WO2018095375A1 - 一种dns的防护方法、管理设备及域名解析服务器 - Google Patents

Abstract

本文公开了一种DNS的防护方法、管理设备及相关设备，此方法包括：管理设备向服务域名解析服务器DNS发送监控任务；管理设备接收所述服务DNS发送的监控数据，监控数据包括目标QPS数据和所述目标QPS数据对应的目标访问来源IP，目标QPS数据是由服务DNS根据所述监控任务监控的QPS数据中大于阈值的数据；管理设备根据目标QPS数据确定防攻击策略；管理设备根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

Description

一种DNS的防护方法、管理设备及域名解析服务器

本申请要求在2016年11月23日提交中国专利局、申请号为201611042517.2、发明名称为“一种DNS的防护方法及相关设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明实施例涉及但不限于一种计算机网络安全领域，尤其涉及一种DNS的防护方法管理设备及域名解析服务器。

背景技术

域名解析是网络访问过程中最重要的环节之一，域名解析服务器(DomainNameServer，缩写：DNS)主要功能为将域名转换为网络可识别的IP。由于DNS具有业务重要、安全性低的特点，近年来越来越多的DDOS攻击把目标对准DNS。如何有效防御DNS的DDOS攻击成为网络服务的重要工作。当前为了防止网络拥塞，DNS通常采用边缘化架构，该边缘化架构指通过将域名NS记录实现将DNS服务器推向网络边缘，即不同区域的DNS请求会访问到不同的DNS服务器。

当前基于DNS边缘架构防止DDOS攻击的方法为：监控单台DNS请求的每秒查询率(QueriesPerSecond，缩写：QPS)，当QPS大于预先设置的阀值，则启动流量清洗策略，将超过阀值的请求包丢弃，起到保护正常服务的效果。

现有技术中，当攻击流量大于网络上联带宽或DNS的处理能力时，防御策略会完全失效，DNS的服务将不可用。若攻击来源集中在某一个区域，攻击流量大于上联带宽或者服务器处理能力时，DNS边缘化结构中至少一个DNS完全不可用。当攻击流量来自于各个区域时，DNS边缘化架构中的每台DNS服务器都会受到攻击，此时当攻击流量大于网络上联带宽或服务器处理能力时，防御策略会完全失效，DNS的服务将不可用。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例中DNS的防护方法，包括：

管理设备向服务域名解析服务器DNS发送监控任务；管理设备接收服务DNS发送的监控数据，监控数据包括目标QPS数据和目标QPS数据对应的目标访问来源IP，目标QPS数据是由服务DNS根据监控任务监控的QPS数据中大于阈值的数据；

管理设备根据目标QPS数据确定防攻击策略；管理设备根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

上述方法还包括：

管理设备根据防攻击策略将目标访问来源IP指向备用DNS，包括：

管理设备将备用DNS的IP向目标访问来源IP发送。

上述方法还包括：

管理设备根据目标QPS数据确定防攻击策略，包括：

管理设备根据目标QPS数据和映射关系表确定攻击类型，QPS数据与攻击类型具有映射关系表；管理设备根据攻击类型确定防攻击策略。

上述方法还包括：

管理设备中包括黑名单，黑名单指向备用DNS，管理设备根据攻击类型确定防攻击策略包括：

若攻击类型为集中攻击，则管理设备确定启动黑名单；

管理设备根据防攻击策略将目标访问来源IP指向备用DNS，包括：

管理设备将目标访问来源IP加入黑名单中；

管理设备接收DNS访问请求；

管理设备判断DNS访问请求对应的来源IP是否属于黑名单，若是，则管理设备将DNS访问请求路由至备用DNS。

上述方法还包括：

管理设备包括黑名单和白名单，黑名单指向备用DNS，白名单用于覆盖被服务的IP，白名单指向服务DNS，管理设备根据攻击类型确定防攻击策略包括：若攻击类型包括集中攻击和全网分散攻击，则管理设备确定启动白名单和黑名单；

管理设备根据防攻击策略将目标访问来源IP指向备用DNS，包括：

管理设备将目标访问来源IP从白名单中剔除，并加入黑名单中；

管理设备接收DNS访问请求；

管理设备判断DNS访问请求对应的来源IP是否属于白名单，若不属于白名单，则管理设备判断来源IP是否属于黑名单，若属于黑名单，则管理设备将DNS访问请求路由至备用DNS。

上述方法还包括：

QPS数据包括访问IP对应的QPS数据，域名对应的QPS数据和指定协议包对应的QPS数据。

本发明实施例中DNS的防护方法，包括：

服务域名解析服务器DNS接收管理设备发送的监控任务；服务DNS根据监控任务监控QPS数据；

服务DNS判断QPS数据是否超过阈值，若是，则服务DNS确定QPS数据中超过阈值的目标QPS数据，及与目标QPS数据对应的目标访问来源IP；

服务DNS根据目标QPS数据和目标访问来源IP生成监控数据；

服务DNS向管理设备发送监控数据，监控数据用于指示管理设备根据目标QPS数据确定防攻击策略；根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

上述方法还包括：

服务DNS接收管理设备发送的监控任务包括：

DNS周期性的接收管理设备发送的监控任务，监控任务中包括QPS数据的阈值；

DNS根据监控任务监控QPS数据，包括：

DNS根据监控任务周期性的监控QPS数据，QPS数据包括访问IP对应的QPS数据，域名对应的QPS数据和指定协议包对应的QPS数据，每种类型的QPS数据均具有对应的阈值。

本发明实施例中的管理设备，包括：

发送模块，设置为向服务DNS发送监控任务；

第一接收模块，设置为接收服务DNS发送的监控数据，监控数据包括目标QPS数据和目标QPS数据对应的目标访问来源IP，目标QPS数据是由服务DNS根据监控任务监控的QPS数据中大于阈值的数据；

策略确定模块，设置为根据第一接收模块接收的目标QPS数据确定防攻击策略；

处理模块，设置为根据策略确定模块确定的防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

本发明实施例中的域名解析服务器，包括：

接收模块，设置为接收管理设备发送的监控任务；

监控模块，设置为根据接收模块接收的监控任务监控QPS数据；

判断模块，设置为判断QPS数据是否超过阈值；

确定模块，设置为确定QPS数据中超过阈值的目标QPS数据，及与目标QPS数据对应的目标访问来源IP；生成模块，用于根据确定模块确定的目标QPS数据和目标访问来源IP生成监控数据；

发送模块，设置为向管理设备发送生成模块生成的监控数据，

监控数据用于指示管理设备根据目标QPS数据确定防攻击策略；根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

本发明实施例具有以下优点：

管理设备根据接收DNS反馈的监控数据，监控数据包括目标QPS数据和目标访问来源IP。其中，目标QPS数据为大于阈值的数据，那么，目标QPS数据对应的目标访问来源IP可能为攻击方IP。该管理设备根据目标QPS数据确定目标访问来源IP是否为攻击方IP，并进一步确定攻击类型，管理设备根据攻击类型确定出对应的防攻击策略，管理设备根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS，实现了目标访问来源IP攻击行为的隔离。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，本发明实施例的示意性实施例及其说明用于解释本发明实施例，并不构成对本发明实施例的不当限定。在附图中：

图1为本发明实施例中的一种DNS的防护方法的一个实施例示意图；

图2为本发明实施例中的一种DNS的防护方法的另一个实施例示意图；

图3为本发明实施例中的一种管理设备的一个实施例示意图；

图4为本发明实施例中的一种管理设备的一个实施例示意图；

图5为本发明实施例中的一种管理设备的另一个实施例示意图；

图6为本发明实施例中的一种管理设备的另一个实施例示意图；

图7为本发明实施例中的一种域名解析服务器的一个实施例示意图。

具体实施方式

现结合附图和具体实施方式对本发明实施例进一步说明。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明实施例提供了一种DNS的防护方法及相关设备，用于使目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS，实现了目标访问来源IP攻击行为的隔离。

本发明实施例提供了一种DNS的防护方法，该DNS的防护方法应用于一种防护系统，该防护系统包括服务DNS，管理设备和备用DNS，这里的服务DNS为正常进行域名解析的DNS。

管理设备向服务DNS发送监控任务，服务DNS根据监控任务监控QPS数据，确定出QPS数据中大于阈值的目标QPS数据，并确定出该目标QPS数据对应的目标访问来源IP，该目标访问来源IP可能为攻击方。然后，服务DNS向管理设备发送监控数据，该监控数据包括目标QPS数据和目标访问来源IP。

管理设备接收服务DNS发送的监控数据，管理设备根据目标QPS数据确 定防攻击策略，管理设备根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。该备用DNS可以理解为非服务的DNS，该备用DNS也可以理解为防攻击的DNS，管理设备将攻击流量切换至备用DNS保证服务DNS可以正常工作。

需要说明的是，该管理设备的功能可以由多个设备共同完成，也可以将多个设备的功能进行集成，由一个设备来完成，在实际应用中，管理设备的具体布设方式根据实际需求而定，本发明不限定是由一个集成的设备还是多个设备来执行管理设备的功能。本发明实施例中，该管理设备为一个集成设备为例进行说明。请参阅图1所示，本发明实施例中一种DNS的防护方法的一个实施例包括：

步骤101、管理设备向服务DNS发送监控任务。

管理设备根据服务DNSIP列表和人工配置的监控参数组合监控任务，该管理设备根据该服务DNSIP列表周期性的向各个服务DNS下发该监控任务。该服务DNSIP列表可以为该管理设备中存储的，也可以是实时获取的，具体的实现方式，本发明不限定。

该监控任务格式可以为“探测目标，探测监控项，探测方式，阀值”。该探测目标可以为探测每个来源IP访问的QPS数据，单域名访问的QPS数据，或者指定协议包的QPS数据。其中，指定协议包包括：UDP和TCP等。

该探测监控项包括：UDP、TCP、UDP53号端口、TCP53号端口等。监控参数包括UDP、TCP、UDP53号端口、TCP53号端口等监控项的探测方式、及每个监控参数所对应的阀值等。

步骤102、服务DNS根据该监控任务监控QPS数据。

服务DNS周期性的接收管理设备下发的监控任务，并根据监控任务对QPS数据进行监控。其中该QPS数据包括每个目标访问来源IP的QPS数据。可选的，目标QPS数据还可以包括服务DNS的QPS数据。目标访问来源IP的QPS数据为第一QPS数据，服务DNS的QPS数据为第二QPS数据。

步骤103、服务DNS判断该QPS数据是否大于阈值，若是，则执行步骤104。

服务DNS根据当前周期的探测数据和监控任务中的阈值，该第一QPS数据包括目标访问来源IP对应的QPS数据，单域名对应的QPS数据和指定协议 包对应的QPS数据。服务DNS判定各类型监控QPS数据是否大于阈值，每种类型的QPS数据具有对应的阈值，该服务DNS的QPS数据是否大于阈值的具体判断方式可以为：该服务DNS可以先分别对每种类型的QPS与其对应的阈值进行大小比较，然后通过每种类型的QPS数据的权重最后确定QPS数据是否大于阈值。

若该服务DNS判断该QPS数据小于阈值，则表明没有受到攻击方的攻击，该DNS继续等待下一个探测周期。

步骤104、服务DNS确定该QPS数据大于阈值的目标QPS数据，及该目标QPS数据对应的目标访问来源IP。

若QPS数据大于阈值，则该服务DNS确定该第一QPS数据大于阈值的目标QPS数据，及该目标QPS数据对应的目标访问来源IP，其中该目标访问来源IP为攻击方的来源IP。

该服务DNS根据可以判断服务DNS的第二QPS数据是否大于第一门限，若第二QPS数据大于第一门限则表明服务DNS受到攻击，而且有多个目标访问来源IP一起攻击服务DNS。

步骤105、服务DNS根据该目标QPS数据和该目标访问来源IP生成监控数据。

步骤106、服务DNS向该管理设备发送监控数据。

服务DNS周期性的向管理设备发送监控数据，该监控数据包括目标QPS数据和该目标访问来源IP。

步骤107、管理设备接收监控数据，该监控数据包括目标QPS数据和目标访问来源IP，管理设备根据该目标QPS数据确定防攻击策略。根据该防攻击策略将该目标访问来源IP指向备用DNS。

具体的，管理设备确定出备用DNS的IP，管理设备将该备用DNS的IP向目标访问来源IP发送。本发明实施例中，目标访问来源IP为攻击方的来源IP，管理设备将备用DNS的IP反馈给目标访问来源IP的客户端，以使得该攻击方的客户端进行攻击时，直接攻击该备用DNS，达到了将攻击流量分离，以保证正常的服务DNS不受影响。

请参阅图2所示，本发明实施例提供了一种DNS的防护方法的另一个优选 实施例包括：

管理设备包括黑名单和白名单，管理设备预先配置黑名单和白名单。该黑名单指向备用DNS，黑名单用于放置目标访问来源IP。该白名单用于覆盖被服务的IP，该白名单指向服务DNS。

步骤201至步骤206与图1对应的实施例中的步骤101至步骤106相同，此处不赘述。

步骤207、管理设备接收监控数据，并根据目标QPS数据和映射关系表确定攻击类型，该QPS数据与该攻击类型具有映射关系表。

具体的，管理设备可以从大数据平台获取离线运算数据，结合攻击参数组合成攻击类型库，攻击类型库通过单IP访问QPS数据、单域名访问QPS数据、指定协议包的QPS数据及其每种类型的QPS数据的阈值组合在一起，形成对攻击类型的映射关系表。该攻击类型包括集中攻击和全网分散攻击，其中，集中攻击是指攻击方攻击某一个区域的DNS。例如，攻击北京的DNS。全网分散攻击是指攻击方同时攻击多个DNS，该多个DNS分属于不同的区域。

管理设备周期性的接收服务DNS发送的最新监控数据，并将该监控数据保存到本地，管理设备将目标QPS数据与攻击类型库进行比对，通过目标QPS数据和映射关系表确定出攻击类型。

步骤208、该管理设备根据该攻击类型确定防攻击策略。第一种，若该攻击类型为集中攻击，或者，若只有少量的目标访问来源IP进行攻击，则管理设备启动该黑名单。第二种，若该攻击类型为全网分散攻击，或者，若大规模的目标访问来源IP进行攻击，则管理设备确定启动白名单，或者，启动白名单和黑名单。

步骤209、该管理设备根据该防攻击策略将该目标访问来源IP指向备用DNS。

第一种，该管理设备将该目标访问来源IP加入该黑名单中。以使得当该管理设备接收DNS访问请求时，该管理设备判断该DNS访问请求对应的来源IP是否属于该黑名单，若是，则该管理设备将该DNS访问请求路由至该备用DNS。

第二种，该管理设备将该目标访问来源IP从该白名单中剔除，并加入黑名单中。以使得当管理设备接收DNS访问请求时，该管理设备判断该DNS访问请求对应的来源IP是否属于该白名单，若不属于白名单，则该管理设备将该 DNS访问请求路由至该备用DNS。进一步的，还可以判断该来源IP是否属于黑名单，若属于黑名单，则该管理设备将该DNS访问请求路由至该备用DNS。本发明实施例中，通过判断攻击类型，确定启动黑名单和/或白名单，通过黑白名单的隔离功能，将目标访问来源IP的访问请求切换到备用DNS，该备用DNS可以理解为防攻击的DNS，正常访问的IP使用服务DNS提供服务，实现了目标访问来源IP攻击的自动隔离。

请参阅图3所示，本发明实施例中管理设备300的一个实施例包括：

发送模块310，设置为向服务DNS发送监控任务；

第一接收模块320，设置为接收服务DNS发送的监控数据，监控数据包括目标QPS数据和目标QPS数据对应的目标访问来源IP，目标QPS数据是由服务DNS根据监控任务监控的QPS数据中大于阈值的数据；

策略确定模块330，设置为根据第一接收模块320接收的目标QPS数据确定防攻击策略；

处理模块340，设置为根据策略确定模块330确定的防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

可选的，发送模块310，设置为将备用DNS的IP向目标访问来源IP发送。

请参阅图4所示，本发明实施例中管理设备400的另一个实施例包括：

发送模块410，设置为向服务DNS发送监控任务；

第一接收模块420，设置为接收服务DNS发送的监控数据，监控数据包括目标QPS数据和目标QPS数据对应的目标访问来源IP，目标QPS数据是由服务DNS根据监控任务监控QPS数据，确定QPS数据中大于阈值的数据；

策略确定模块430，设置为根据第一接收模块320接收的目标QPS数据确定防攻击策略；

处理模块440，设置为根据策略确定模块430确定的防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

发送模块410，设置为将处理模块440确定的备用DNS的IP向目标访问来源IP发送。

请参阅图5所示，在图3对应的实施例的基础上，本发明实施例中管理设备500的另一个实施例包括：

发送模块510、第一接收模块520、处理模块540的功能和图3中发送模块310、第一接收模块320、处理模块340的功能对应相同。

策略确定模块530包括：类型确定单元5301和策略确定单元5302。

类型确定单元5301，设置为根据接收模块接收的目标QPS数据和映射关系表确定攻击类型，QPS数据与攻击类型具有映射关系表。

策略确定单元5302，设置为根据类型确定单元5301确定的攻击类型确定防攻击策略。

请参阅图6所示，在图5对应的实施例的基础上，本发明实施例中管理设备600的另一个实施例中管理设备中包括黑名单，黑名单指向备用DNS。

此管理设备中发送模块610、第一接收模块620、处理模块640的功能和图3中发送模块310、第一接收模块320、处理模块340的功能对应相同。策略确定模块630的功能和图5的实施例中的策略确定模块530的功能对应相同。

策略确定单元6302，还设置为当类型确定单元6301确定攻击类型为集中攻击时，确定启动黑名单。

处理模块640，还设置为将接收模块接收的监控数据中的目标访问来源IP加入黑名单中。

第二接收模块660，设置为接收DNS访问请求。

判断模块650，设置为判断第二接收模块660接收的DNS访问请求对应的来源IP是否属于黑名单。

处理模块640，当判断模块650确定DNS访问请求对应的来源IP属于黑名单，将DNS访问请求路由至备用DNS。

可选的，管理设备包括黑名单和白名单，黑名单指向备用DNS，白名单用于覆盖被服务的IP，白名单指向服务DNS。

策略确定单元6302，还设置为当类型确定单元6301确定攻击类型包括集中攻击和全网分散攻击时，确定启动白名单和黑名单；

处理模块640，还设置为将目标访问来源IP从白名单中剔除，并加入黑名单中；

第二接收模块660，设置为接收DNS访问请求；

判断模块650，设置为判断接收模块接收的DNS访问请求对应的来源IP是 否属于白名单，若不属于白名单，则继续判断来源IP是否属于黑名单，

处理模块640，还设置为当判断模块650确定来源IP属于黑名单时，则所将DNS访问请求路由至备用DNS。

QPS数据包括访问IP对应的QPS数据，域名对应的QPS数据和指定协议包对应的QPS数据。

请参阅图7，本发明实施例提供了一种域名解析服务器的一个实施例包括：

接收模块710，设置为接收管理设备发送的监控任务。

监控模块720，设置为根据接收模块710接收的监控任务监控QPS数据。判断模块730，设置为判断QPS数据是否超过阈值。

确定模块740，设置为确定QPS数据中超过阈值的目标QPS数据，及与目标QPS数据对应的目标访问来源IP。

生成模块750，设置为根据确定模块740确定的目标QPS数据和目标访问来源IP生成监控数据。

发送模块760，设置为向管理设备发送生成模块750生成的监控数据，监控数据用于指示管理设备根据目标QPS数据确定防攻击策略；根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

可选的，接收模块710，还设置为周期性的接收管理设备发送的监控任务，监控任务中包括QPS数据的阈值。

监控模块720，还设置为周期性的监控QPS数据，QPS数据包括访问IP对应的QPS数据，域名对应的QPS数据和指定协议包对应的QPS数据，每种类型的QPS数据均具有对应的阈值。

本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，均应涵盖在权利要求范围当中。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或 步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

工业实用性

本发明实施例中管理设备根据目标QPS数据确定目标访问来源IP是否为攻击方IP，并进一步确定攻击类型，管理设备根据攻击类型确定出对应的防攻击策略，管理设备根据防攻击策略将目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS，实现了目标访问来源IP攻击行为的隔离。

Claims (10)

1. 一种DNS的防护方法，其特征在于，包括：

   管理设备向服务域名解析服务器DNS发送监控任务；所述管理设备接收所述服务DNS发送的监控数据，所述监控数据包括目标QPS数据和所述目标QPS数据对应的目标访问来源IP，所述目标QPS数据是由所述服务DNS根据所述监控任务监控的QPS数据中大于阈值的数据；

   所述管理设备根据所述目标QPS数据确定防攻击策略；所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。
2. 如权利要求1所述的防护方法，其中，所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS，包括：

   所述管理设备将所述备用DNS的IP向所述目标访问来源IP发送。
3. 如权利要求1所述的防护方法，其中，所述管理设备根据所述目标QPS数据确定防攻击策略，包括：

   所述管理设备根据所述目标QPS数据和映射关系表确定攻击类型，所述QPS数据与所述攻击类型具有映射关系表；所述管理设备根据所述攻击类型确定防攻击策略。
4. 如权利要求3所述的DNS的防护方法，其中，所述管理设备中包括黑名单，所述黑名单指向备用DNS，所述管理设备根据所述攻击类型确定防攻击策略包括：

   若所述攻击类型为集中攻击，则所述管理设备确定启动所述黑名单；

   所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS，包括：

   所述管理设备将所述目标访问来源IP加入所述黑名单中；

   所述管理设备接收DNS访问请求；

   所述管理设备判断所述DNS访问请求对应的来源IP是否属于所述黑名单，若是，则所述管理设备将所述DNS访问请求路由至所述备用DNS。
5. 如权利要求3所述的DNS的防护方法，其中，所述管理设备包括黑名单和白名单，所述黑名单指向备用DNS，所述白名单用于覆盖所述被服务的IP， 所述白名单指向服务DNS，所述管理设备根据所述攻击类型确定防攻击策略包括：若所述攻击类型包括集中攻击和全网分散攻击，则所述管理设备确定启动所述白名单和所述黑名单；

   所述管理设备根据所述防攻击策略将所述目标访问来源IP指向备用DNS，包括：

   所述管理设备将所述目标访问来源IP从所述白名单中剔除，并加入黑名单中；

   所述管理设备接收DNS访问请求；

   所述管理设备判断所述DNS访问请求对应的来源IP是否属于所述白名单，若不属于白名单，则所述管理设备判断所述来源IP是否属于黑名单，若属于黑名单，则所述管理设备将所述DNS访问请求路由至所述备用DNS。
6. 如权利要求1至5任一项所述的DNS的防护方法，其中，所述QPS数据包括访问IP对应的QPS数据，域名对应的QPS数据和指定协议包对应的QPS数据。
7. 一种DNS的防护方法，包括：

   服务域名解析服务器DNS接收管理设备发送的监控任务；所述服务DNS根据所述监控任务监控QPS数据；

   所述服务DNS判断所述QPS数据是否超过阈值，若是，则所述服务DNS确定所述QPS数据中超过阈值的目标QPS数据，及与所述目标QPS数据对应的目标访问来源IP；

   所述服务DNS根据所述目标QPS数据和所述目标访问来源IP生成监控数据；

   所述服务DNS向所述管理设备发送所述监控数据，所述监控数据用于指示所述管理设备根据所述目标QPS数据确定防攻击策略；根据所述防攻击策略将所述目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。
8. 如权利要求7所述的DNS的防护方法，其中，所述服务DNS接收管理设备发送的监控任务包括：

   所述DNS周期性的接收管理设备发送的监控任务，所述监控任务中包括 QPS数据的阈值；

   所述DNS根据所述监控任务监控QPS数据，包括：

   所述DNS根据所述监控任务周期性的监控所述QPS数据，所述QPS数据包括访问IP对应的QPS数据，域名对应的QPS数据和指定协议包对应的QPS数据，每种类型的QPS数据均具有对应的阈值。
9. 一种管理设备，包括：

   发送模块，设置为向服务DNS发送监控任务；

   第一接收模块，设置为接收所述服务DNS发送的监控数据，所述监控数据包括目标QPS数据和所述目标QPS数据对应的目标访问来源IP，所述目标QPS数据是由所述服务DNS根据所述监控任务监控的QPS数据中大于阈值的数据；

   策略确定模块，设置为根据所述第一接收模块接收的所述目标QPS数据确定防攻击策略；

   处理模块，设置为根据所述策略确定模块确定的所述防攻击策略将所述目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。
10. 一种域名解析服务器，包括：

    接收模块，设置为接收管理设备发送的监控任务；

    监控模块，设置为根据所述接收模块接收的所述监控任务监控QPS数据；

    判断模块，设置为判断所述QPS数据是否超过阈值；

    确定模块，设置为确定所述QPS数据中超过阈值的目标QPS数据，及与所述目标QPS数据对应的目标访问来源IP；生成模块，用于根据所述确定模块确定的所述目标QPS数据和所述目标访问来源IP生成监控数据；

    发送模块，设置为向所述管理设备发送所述生成模块生成的所述监控数据，

    所述监控数据用于指示所述管理设备根据所述目标QPS数据确定防攻击策略；根据所述防攻击策略将所述目标访问来源IP指向备用DNS，以引导目标访问来源IP的攻击流量切换至备用DNS。

Images