数；

当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求，丢弃所述DNS请求。

本申请实施例提供了一种防御DNS攻击的装置，包括：处理器和存储器，其中存储器包括如下由处理器执行的单元：

请求获取单元，用于接收请求源发送的DNS请求，获取发送所述DNS请求的请求源IP的地址；

特征值确定单元，用于确定所述IP地址的特征值；

第一查询单元，用于在内存中查找得到预设的与所述特征值对应的标识信息；

第二查询单元，用于当所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述请求源在预定周期内的请求次数；

请求次数判断单元，用于判断所述请求次数是否超过预设的请求阈值；

攻击判断单元，用于当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求；

防御单元，用于丢弃所述DNS请求。

本申请实施例提供了一种防御DNS攻击的装置，包括：处理器和存储器，所述存储器包括如下由处理器执行的单元：

请求获取单元，用于接收DNS请求，获取DNS请求包含的域名；

特征值确定单元，用于确定所述域名的特征值；

判断单元，用于判断内存中是否包含所述特征值；

第一查询单元，用于在确定内存中存储有所述域名的所述特征值时，获取与所述特征值对应的标识信息；

第二查询单元，用于在所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述域名在预定周期内的请求次数；

攻击判断单元，当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求；

防御单元，用于丢弃所述DNS请求。

本申请实施例提供了一种非易失性计算机可读存储介质，存储有计算机可读指令，至少一个处理器执行所述计算机可读指令用于执行上述方法。

本申请的防御DNS攻击的方法在接收到DNS请求后，根据发送DNS请求的请求源的IP地址在内存中查找对应的标识信息，对于标识信息为探测标识的DNS请求进行预定周期内请求次数的判断，丢弃超出请求阈值的DNS请求，对未超出请求阈值的DNS请求进行解封时间的判断，丢弃未到达解封时间的DNS请求。由于预先设定了标识信息，对于标识为不确定所述DNS请求是否存在攻击风险的DNS请求，进一步根据请求次数和解封时间判断该DNS请求是否为攻击请求，简化了DNS攻击的判断流程，提高了判断DNS攻击的效率。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本申请实施例揭示的防御DNS攻击的方法的流程图；

图2是本申请实施例揭示的更新内存中特征值对应的请求记录信息的方法的流程图；

图3是本申请实施例揭示的更新内存中特征值对应的标识信息的方法的流程图；

图4是本申请实施例揭示的防御DNS攻击的方法的流程图；

图5是本申请实施例揭示的判断内存中是否包含域名的特征值的方法的流程图；

图6是本申请实施例揭示的根据请求次数判断结果和解封时间判定DNS请求是否为DNS攻击的方法的流程图；

图7是本申请实施例揭示的内存中哈希表的示意图；

图8是本申请实施例揭示的更新内存中特征值对应的请求记录信息的方法的流程图；

图9是本申请实施例揭示的在内存中增加域名的特征值和标识信息的方法的流程图；

图10是本申请实施例揭示的防御DNS攻击的装置的示意框图；

图11是本申请实施例揭示的防御DNS攻击的装置的示意框图；

图12是本申请实施例揭示的DNS系统的系统架构图；

图13是根据本申请实施例的计算机系统的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

DNS的特点决定了：第一、DNS查询请求报文和查询应答报文均可被伪造，网络攻击者可以通过虚假的源地址向DNS服务器发送DNS查询请求，同时还可以隐藏攻击者的身份。第二、DNS服务器对DNS查询请求是“有求必应”，并且无法判断一个DNS查询请求是否为恶意攻击。第三、DNS服务器解析域名时，应答报文比查询报文要大，可以实现放大攻击的效果。DNS攻击会导致DNS服务器严重超负荷运行甚至瘫痪，无法响应正常用户的DNS请求报文。

在本申请一实施例中，可以通过设置固定的防护域名和防护阈值对DNS攻击行为进行检测，比如：统计检测周期内与防护域名相匹配的域名的数量，并将该数量与防护阈值进行比较，当超过该防护阈值时可以确定DNS被攻击了。然而，当攻击者采用变化的域名进行DNS攻击时，由于预设的防护域名是固定的，因此检测到的DNS请求报文的数量可能无法超过设置的防护阈值，从而无法检测到DNS攻击行为，导致DNS服务器超负荷运行甚至瘫痪。

DNS攻击的一个明显特征是攻击者利用被击者的IP发送大量的请求数据包，DNS需要对大量的请求数据包进行回应。

在本申请一实施例中，应对DNS攻击采取的方法是利用防火墙限制IP地址的请求量，例如控制某IP段发送的DNS请求包的数量，例如限制在300个以内每秒，大于该数量的请求被认为可能是攻击，直接丢弃。采取该限制措施，需要对IP地址段设置对应的限制规则，在判断是否为DNS攻击时需要对规则进行逐项匹配，直至匹配成功，当限制规则较多时，判别效率会降低。

操作系统具有内核空间和用户空间。内核功能模块运行在内核空间，应用程序运行在用户空间，内核运行在最高级别(内核态)，应用程序运行在较低级别(用户态)，用户空间的用户进程和内核空间的内核进程之间通过netlink套接字通信。以 linux为例，普通的linux系统软件处于用户空间，不能直接与linux系统内核交互，用户空间软件iptables可用于控制linux内核中用于管理网络数据包的软件框架netfilter。现有的防御DNS攻击的方法为：向内核空间的内核模块中添加判断规则，依靠判断规则对网络数据包进行处理。由于iptables所控制的内核态中的封禁判断流程比较复杂，需要对规则进行逐项匹配，直到匹配上才能确定为DNS攻击，当规则太多时，效率会较低。

本申请实施例提供如下实施例以克服上述问题或者至少部分地解决上述问题。

本实施例提供一种防御DNS攻击的方法，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是本申请揭示的防御DNS攻击的方法的流程图；如图所示，该防御DNS攻击的方法包括如下步骤：

步骤S101：接收请求源发送的DNS请求，获取发送所述DNS请求的请求源的IP地址；

步骤S102：确定所述IP地址的特征值；

步骤S103：在内存中查找得到预设的与所述特征值对应的标识信息；

步骤S104：当所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述请求源在预定周期内的请求次数；

步骤S105：判断所述请求次数是否超过预设的请求阈值；

步骤S106：当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求；

步骤S107：丢弃所述DNS请求。

其中，步骤S101中接收请求源发送的DNS请求之后还可以包括：分别判断所述DNS请求的数据包数据格式是否符合预定协议，以及所述DNS请求的目的端口是否为预定端口；若均为是，执行获取请求源IP地址的步骤。本实施例方案只关注DNS请求包，其中判断依据可以为数据包是UDP包，并且目的端口是53，若不满足该条件，直接透传数据包，从而不影响其他数据包的正常传输。在本实施例中该请求源可以发起该DNS请求的终端设备。

判断依据可以根据RFC(Request For Comments，征求修正意见书)规定的DNS格式进行判断，例如使用以下的RFC文档的内容进行DNS查询请求数据包的判断：1034域名，概念和功能；1035域名，实现和规范；1123Internet主机要求，应用和支持；1886，支持IP版本6的DNS扩展名；1995，DNS中的增量区域传输；1996提示通知区域更改的机制(DNS NOTIFY)；2136，域名系统中的动态更新(DNS UPDATE)；2181，对DNS规范的说明；2308，DNS查询的负缓存(DNS NCACHE)；2535，域名系统安全扩展(DNSSEC)；2671DNS的扩展机制(EDNS0)；2782，指定服务位置的DNS RR(DNS SRV)。

此外，还可以对DNS请求的数据包进行合法性检查，检查项目包括：检查数据包的大小是否正常、域名是否合法、请求类型是否合法等。

步骤S102确定所述IP地址的特征值的方法可以包括：根据IP地址的前三段数值确定IP地址的特征值，或者，根据IP地址的后三段数值确定IP地址的特征值，或者，计算所述IP地址的前三段数值的哈希值，将所述哈希值作为IP地址的特征值，或者，计算所述IP地址的后三段数值的哈希值，将所述哈希值作为IP地址的特征值。对于互联网，一般的IP地址的前三段数值已经可以表示网络号码和计算机号码，可以区分不同IP源，对于局域网，IP地址的第一段数值都相同，无助于区分不同的IP源，因而可以仅考虑IP地址的后三段数值。

根据IP地址的前三段数值确定IP地址的特征值的具体方法可以包括：读取IP地址，获取IP地址的前三段数值，根据这三段数值组合得到一个中转IP地址，中转IP地址的前三段数值与所述IP地址的前三段数值相同，中转IP地址的第四段数值为0，这个中转IP地址就是所述IP地址的特征值。根据IP地址的后三段数值确定IP地址的特征值的具体方法与前述方法类似，区别在于中转IP地址的第一段数值为0，后三段数值与所述IP地址的后三段数值一致。

IP是英文(网络之间互连的协议，Internet Protocol)的缩写，是为计算机网络相互连接进行通信而设计的协议。IP地址是为了使连入Internet的计算机在通信时能够相互识别，Internet中的每一台主机都分配有一个唯一的32位地址，该地址称为IP地址。本实施例中的IP地址默认为IPV4地址。对于IPV4地址，总共有 255*255*255*255个IPV4地址。理论上操作系统的内核模块可以存储全部IP及对应的相关信息，但实际实现中，每个IP地址需要有20-30个字节来保存，大约需占用超过90G的内存空间，内存成本太高，因此本实施例采用存储IP段或IP段的哈希值，使一个特征值对应256个IP地址，可以有效控制内存成本。并且，IP段相同一般属于同一组织机构，正常的DNS请求一般来自递归DNS服务器，所以采用IP段作为特征值来查询响应信息，不会影响正常的DNS请求。

图3是本申请实施例揭示的更新内存中特征值对应的标识信息的方法的流程图。参见图3，在步骤S103根据所述特征值在内存中查找得到所述IP地址的标识信息之前还包括：

S301，获取IP地址的特征值和标识信息；

S302，判断内存中所述特征值对应的标识信息是否为空；

S303，若是，将获取的标识信息保存为所述特征值对应的标识信息，具体地，可以在内存中所述特征值对应的标识信息中添加所述获取的标识信息；

S304，若否，将内存中所述特征值对应的标识信息替换为所述获取的标识信息。

系统实时监控从内核空间到应用空间的数据流量，当某个时段流量异常突增时，通过预先在操作系统的防火墙框架内注册的钩子函数捕捉DNS请求，或者分析DNS请求日志，得到请求量，进而将请求量超过设定阈值的请求源的IP地址的标识信息记录为探测标识，并采用步骤S102所述的方法确定IP地址的特征值，将特征值和探测标识通过netlink发送至内核空间。也可以人工设定标识信息，通过用户空间发送至内核空间，进行特征值和标识信息的存储更新。

在本申请一实施例中，可以进一步针对某IP段设置白名单标识和/或黑名单标识。例如，对于知名的公共递归DNS，其后端地址到授权DNS服务器的请求量可能会比较高，而来自这些地址的都是正常请求，就可以对其后端地址所属IP段设置白名单标识。设置白名单标识后，不论请求量如何都不会丢弃该DNS请求。

不论是手动通过用户层工具设置探测标识，还是自动根据请求量超过阈值而设置探测标识，都会在指定时间之后解封。例如，在定时器中预设指定时间，在当前时间到达该指定时间时，即该指定时间超时时，执行解封操作。例如，删除该IP地址的特征值对应的探测标识，以不再标识“不确定该DNS请求是否存在攻击风险”。对于指定了黑名单标记的IP段，无论请求量如何，所有的请求包都会被丢弃，即对该IP段一直是封禁的。

步骤S103中根据IP地址的特征值在内存中查找得到所述IP地址的标识信息，内存中记录了所有IPV4地址的特征值和相关信息。内存以数组形式存储各数组元素，数组元素包括特征值、标识信息、请求记录信息和解封时间。特征值、标识信息、请求记录信息和解封时间一一对应。其中，标识信息可以包括白名单标识、黑名单标识和探测标识，白名单标识代表不存在攻击风险，例如，当记录的来自该IP地址的单位时间的DNS请求量不超过最小阈值，则判定该IP地址不存在攻击风险，为该IP地址设置白名单标识。黑名单标识代表存在很大的攻击风险，例如，当记录的来自该IP地址的单位时间的DNS请求量超过最大阈值，则为该IP地址设置黑名单标识。探测标识代表不确定是否存在攻击风险，需要进一步检查，例如，当记录的来自该IP地址的单位时间的DNS请求量大于等于所述最小阈值，且小于所述最大阈值时，为该IP地址设置探测标识。特征值对应的标识信息可以通过手动设定，也可以根据从用户空间接收到的检测结果进行标记或修改。请求记录信息：可以包括DNS请求时间和预定周期内的请求次数，在对请求记录信息进行更新之前，内存中存储的是上一次请求的时间和请求次数。解封时间是指在指定时间之后解除对特征值对应的IP地址的封禁。系统可以设置一个或多个解封时间，针对不同的特征值对应的IP地址配置不同的封禁时长。该封禁时长即上述指定时间，即在该时长内将来自该IP地址的DNS请求判定为攻击请求。解封时间可以设置为倒计时形式，倒计时完成后自动归零，当解封时间为零后，解除对相应IP段的封禁。

此外，若根据IP地址的特征值在内存中查找得的标识信息为黑名单标识，丢弃所述DNS请求的数据包。若根据IP地址的特征值在内存中查找得的标识信息为白名单标识，接受所述DNS请求。

步骤S104中在获取特征值对应的请求记录信息和解封时间之前，还包括：更新所述特征值对应的请求记录信息。图2是本申请实施例揭示的更新内存中特征值对应的请求记录信息的方法的流程图，参见图2，更新特征值对应的请求记录信息的方法包括：

S201，查询内存中所述特征值对应的请求记录信息。

S202，判断所述内存中特征值对应的请求记录信息是否为空。

S203，若内存中特征值对应的请求记录信息不为空，判断请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长是否超过预定周期。

S204，若超过预定周期，更新所述请求记录信息中DNS请求的请求时间，并将请求记录信息中的请求次数归零。其中，更新所述请求记录信息中DNS请求的请求时间的具体方法可以是：将请求记录信息中的请求时间替换为本次DNS请求的请求时间。

S205，若未超过预定周期，更新所述请求记录信息中DNS请求的请求时间，并将所述请求记录信息中的请求次数加1。其中，更新所述请求记录信息中DNS请求的请求时间的具体方法可以是：将请求记录信息中的请求时间替换为本次DNS请求的请求时间。

S206，若内存中特征值对应的请求记录信息为空，将本次DNS请求的信息保存为请求记录信息。具体的，将本次DNS请求的请求时间和请求次数保存为请求记录信息。

步骤S104按照所述IP地址的特征值在内存中查询得到的请求记录信息为根据所述DNS请求进行更新后的信息。

步骤S106根据判断结果和所述解封时间，判定所述请求源是否进行DNS攻击包括：如果所述请求次数超过请求阈值，判定所述请求源进行DNS攻击，并重置所述特征值对应的解封时间；如果所述请求次数未超过请求阈值，判断所述特征值对应的解封时间是否超时；若是，判定所述DNS请求为正常请求；若否，判定所述请求源进行DNS攻击。对于标识信息为探测标识的特征值对应的IP地址，通过对源IP在预定周期内的请求次数进行判断，对超出请求阈值的IP地址重设解封时间，延长该IP地址的封禁时间，对于未超出请求阈值的IP地址，如果没有到达解封时间，则进行封禁处理，即将该DNS请求判定为攻击请求，直至到达解封时间，即该封禁时间超时后才对从该IP地址发送的DNS请求进行正常处理，可以提高判断DNS攻击的效率，保护DNS服务器。

例：假设设定周期为1秒。每收到一个DNS请求，检测请求源的IP地址，确定该IP地址的特征值，在内存中的找到该特征值对应的各项数据，若特征值对应的标识信息是探测标识，获取该特征值对应的该IP地址的上一次请求时间以及请求次数，判断当前时间到保存的时间是否超过1秒，如果超过1秒，把请求次数清零；如果没有超过1秒，给请求次数加1，如果此时请求次数超过了请求阈值(即1秒内的请求次数超过了阈值)，就丢弃这个DNS请求的数据包，并且在内存中保存该特征值对应的一个封禁时间，下一次再收到来自这个IP地址的请求时，如果封禁时间还没过期，就直接丢包，继续封禁。

在步骤S107中，通过在内核空间进行DNS攻击判断，发现DNS攻击，把攻击请求包及早丢弃在内核空间，提高防御攻击的实时性。

本实施例针对请求源IP地址进行DNS攻击的判断和防御，一方面为各IP地址设置了标识信息，对标识信息为白名单的IP地址的DNS请求直接放行，对标识信息为黑名单的IP地址的DNS请求直接防御，仅对标识信息为探测标识的IP地址的DNS请求进行处理，避免了对所有IP地址进行检查，可以提高判别DNS攻击的效率；另一方面，在对探测标识的IP地址的DNS请求进行处理时，采取请求次数判断结果和解封时间相结合的方式来判别DNS攻击，可以提高识别DNS攻击的准确性，又因解封时间是预先设置的并随请求次数判断结果调整，可提高判断DNS攻击的效率。

图4是本申请实施例揭示的防御DNS攻击的方法的流程图；如图所示，该防御DNS攻击的方法包括如下步骤：

步骤S401：接收DNS请求，获取DNS请求包含的待解析域名；

步骤S402：确定所述域名的特征值；

步骤S403：判断内存中是否包含所述特征值；

步骤S404：若是，获取所述特征值对应的标识信息；

步骤S405：若所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括所述域名在预定周期内的请求次数；

步骤S406：判断所述请求次数是否超过预设的请求阈值；

步骤S407：当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求；

步骤S408：丢弃所述DNS请求。

其中，步骤S401接收DNS请求之后还包括：分别判断所述DNS请求的数据包数据格式是否符合预定协议，以及所述DNS请求的目的端口是否为预定端口；若均为是，根据DNS请求的数据包获取请求解析的域名。在本申请实施例中，该DNS请求的数据包是UDP(User Datagram Protocol，用户数据报协议)包，并且目的端口是53，若不满足该条件，直接透传数据包，从而不影响其他数据包的正常传输。

步骤S402确定所述域名的特征值包括：采用第一哈希算法计算得到所述域名的第一哈希值，采用第二哈希算法计算得到所述域名的第二哈希值；将第一哈希值和第二哈希值作为所述域名的特征值。采用两种不同的哈希算法来对同一个域名的字符串进行计算，得到两个哈希值，可以避免哈希冲突。如果两个不同的域名通过第一哈希算法得到的第一哈希值相同，则可以通过第二哈希值来对二者进行区分，而两个域名的第一哈希值和第二哈希值都相同并且都存在于内存中的概率是极小的，可以忽略不计，并且，内存中仅存储添加的被攻击过的或具有攻击倾向的域名。

图5是本申请实施例的步骤S403中判断内存中是否包含域名的特征值的方法的流程图。参见图5，判断内存中是否包含所述特征值的方法包括：

S501，确定域名的特征值，所述特征值包括第一哈希值和第二哈希值。

S502，判断内存中是否存在所述域名的第一哈希值，若判断结果为是，转至步骤S503，若判断结果为否，转至步骤S506；

S503，在内存中查找与所述第一哈希值对应的第二哈希值；

S504，判断内存中与所述第一哈希值对应的第二哈希值是否与所述域名的第二哈希值相同；

S505，若步骤S504的判断结果为是，判定内存中包含所述域名的特征值，若步骤S504的判断结果为否，转至步骤S506；

S506，判定内存中不包含所述域名的特征值。

进一步地，若内存中不包含所述域名的特征值，接收所述DNS请求。不同于IP地址，域名的数量是无限的，因而内存中仅记载确定安全的、不安全的和疑似有问题的域名，为安全的，即不存在攻击风险的域名标记解封标识，为不安全，即存在很大攻击风险的域名标记封禁标识，为有问题，即不确定所述DNS请求是否存在攻击风险的域名标记探测标识，这样，当接收到DNS请求的域名为解封标识时，将该DNS请求发送至用户空间的DNS解析系统，当接收到的DNS请求的域名为封禁标识时，丢弃该DNS请求的数据包，当接收到的DNS请求的域名为探测标识时，需要进一步结合域名的请求次数和解封时间进行判断。

进一步地，根据所述特征值在内存中查找得到所述域名的标识信息，若查找得到的标识信息为封禁标识，丢弃所述DNS请求的数据包；若查找得到的标识信息为解封标识，接受所述DNS请求，若查找得到的标识信息为探测标识，则进一步结合域名的请求次数和解封时间判断是否接受所述DNS请求。设置标识信息可以简化DNS攻击判断流程。

结合域名的请求次数和解封时间判断是否接受所述DNS请求，需要从该请求记录信息中获取域名当前的请求次数和解封时间，而此时内存中保存的还是上一次DNS请求的请求记录信息，因此，需要先对所述特征值对应的请求记录信息进行更新。

图8是本申请实施例揭示的更新内存中特征值对应的请求记录信息的方法的流程图。参见图8，更新所述特征值对应的请求记录信息包括：

S801，获取所述特征值对应的请求记录信息中记载的DNS请求的请求时间；

S802，判断所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长是否超过预定周期；

S803，若是，更新所述请求记录信息中DNS请求的请求时间，并将请求记录信息中的请求次数归零；

S804，若否，更新所述请求记录信息中DNS请求的请求时间，并将所述请求记录信息中的请求次数加1。

具体的，通过将请求记录信息中记录的请求时间替换为本次DNS请求的请求时间，来对所述请求记录信息中的DNS请求的请求时间进行更新。

图6是本申请实施例揭示的根据请求次数判断结果和解封时间判定DNS请求是否为DNS攻击的方法的流程图。参见图6，根据判断结果和所述解封时间，判定所述DNS请求是否是DNS攻击的方法包括：

S601，根据域名的特征值在内存中查询获得域名的特征值对应的请求记录信息和解封时间；

S602，判断所述请求次数是否超过预设的请求阈值。

S603，如果所述请求次数未超过请求阈值，判断当前是否到达所述域名的解封时间；

S604，若是，判定所述DNS请求为正常请求；

S605，若否，判定所述DNS请求为DNS攻击请求。

S606，如果所述请求次数超过请求阈值，判定所述DNS请求为攻击请求，丢弃所述DNS请求的数据包，并重置所述域名的解封时间。

作为一种实施方式，内存中以哈希表方式存储域名的哈希值和相关信息，整个哈希表以数组形式存在，哈希表的每个项保存为一个链表，每个链表的各节点用于存储对应域名的信息，可以存储域名的第二哈希值、请求记录信息和解封时间等信息。步骤S504中判断内存中与所述第一哈希值对应的第二哈希值是否与所述域名的第二哈希值相同，可以通过遍历第一哈希值所在链表的每一个节点，将每个节点保存的第二哈希值与所述域名的第二哈希值作比对，判断节点中保存的第二哈希值与所述域名的第二哈希值是否相同，若相同，则说明内存中存储有所述域名的相关信息，可以进一步获取与该第二哈希值对应的标识信息、请求记录信息和解封时间。

图9是本申请实施例揭示的在内存中增加域名的特征值和标识信息的方法的流程图。参见图9，在内存中增加域名的特征值和标识信息的方法包括：

S901，获取域名的特征值和标识信息，所述特征值包括采用第一哈希算法计算得到的所述域名的第一哈希值和采用第二哈希算法计算得到的所述域名的第二哈希值；

S902，判断所述内存中是否存在所述域名的特征值；

S903，若是，将所述特征值对应的标识信息替换为所述获取的标识信息；

S904，若否，将所述域名的第一哈希值写入对应链表的表头，为第二哈希值和标识信息分配存储空间，即节点，并保存所述存储空间的存储指针。

系统实时监控从内核空间到应用空间的数据流量，当某个时段流量异常突增时，通过预先在操作系统的防火墙框架内注册的钩子函数捕捉DNS请求，或者分析DNS请求日志，得到请求量，进而将请求量超过阈值的域名标记为探测标识，例如将请求量小于最小阈值的域名标记为解封标识，将请求量大于最大阈值的域名标记为封禁标识，将请求量大于该最小阈值且小于该最大阈值的域名标记为探测标识。并采用步骤S402的方法确定域名的特征值，将特征值和探测标识通过netlink发送至内核空间。也可以人工设定标识信息，通过用户空间发送至内核空间，进行特征值和标识信息的存储更新。

例：假设用户空间检测出域名a.com为可疑域名，将其标识信息记作探测标识，计算出域名的两个哈希值32和101，将哈希值和探测标识发送到内核空间，此时，需要将该域名的相关信息保存到内存的哈希表中。域名a.com的第一个哈希值是32，找到哈希表中第一列的哈希值为32的项，将第二哈希值101、探测标识、请求记录信息等存储在一个节点中作为链表的表头，此时，节点后没有其他节点，指向为空。若后续需要存储域名b.com的相关信息，且域名b.com的两个哈希值为32和102时，将域名b.com的第二哈希值、标识信息和请求信息等存储到链表的第二个节点中，此时存储域名a.com相关信息的节点不再指向空，而是指向b.com对应的节点。

内存中的哈希表如图7所示，哈希表中每一项都是一个链表，在图中，每一行表示哈希表的一项，有的行比较长，比如第一行，也就是由哈希值32指定的这一项，这个链表里已经有三个节点，有的行较短，比如由哈希值34指定的这一项。要查询哈希表中是否存储域名c.com的特征值，先找到第一列中哈希值为32的这一项，然后遍历该列对应的链表的所有节点，找到第二哈希值为199的节点，获得与第二哈希值对应的探测标识、请求记录信息等信息。

本实施例的防御DNS攻击的方法在接收到DNS请求后，根据DNS请求的域名信息在内存中查找对应的标识信息，对于标识信息为解封标识的DNS请求进行接受，对于标识信息为封禁标识的DNS请求进行防御，对于标识信息为探测标识的DNS请求进行预定周期内请求次数的判断，对超出请求阈值的DNS请求进行防御，对未超出请求阈值的DNS请求进行解封时间的判断，对到达解封时间的DNS请求进行接受，对未到达解封时间，即预设的解封时间未超时的DNS请求进行防御。由于预先设定了标识信息，对于确定的请求源或域名直接执行接受或防御处理，对于存在不确定因素的请求源或域名才执行进一步的判断检测，简化了DNS攻击的判断流程，提高了判断DNS攻击的效率。通过请求次数判断结果和解封时间相结合的方式，提高了识别DNS攻击的准确性。

进一步地，本申请优化了域名信息对应请求记录的查询方法，采用多级索引表的查询方式，具有实时性好，且不降低服务性能和效率的优势。

图10是本申请实施例揭示的防御DNS攻击的装置的示意框图。图10所示的防御DNS攻击的装置可用于实施实施例所述的防御DNS攻击的方法。参见图10，该防御DNS攻击的装置100一般性地可包括：请求获取单元102、特征值确定单元104、第一查询单元106、第二查询单元108、请求次数判断单元120、攻击判断单元122和防御单元124。在本申请的一些实施例中，根据DNS攻击的防御装置100的功能需求和进一步优化，配置有：第一处理单元126、第二处理单元128、信息获取单元130、标识信息判断单元132、标识信息添加单元134、标识信息更新单元136和请求记录信息更新单元138。

以上功能模块中，请求获取单元102用于接收请求源发送的DNS请求，获取发送该DNS请求的请求源的IP地址；特征值确定单元104用于计算所述IP地址的特征值；第一查询单元106用于在内存中查找得到预设的与所述特征值对应的标识信息，所述标识信息包括白名单标识、黑名单标识和探测标识；第二查询单元108用于在第一查询单元查找得到的标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括所述请求源在预定周期内的请求次数；请求次数判断单元120用于判断所述请求次数是否超过预设的请求阈值；攻击判断单元122用于根据请求次数判断单元的判断结果和所述解封时间，判定所述请求源是否进行DNS攻击，例如当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求；防御单元124用于对DNS攻击进行防御，例如丢弃所述DNS请求。

本实施例的防御DNS攻击的装置中，请求获取单元102用于执行本申请实施例中的步骤S101，特征值确定单元104用于执行本申请实施例中的步骤S102，第一查询单元106用于执行本申请实施例中的步骤S103，第二查询单元108用于执行本申请实施例中的步骤S104，请求次数判断单元120用于执行本申请实施例中的步骤S105，攻击判断单元122用于执行本申请实施例中的步骤S106，防御单元124用于执行本申请实施例中的步骤S107。

本实施例中所述请求获取单元102可以包括第一校验模块、第二校验模块。其中，第一校验模块用于判断所述DNS请求的数据包数据格式是否符合预定协议；第二校验模块用于判断所述DNS请求的目的端口是否为预定端口。所述第一校验模块的判断段条件可以是数据包是UDP包，第二校验模块的判断条件可以是目的端口是53，这是因为DNS协议运行在UDP，使用端口号53。在传输层TCP提供端到端可靠的服务,在UDP端提供尽力交付的服务。其控制端口作用于UDP端口53。

特征值确定单元104可以包括第一特征值确定模块、第二特征值确定模块、第三特征值确定模块和第四特征值确定模块。其中，第一特征值确定模块用于根据所述IP地址的前三段数值确定所述IP地址的特征值；第二特征值确定模块用于根据所述IP地址的后三段数值确定所述IP地址的特征值；第三特征值确定模块用于计算所述IP地址的前三段数值的哈希值，将所述哈希值作为IP地址的特征值；第四特征值确定模块用于计算所述IP地址的后三段数值的哈希值，将所述哈希值作为IP地址的特征值。

在进行查询后，还需要将本次的访问信息添加至内存中的对应位置，进行访问记录信息的更新。请求记录信息更新单元138用于更新所述特征值对应的请求记录信息。请求记录更新单元可以用于：判断所述内存中所述特征值对应的请求记录信息是否为空；若为空，将本次DNS请求的信息保存为请求记录信息；若非空，判断所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长是否超过预定周期，若是，更新所述请求记录信息中DNS请求的请求时间，并将请求记录信息中的请求次数归零，若否，更新所述请求记录信息中DNS请求的请求时间，并将所述请求记录信息中的请求次数加1。

内存中以数组形式存储各数组元素，所述数组元素包括特征值、标识信息、请求记录信息和解封时间，所述特征值、标识信息、请求记录信息和解封时间一一对应。

第二查询单元可以用于按照所述IP地址的特征值在内存中查询得到请求记录信息和解封时间。

攻击判断单元122具体用于：在所述请求次数判断单元判断出所述请求次数超过请求阈值时，判定所述请求源进行DNS攻击，并重置所述特征值对应的解封时间；在所述请求次数判断单元判断出所述请求次数未超过请求阈值时，判断当前是否到达所述特征值对应的解封时间；若是，判定所述DNS请求为正常请求；若否，判定所述请求源进行DNS攻击。

在内核空间对DNS请求进行检查之后，用户空间还可能存在某段时间流量数据暴增的情况，这种情况有可能是DNS攻击造成的，因而还需要实时监控从内核空间到用户空间的数据流量，以在出现流量暴增时，通过预先在操作系统的防火墙框架内注册的钩子函数捕捉DNS请求，或者分析DNS请求日志，得到请求量，进而将请求量过大的IP地址作为怀疑对象，并记为探测标识，将IP地址信息和对应的标识信息发送至内核空间，以便内核进行相应处理。本实施例中，信息获取单元130用于获取IP地址的特征值和标识信息；标识信息判断单元132用于判断所述内存中所述特征值对应的标识信息是否为空；标识信息添加单元134用于在所述标识信息判断单元判断出所述标识信息为空时，将获取的标识信息保存为所述特征值对应的标识信息；标识信息更新单元136用于在所述标识信息判断单元判断出所述标识信息不为空时，将所述特征值对应的标识信息替换为所述获取的标识信息。

第一处理单元126用于在第一查询单元查找得到的标识信息为黑名单标识时，丢弃所述DNS请求的数据包；第二处理单元128用于在第一查询单元查找得到的标识信息为白名单标识时，接受所述DNS请求。

图11是本申请实施例揭示的防御DNS攻击的装置的示意框图。图11所示的防御DNS攻击的装置可用于实施实施例所述的防御DNS攻击的方法。参见图11，该防御DNS攻击的装置200一般性地可包括：请求获取单元202、特征值确定单元204、判断单元206、第一查询单元208、第二查询单元220、请求次数判断单元222、攻击判断单元224和防御单元210。在本申请的一些实施例中，根据DNS攻击的防御装置200的功能需求和进一步优化，配置有：第一处理单元226、第二处理单元228、第三处理单元230、信息获取单元232、特征值判断单元234、存储空间管理单元236、标识信息更新单元238和请求记录信息更新单元252。

以上功能模块中，请求获取单元202用于接收DNS请求，获取DNS请求包含的待解析域名；特征值确定单元204用于计算所述域名的特征值；判断单元206用于判断内存中是否包含所述特征值；第一查询单元208用于在判断单元判断出内存中包含所述特征值时，获取所述特征值对应的标识信息，所述标识信息包括封禁标识、解封标识和探测标识；第二查询单元220用于在第一查询单元查找得到的标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括所述域名在预定周期内的请求次数；请求次数判断单元222用于判断所述请求次数是否超过预设的请求阈值；攻击判断单元224用于根据请求次数判断单元的判断结果和所述解封时间，判定所述DNS请求是否是DNS攻击，例如当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求；防御单元210用于对DNS攻击进行防御，例如丢弃所述DNS请求。

本实施例的防御DNS攻击的装置中，请求获取单元202用于执行本申请实施例中的步骤S401，特征值确定单元204用于执行本申请实施例中的步骤S402，判断单元206用于执行本申请实施例中的步骤S403，第一查询单元208用于执行本申请实施例中的步骤S404，第二查询单元108用于执行本申请实施例中的步骤S405，请求次数判断单元222用于执行本申请实施例中的步骤S406，攻击判断单元224用于执行本申请实施例中的步骤S407，防御单元210用于执行本申请实施例中的步骤S408。

本实施例的防御DNS攻击的装置中，所述请求获取单元202包括第一校验模块、第二校验模块。其中，第一校验模块用于判断所述DNS请求的数据包数据格式是否符合预定协议；第二校验模块用于判断所述DNS请求的目的端口是否为预定端口。所述第一校验模块的判断段条件可以是数据包是UDP包，第二校验模块的判断条件可以是目的端口是53，这是因为DNS协议运行在UDP(User Datagram Protocol，用户数据报协议)，使用端口号53。在传输层TCP提供端到端可靠的服务,在UDP端提供尽力交付的服务。其控制端口作用于UDP端口53。

特征值确定单元204包括第一计算模块、第二计算模块和特征值确定模块。第一计算模块用于采用第一哈希算法计算得到所述域名的第一哈希值，第二计算模块用于采用第二哈希算法计算得到所述域名的第二哈希值；特征值确定模块用于将第一哈希值和第二哈希值作为所述域名的特征值。

判断单元206包括判断模块、第一确定模块和第二确定该模块。判断模块，用于判断内存中是否存在所述域名的第一哈希值；第一确定模块，用于在判断模块判断出所述内存中不存在所述域名的第一哈希值，判定内存中不包含所述域名的特征值；第二确定模块，用于在判断模块判断出所述内存中存在所述域名的第一哈希值时，判断内存中与所述第一哈希值对应的第二哈希值是否与所述域名的第二哈希值相同，若是，判定内存中包含所述域名的特征值，若否，判定内存中不包含所述域名的特征值。

第一处理单元226用于在判断单元判断出内存中不包含所述域名的特征值时，接收所述DNS请求。

所述内存以数组形式存储各数组元素，每个数组元素是一个链表，所述链表的表头存储域名的第一哈希值，所述链表的每个节点存储域名的第二哈希值、标识信息、请求记录信息和解封时间；

所述第二确定模块包括判断子模块。所述判断子模块用于遍历第一哈希值所在链表的每一个节点，判断节点中保存的第二哈希值与所述域名的第二哈希值是否相同。

攻击判断单元224具体用于：在所述请求次数判断单元判断出所述请求次数超过请求阈值时，判定所述DNS请求为DNS攻击，并重置所述域名的解封时间；在所述请求次数判断单元判断出所述请求次数未超过请求阈值时，判断当前是否到达所述域名的解封时间；若是，判定所述DNS请求为正常请求；若否，判定所述DNS请求为DNS攻击。

请求记录更新单元252用于获取所述特征值对应的请求记录信息中记载的DNS请求的请求时间；判断所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长是否超过预定周期；若是，更新所述请求记录信息中DNS请求的请求时间，并将请求记录信息中的请求次数归零；若否，更新所述请求记录信息中DNS请求的请求时间，并将所述请求记录信息中的请求次数加1。

信息获取单元232用于获取域名的特征值和标识信息，所述特征值包括采用第一哈希算法计算得到的所述域名的第一哈希值和采用第二哈希算法计算得到的所述域名的第二哈希值；特征值判断单元234用于判断所述内存中是否存在所述域名的特征值；存储空间管理单元236，用于在特征值判断单元判断出内存中不存在所述域名的特征值时，将所述域名的第一哈希值写入对应链表的表头，为第二哈希值和标识信息分配存储空间，并保存所述存储空间的存储指针；

标识信息更新单元238，用于在特征值判断单元判断出内存中存在所述域名的特征值时，将所述特征值对应的标识信息替换为所述获取的标识信息。

第二处理单元228用于在第一查询单元查找得到的标识信息为封禁标识时，丢弃所述DNS请求的数据包；第三处理单元230用于在第一查询单元查找得到的标识信息为解封标识时，接受所述DNS请求。

图11是根据本申请一个实施例的DNS系统的系统架构图，该DNS系统提供了高可靠、高防护、高性能的域名解析服务。当顶级服务器、根域服务器或授权服务器遭遇攻击或故障时，本实施例的DNS系统可启动灾备紧急应答模式，保障互联网在根域服务器或授权服务器修复之前基本正常运行，为系统抢修和恢复留下足够的时间。与客户端的安全卫士联动，可以第一时间提示用户，并帮助用户使用安全DNS进行域名解析，并能在故障解除之后迅速将用户的DNS恢复为故障前设置。

在本实施例中的DNS系统包括有一个或多个DNS安全服务器(如图中设置于北京电信、上海电信、上海联通、北京联通中的DNS服务器)，分别用于对用户客户端的发出的DNS解析请求进行域名解析，在每台DNS安全服务器中设置有上述实施例中介绍的DNS攻击的防御装置。在如图11所示的DNS系统架构中，当上海电信、北京电信、上海联通以及北京联通的用户在使用网络服务时，在DNS安全服务器设置有防御DNS攻击的装置，该装置接收请求源发送的DNS请求，获取DNS请求的请求源IP地址；确定所述IP地址的特征值；根据所述特征值在内存中查找得到所述IP地址的标识信息，所述标识信息包括白名单标识、黑名单标识和探测标识；若查找得到的标识信息为探测标识，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括所述请求源在预定周期内的请求次数；判断所述请求次数是否超过预设的请求阈值；根据判断结果和所述解封时间，判定所述请求源是否进行DNS攻击；对DNS攻击进行防御。防御方法可以使用直接过滤超速的DNS请求，或者结合用户客户端中安装的安全卫士等软件，进行安全防护和提示，例如用户客户端在安全建议显示区域输出提示信息或将DNS服务器地址修改为预设的安全地址。

DNS安全服务器通过使用一个高速缓存，采用缓存存取优化、预更新等各种手段尽量降低了解析时延，实现了高速安全解析。当某一个IP请求源的流量异常突增时，DNS攻击的防御装置自动分析和安全联动措施，对该IP的DNS解析请求源限速。通过DNS攻击的防御装置验证的DNS解析请求，可以直接通过RCS集群和灾备系统进行后续处理。

需要说明的是，本例中提及的上海电信、北京电信、上海联通以及北京联通仅用作示例，并不对实际操作中的用户来源形成限定。

本实施例提供一种DNS系统，参见图12，该DNS系统用于提供高可靠、高防护、高性能的域名解析服务。当顶级服务器、根域服务器或授权服务器遭遇攻击或故障时，本实施例的DNS系统可启动灾备紧急应答模式，保障互联网在根域服务器或授权服务器修复之前基本正常运行，为系统抢修和恢复留下足够的时间。与客户端的安全卫士联动，可以第一时间提示用户，并帮助用户使用安全DNS进行域名解析，并能在故障解除之后迅速将用户的DNS恢复为故障前设置。

在本实施例中的DNS系统包括有一个或多个DNS安全服务器，分别用于对用户客户端发出的DNS解析请求进行域名解析，在每台DNS安全服务器中设置有上述实施例中介绍的DNS攻击的防御装置。当用户在使用网络服务时，在DNS安全服务器设置有防御DNS攻击的装置，该装置接收DNS请求，获取DNS请求包含的待解析域名；确定所述域名的特征值；判断内存中是否包含所述特征值；若是，根据所述特征值在内存中查找得到所述域名的标识信息，所述标识信息包括封禁标识、解封标识和探测标识；若查找得到的标识信息为探测标识，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括所述域名在预定周期内的请求次数；判断所述请求次数是否超过预设的请求阈值；根据判断结果和所述解封时间，判定所述DNS请求是否是DNS攻击；对DNS攻击进行防御。防御方法可以使用直接过滤超速的DNS请求，或者结合用户客户端中安装的安全卫士等软件，进行安全防护和提示，例如用户客户端在安全建议显示区域输出提示信息或将DNS服务器地址修改为预设的安全地址。

DNS安全服务器通过使用一个高速缓存，采用缓存存取优化、预更新等各种手段尽量降低了解析时延，实现了高速安全解析。当某一个域名的流量异常突增时，防御DNS攻击的装置自动分析和安全联动措施，设置域名标识信息，对该域名的解析请求进行限制。通过DNS攻击的防御装置验证的DNS解析请求，可以直接通过RCS集群和灾备系统进行后续处理。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

下面参考图13，其示出了适用于来实现本申请实施例的DNS服务器的计算机系统的结构示意图。

如图13所示，计算机系统130包括中央处理单元(CPU)1301，其可以根据存储在只读存储器(ROM)1302中的程序或者从存储部分1308加载到随机访问存储器(RAM)1303中的程序而执行各种适当的动作和处理。在RAM1303中，还存储有系统1300操作所需的各种程序和数据。CPU1301、ROM1302以及RAM1303通过总线1304彼此相连。输入/输出(I/O)接口1305也连接至总线1304。

以下部件连接至I/O接口1305：包括键盘、鼠标等的输入部分1306；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1307；包括硬盘等的存储部分1308；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分13013。通信部分13013经由诸如因特网的网络执行通信处理。驱动器1310也根据需要连接至I/O接口1305。可拆卸介质1311，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1310上，以便于从其上读出的计算机程序根据需要被安装入存储部分1308。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分13013从网络上被下载和安装，和/或从可拆卸介质1311被安装。

附图中的流程图和框图，展示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在存储器中，例如，可以描述为：一种处理器执行存储器中可以包括的上述实施例中的各单元，例如接收单元、请求单元、确定单元、发送单元，执行上述各单元执行的操作。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请实施例还提供了一种非易失性计算机存储介质，该非易失性计算机存储介质可以是上述实施例中所述装置中所包含的非易失性计算机存储介质；也可以是单独存在，未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被一个设备执行时，使得所述设备执行如下步骤：

第一步，接收请求源发送的DNS请求，获取DNS请求的请求源IP地址；

第二步，确定所述IP地址的特征值；

第三步，根据所述特征值在内存中查找得到所述IP地址的标识信息，所述标识信息包括白名单标识、黑名单标识和探测标识；

第四步，若查找得到的标识信息为探测标识，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括所述请求源在预定周期内的请求次数；

第五步，判断所述请求次数是否超过预设的请求阈值；

第六步，根据判断结果和所述解封时间，判定所述请求源是否进行DNS攻击；

第七步，对DNS攻击进行防御。

在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的防御DNS攻击的装置，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述仅是本申请的实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims

一种防御DNS攻击的方法，应用于防御DNS攻击的装置，包括：

接收请求源发送的DNS请求，获取发送所述DNS请求的请求源的IP地址；

计算所述IP地址的特征值；

在内存中查找得到预设的与所述特征值对应的标识信息；

当所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述请求源在预定周期内的请求次数；

当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求，丢弃所述DNS请求。
根据权利要求1所述的方法，所述接收所述请求源发送的DNS请求之后还包括：

当所述DNS请求的数据包的数据格式符合预定协议，且所述DNS请求的目的端口为预定端口时，确定所述IP地址的特征值。
根据权利要求1所述的方法，所述计算所述IP地址的特征值，包括：

根据所述IP地址的前三段数值确定所述IP地址的特征值，或者，

根据所述IP地址的后三段数值确定所述IP地址的特征值，或者，

计算所述IP地址的前三段数值的哈希值，将所述哈希值作为IP地址的特征值，或者，

计算所述IP地址的后三段数值的哈希值，将所述哈希值作为IP地址的特征值。
根据权利要求1所述的方法，所述获取所述特征值对应的请求记录信息和解封时间之前，还包括：

当所述内存中所述特征值对应的请求记录信息为空时，将本次DNS请求的信息保存为所述请求记录信息；

当所述内存中所述特征值对应的请求记录信息不为空，且所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长超过预定周期时，将所述请求记录信息中DNS请求的请求时间更新为本次DNS请求的请求时间，并将请求记录信息中的请求次数归零；

当所述内存中所述特征值对应的请求记录信息不为空，且所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长不超过预定周期时，将所述请求记录信息中DNS请求的请求时间更新为本次DNS请求的请求时间，并将所述请求记录信息中的请求次数加1。
根据权利要求1所述的方法，所述内存以数组形式存储各数组元素，所述数组元素包括：所述特征值、标识信息、请求记录信息和解封时间，所述特征值、标识信息、请求记录信息和解封时间一一对应；

所述获取所述特征值对应的请求记录信息和解封时间包括：

按照所述IP地址的特征值在内存中查询得到所述请求记录信息和解封时间。
根据权利要求1所述的方法，进一步包括：

当所述请求次数超过所述请求阈值时，判定所述DNS请求为攻击请求，并重置所述特征值对应的解封时间；

当所述请求次数未超过所述请求阈值，且当前时间到达所述预设的解封时间时，确定所述DNS请求为正常请求。
根据权利要求1所述的方法，所述在内存中查找得到预设的与所述特征值对应的标识信息之前，还包括：

获取根据预设时间段内的DNS请求量设置的与所述IP地址对应的标识信息或手动设置的与所述IP地址对应的标识信息；

当内存中所述特征值对应的标识信息为空时，在所述内存中存储所述获取的标识信息；

当内存中所述特征值对应的标识信息不为空时，将所述特征值对应的标识信息替换为所述获取的标识信息。
根据权利要求1所述的方法，进一步包括：

当所述标识信息为黑名单标识时，丢弃所述DNS请求；

当所述标识信息为白名单标识时，接受所述DNS请求。
一种防御DNS攻击的方法，应用于防御DNS攻击的装置，包括：

接收DNS请求，获取DNS请求包含的域名；

计算所述域名的特征值；

当确定内存中存储有所述域名的所述特征值时，获取与所述特征值对应的标识信息；

当所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述域名在预定周期内的请求次数；

当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求，丢弃所述DNS请求。
根据权利要求9所述的方法，所述接收所述DNS请求之后还包括：

当所述DNS请求的数据包的数据格式符合预定协议且所述DNS请求的目的端口为预定端口时，获取所述DNS请求包含的所述域名。
根据权利要求9所述的方法，所述计算所述域名的特征值包括：

采用第一哈希算法计算得到所述域名的第一哈希值；

采用第二哈希算法计算得到所述域名的第二哈希值；

将第一哈希值和第二哈希值作为所述域名的特征值。
根据权利要求11所述的方法，确定内存中存储有所述域名的所述特征值包括：

当所述内存中存储有所述域名的第一哈希值，且所述内存中存储有所述域名的第二哈希值时，确定所述内存中存储有所述域名的所述特征值。
根据权利要求12所述的方法，当所述内存中存储有所述域名的特征值，接受所述DNS请求。
根据权利要求12所述的方法，所述内存以数组形式存储各数组元素，每个数组元素是一个链表，所述链表的表头存储所述域名的第一哈希值，所述链表的每个节点分别存储所述域名的第二哈希值、标识信息、请求记录信息和解封时间；

确定所述内存中存储有所述域名的第二哈希值包括：

遍历表头中存储有所述第一哈希值的链表的每一个节点，当所述链表的节点中保存有所述域名的第二哈希值时，确定所述内容中存储有所述域名的第二哈希值。
根据权利要求9所述的方法，进一步包括：

当所述请求次数超过请求阈值时，判定所述DNS请求为攻击请求，并重置所述域名的解封时间；

当所述请求次数未超过所述请求阈值，且当前时间到达所述预设的解封时间时，确定所述DNS请求为正常请求。
根据权利要求9所述的方法，所述获取所述特征值对应的请求记录信息和解封时间之前，还包括：

获取所述特征值对应的请求记录信息中记载的DNS请求的请求时间；

当所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长超过预定周期时，将所述请求记录信息中记载的DNS请求的请求时间更新为本次DNS请求的时间，将请求记录信息中的请求次数归零；

当所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长未超过预定周期时，将所述请求记录信息中记载的DNS请求的请求时间更新为本次DNS请求的时间，并将所述请求记录信息中的请求次数加1。
根据权利要求14所述的方法，进一步包括：

当所述内存中没有存储所述域名的特征值时，将所述域名的第一哈希值写入所述链表的表头，分别为第二哈希值和标识信息分配节点，并保存所述节点的存储指针；

当所述内存中存储有所述域名的特征值时，将所述特征值对应的标识信息替换为所述获取的标识信息。
根据权利要求9所述的方法，

当所述标识信息为封禁标识时，丢弃所述DNS请求；

当所述标识信息为解封标识时，接受所述DNS请求。
一种防御DNS攻击的装置，包括：处理器和存储器，其中存储器包括如下由处理器执行的单元：

请求获取单元，用于接收请求源发送的DNS请求，获取发送所述DNS请求的请求源的IP地址；

特征值确定单元，用于计算所述IP地址的特征值；

第一查询单元，用于在内存中查找得到预设的与所述特征值对应的标识信息；

第二查询单元，用于当所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述请求源在预定周期内的请求次数；

请求次数判断单元，用于判断所述请求次数是否超过预设的请求阈值；

攻击判断单元，用于当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求；

防御单元，用于丢弃所述DNS请求。
根据权利要求19所述的装置，所述存储器还包括:

请求记录信息更新单元，用于

当所述内存中所述特征值对应的请求记录信息为空时，将本次DNS请求的信息保存为所述请求记录信息；

当所述内存中所述特征值对应的请求记录信息不为空，且所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长超过预定周期时，将所述请求记录信息中DNS请求的请求时间更新为本次DNS请求的请求时间，并将请求记录信息中的请求次数归零；

当所述内存中所述特征值对应的请求记录信息不为空，且所述请求记录信息中记载的DNS请求的请求时间到本次DNS请求的请求时间的时长不超过预定周期时，将所述请求记录信息中DNS请求的请求时间更新为本次DNS请求的请求时间，并将所述请求记录信息中的请求次数加1。
根据权利要求19所述的装置，所述存储器还包括：

第一处理单元，用于在第一查询单元查找得到的标识信息为黑名单标识时，丢弃所述DNS请求；

第二处理单元，用于在第一查询单元查找得到的标识信息为白名单标识时，接受所述DNS请求。
一种防御DNS攻击的装置，包括：处理器和存储器，所述存储器包括如下由处理器执行的单元：

请求获取单元，用于接收DNS请求，获取DNS请求包含的域名；

特征值确定单元，用于计算所述域名的特征值；

判断单元，用于判断内存中是否包含所述特征值；

第一查询单元，用于在确定内存中存储有所述域名的所述特征值时，获取与所述特征值对应的标识信息；

第二查询单元，用于在所述标识信息为用于标识不确定所述DNS请求是否存在攻击风险的探测标识时，获取所述特征值对应的请求记录信息和解封时间，所述请求记录信息包括：所述域名在预定周期内的请求次数；

请求次数判断单元，用于判断所述请求次数是否超过预设的请求阈值；

攻击判断单元，用于当所述请求次数超过预设请求阈值时，或者所述请求次数未超过所述预设的请求阈值且当前时间未到达预设的解封时间时，判定所述DNS请求为攻击请求；

防御单元，用于丢弃所述DNS请求。
根据权利要求22所述的装置，所述存储器包括：

第一计算模块，用于采用第一哈希算法计算得到所述域名的第一哈希值，

第二计算模块，用于采用第二哈希算法计算得到所述域名的第二哈希值；

特征值确定模块，用于将第一哈希值和第二哈希值作为所述域名的特征值。
根据权利要求23所述的装置，所述存储器进一步包括：

判断模块，用于判断内存中是否存在所述域名的第一哈希值；

第一确定模块，用于在判断模块判断出所述内存中不存在所述域名的第一哈希值，判定内存中不包含所述域名的特征值；

第二确定模块，用于在判断模块判断出所述内存中存在所述域名的第一哈希值时，判断内存中与所述第一哈希值对应的第二哈希值是否与所述计算得到的域名的第二哈希值相同，当所述内存中与所述第一哈希值对应的第二哈希值与所述计算得到的域名的第二哈希值相同时，判定内存中包含所述域名的特征值，当所述内存中与所述第一哈希值对应的第二哈希值与所述计算得到的域名的第二哈希值不相同时，判定内存中不包含所述域名的特征值。
根据权利要求24所述的装置，所述内存以数组形式存储各数组元素，每个数组元素是一个链表，所述链表的表头存储所述域名的第一哈希值，所述链表的每个节点分别存储所述域名的第二哈希值、标识信息、请求记录信息和解封时间；

所述存储器进一步包括：

判断子模块，用于遍历存储有所述第一哈希值的链表的每一个节点，判断所述节点中保存的第二哈希值与所述计算得到的域名的第二哈希值是否相同。
根据权利要求25所述的装置，所述存储器还包括：

特征值判断单元，用于判断所述内存中是否存在所述域名的特征值；

存储空间管理单元，用于在特征值判断单元判断出内存中不存在所述域名的特征值时，将所述域名的第一哈希值写入对应链表的表头，分别为第二哈希值和标识信息分配节点，并保存所述节点的存储指针；

标识信息更新单元，用于在特征值判断单元判断出内存中存在所述域名的特征值时，将所述特征值对应的标识信息替换为所述获取的标识信息。
根据权利要求22所述的装置，所述存储器还包括：

第二处理单元，用于在第一查询单元查找得到的标识信息为封禁标识时，丢弃所述DNS请求；

第三处理单元，用于在第一查询单元查找得到的标识信息为解封标识时，接受所述DNS请求。
一种非易失性计算机可读存储介质，存储有计算机可读指令，至少一个处理器执行所述计算机可读指令用于执行权利要求1至18任一项所述的方法。