一种针对不断变化前缀域名攻击的防护方法及装置.pdf

摘要
申请专利号：	CN201110190540.7	申请日：	2011.07.08
公开号：	CN102868669A	公开日：	2013.01.09
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20110708\|\|\|公开
IPC分类号：	H04L29/06; H04L29/12	主分类号：	H04L29/06
申请人：	上海寰雷信息技术有限公司
发明人：	龙雷
地址：	200241 上海市闵行区东川路555号乙楼5052室
优先权：
专利代理机构：	上海科盛知识产权代理有限公司 31225	代理人：	赵继明
PDF下载：	PDF下载

内容摘要

本发明涉及一种针对不断变化前缀域名攻击的防护方法及装置，该方法包括以下步骤：1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据，并对数据进行统计和计算，然后将统计和计算出的数据发送到管理系统服务器；2)管理系统服务器将统计的数据与设定的阈值进行比较；3)管理系统服务器根据防护策略发送指令到DNS服务器，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时清除DNS服务器的当前递归查询队列中的数据；该装置包括旁路分析系统服务器和管理系统服务器。与现有技术相比，本发明具有针对不断变化前置域名攻击的防护具有实时性高、效率高和误判率低等优点。

权利要求书

权利要求书一种针对不断变化前缀域名攻击的防护方法，其特征在于，该方法包括以下步骤：1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据，并统计当前时间段内递归查询包中的目的IP查询总次数，同时计算出当前时间段内的目的IP查询总次数与前一时间段内的目的IP查询总次数的变化幅度值，然后将目的IP查询总次数和变化幅度值发送到管理系统服务器；2)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目的IP查询总次数阈值，同时比较判断变化幅度值是否大于设定的变化幅度阈值，如果有一个判断为是，则进行步骤3)，否则返回步骤1)；3)管理系统服务器根据防护策略发送指令到DNS服务器，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时清除DNS服务器的当前递归查询队列中的数据。根据权利要求1所述的一种针对不断变化前缀域名攻击的防护方法，其特征在于，所述的步骤1)中的设定时间段优选一分钟。根据权利要求1所述的一种针对不断变化前缀域名攻击的防护方法，其特征在于，所述的步骤3)中的防护策略为：A、丢弃查询，即丢弃所有向此目的IP查询的数据包；B、拒绝响应，即回复所有向此目的IP查询的数据包REFUSED响应；或C、假记录响应，即回复所有向此目的IP查询的数据包一个假的记录响应。一种实施例权利要求1所述的针对不断变化前缀域名攻击的防护方法的装置，其特征在于，该装置包括旁路分析系统服务器和管理系统服务器，所述的旁路分析系统服务器与DNS节点的上联网络设备连接，所述的管理系统服务器分别与旁路分析系统服务器、上联网络设备和DNS服务器连接。根据权利要求4所述的一种针对不断变化前缀域名攻击的防护装置，其特征在于，所述的上联网络设备为交换机或路由器。

说明书

说明书一种针对不断变化前缀域名攻击的防护方法及装置
技术领域
本发明涉及网络防护领域，尤其是涉及一种针对不断变化前缀域名攻击的防护方法及装置。
背景技术
DNS(Domain Name System)是域名系统的意思，其作用就是协调IP地址和主机名之间的双向切换。DNS是当今Internet的基础架构，众多的网络服务(如Http、Ftp、Email等等)都是建立在DNS体系基础之上的。各省级运营商(包括固网或者移动运营商)为上网用户提供了DNS网络的运营服务，通常情况下，每个省级运营商的DNS网络分为若干节点，每个节点是由路由器、交换机和若干台服务器组成，每台服务器运行DNS软件，提供DNS查询的解析工作，因此服务器被称之为DNS服务器。
DNS服务器包括DNS授权服务器和DNS递归服务器。
DNS授权服务器：被授予对域名空间中的一部分进行管理的服务器。该部份域名空间中的所有域名由该服务器管理，服务器负责所有域名的更新以及对该部分域名查询的响应。授权服务器分为主授权服务器和辅授权服务器。主授权服务器是区域源数据存放的地方。辅授权服务器不直接存放区域源数据，但通过跟主授权服务器的数据同步，从而获得最新数据去响应域名解析请求。辅授权器对数据的备份是很重要的，并且它们也应答查询，从而减轻了主授权服务器的负担。
DNS递归服务器：递归服务器不对域名空间的域名进行管理，专门用来缓存查询的地址。该服务器的配置文件中只有到根服务器的路径，当域名请求不在缓存中时，即向根服务器发出该域名的请求；当获得该域名的响应时，会把数据进行缓存，当下次出现同样的域名请求时，就直接用缓存的内容进行应答。递归服务器能大大减少授权服务器的压力。
我们通常上网所使用的DNS服务器均是运营商提供的DNS递归服务器。
DNS递归服务器的查询机制如图1所示，从图中可以看出，DNS递归服务器和上层授权服务器进行了3、4、6、7、9和10等6个步骤的交互。DNS递归服务器和上层授权服务器之间的交互是最耗资源的。一个域名查询(例如：上述zk9bu5mkk6r.9960sf.com域名)在得到最终应答之前始终会占据DNS递归服务器的递归队列(递归队列参数通常可以设置)。
不断变化前缀域名，顾名思义，域名的后缀不变，前缀随机变化，例如：
zk9bu5mkk6r.9960sf.com
zkkntbj2gk8.9960sf.com
zl0bsxwz894.9960sf.com
zl2cdthz5xh.9960sf.com
zodt5pqtxrs.9960sf.com
zq2nuo7l3b7.9960sf.com
zt6u4n7p0dn.9960sf.com
zxl3vovzvnb.9960sf.com
zyrkcvut9j1.9960sf.com
zzwsf41r3p3.9960sf.com
这些域名不能在DNS递归服务器中的缓存找到，使得DNS递归服务器一直需要和这些域名所属的上层授权服务器进行交互，而上层授权服务器由于某种原因(例如：网络不可达)一直不能回复DNS递归服务器，同时不断又有新的类似域名查询到达DNS递归服务器，最终导致DNS递归服务器递归队列占满。一旦DNS递归服务器队列被占满，那么DNS递归服务器就不能和上层授权服务器进行交互，更为严重的会导致DNS递归服务器程序退出，从而不能提供DNS查询。此时的流程图如图2所示。
鉴于不断变化前缀域名攻击造成的严重后果，需要对该类攻击进行防护。现有的防护方式主要是分析域名，得出域名所属的域(即保持不变的域名后缀)，然后下发策略到DNS服务器屏蔽该域。这种方式存在几个显著的缺点：
1、效率很低。一个符合协议规范的域名最多可以有63级(域名字符两个之间的字符称为一级)，每一级域名字符都存在随机变化的可能，在有限的时间内(例如：1分钟)对最多达63级的域名进行分析几乎是不可能完成的事情；
2、误判率很高。不断变化的前缀几乎没有规律可循，因此存在把正常的域名作为攻击的域名进行防护的可能。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种实时性高、效率高和误判率低的针对不断变化前缀域名攻击的防护方法及装置。
本发明的目的可以通过以下技术方案来实现：一种针对不断变化前缀域名攻击的防护方法，其特征在于，该方法包括以下步骤：
1)旁路流量分析系统服务器每隔一个设定时间段采集一次通过DNS节点的所有递归查询包的数据，并统计当前时间段内递归查询包中的目的IP查询总次数，同时计算出当前时间段内的目的IP查询总次数与前一时间段内的目的IP查询总次数的变化幅度值，然后将目的IP查询总次数和变化幅度值发送到管理系统服务器；
2)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目的IP查询总次数阈值，同时比较判断变化幅度值是否大于设定的变化幅度阈值，如果有一个判断为是，则进行步骤3)，否则返回步骤1)；3)管理系统服务器根据防护策略发送指令到DNS服务器，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时清除DNS服务器的当前递归查询队列中的数据。
所述的步骤1)中的设定时间段优选一分钟。
所述的步骤3)中的防护策略为：A、丢弃查询，即丢弃所有向此目的IP查询的数据包；B、拒绝响应，即回复所有向此目的IP查询的数据包REFUSED响应；或C、假记录响应，即回复所有向此目的IP查询的数据包一个假的记录响应。
该装置包括旁路分析系统服务器和管理系统服务器，所述的旁路分析系统服务器与DNS节点的上联网络设备连接，所述的管理系统服务器分别与旁路分析系统服务器、上联网络设备和DNS服务器连接。
所述的上联网络设备为交换机或路由器。
与现有技术相比，本发明具有以下优点：
1、本发明是以1分钟为最小粒度对于所有DNS数据包进行分析，保证了DNS数据分析的实时性；
2、本发明是以DNS递归查询的目的IP为主要分析对象，保证了DNS数据分析的高效性；
3、本发明考虑了多种统计指标结合作为判断依据，同时结合了自动防护和手动防护，误判率很低。
附图说明
图1为DNS递归服务器的正常查询流程图；
图2为DNS递归服务器的受到不断变化前缀域名攻击时的查询流程图；
图3为本发明的流程示意图；
图4为本发明的硬件结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
如图3所示，一种针对不断变化前缀域名攻击的防护方法，该方法包括以下步骤：
步骤301)旁路流量分析系统服务器每隔一分钟采集一次通过DNS节点的所有递归查询包的数据，并统计当前一分钟内递归查询包中的目的IP查询总次数，同时计算出当前一分钟内的目的IP查询总次数与前一分钟内的目的IP查询总次数的变化幅度值，然后将目的IP查询总次数和变化幅度值发送到管理系统服务器；
步骤302)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目的IP查询总次数阈值，同时比较判断变化幅度值是否大于设定的变化幅度阈值，如果有一个判断为是，则进行步骤303)，否则返回步骤301)；
步骤303)管理系统服务器根据防护策略发送指令到DNS服务器，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时清除DNS服务器的当前递归查询队列中的数据。防护策略为A、丢弃查询，即丢弃所有向此目的IP查询的数据包；B、拒绝响应，即回复所有向此目的IP查询的数据包REFUSED响应；或C、假记录响应，即回复所有向此目的IP查询的数据包一个假的记录响应。
本发明还涉及一种针对不断变化前缀域名攻击的防护装置，如图4所示，该装置包括旁路分析系统服务器3和管理系统服务器4。旁路分析系统服务器3与DNS节点的上联网络设备2连接，管理系统服务器4分别与旁路分析系统服务器3、上联网络设备2和DNS服务器1连接。上联网络设备为交换机或路由器。与DNS节点连接的旁路流量分析系统服务器3每整分钟统计一次刚经过的一分钟内所有递归查询包中的目的IP查询总次数，同时统计刚经过的一分钟与刚经过的一分钟的前一分钟内的目的IP查询总次数的变化幅度值，然后汇总到管理系统服务器4，然后管理系统服务器4将事先设定的递归查询包中的目的IP查询总次数阈值以及变化幅度阈值与上述得出的目的IP查询总次数和目的IP查询总次数的变化幅度两个指标进行比较并预警，最后管理系统服务器4下发防护策略到DNS服务器1进行自动防护或者手动防护(对于预先设定的属于目的IP白名单中的IP启用手动防护，防止误操作)，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时清除DNS服务器的当前递归查询队列中的数据。

资源描述

《一种针对不断变化前缀域名攻击的防护方法及装置.pdf》由会员分享，可在线阅读，更多相关《一种针对不断变化前缀域名攻击的防护方法及装置.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102868669 A (43)申请公布日 2013.01.09 CN 102868669 A *CN102868669A* (21)申请号 201110190540.7 (22)申请日 2011.07.08 H04L 29/06(2006.01) H04L 29/12(2006.01) (71)申请人上海寰雷信息技术有限公司地址 200241 上海市闵行区东川路 555 号乙楼 5052 室 (72)发明人龙雷 (74)专利代理机构上海科盛知识产权代理有限公司 31225 代理人赵继明 (54) 发明名称一种针对不断变化前缀域名攻击的防护方法及装置。

2、 (57) 摘要本发明涉及一种针对不断变化前缀域名攻击的防护方法及装置，该方法包括以下步骤： 1) 旁路流量分析系统服务器每隔一个设定时间段采集一次通过 DNS 节点的所有递归查询包的数据，并对数据进行统计和计算，然后将统计和计算出的数据发送到管理系统服务器； 2) 管理系统服务器将统计的数据与设定的阈值进行比较； 3) 管理系统服务器根据防护策略发送指令到 DNS 服务器，使得DNS服务器不向超过阈值的目的IP发起递归查询，同时清除 DNS 服务器的当前递归查询队列中的数据；该装置包括旁路分析系统服务器和管理系统服务器。与现有技术相比，本发明具有。

3、针对不断变化前置域名攻击的防护具有实时性高、效率高和误判率低等优点。 (51)Int.Cl. 权利要求书 1 页说明书 4 页附图 4 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 4 页附图 4 页 1/1 页 2 1. 一种针对不断变化前缀域名攻击的防护方法，其特征在于，该方法包括以下步骤： 1) 旁路流量分析系统服务器每隔一个设定时间段采集一次通过 DNS 节点的所有递归查询包的数据，并统计当前时间段内递归查询包中的目的 IP 查询总次数，同时计算出当前时间段内的目的 IP 查询总次数与前一时间段内的目的 IP 查询。

4、总次数的变化幅度值，然后将目的 IP 查询总次数和变化幅度值发送到管理系统服务器； 2) 管理系统服务器比较判断当前时间段内的目的 IP 查询总次数是否大于设定的目的 IP 查询总次数阈值，同时比较判断变化幅度值是否大于设定的变化幅度阈值，如果有一个判断为是，则进行步骤 3)，否则返回步骤 1) ； 3) 管理系统服务器根据防护策略发送指令到 DNS 服务器，使得 DNS 服务器不向超过阈值的目的 IP 发起递归查询，同时清除 DNS 服务器的当前递归查询队列中的数据。 2. 根据权利要求 1 所述的一种针对不断变化前缀域名攻击的防护方法，其特征在于，所述的步骤 1)。

5、中的设定时间段优选一分钟。 3. 根据权利要求 1 所述的一种针对不断变化前缀域名攻击的防护方法，其特征在于，所述的步骤 3) 中的防护策略为： A、丢弃查询，即丢弃所有向此目的 IP 查询的数据包； B、拒绝响应，即回复所有向此目的 IP 查询的数据包 REFUSED 响应；或 C、假记录响应，即回复所有向此目的 IP 查询的数据包一个假的记录响应。 4. 一种实施例权利要求 1 所述的针对不断变化前缀域名攻击的防护方法的装置，其特征在于，该装置包括旁路分析系统服务器和管理系统服务器，所述的旁路分析系统服务器与 DNS 节点的上联网络设备连接，所述的管理。

6、系统服务器分别与旁路分析系统服务器、上联网络设备和 DNS 服务器连接。 5. 根据权利要求 4 所述的一种针对不断变化前缀域名攻击的防护装置，其特征在于，所述的上联网络设备为交换机或路由器。权利要求书 CN 102868669 A 2 1/4 页 3 一种针对不断变化前缀域名攻击的防护方法及装置技术领域 0001 本发明涉及网络防护领域，尤其是涉及一种针对不断变化前缀域名攻击的防护方法及装置。背景技术 0002 DNS(Domain Name System) 是域名系统的意思，其作用就是协调 IP 地址和主机名之间的双向切换。DNS 是当今 Internet 的。

7、基础架构，众多的网络服务 ( 如 Http、 Ftp、 Email 等等 ) 都是建立在 DNS 体系基础之上的。各省级运营商 ( 包括固网或者移动运营商 ) 为上网用户提供了 DNS 网络的运营服务，通常情况下，每个省级运营商的 DNS 网络分为若干节点，每个节点是由路由器、交换机和若干台服务器组成，每台服务器运行 DNS 软件，提供 DNS 查询的解析工作，因此服务器被称之为 DNS 服务器。 0003 DNS 服务器包括 DNS 授权服务器和 DNS 递归服务器。 0004 DNS 授权服务器：被授予对域名空间中的一部分进行管理的服务器。该部份域名空间中的所有域。

8、名由该服务器管理，服务器负责所有域名的更新以及对该部分域名查询的响应。授权服务器分为主授权服务器和辅授权服务器。主授权服务器是区域源数据存放的地方。辅授权服务器不直接存放区域源数据，但通过跟主授权服务器的数据同步，从而获得最新数据去响应域名解析请求。辅授权器对数据的备份是很重要的，并且它们也应答查询，从而减轻了主授权服务器的负担。 0005 DNS 递归服务器：递归服务器不对域名空间的域名进行管理，专门用来缓存查询的地址。该服务器的配置文件中只有到根服务器的路径，当域名请求不在缓存中时，即向根服务器发出该域名的请求；当获得该域名的响应时，会把数据进行缓。

9、存，当下次出现同样的域名请求时，就直接用缓存的内容进行应答。递归服务器能大大减少授权服务器的压力。 0006 我们通常上网所使用的 DNS 服务器均是运营商提供的 DNS 递归服务器。 0007 DNS 递归服务器的查询机制如图 1 所示，从图中可以看出， DNS 递归服务器和上层授权服务器进行了 3、 4、 6、 7、 9 和 10 等 6 个步骤的交互。DNS 递归服务器和上层授权服务器之间的交互是最耗资源的。一个域名查询 ( 例如：上述域名 ) 在得到最终应答之前始终会占据DNS递归服务器的递归队列(递归队列参数通常可以设置)。 0008 不断变化前缀域名，顾名思。

10、义，域名的后缀不变，前缀随机变化，例如： 0009 0010 0011 0012 0013 0014 0015 0016 说明书 CN 102868669 A 3 2/4 页 4 0017 0018 0019 这些域名不能在 DNS 递归服务器中的缓存找到，使得 DNS 递归服务器一直需要和这些域名所属的上层授权服务器进行交互，而上层授权服务器由于某种原因 ( 例如：网络不可达 ) 一直不能回复 DNS 递归服务器，同时不断又有新的类似域名查询到达 DNS 递归服务器，最终导致 DNS 递归服务器递归队列占满。一旦 DNS 递归服务器队列被占满。

11、，那么 DNS 递归服务器就不能和上层授权服务器进行交互，更为严重的会导致 DNS 递归服务器程序退出，从而不能提供 DNS 查询。此时的流程图如图 2 所示。 0020 鉴于不断变化前缀域名攻击造成的严重后果，需要对该类攻击进行防护。现有的防护方式主要是分析域名，得出域名所属的域 ( 即保持不变的域名后缀 )，然后下发策略到 DNS 服务器屏蔽该域。这种方式存在几个显著的缺点： 0021 1、效率很低。一个符合协议规范的域名最多可以有 63 级 ( 域名字符两个之间的字符称为一级 )，每一级域名字符都存在随机变化的可能，在有限的时间内 ( 例如： 1 分钟 ) 对。

12、最多达 63 级的域名进行分析几乎是不可能完成的事情； 0022 2、误判率很高。不断变化的前缀几乎没有规律可循，因此存在把正常的域名作为攻击的域名进行防护的可能。发明内容 0023 本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种实时性高、效率高和误判率低的针对不断变化前缀域名攻击的防护方法及装置。 0024 本发明的目的可以通过以下技术方案来实现：一种针对不断变化前缀域名攻击的防护方法，其特征在于，该方法包括以下步骤： 0025 1) 旁路流量分析系统服务器每隔一个设定时间段采集一次通过 DNS 节点的所有递归查询包的数据，并统计当前时间段内递归查询包。

13、中的目的 IP 查询总次数，同时计算出当前时间段内的目的 IP 查询总次数与前一时间段内的目的 IP 查询总次数的变化幅度值，然后将目的 IP 查询总次数和变化幅度值发送到管理系统服务器； 0026 2) 管理系统服务器比较判断当前时间段内的目的 IP 查询总次数是否大于设定的目的 IP 查询总次数阈值，同时比较判断变化幅度值是否大于设定的变化幅度阈值，如果有一个判断为是，则进行步骤 3)，否则返回步骤 1) ； 3) 管理系统服务器根据防护策略发送指令到 DNS 服务器，使得 DNS 服务器不向超过阈值的目的 IP 发起递归查询，同时清除 DNS 服务器的当前递归。

14、查询队列中的数据。 0027 所述的步骤 1) 中的设定时间段优选一分钟。 0028 所述的步骤3)中的防护策略为： A、丢弃查询，即丢弃所有向此目的IP查询的数据包； B、拒绝响应，即回复所有向此目的IP查询的数据包REFUSED响应；或C、假记录响应，即回复所有向此目的 IP 查询的数据包一个假的记录响应。 0029 该装置包括旁路分析系统服务器和管理系统服务器，所述的旁路分析系统服务器与 DNS 节点的上联网络设备连接，所述的管理系统服务器分别与旁路分析系统服务器、上联网络设备和 DNS 服务器连接。 0030 所述的上联网络设备为交换机或路由器。说。

15、明书 CN 102868669 A 4 3/4 页 5 0031 与现有技术相比，本发明具有以下优点： 0032 1、本发明是以 1 分钟为最小粒度对于所有 DNS 数据包进行分析，保证了 DNS 数据分析的实时性； 0033 2、本发明是以 DNS 递归查询的目的 IP 为主要分析对象，保证了 DNS 数据分析的高效性； 0034 3、本发明考虑了多种统计指标结合作为判断依据，同时结合了自动防护和手动防护，误判率很低。附图说明 0035 图 1 为 DNS 递归服务器的正常查询流程图； 0036 图 2 为 DNS 递归服务器的受到不断变化前缀域名攻击时的查。

16、询流程图； 0037 图 3 为本发明的流程示意图； 0038 图 4 为本发明的硬件结构示意图。具体实施方式 0039 下面结合附图和具体实施例对本发明进行详细说明。 0040 实施例 0041 如图 3 所示，一种针对不断变化前缀域名攻击的防护方法，该方法包括以下步骤： 0042 步骤 301) 旁路流量分析系统服务器每隔一分钟采集一次通过 DNS 节点的所有递归查询包的数据，并统计当前一分钟内递归查询包中的目的 IP 查询总次数，同时计算出当前一分钟内的目的 IP 查询总次数与前一分钟内的目的 IP 查询总次数的变化幅度值，然后将目的 IP 查询总次数和变化幅度值。

17、发送到管理系统服务器； 0043 步骤302)管理系统服务器比较判断当前时间段内的目的IP查询总次数是否大于设定的目的 IP 查询总次数阈值，同时比较判断变化幅度值是否大于设定的变化幅度阈值，如果有一个判断为是，则进行步骤 303)，否则返回步骤 301) ； 0044 步骤 303) 管理系统服务器根据防护策略发送指令到 DNS 服务器，使得 DNS 服务器不向超过阈值的目的 IP 发起递归查询，同时清除 DNS 服务器的当前递归查询队列中的数据。防护策略为A、丢弃查询，即丢弃所有向此目的IP查询的数据包； B、拒绝响应，即回复所有向此目的 IP 查询的数据。

18、包 REFUSED 响应；或 C、假记录响应，即回复所有向此目的 IP 查询的数据包一个假的记录响应。 0045 本发明还涉及一种针对不断变化前缀域名攻击的防护装置，如图 4 所示，该装置包括旁路分析系统服务器 3 和管理系统服务器 4。旁路分析系统服务器 3 与 DNS 节点的上联网络设备2连接，管理系统服务器4分别与旁路分析系统服务器3、上联网络设备2和DNS 服务器 1 连接。上联网络设备为交换机或路由器。与 DNS 节点连接的旁路流量分析系统服务器 3 每整分钟统计一次刚经过的一分钟内所有递归查询包中的目的 IP 查询总次数，同时统计刚经过的一分钟与刚经过的。

19、一分钟的前一分钟内的目的 IP 查询总次数的变化幅度值，然后汇总到管理系统服务器 4，然后管理系统服务器 4 将事先设定的递归查询包中的目的 IP 查询总次数阈值以及变化幅度阈值与上述得出的目的 IP 查询总次数和目的 IP 查询总次数的变化幅度两个指标进行比较并预警，最后管理系统服务器 4 下发防护策略到 DNS 说明书 CN 102868669 A 5 4/4 页 6 服务器 1 进行自动防护或者手动防护 ( 对于预先设定的属于目的 IP 白名单中的 IP 启用手动防护，防止误操作 )，使得 DNS 服务器不向超过阈值的目的 IP 发起递归查询，同时清除 DNS 服务器的当前递归查询队列中的数据。说明书 CN 102868669 A 6 1/4 页 7 图 1 说明书附图 CN 102868669 A 7 2/4 页 8 图 2 说明书附图 CN 102868669 A 8 3/4 页 9 图 3 说明书附图 CN 102868669 A 9 4/4 页 10 图 4 说明书附图 CN 102868669 A 10 。

展开阅读全文