用于域名系统的防护方法和装置制造方法

用于域名系统的防护方法和装置制造方法
【专利摘要】本发明公开了一种用于域名系统的防护方法和装置。其中，该方法包括：获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一N级域名对应的缓存命中率，N大于等于1；根据每一N级域名对应的缓存命中率判断是否存在针对多个N级域名中的任一N级域名的域名攻击；若判断出存在针对任一N级域名的域名攻击，则对任一N级域名进行防护处理。本发明解决了由于现有针对变换前缀攻击的防护方式准确性较差造成的防护效率较低的技术问题。
【专利说明】用于域名系统的防护方法和装置
【技术领域】
[0001]本发明涉及互联网安全领域，具体而言，涉及一种用于域名系统的防护方法和装置。
【背景技术】
[0002]域名系统DNS (Domain Name System)是因特网的一项核心服务,可以视为一个域名与网络协议IP (Internet Protocol)地址相互映射的分布式数据库,并向客户端提供相应的查询服务。其中，为提高处理效率及响应速度，DNS中通常设置有分布式的DNS缓存服务器，这些缓存服务器作为DNS向客户端提供的查询服务的接口，可以在接收到客户端发送的域名服务请求后，先在缓存服务器的查询是否缓存有上述域名与地址之间的映射的记录，若存在，则向客户端返回查询结果，若不存在，则向权威服务器发送递归查询请求。
[0003]从以上描述可以看出，DNS的正常工作是互联网正常运行中的不可或缺的一环，而DNS的安全问题也日益成为互联网安全领域中最重要的课题之一，其中，缓存不命中攻击目前已经成为DNS攻击的主要手段，其攻击方式通常是持续地向DNS的缓存节点如DNS缓存服务器发送大量的随机域名，由于随机域名在缓存节点中记录的可能性较低，从而出现大量的缓存不命中的情况，进而触发向权威服务器的递归查询，而在递归查询过程中，通常需要执行缓存节点与权威服务器的根服务器以下的多级权威服务器之间的多次交互，从而达到消耗缓存节点及其对应的权威服务器大量的处理能力和带宽资源的目的，更为严重时可以导致DNS的瘫痪。
[0004]缓存不命中攻击通常可以分为两类:1)整个域名的变换攻击；2)不断变化域名前缀的攻击或者说域名攻击。对于第一种类型来说，客户端可以不断发送由毫无意义的字母组合形成的域名，例如:I) Sadf.2ac3de.cc ；2) Dfafa.3dfaf.0rg ；3) 5uoda.rewc.com,或者是基于某个字典发送一些看似有意义但很可能不存在的域名，例如:1) www.hi I Ihi 11 stone, com ；2) www.hillstoneorg.com,等,这种攻击方式会导致整个DNS缓存服务器的拒绝服务。对于第二种类型来说，客户端可以不断发送仅前缀发生变化的域名，例如:l)Enqw.ab.com ；2)ffw2w.abed, com ；3)4wwe.abed, com,等,在这种方式在流量达到一定值时会导致ab.com域的DNS解析的瘫痪，达到更大流量时也可能导致整个DNS缓存服务器停止服务。
[0005]在当前的实际网络中，DNS攻击通常是出于商业利益的驱动，从而攻击者更倾向于使用上述第二种类型的攻击方式以使如ab.com域等二级域名对应的权威服务器停止响应，由于二级域名通常对应于某一具体企业，通过这一方式可以实现对特定域名的攻击，因而也可以称之为域名攻击。
[0006]现有的对此类域名攻击的防护方式通常采用是基于统计DNS缓存节点的缓存未命中的数量或者是该数量随时间的变化来实现对是否存在针对某一域名的攻击的判断，进而对受到攻击的域名进行防护处理。然而该方案中对具体哪一域名受到攻击的判断通常并不准确，从而影响到防护的效果。[0007]针对上述的问题，目前尚未提出有效的解决方案。

【发明内容】

[0008]本发明实施例提供了一种用于域名系统的防护方法和装置，以至少解决由于现有针对变换前缀攻击的防护方式准确性较差造成的防护效率较低的技术问题。
[0009]根据本发明实施例的一个方面，提供了一种用于域名系统的防护方法，包括:获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一 N级域名对应的缓存命中率，N大于等于I ;根据上述每一 N级域名对应的缓存命中率判断是否存在针对上述多个N级域名中的任一 N级域名的域名攻击；若判断出存在针对上述任一 N级域名的域名攻击，则对上述任一 N级域名进行防护处理。
[0010]优选地，上述获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一 N级域名对应的缓存命中率包括:获取在上述第一时间间隔内接收的与上述每一N级域名对应的域名服务请求的总数；获取在上述第一时间间隔内接收的与上述每一 N级域名对应的域名服务请求中缓存命中的域名服务请求的数量；将上述命中的域名服务请求的数量与上述总数之间的比值作为与上述每一N级域名对应的缓存命中率。
[0011]优选地，上述获取在上述第一时间间隔内接收的与上述每一 N级域名对应的域名服务请求中缓存命中的域名服务请求的数量包括:获取上述缓存节点在上述第一时间间隔内转发的与上述每一 N级域名相对应的递归查询请求的数量；将上述总数与转发的上述递归查询请求的数量之间的差值作为上述缓存命中的域名服务请求的数量。
[0012]优选地，上述根据上述每一 N级域名对应的缓存命中率判断是否存在针对上述多个N级域名中的任一 N级域名的域名攻击包括:若上述任一 N级域名对应的缓存命中率小于等于第一阈值，则判断出存在针对上述任一 N级域名的域名攻击。
[0013]优选地，上述根据上述每一 N级域名对应的缓存命中率判断是否存在针对上述多个N级域名中的任一 N级域名的域名攻击包括:根据上述任一 N级域名对应的缓存命中率在上述多个N级域名所对应的多个缓存命中率中的分布情况判断是否存在针对上述任一 N级域名的域名攻击。
[0014]优选地，上述根据上述任一 N级域名对应的缓存命中率在上述多个N级域名所对应的多个缓存命中率中的分布情况判断是否存在针对上述任一 N级域名的域名攻击包括:若上述任一N级域名对应的缓存命中率与上述多个缓存命中率的平均值之间的比值小于等于第二阈值，则判断出存在针对上述任一 N级域名的域名攻击。
[0015]优选地，上述根据上述任一 N级域名对应的缓存命中率在上述多个N级域名所对应的多个缓存命中率中的分布情况判断是否存在针对上述任一 N级域名的域名攻击包括:若上述任一N级域名对应的缓存命中率属于上述多个缓存命中率中的最小的M个，则判断出存在针对上述任一 N级域名的域名攻击，或者，若上述任一 N级域名对应的缓存命中率属于上述多个缓存命中率中的最小的M个且上述任一N级域名对应的缓存命中率小于等于第三阈值，则判断出存在针对上述任一 N级域名的域名攻击，M小于N。
[0016]优选地，上述对上述任一 N级域名进行防护处理包括:停止转发与在第二时间间隔内接收的与上述任一 N级域名对应的域名服务请求相对应的递归查询请求。
[0017]优选地，上述停止转发与在第二时间间隔内接收的与上述任一 N级域名对应的域名服务请求相对应的递归查询请求包括:判断在上述第二时间间隔内接收的与上述任一 N级域名对应的域名服务请求的源地址是否满足拦截条件；若满足上述拦截条件，则停止转发与在第二时间间隔内接收的与上述任一N级域名对应的域名服务请求相对应的递归查询请求。
[0018]优选地，在上述判断在第三时间间隔内接收的与上述任一 N级域名对应的域名服务请求的源地址是否满足拦截条件之前，上述对上述任一 N级域名进行防护处理还包括:统计在上述第一时间间隔内接收的与上述任一N级域名对应的域名服务请求中、源地址属于多个地址段中的每一地址段的域名服务请求的缓存命中率；根据统计的缓存命中率判断发起域名攻击的地址段；将源地址属于上述发起域名攻击的地址段作为上述拦截条件。
[0019]优选地，上述根据统计的缓存命中率判断发起域名攻击的地址段包括:根据上述统计的缓存命中率中与上述多个地址段中的每一地址段对应的缓存命中率在上述统计的缓存命中率中的分布情况判断上述发起域名攻击的地址段。
[0020]优选地，上述根据上述统计的缓存命中率中与上述每一地址段对应的缓存命中率在上述统计的缓存命中率中的分布情况判断上述发起域名攻击的地址段包括:若上述统计的缓存命中率中与上述多个地址段中的任一地址段对应的缓存命中率属于上述统计的缓存命中率中的最小的L个，则判断出上述任一地址段为上述发起域名攻击的地址段。
[0021]根据本发明实施例的另一方面，还提供了一种用于域名系统的防护装置，包括:获取单元，用于获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一N级域名对应的缓存命中率，N大于等于I ;判断单元，用于根据上述每一 N级域名对应的缓存命中率判断是否存在针对上述多个N级域名中的任一N级域名的域名攻击；防护单元，用于在判断出存在针对上述任一 N级域名的域名攻击时，对上述任一 N级域名进行防护处理。
[0022]优选地，上述获取单元包括:第一获取模块，用于获取在上述第一时间间隔内接收的与上述每一 N级域名对应的域名服务请求的总数；第二获取模块，用于获取在上述第一时间间隔内接收的与上述每一N级域名对应的域名服务请求中缓存命中的域名服务请求的数量；第一处理模块，用于将上述命中的域名服务请求的数量与上述总数之间的比值作为与上述每一 N级域名对应的缓存命中率。
[0023]优选地，上述第二获取模块包括:获取子模块，用于获取上述缓存节点在上述第一时间间隔内转发的与上述每一 N级域名相对应的递归查询请求的数量；处理子模块，用于将上述总数与转发的上述递归查询请求的数量之间的差值作为上述缓存命中的域名服务请求的数量。
[0024]优选地，上述判断单元包括:第一判断模块，用于根据上述任一 N级域名对应的缓存命中率在上述多个N级域名所对应的多个缓存命中率中的分布情况判断是否存在针对上述任一 N级域名的域名攻击。
[0025]优选地，上述防护单元包括:停止模块，用于停止转发与在第二时间间隔内接收的与上述任一 N级域名对应的域名服务请求相对应的递归查询请求。
[0026]优选地，上述停止模块包括:第一判断子模块，用于判断在上述第二时间间隔内接收的与上述任一 N级域名对应的域名服务请求的源地址是否满足拦截条件；停止子模块，用于在满足上述拦截条件时，停止转发与在第二时间间隔内接收的与上述任一 N级域名对应的域名服务请求相对应的递归查询请求。[0027]优选地，上述防护单元还包括:统计模块，用于统计在上述第一时间间隔内接收的与上述任一 N级域名对应的域名服务请求中、源地址属于多个地址段中的每一地址段的域名服务请求的缓存命中率；第二判断模块，用于根据统计的缓存命中率判断发起域名攻击的地址段；第二处理模块，用于将源地址属于上述发起域名攻击的地址段作为上述拦截条件。
[0028]优选地，上述第二判断模块包括:第二判断子模块，用于根据上述统计的缓存命中率中与上述多个地址段中的每一地址段对应的缓存命中率在上述统计的缓存命中率中的分布情况判断上述发起域名攻击的地址段。
[0029]在本发明实施例中，由于采用了统计多个N级域名中的每一个各自对应的缓存命中率而非缓存命中数或者未命中数等易于浮动的指标作为判断是否存在针对该多个N级域名中的任一个的判断依据，因此判断结果无关于上述第一时间间隔的长短以及在该第一时间间隔内所接收到的域名访问请求的浮动情况，从而可以相对准确地判断出是否存在针对任一 N级域名的域名攻击，达到了提高对域名攻击的目标进行判断的准确性的目的，进而解决了由于现有针对变换前缀攻击的防护方式准确性较差造成的防护效率较低的技术问题。
【专利附图】

【附图说明】
[0030]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0031]图1是根据本发明实施例的一种可选的用于域名系统的防护方法的示意图；
[0032]图2是根据本发明实施例的一种可选的用于域名系统的防护装置的示意图。
【具体实施方式】
[0033]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0034]实施例1
[0035]根据本发明实施例，提供了一种用于域名系统的防护方法，如图1所示，该方法包括:
[0036]S102:获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一 N级域名对应的缓存命中率，N大于等于I ;
[0037]S104:根据每一 N级域名对应的缓存命中率判断是否存在针对多个N级域名中的任一 N级域名的域名攻击；
[0038]S106:若判断出存在针对任一N级域名的域名攻击，则对任一N级域名进行防护处理。
[0039]应当明确的是，本发明技术方案所要解决的问题之一是提供一种方法，用于对域名系统DNS (Domain Name System)、尤其是系统中的权威服务器进行防护，以克服如变换前缀等基于递归查询流量的域名攻击所造成的权威服务器处理压力过大、甚至是瘫痪的问题。
[0040]为解决这一问题，在本发明实施例中，通过步骤S106，可以根据判断出的受到攻击的具体的一个或多个N级域名进行防护处理，其中，由于域名攻击的对象通常是与二级域名或顶级域名对应的权威服务器，因此N通常可以是I或者2，然而本发明对此不作限定，上述防护方法同样适用于防护针对三级或更高等级的域名的攻击。
[0041]在步骤S106中，基于判断出的受到攻击的N级域名对与该N级域名对应的域名服务及其载体，比如缓存节点、权威服务器、根服务器等进行防护的方式可以有多种，例如，作为一种可选的方式，在本发明实施例中，步骤S106中所述的针对任一 N级域名的防护处理可以包括:
[0042]S2:停止转发在第二时间间隔内接收的与任一 N级域名对应的域名服务请求所对应的递归查询请求。
[0043]通过这一方式，与该任一 N级域名对应的域名服务请求即便出现缓存未命中的情形，仍不会触发与该未命中的域名服务请求对应的递归查询请求，从而该任一 N级域名所对应的权威服务器及其根服务器将不再响应于这些基于域名攻击所产生的递归查询请求而进行大量的交互查询操作，换而言之，实现了权威服务器与攻击源的隔离，这就解决了如变换前缀等基于递归查询流量的域名攻击所造成的权威服务器处理压力过大、甚至是瘫痪的问题。
[0044]由此可知，在上述场景下，对受到攻击的N级域名进行准确的确定就成为了问题的关键之一，若无法准确地判断出域名攻击是否是针对某一 N级域名，则很容易造成对域名攻击的攻击目标的漏判和误判，从而导致受到攻击的N级域名无法得到有效的防护，或者是未受到攻击的N级域名被执行了不必要的防护处理，进而增大了正当的域名服务请求在缓存未命中的情形下无法获得域名解析服务的可能性，这也会降低DNS的工作效率及其可靠性。
[0045]为提高对作为域名攻击的目标的N级域名进行判断的准确性、进而提高域名系统的防护效率及工作效率，根据本发明实施例提供的防护方法，在步骤S102中，可以获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一N级域名对应的缓存命中率。
[0046]在本发明实施例中，域名服务请求通常可以表示客户端发送的用于获取与请求中携带的待查询域名相对应的网络协议IP (Internet Protocol)地址的请求,例如,用户通过某一客户端上的浏览器访问网页或者说与该网页对应的web服务器时，在浏览器的地址栏中输入的网页地址通常并非IP地址，而是包含web服务器的域名在内的统一资源定位符URL (Uniformed Resource Locator),然而客户端通常无法直接使用URL中的域名访问相应的web服务器,而是需要请求DNS返回与域名对应的IP地址,进而通过IP地址访问web服务器，其中，客户端向DNS发送的获取IP地址的请求即可以作为上述域名服务请求。
[0047]进一步地，在本发明实施例中，与某一域名服务请求对应的N级域名可以表示与该请求中的待查询域名对应的N级域名，或者说该待查询域名中的倒数第N个”以后的片段。例如，在一个实施例中，用户在浏览器的地址栏中输入的URL可以是:
[0048]http://sports, abed.com.cn/abc/2013-12-27/01266954170.shtml,
[0049]其中，“sports, abed.com.cn”表示网页文档所在的web服务器的域名，该域名可以携带在域名服务请求中发送给DNS服务器，其中，该域名和携带有该域名的域名服务请求所对应的顶级域名或者说一级域名是“.cn”，表示中国国家，其所对应的二级域名是com.cn”,表示工商企业,其所对应的三级域名是abed.com.cn”,表示具体企业的网站，其所对应的四级域名是“sports, abed.com.cn”,表示网站的分支。
[0050]当然，以上只是一种示例，并不会对本发明构成限定，例如，在本发明实施例中，域名服务请求及其携带的待查询域名所对应的顶级域名也可以是“.com”，这通常取决于域名服务的用户在注册域名时的考量。
[0051]进一步地，在本发明实施例中，与在第一时间间隔内接收的域名服务请求对应的多个N级域名可以表示在第一时间间隔内接收的多个域名服务请求各自对应的N级域名的并集，例如，在一个实施例中，在第一时间间隔内接收的3个域名服务请求依次携带有待查询域名:
[0052]1) news.abed.com.cn ；2) sports, abed.com.cn ；3) www.ab.com,
[0053]则该3个域名服务请求对应的多个一级域名可以包括cn”和com”，对应的多个二级域名可以包括“.com.cn”和“.ab.com”,对应的多个三级域名可以包括“abed.com.cn” 和 “www.ab.com”。
[0054]一般而言，在本发明实施例中，上述第一时间间隔通常可以采用一个预定的监视周期，比如ls，从而防护装置可以以每秒流量为依据执行上述防护方法，然而本发明对此不作限定，其中，该第一时间间隔也可以是动态的，例如，在本发明的一些实施例中，即便通过上述防护方法确定了受到攻击的N级域名并启动了对该N级域名的防护处理，对于其他暂时未受到攻击的N级域名而言，仍然可以处于防护装置的监控下以及第一时间间隔内的累计计数过程中。
[0055]此外，在本发明实施例中，步骤S102中所称的缓存命中率的概念通常可以类似于为本领域技术人员所知的缓存命中率的概念，然而在本发明实施例中，该缓存命中率可以不仅限于以某一缓存节点所处理的全部域名服务请求的命中数与未命中数的统计结果为基础所获得的与该缓存节点及全部域名服务请求对应的缓存命中率，还可以进一步地基于对缓存节点所处理的所有域名服务请求中与任一N级域名对应的域名服务请求的命中数与未命中数的统计，以获得与该缓存节点所处理的与任一 N级域名对应的缓存命中率。下面将结合表1和一个具体的实施例对上述概念进行详细阐述，其中，表1表不本实施例中在第一时间间隔内接收的、分别与二级域名com.cn”和ab.com”对应的域名服务请求在缓存节点的缓存命中状况的统计结果。
[0056]表1
[0057]
【权利要求】
1.一种用于域名系统的防护方法，其特征在于，包括: 获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一 N级域名对应的缓存命中率，N大于等于I ; 根据所述每一 N级域名对应的缓存命中率判断是否存在针对所述多个N级域名中的任一N级域名的域名攻击； 若判断出存在针对所述任一 N级域名的域名攻击，则对所述任一 N级域名进行防护处理。
2.根据权利要求1所述的方法，其特征在于，所述获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一 N级域名对应的缓存命中率包括: 获取在所述第一时间间隔内接收的与所述每一 N级域名对应的域名服务请求的总数； 获取在所述第一时间间隔内接收的与所述每一N级域名对应的域名服务请求中缓存命中的域名服务请求的数量； 将所述命中的域名服务请求的数量与所述总数之间的比值作为与所述每一N级域名对应的缓存命中率。
3.根据权利要求2所述的方法，其特征在于，所述获取在所述第一时间间隔内接收的与所述每一 N级域名对应的域名服务请求中缓存命中的域名服务请求的数量包括: 获取所述缓存节点在所述第一时间间隔内转发的与所述每一N级域名相对应的递归查询请求的数量；` 将所述总数与转发的所述递归查询请求的数量之间的差值作为所述缓存命中的域名服务请求的数量。
4.根据权利要求1所述的方法，其特征在于，所述根据所述每一N级域名对应的缓存命中率判断是否存在针对所述多个N级域名中的任一 N级域名的域名攻击包括: 若所述任一 N级域名对应的缓存命中率小于等于第一阈值，则判断出存在针对所述任一N级域名的域名攻击。
5.根据权利要求1所述的方法，其特征在于，所述根据所述每一N级域名对应的缓存命中率判断是否存在针对所述多个N级域名中的任一 N级域名的域名攻击包括: 根据所述任一 N级域名对应的缓存命中率在所述多个N级域名所对应的多个缓存命中率中的分布情况判断是否存在针对所述任一 N级域名的域名攻击。
6.根据权利要求5所述的方法，其特征在于，所述根据所述任一N级域名对应的缓存命中率在所述多个N级域名所对应的多个缓存命中率中的分布情况判断是否存在针对所述任一 N级域名的域名攻击包括: 若所述任一 N级域名对应的缓存命中率与所述多个缓存命中率的平均值之间的比值小于等于第二阈值，则判断出存在针对所述任一 N级域名的域名攻击。
7.根据权利要求5所述的方法，其特征在于，所述根据所述任一N级域名对应的缓存命中率在所述多个N级域名所对应的多个缓存命中率中的分布情况判断是否存在针对所述任一 N级域名的域名攻击包括: 若所述任一 N级域名对应的缓存命中率属于所述多个缓存命中率中的最小的M个，则判断出存在针对所述任一 N级域名的域名攻击,或者,若所述任一 N级域名对应的缓存命中率属于所述多个缓存命中率中的最小的M个且所述任一N级域名对应的缓存命中率小于等于第三阈值，则判断出存在针对所述任一 N级域名的域名攻击，M小于N。
8.根据权利要求1至7中任一项所述的方法，其特征在于，所述对所述任一N级域名进行防护处理包括: 停止转发与在第二时间间隔内接收的与所述任一N级域名对应的域名服务请求相对应的递归查询请求。
9.根据权利要求8所述的方法，其特征在于，所述停止转发与在第二时间间隔内接收的与所述任一 N级域名对应的域名服务请求相对应的递归查询请求包括: 判断在所述第二时间间隔内接收的与所述任一N级域名对应的域名服务请求的源地址是否满足拦截条件； 若满足所述拦截条件，则停止转发与在第二时间间隔内接收的与所述任一 N级域名对应的域名服务请求相对应的递归查询请求。
10.根据权利要求9所述的方法，其特征在于，在所述判断在所述第二时间间隔内接收的与所述任一 N级域名对应的域名服务请求的源地址是否满足拦截条件之前，所述对所述任一 N级域名进行防护处理还包括: 统计在所述第一时间间隔内接收的与所述任一N级域名对应的域名服务请求中、源地址属于多个地址段中的每一地址段的域名服务请求的缓存命中率； 根据统计的缓存命中率判断发起域名攻击的地址段； 将源地址属于所述发起域名攻击的地址段作为所述拦截条件。
11.根据权利要 求10所述的方法，其特征在于，所述根据统计的缓存命中率判断发起域名攻击的地址段包括: 根据所述统计的缓存命中率中与所述多个地址段中的每一地址段对应的缓存命中率在所述统计的缓存命中率中的分布情况判断所述发起域名攻击的地址段。
12.根据权利要求11所述的方法，其特征在于，所述根据所述统计的缓存命中率中与所述每一地址段对应的缓存命中率在所述统计的缓存命中率中的分布情况判断所述发起域名攻击的地址段包括: 若所述统计的缓存命中率中与所述多个地址段中的任一地址段对应的缓存命中率属于所述统计的缓存命中率中的最小的L个，则判断出所述任一地址段为所述发起域名攻击的地址段。
13.一种用于域名系统的防护装置，其特征在于，包括: 获取单元，用于获取与在第一时间间隔内接收的域名服务请求对应的多个N级域名中的每一 N级域名对应的缓存命中率，N大于等于I ; 判断单元，用于根据所述每一N级域名对应的缓存命中率判断是否存在针对所述多个N级域名中的任一 N级域名的域名攻击； 防护单元，用于在判断出存在针对所述任一 N级域名的域名攻击时，对所述任一 N级域名进行防护处理。
14.根据权利要求13所述的装置，其特征在于，所述获取单元包括: 第一获取模块，用于获取在所述第一时间间隔内接收的与所述每一 N级域名对应的域名服务请求的总数； 第二获取模块，用于获取在所述第一时间间隔内接收的与所述每一 N级域名对应的域名服务请求中缓存命中的域名服务请求的数量； 第一处理模块，用于将所述命中的域名服务请求的数量与所述总数之间的比值作为与所述每一 N级域名对应的缓存命中率。
15.根据权利要求14所述的装置，其特征在于，所述第二获取模块包括: 获取子模块，用于获取所述缓存节点在所述第一时间间隔内转发的与所述每一N级域名相对应的递归查询请求的数量； 处理子模块，用于将所述总数与转发的所述递归查询请求的数量之间的差值作为所述缓存命中的域名服务请求的数量。
16.根据权利要求13所述的装置，其特征在于，所述判断单元包括: 第一判断模块，用于根据所述任一 N级域名对应的缓存命中率在所述多个N级域名所对应的多个缓存命中率中的分布情况判断是否存在针对所述任一 N级域名的域名攻击。
17.根据权利要求13至16中任一项所述的装置，其特征在于，所述防护单元包括: 停止模块，用于停止转发与在第二时间间隔内接收的与所述任一N级域名对应的域名服务请求相对应的递归查询请求。
18.根据权利要求17所述的装置，其特征在于，所述停止模块包括: 第一判断子模块，用于判断在所述第二时间间隔内接收的与所述任一 N级域名对应的域名服务请求的源地址是 否满足拦截条件； 停止子模块，用于在满足所述拦截条件时，停止转发与在第二时间间隔内接收的与所述任一 N级域名对应的域名服务请求相对应的递归查询请求。
19.根据权利要求18所述的装置，其特征在于，所述防护单元还包括: 统计模块，用于统计在所述第一时间间隔内接收的与所述任一N级域名对应的域名服务请求中、源地址属于多个地址段中的每一地址段的域名服务请求的缓存命中率； 第二判断模块，用于根据统计的缓存命中率判断发起域名攻击的地址段； 第二处理模块，用于将源地址属于所述发起域名攻击的地址段作为所述拦截条件。
20.根据权利要求19所述的装置，其特征在于，所述第二判断模块包括: 第二判断子模块，用于根据所述统计的缓存命中率中与所述多个地址段中的每一地址段对应的缓存命中率在所述统计的缓存命中率中的分布情况判断所述发起域名攻击的地址段。
【文档编号】H04L29/06GK103685317SQ201310751233
【公开日】2014年3月26日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】常磊, 张斌, 邓富镭 申请人:山石网科通信技术有限公司