DDoS攻击防御方法及装置与流程

本申请涉及网络安全技术领域，尤其涉及一种ddos攻击防御方法及装置。

背景技术：

分布式拒绝服务(ddos，distributeddenialofservice)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动ddos攻击，从而成倍地提高拒绝服务攻击的威力。ddos攻击的原理是找到被攻击者的资源瓶颈，通过消耗资源的方式达到被攻击者业务不可用的目的。目前互联网业务中，服务器cpu，内存，带宽，数据库等都可能成为资源瓶颈。

目前的ddos防御方案以ddos流量清洗为主，主要是通过ddos检测设备检测ddos攻击，当发现ddos攻击时通知旁路的流量清洗设备牵引被攻击目的ip的流量，清洗攻击流量。并且，采用这种防御方案，还需要以单个ip地址高带宽为保障。因此，存在以下两方面的问题，一是业务用户需要购买高带宽的ip，而带宽费用昂贵，成本过高。二是目前ddos的以清洗作为ddos防护的基本手段，缺少用户的互动及调度，在ddos的防护中处于被动防护的局面。

技术实现要素：

本申请的一个目的是提供一种ddos攻击防御方法及装置，实现ip地址的动态切换。

根据本申请的一方面，提供了一种ddos攻击防御方法，该方法包括以下步骤：

调度系统将业务目标的多个ip地址映射到多个网络区域或网络线路； 将所述多个ip地址与所述多个网络区域或网络线路的映射关系保存在dns服务器中，以便所述dns服务器在接收到客户端对所述业务目标的dns解析请求时，根据所述映射关系向所述客户端返回所述业务目标映射到所述客户端所在网络所属的网络区域或网络线路的ip地址；如果监测到对所述dns服务器向所述客户端返回的ip地址的ddos攻击，则为所述ip地址配置黑洞路由，从而将所述ip地址的访问流量转发到黑洞路由；删除所述dns服务器中保存的所述ip地址与所映射到的网络区域或网络线路的映射关系，以便所述dns服务器向所述客户端返回所述业务目标映射到所述网络区域或网络线路的其他可用的ip地址。

根据本申请的另一方面，还提供了一种ddos攻击防御方法，其特征在于，dns服务器中保存有业务目标的多个ip地址与多个网络区域或网络线路的映射关系，所述方法包括以下步骤：

所述dns服务器在接收到客户端对所述业务目标的dns解析请求时，根据所述客户端的源ip地址获取所述客户端所属的网络区域或网络线路；根据所述映射关系查询所述业务目标的多个ip地址中映射到所述客户端所属的网络区域或网络线路的ip地址；向所述客户端返回查询到的ip地址，以便所述客户端通过所述ip地址访问所述业务目标。

根据本申请的一方面，还提供了一种ddos攻击防御装置，其中，该装置包括：

映射单元，用于将业务目标的多个ip地址映射到多个网络区域或网络线路；保存单元，用于所述多个ip地址与所述多个网络区域或网络线路的映射关系保存在dns服务器中，以便所述dns服务器在接收到客户端对所述业务目标的dns解析请求时，根据所述映射关系向所述客户端返回所述业务目标映射到所述客户端所在网络所属的网络区域或网络线路的ip地址；配置单元，用于如果监测到对所述dns服务器向所述客户端返回的ip地址的ddos攻击，则删除所述dns服务器中保存的所述ip地址与所映射到的网络区域或网络线路的映射关系，以便所述dns服务器向所述客户端返回所述业务目标映射到所述网络区域或网络线路的其他可用的ip地址。

根据本申请的另一方面，还提供了一种ddos攻击防御装置，其中， dns服务器中保存有业务目标的多个ip地址与多个网络区域或网络线路的映射关系，该装置包括：

获取单元，用于在接收到客户端对所述业务目标的dns解析请求时，根据所述客户端的源ip地址获取所述客户端所属的网络区域或网络线路；查询单元，用于根据所述映射关系查询所述业务目标的多个ip地址中映射到所述客户端所属的网络区域或网络线路的ip地址；返回单元，用于向所述客户端返回查询到的ip地址，以便所述客户端通过所述ip地址访问所述业务目标。

与现有技术相比，本申请的实施例具有以下优点：

将业务目标的多个ip地址映射到不同的网络区域或网络线路，黑客针对业务目标发起ddos攻击时，需要在各个网络区域或网络线路部署探测节点，提高了黑客的发动ddos攻击的难度。通过在dns服务器中删除被攻击ip地址的映射关系，使dns服务器向请求访问所述业务目标的客户端返回未被ddos攻击的其他可用ip地址，从而，将访问流量转移到其他ip地址，实现ip地址的切换。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1为本申请一个实施例提供的ddos攻击防御方法的流程图；

图2为本申请另一个实施例提供的ddos攻击防御方法的流程图；

图3为本申请又一个实施例提供的ddos攻击防御方法的流程图；

图4为本申请再一个实施例提供的ddos攻击防御方法的流程图；

图5为本申请一个实施例提供的应用于dns服务器的ddos攻击防御方法的流程图；

图6为本申请一个实施例提供的ddos攻击防御装置示意图；

图7为本申请另一个实施例提供的ddos攻击防御装置示意图；

图8为本申请又一个实施例提供的ddos攻击防御装置示意图；

图9为本申请再一个实施例提供的ddos攻击防御装置示意图；

图10为本申请一个实施例提供的应用于dns服务器的ddos攻击防御装置示意图；

图11为根据本申请实施例的网络拓补结构示意图。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

在上下文中所称“计算机设备”，也称为“电脑”，是指可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备，其可以包括处理器与存储器，由处理器执行在存储器中预存的存续指令来执行预定处理过程，或是由asic、fpga、dsp等硬件执行预定处理过程，或是由上述二者组合来实现。计算机设备包括但不限于服务器、个人电脑、笔记本电脑、平板电脑、智能手机等。

所述计算机设备包括用户设备与网络设备。其中，所述用户设备包括但不限于电脑、智能手机、pda等；所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(cloudcomputing)的由大量计算机或网络服务器构成的云，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中，所述计算机设备可单独运行来实现本申请，也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中，所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、vpn网络等。

需要说明的是，所述用户设备、网络设备和网络等仅为举例，其他现有的或今后可能出现的计算机设备或网络如可适用于本申请，也应包含在本申请保护范围以内，并以引用方式包含于此。

后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、 固件、中间件或微代码来实施时，用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。

这里所公开的具体结构和功能细节仅仅是代表性的，并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现，并且不应当被解释成仅仅受限于这里所阐述的实施例。

应当理解的是，虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元，但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说，在不背离示例性实施例的范围的情况下，第一单元可以被称为第二单元，并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。

这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指，否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是，这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在，而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。

还应当提到的是，在一些替换实现方式中，所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说，取决于所涉及的功能/动作，相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。

下面结合附图对本申请作进一步详细描述。

本申请的方法可应用于针对ddos攻击进行防御的调度系统。图11为根据本申请实施例的网络拓补结构。参考图11，调度系统10为业务目标分配多个ip地址，使请求访问所述业务目标的客户端30通过所述多个ip地址访问所述业务目标。其中，所述多个ip地址为所述业务目标的转发ip地址，所述业务目标的源ip地址(业务服务器40的ip地址)隐藏，通过该多个转发ip地址接受外部的访问，从而将所述业务目标的访问流量分散到为其分配 的多个转发ip地址上。其中，客户端30通过访问dns服务器20获取所述业务目标的ip地址，从而对所述业务目标进行访问。图11只示出了一个业务服务器40，应理解本申请实施例的网络拓补结构可包含多个业务服务器。图11所示的业务服务器40被分配有3个转发ip地址，ip1、ip2、ip3。

图1为本申请一个实施例的ddos攻击防御方法流程图。

根据本申请的方法1至少包括步骤110、步骤s120和步骤130。

参考图1，在步骤s110中，调度系统10将业务目标的多个ip地址映射到多个网络区域或网络线路。

将业务目标的多个ip地址映射到多个网络区域或网络线路的实施方式包括以下几种：

在一种具体实施方式中，将所述业务目标的多个ip地址映射到多个网络区域，其中，所述多个网络区域可以为根据地理区域划分的网络区域，具体可以包括省份(或省级行政区域)，如辽宁、山东、山西、北京、天津等，或者省份下属的城市，如辽宁沈阳、山东济南、山西太原等。

在另一种实施方式中，将所述业务目标的多个ip地址映射到多个网络线路，其中，所述多个网络线路为根据网络提供方划分的网络线路，如，中国移动、中国联通、中国电信、教育网等。优选地，所述多个网络线路为多个网络区域下的多个网络线路。也就是说，将所述业务目标的所述多个ip地址映射到多个网络区域下的网络线路。例如，北京联通、河北移动、吉林电信等。更优选地，将业务目标的多个ip地址映射到多个按照省份-城市-线路三个层级划分的网络线路，dns服务器在进行dns解析时，向不同网络线路的客户端返回该业务目标映射到客户端所属网络线路的ip地址。由于将业务目标的ip地址映射到全国各地的不同网络线路，黑客采取攻击时，想要获取到业务目标的所有ip就需要在全国各地部署探测节点，大大提高了攻击成本和攻击难度。

在上述将业务目标的多个ip地址映射到多个网络区域或网络线路的实施方式中，可以根据所述业务目标的业务分布的网络区域或网络线路将该业务目标的多个ip地址映射到多个网络区域或网络线路。其中，该业务目标映射到一个网络区域或网络线路的ip地址可以为多个。具体而言， 获取该业务目标的业务分布统计数据，即该业务目标的业务在各个网络区域或网络线路的分布情况。例如，获取该业务目标的业务在各个网络区域或网络线路的访问量(访问流量或访问数)，根据该业务目标在各个网络区域或网络线路的访问量的大小，将该业务目标的ip地址按比例映射到多个网络区域或网络线路。也就是说，映射到访问量较大的网络区域或网络线路的ip地址的数目较多，映射到访问量较小的区域或线路的ip地址的数目较少。

参考图1，在步骤s120中，调度系统10将所述多个ip地址与所述多个网络区域或网络线路的映射关系保存在dns服务器20中，以便所述dns服务器20在接收到客户端30对所述业务目标的dns解析请求时，根据所述映射关系向所述客户端返回所述业务目标映射到所述客户端所在网络所属的网络区域或网络线路的ip地址。

调度系统10可以通过dns服务器20提供的api接口将所述业务目标的多个ip地址与对应的网络区域或网络线路的映射关系保存在dns服务器20的别名记录列表(cname)中。

在cname记录列表中，业务目标的多个ip地址与对应的网络区域或网络线路的对应关系可以以如下格式保存：

xxx.taobao.com1.1.1.1北京电信；

xxx.taobao.com1.1.1.2北京联通；

xxx.taobao.com1.1.1.3北京电信；

xxx.taobao.com1.1.1.5天津电信；

xxx.taobao.com1.1.1.6天津联通；

xxx.taobao.com1.1.1.7天津电信；

……

。

客户端访问所述业务目标时，通过dns协议向dns服务器发送dns解析(域名解析)请求，以获取该业务目标的ip地址。所述dns服务器在接收到客户端30对所述业务目标的dns解析请求时，根据所述映射关系向所述客户端返回所述业务目标映射到所述客户端30所在网络所属的 网络区域或网络线路的ip地址。

具体而言，所述dns服务器20根据所述客户端30的源ip地址获取所述客户端所在网络所属的网络区域或网络线路。根据所述映射关系查询所述业务目标的多个ip地址中映射到所述客户端30所在网络所属的网络区域或网络线路的ip地址，并向所述客户端30返回查询到的ip地址，以便所述客户端30通过所述ip地址访问所述业务目标。

例如，dns服务器20根据客户端30的源ip地址123.114.68.xx获取该ip地址所属的网络线路为“北京联通”，根据保存的该业务目标的多个ip地址与多个网络区域或网络线路的映射关系，查询该业务目标映射到“北京联通”网络线路的ip地址，并向所述客户端30返回查询到的ip地址。

参考图1，在步骤130中，如果监测到对所述dns服务器20向所述客户端30返回的ip地址的ddos攻击，则调度系统10删除所述dns服务器20中保存的所述ip地址与所映射到的网络区域或网络线路的映射关系，以便所述dns服务器20向所述客户端30返回所述业务目标映射到所述网络区域或网络线路的其他可用的ip地址。

如果查询到的该业务目标映射到所述客户端30所在网络所属的所述网络区域或网络线路的ip地址为多个，则dns服务器向该客户端返回其中访问优先级最高的ip地址。当该访问优先级最高的ip地址遭到攻击时，删除该访问优先级最高的ip地址与所映射到的网络区域或网络线路的映射关系，此时，dns服务器20向该客户端返回该业务目标映射到该客户端所在网络所属的网络区域或网络线路的其他可用(没有被ddos攻击或没有被黑洞路由)ip地址中访问优先级最高的ip地址。

图2为本申请另一个实施例提供的ddos攻击防御方法的流程图。参考图2，基于上述实施例，该方法还包括步骤s140和步骤s150。

参考图2，在步骤s140中，调度系统10从所述业务目标的备用ip地址列表中获取一个备用ip地址，映射到被删除所述映射关系的ip地址原来映射到的网络区域或网络线路。

其中，所述业务目标的备用ip地址为所述业务目标的ip地址中未映射到任何网络区域或网络线路的ip地址。将所述业务目标的所有ip地址中的 部分ip地址映射到不同的网络区域或网络线路，作为该业务目标当前可用的ip地址，剩余的ip地址作为所述业务目标的备用ip地址并保存为该业务目标的备用ip地址列表。当dns服务器向该客户端返回的业务目标的ip地址遭到ddos攻击时，可以从该业务目标的备用ip地址列表中获取一个备用ip地址映射到该被删除的ip地址所映射到的网络区域或网络线路中，从而，补充该业务目标映射到该网络所属的网络区域或网络线路的ip地址的数量。

参考图2，在步骤s150中，调度系统10将所述备用ip地址与所述网络区域或网络线路的映射关系保存到dns服务器中。

其中，该备用ip地址可以作为该业务目标的可用ip地址，当该备用ip地址所映射到的网络区域或网络线路的客户端请求访问该业务目标时，可以向该客户端返回该ip地址。

图3为本申请又一个实施例提供的ddos攻击防御方法的流程图。基于上述(图2)实施例，该方法还包括步骤s160和步骤s170。

参考图3，在步骤s160中，如果监测到对所述dns服务器向所述客户端返回的ip地址的ddos攻击，则调度系统10为所述ip地址配置黑洞路由，从而将所述ip地址的访问流量转发到黑洞路由。

由于ddos攻击的主要攻击方式是流量攻击，因此可以根据该ip地址的访问流量判断该ip地址是否被攻击。具体地，根据该ip地址的实时访问流量是否超过该ip地址对应的黑洞阈值，判断其是否遭到ddos攻击。其中，该ip地址对应的黑洞阈值可以为所述业务目标对应的黑洞阈值。如果该ip地址的访问流量超过对应的黑洞阈值，视为该ip地址遭到ddos流量攻击，则通过为该ip地址配置黑洞路由的方式将该ip地址的访问流量转到黑洞路由，从而将该ip地址的访问流量丢弃掉。

参考图3，在步骤s170中，如果所述ip地址的黑洞路由被解除，调度系统10将所述ip地址添加到所述业务目标的备用ip地址列表中。

也就是说，当dns服务器20向所述客户端30返回的ip地址的黑洞路由解除时，可以将其作为该业务目标的备用ip地址添加到该业务目标的备用ip地址列表中。

图4为本申请又一个实施例提供的ddos攻击防御方法的流程图。业 务目标的映射到一个网络区域或网络线路的ip地址可以为多个，dns服务器20根据该多个ip地址的访问优先级，向客户端30返回其中访问优先级最高的ip地址。因此，可以动态调整所述业务目标映射到各个网络区域或网络线路的各个ip地址的访问优先级，将流量较高的ip地址的访问优先级调低，从而，减小业务目标被ddos攻击的可能，并且实现了ip地址的动态切换。因此，在本实施例中该方法还包括步骤s180和步骤s190。

参考图4，在步骤s180中，调度系统10判断所述dns服务器向所述客户端返回的ip地址在预定时间内的访问流量是否超过所述业务目标对应的流量阈值。

具体而言，可以每隔预定时间获取一次该ip地址在该预定时间内的访问流量的平均值，例如，每隔5min(分钟)获取该ip地址在这5分钟内的访问流量平均值。例如，所述业务目标对应的流量阈值为5gbps，该ip地址在5分钟内的流量平均值为4.2gbps，因此未超过该ip地址对应的流量阈值。

其中，所述业务目标对应的流量阈值可以通过如下方式设置：

获取所述业务目标的各个ip地址的平均流量信息；根据所述平均流量信息以及预定流量增长阈值，确定所述业务目标对应的流量阈值。

具体而言，调度系统10可以通过流量监控节点对所述业务目标的各个ip地址的访问流量做镜像处理，以获取所述各个ip地址的访问流量；计算所述各个ip地址的访问流量的平均值，作为所述业务目标的各个ip地址的平均流量，也就是该业务目标的平均流量。

所述预定流量增长阈值包括：预定百分比、预定阈值。

如果所述预定流量增长阈值为预定百分比，则所述业务目标对应的流量阈值等于所述业务目标的各个ip地址的平均流量加上所述平均流量与所述预定百分比之积。例如，该业务目标各个ip地址的平均流量为4gbps，该预定百分比为25％，则该业务目标对应的流量阈值为4gbps+4gbps*25％＝5gbps。

如果所述预定流量增长阈值为预定阈值，则所述业务目标对应的流量阈值等于所述业务目标的各个ip地址的平均流量与所述预定阈值之和。例如，该业务目标的各个ip地址的平均流量为4gbps，该预定阈值为1gbps，则该业务目标对应的流量阈值为4gbps+1gbps＝5gbps。

参考图4，在步骤s190中，如果所述ip地址在预定时间内的访问流量超过所述业务目标对应的流量阈值，则调度系统10调整所述ip地址在所映射到的网络区域或网络线路的各个ip地址中的访问优先级。

如果该ip地址在预定时间内的访问流量超过该业务目标对应的流量阈值，则表明该ip地址流量存在异常，有被流量攻击的危险，因此可以将所述ip地址在所映射到的网络区域或网络线路的ip地址中的访问优先级调低，从而，可以引导客户端访问该业务目标的ip地址中流量较小的ip，从而减小ddos攻击的影响。

本申请的另一方面还提供一种ddos攻击防御方法2。该方法2可应用于dns服务器中。dns服务器中保存有业务目标的多个ip地址与多个网络区域或网络线路的映射关系。其中，所述业务目标的多个ip地址为所述业务目标的转发ip地址，所述业务目标的源ip地址(业务服务器的ip地址)隐藏，通过该多个转发ip地址接受外部的访问，从而将所述业务目标的访问流量分散到为其分配的多个转发ip地址上。

图5为本申请一个实施例的ddos攻击防御方法流程图。该方法2至少包括步骤s210、步骤s220和步骤s230。

参考图5，在步骤s210中，dns服务器20在接收到客户端30对所述业务目标的dns解析请求时，根据所述客户端的源ip地址获取所述客户端所属的网络区域或网络线路。

根据请求访问所述业务目标的客户端的源ip地址可以获取该客户端所在网络所属的网络区域和网络线路。例如，获取到客户端的源ip地址为123.114.68.xx，根据该ip地址可以查询到客户端当前所在网络所在的区域为北京，网络线路为联通。

参考图5，在步骤s220中，dns服务器20根据所述映射关系查询所述业务目标的多个ip地址中映射到所述客户端所属的网络区域或网络线路的ip地址。

dns服务器20根据获取到的该客户端所在网络所属的网络区域或网络线路，在保存的映射关系中查询该业务目标映射到该网络区域或网络线路的ip地址。例如，客户端30的源ip地址为123.114.68.xx，该ip地址所属的网 络线路为“北京联通”，因此根据保存的该业务目标的多个ip地址与多个网络区域或网络线路的映射关系中查询该业务目标映射到“北京联通”网络线路的ip地址。

参考图5，在步骤s230中，dns服务器20向所述客户端返回查询到的ip地址，以便所述客户端通过所述ip地址访问所述业务目标。

具体地，dns服务器向所述客户端返回查询到的ip地址中访问优先级最高的ip地址，也就是该业务目标的多个ip地址中映射到所述客户端所属网络区域或网络线路的ip地址中访问优先级最高的ip地址。其中，业务目标映射到各个网络区域或线路的ip地址的访问优先级是根据该ip地址的网络带宽、访问量、延迟时间、被攻击次数等条件进行设置的。

本申请实施例将业务目标的多个ip地址映射到不同的网络区域或网络线路，黑客针对业务目标发起ddos攻击时，需要在各个网络区域或网络线路部署探测节点，提高了黑客的发动ddos攻击的难度。通过在dns服务器中删除被攻击ip地址的映射关系，使dns服务器向请求访问所述业务目标的客户端返回未被ddos攻击的其他可用ip地址，从而，将访问流量转移到其他ip地址，实现ip地址的切换。

基于与方法同样的发明构思，本申请还提供一种ddos攻击防御装置。该装置可以应用于ddos攻击防御的调度系统中。图6所示为该ddos攻击防御装置3示意图，该装置3包括：

映射单元310，用于将业务目标的多个ip地址映射到多个网络区域或网络线路；

保存单元320，用于将所述多个ip地址与所述多个网络区域或网络线路的映射关系保存在dns服务器中，以便所述dns服务器在接收到客户端对所述业务目标的dns解析请求时，根据所述映射关系向所述客户端返回所述业务目标映射到所述客户端所在网络所属的网络区域或网络线路的ip地址；

删除单元330，用于删除所述dns服务器中保存的所述ip地址与所映射到的网络区域或网络线路的映射关系，以便所述dns服务器向所述客户端返回所述业务目标映射到所述网络区域或网络线路的其他可用的ip地址。

可选地，所述映射单元310进一步用于：

从所述业务目标的备用ip地址列表中获取一个备用ip地址，映射到被删除所述映射关系的ip地址原来映射到的网络区域或网络线路，其中，所述备用ip地址为所述业务目标的ip地址中未映射到任何网络区域或网络线路的ip地址；

所述保存单元320，进一步用于：

将所述备用ip地址与所述网络区域或网络线路的映射关系保存到dns服务器中。

图7为本申请另一个实施例提供的装置示意图。参考图7，基于上述实施例，该装置3还包括：

配置单元340，用于如果监测到对所述dns服务器向所述客户端返回的ip地址的ddos攻击，则为所述ip地址配置黑洞路由，从而将所述ip地址的访问流量转发到黑洞路由；

添加单元350，用于如果所述ip地址的黑洞路由被解除，则将所述ip地址添加到所述业务目标的备用ip地址列表中。

图8为本申请又一个实施例提供的装置示意图。所述dns服务器向所述客户端返回的ip地址为所述业务目标映射到所述客户端所属的网络区域或网络线路的ip地址中访问优先级最高的ip地址。

参考图8，该装置3还包括：

判断单元360，用于判断所述dns服务器向所述客户端返回的ip地址在预定时间内的访问流量是否超过所述业务目标对应的流量阈值；

调整单元370，用于如果所述ip地址在预定时间内的访问流量超过所述业务目标对应的流量阈值，则调整所述ip地址在所映射到的网络区域或网络线路的各个ip地址中的访问优先级。

图9为本申请再一个实施例提供的装置示意图。参考图9，基于上述实施例，该装置3还包括：

设置单元380，用于设置所述业务目标对应的流量阈值；

所述设置单元380进一步用于：

获取所述业务目标的各个ip地址的平均流量信息；根据所述平均流量信息以及预定流量增长阈值，确定所述业务目标对应的流量阈值；所述预定流 量增长阈值包括：预定百分比、预定阈值。

可选地，所述设置单元380进一步用于：

对所述业务目标的各个ip地址的访问流量做镜像处理，以获取所述各个ip地址的访问流量；

计算所述各个ip地址的访问流量的平均值，以获取所述业务目标的各个ip地址的平均流量。

基于与方法同样的发明构思，本申请还提供一种ddos攻击防御装置。该装置可以应用于dns服务器中。其中，dns服务器中保存有业务目标的多个ip地址与多个网络区域或网络线路的映射关系。图10所示为该ddos攻击防御装置4示意图，该装置4包括：

将业务目标的多个ip地址与多个网络区域或网络线路的映射关系保存在dns服务器中，该装置4包括：

获取单元410，用于在接收到客户端对所述业务目标的dns解析请求时，根据所述客户端的源ip地址获取所述客户端所属的网络区域或网络线路；

查询单元420，用于根据所述映射关系查询所述业务目标的多个ip地址中映射到所述客户端所属的网络区域或网络线路的ip地址；

返回单元430，用于向所述客户端返回查询到的ip地址，以便所述客户端通过所述ip地址访问所述业务目标。

可选地，所述返回单元430进一步用于：

向所述客户端返回查询到的ip地址中访问优先级最高的ip地址。

需要注意的是，本申请可在软件和/或软件与硬件的组合体中被实施，例如，本申请的各个装置可采用专用集成电路(asic)或任何其他类似硬件设备来实现。在一个实施例中，本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本申请的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其他的具体 形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

虽然前面特别示出并且描述了示例性实施例，但是本领域技术人员将会理解的是，在不背离权利要求书的精神和范围的情况下，在其形式和细节方面可以有所变化。