一种基于域名解析系统的域名部署方法及装置

(1)中9华人共和国国家知识民权局(产1)发2明利专明书说10()请公布号申CN11134502A(143申)公请布日022.060.912()1请号申CN0221010556702.2()2申日请022.0030.971)(申人请宿科技网份有股限公司址200地003上海市徐区汇斜土路2899号启光文广化场A幢5楼(72)明人发梁素琴单江陈(74)专代利机理构北京同达信知识恒产权代有限公司理代人理磊石51)(Itn.CI(54)明名称发一种基于域解析系统的名名部署方法域装及置(5)7要摘发本明开了公一基于域种解名系统析的域名部方法及装置，署于用解现决有术技中域名署方部资法利源率用的低问题，方法括包为域：名解系统中析任的域一部名署有域私解析服名务，器并为两或两个个上的以名域署部共域用名解服务析。通过为域名器部私署域有名析服解器务权利要说明求说明书幅书图共有域和名解服析务来保器域名证解析的可用，性以无需可为每域个名配置个私多有域名析解务器，降低服源资用量占提，高资源的用率；且，即利域名使到攻击受导该致名域的共有域解名析务器上服域名的各域解析名服均不务可，由于用部署有每域名的个私域有名析服解务，其器它名域还能过通有私域名析服务解进器行域名解，因此防析攻的效果击也好。较律状法态律状法态公告法日状律态息信022-02218-授权2200-7-104实审质查生效的202-0061-公开9法律状态授实质权审查的生公开效权利求说要书明.1一种于域基名解系统的析名域部方署法,特征在其于所,述方法包括为:所域述名解系析中统任一域名部署所的述名对域的私有域应名析服务解器;所述为名域析系解统中的个两或两个以的域名上署部共域用名析解务服器其中;,域为部名署域解析服务名器包括:将,所述域的域名授名信权授权息给所述名域解服务析。2.根器据利要权求1述所的法方其,征在特,于所述名域解系统中还析设有置心中管理备和至少一设个攻防服击务器所;述法还包方括:所述中管心理备接设第收域名解析一务器上报的服攻识击信息;别述所中管理心设若备根所述攻据击别信识确息定述第一所域名解服务析器攻击被,则将所第一域名述析解务服器上域名的授权信变息给更述所少至一个攻防击服务器3。根据权利.要2求所述的法方,其特征在于,所至少一个述防攻击务服器括包第一防攻击服务和器预设的有域名解共析务器服所述中心;管理备将所述设第一域名析解务器上服域的名权信息授更给所述至少一个变防攻服务器击包,括:所述心管理设中备确若定所述一第名解析服务域为共用域名器析服解器务则,所将第述一域名析解服器务被攻击 上域名应的域名对权授信息变更给所第一防攻击述服器,同务将所述第时一名解析域服器务上其域名它应的域对名权信息变授给所述预设的共用更名解析域务服器4。.根权据要求3所利述的法方其,征在特于所述至少,个一防击攻服器务包括还第二防攻击务服器;所述方还法包括:述所心管理中设确备所定述被攻域击的名有域私名解服析器;所务述心中理设管将所述私有域备解名服务器析上攻被击名对应域域名的授信息权变更给所述二防攻击第服器务。5根.权据利要求2至4中任一所述的项法方,其征在特,所于述少至个一防击攻务器服包括一防攻击服第器务所;述心中管设备将理述第一所域解析名务器服上域名授的信息权更给变所述至一少个防击服务攻,器包括:所述心中理管备设若定确所第述域一解名析服器为所务被述击攻名域私有域名解的析服器,则务将所述第一名域解析服器上被务攻击名对应的域域授权名息信变更给所述第防一击攻服务器。6.据根利要权5求述的所法,方特征在于其所述,少至一个防击攻服器务还包第括二防攻服务器和预设的共击有域名解服析务;所器述法方包还:括所述心中管理备确定所述设被击域攻的名有共域名析解服器务;所述中心理设备将管述共所有域名析服解器务上被击域名攻应的对名域授权息变信给更述所二防攻第服务击器,时将所同述有域名共析服务解器上其它名对域应的域授权信名变息给所述更设的共有域预名析解务器服。7.根据权要利求2至中4任项一述所方的,法其征在于,所述中特心管设理将备述所第域名解析服务器一上的域授名信息权更给所述至少一个变攻防击务器之服,后还括包:所中心管述设备理若定所述确一域名第析解务器上服攻击解除的则,将述防所攻击服务上的器名域权授信息变更所述第回一名域解服务器析8.。根权利要据求24至中任一项所的述法方,特其征在,于所攻击识别述信息由述第所域一解析名服务器过通如方下式生成:获取述所第一域名析服务器上各解域名个在前当段内时访问的数次根据所,述问访次,确数所定述一第名域解析务器上服被攻击的域,根据名所述被攻击名域标识生的成所攻击识述别信息;者,所述攻击识或信息别包所述括一域第解析服名器务上各个域名的当在前段时内访问次的,所数攻述击别识信息于用所述心中理管备设确定所第述一域解析服名器是否被攻务击9.。据根利权要求8所述的方法,其征特在于所,第一域述解析服务器通过如下名式确定所述方第域一解析名服器务上被攻的域名:击对于针所第述域名解析服务器一上的一域名,根据任述域所在名前当段时的 访问数次上和时一的访问段数确次定访问次数量,增若述所问次访数增量于第一预大阈设值则确,所述定名域为被攻击域名,所述若访问次数增量小于等于或所述一第预阈设值,则确定述域名不为所被攻击域。名10.据权根要求利8所述的方法其特征在于,所述第,域一解名服析务器过如通方式下确定所述第域名解一服务器析上的攻击域被,包括名:统计所述一域名解第析务服器的上个各域名在前时当的段访问总数次;所若述访问总次大数第二预设于阈,则确值定述所一域名解第析服务器攻被,击据根述各所个域名访问次的数定确攻被击名;域若所述访总问数次于小等或于所第述二预阈设值,则定确述所第域一名析服解务器未攻击,被所各述域个中名不在被攻存击域。名11.种一于基名解域析系的域名统部署置,装特其在于征所,述装置包:括有域名解析部署模块,用于为所述域私名解析系中的统一域名部署所任域述对名的应有私名解域服析器务;有域共名解部署析模,用块为所于域名解析述统系的中两或两个个以上域名部署的共用域名解析务服;器其中,所私述有名解析域部署块或所述共模有名解析域署模块通部如下方过式域将部署名域名给析解服器:将所务域述的域名名权授息信授给权所述域解名服析务器12.一。种算设计,备特其在征,于括至少包一个理处以器及少一个至存储器其中,,所存储器述存储计有算程序,当机述所程被序所处理器述行时,执得所述处理器执使行权利求要~101一任权利求所要述的方法。13.种计一机算读可储存质,介其征在特,于存其有可由储计设备算执的计算机程序,行所述程序当在所计述设备上算行时,运使所得计算述设执行备利要权求11~0一任利要求所述权方法。的<>p技领域术说明书发本涉及网明络安全术技领域尤,涉其一及种于域基名析解系的统名域部方法及署置。装背技景术在网安全技络术域领中,了为提域名高解析的可用,通常会性为一个名域时配同置多独个的有名域析解务器,服如,此该当域对名应某一的域名析服务器解攻击导致被域名解该析服务可不用时,地本名服务域还器可以其它备向的域用名析服务器解送解析请求,发由其它用备域名的析解服器提供务解服析。务而然,虽上然方式述能够高域提名防攻的效果,但击是当域没名受到攻击时,该域名有对的多应域个名解服析务中器存在较多的名域解析务器服于处工作状态,从不导而致名域解的资析利用源较率低,资源浪费较为重严。综上,目前需亟种基于域一解名析系统的域部名方署,法用以决现有技术中的域解名部署法所存在方资源的用利率较低的术技问。题发内明 容发明本提一种供基域于解名析统的域系名部署法及方装置用以解,现决技术有中的域部署名方所法在的存源利用率较资的低术技题问。第一面方本发,明提的供一种基域于解析系统名的域部署方法名,所方法包括述:为所述名解域系析中统任的域一部名所述署域对应的私名域有解析名服器,务以及为所述域名析系解中的两统或两个个以的域名上部共署域名用解析服器务;中,其为名域署部域名析解务服,器括包:将所述名的域域授权名息授权给信所述域名析解务器。服发明中本通过为域,部署私有名名域析解务服和器共域名有析解务器服保来证名域析解的可用性,可无需以为每个域配置名多私有个域解析服务器,从而名能够低降源占用量,提高资资源的利用率;且效本,发明不仅每为域个名部署独有私有域名的析解服务,器还两为个或个以两的域上名部共有署域解析名服器,务如,即此使一域某名在短间时遭受到内量攻击大导致域该名共有域的名解析服器上务各个域的域名名解析务服均可用,由于部署有每不个名的私域域名解析服务器有因此其,它域还名以通可过有私域解析名服器进行务域名析服务,解而某个从名域的攻不会击影响其域它名的解析效,果防击攻效较好。果在种一可的能实现式中,所方域述解名析统系还中置有设中心管设备理至和少一防攻个击服器;务述所方还包括法所述:中心管设理接备第一收域名解服务析器报上的击识攻信别,若息据根述攻所击别识息确定所述第一信名域析解服器被攻务,击则将述所第一域解名析务服上器域的名权信息变授更所述至少一个防给攻击服器。务在种该现方式实,中过通一域名解第服务器析动自上报击识攻别信息,并基于攻识别击息信第一对名解域析服务进行攻击器预判,够及时识能攻击别且在,判第一预名域解析服务器攻被时,击通过变第一域更解析名服务器上的域授权信息给防攻击服名务,能器在快速隔离够被击攻的一第名域解服析器务同的时由,防击攻服器继务续供提名域解析服务,而从提高名域解析服务可用性。在一的可种的实现方式能,所述中少至一个攻防服务器击包括第防攻击服务器和预一设的共域名解析服务有器;述中所心管理备设将所述第一名解域服析器务上域的名授权息信更给所变至述少一防攻个击务服,包器:所述括心中管理设若备定确述所第一名解析域务服器为共域名解析用服器,务将所述则一第名解析域务服上被器攻击名域应对的名授权信息域变更给所第述一攻击服务防器,同时将所第一域名述解析服器上其务它域名应对的域授名信息变更权所述给设的共用预域解析服名务。在上器 述实现方中式在共用,域名解服析务器上的某域一名被攻时,击利本地用dns服务器会试的机制,使其重域名它的私域有名服务器能够继续提解析供保证了各,域个的名可用性且,通;同时变更未被攻过域名击域名授的权息信能够保证,各域名的解个析效。率一在种能可实的方式中现,所述至少一防攻个服击器还包务第二防括攻击务服器所;述法还包方括所:述中心理管备确设定述被所击攻域的私名域名解析服有器;所述中务管理心备设所述私将有域名解服务析器上被攻域名对击的应域授名权息信变给所述更第二攻击服防务器。在上实述现方中,在式共用名域解服务器上的析一某域被攻名击时,过同时通变未受攻击更私有域的解析名务服上器的名域授信权息能够解,决攻击同时者对域名该发起大量击攻导而致的私有域名析解务服也被器攻击的题问保证,私域名解有服析务器上名域可的用性,提高防攻的击能力。在种可一的能实现方中式,述至少一所个防攻击服器包务括一防攻第击务服器;所述中管心设备将所述第一域名理解析务器上服域的授名信权息更变所给至少述个防一击服务攻器包括:,述所心中理管备若确设定述第一所名解域析务服为器述被攻所击名的域私有域名析服解器务,则所将述一域名解第服务析上被攻击器域对应名域的授权名息信变给所更述第防攻击服一器。务在上实现方述式,中过通置设一第攻击防务服器接来收被击攻名的域域名授权息信,而为不每个名设置备用域的名解析域务服器,可减以少名解域析务器服部的数署,量高提源的利用资效率。一种可在的能现实式中方所,至少一述个攻击防服务器包括还二第防攻击服器和预设的共务有域名析解服务器所;中述心理设管还确定所备被攻击域名的述有共域解析服名务;所器中述心管设理备将所共述有名域解服务器上析被攻击域名应的对域授权信息变名更给述第所防二攻服击器,务时同所述将共有域解析服名务器其它域上名应对的名域权授信息变更所给述设的预共域名解有析务器。在上述实服方现中,当式某一名的域私域有解析名务器被服击攻,通过同时变时该域名更共有域的名解析务服器的全部上名域权信授,息能够决攻解击者同对该域名时发大起攻击而量致导共的域有名解服务析器同时攻击被问题的提,变更已前被击的域攻名在的全所部名域析服解务上的域器名解析信,保息各证个域的名可用性提高防攻击的能力。在一种可,能的实方现式,中所中述管理心备将所述设一第域名析解服务上的器名授域信息权变更所述给至一少个防攻服务击器之后若,定确所述一第名域解析服器务的攻上击解,除 则将所防述击服攻器务上的域名权授息变更回所述第信域名一解析务服器。在述实现方上式,中通在过定确一域第解名服析务上器的攻击除解迁回原后的域有名授权息,信够能避域名授免权息长信期用占攻防服击务,降低器系性统能耗损,高资提源的用效利。率在种可一能实现的方中式所述攻击,识别信息所由第述一名解域服析器通务如下过式生成方获:所述取第一域解名析务服上各个域名器当前在时段内的问次访数根据所述,问次数访,定所确第述域一名解析务服器上的攻击域名,根据所被述攻击域被名的标识成生所述击攻别识息信或者;,述攻所击别信识息括所述第包域一解名析服务器上的各个名在当前域段内的访问次数,时述攻所击别识息用信于所中心管述理备设定所确第一述域名析解务器服是否被击攻。上在述现实方中式,击攻判预程可过由第一以名解析服域器来务执行也,以可中由管理心设来执备行用户,可根以实据际景场要设置需对的执行方,从应而灵活性较好且;,通过使第用域一名解析务器服行攻执判断过击程,不使用中心而管设理进备行击判断攻能,降低中心够理管备设的工压作,力并将攻判击断过和域程变名更程过进行解耦,以避攻击免断判程过对域名更过程变的正常执行生产扰,干提域高名变更的确准性和及性时。在种可能的一现实方式中所述第一域名,解析服务器过如通方下式确定述所第一域解名服务析器的被上击域攻名针对:所于述第域名解一服析务器上的任一域,名据根述域名所在前时段当访问的数和次上时段的一问次数访确定访问数次增,量若所述问访数增次量于第大一设阈值预则确定,述域所名被攻为击名,域若述所访问次增数量小于或于等述所一第设阈预,则确值定所述域不名被攻击为域名在。上实现述方式中,通过域名为基以本单元行进击判攻,能够断判断第出域名解析一服器上务每的个域名否是攻被击提,攻击判高结断果的确准性和全性面在。一种可的实能现方式中,述第一所域解析服名务器过通下如方式确所定述第一域名解服务器析的上被攻域击名包括,统计所述第:域一名解析服务上器的个各域在名前当时的访段问总数次;所述若问访总次数于第二大预设阈值,确则定述所一第名解域服务析器攻击被根据,所述各个名域的问次数访定确被攻域名击若;所述访总问次小于数等或于所第述二预阈值,设确定则述第所一域名解析务服器未被击攻,述所各域名个不存中被攻在域击名。在上实述方现中,通过以总式问访数为单元次对先一第域解析进行攻名击判,断在并定第一域名确析服解器被攻击务时对再别被识攻击域名,的能够第 在一域名析服务器解未攻被击避时识免各个别域名,节省必不要操的,作降资低损耗,提源高攻击断判的效率。第二面,方本明提供发一种的于基域名解系统的析名域署部置,装述装所包括置私有:域解名析部模署,用于块为所述域解名系析统中任一域名的署部所域述对应名的私域名解析有服务器共有域;解析名部模块,署用为于所域述解名析系统中两个的或两以个上的域名署共部用名域析服解务器;其,中所私有述名解析部域模块或所署述有共名域析解部模署块过如下方式通将域名署部域名解给析服务:将器述域所名域名的权授息信权给所述域授名解析务器。服在种可能一实的方现中式所述域名解,系析统中还置有设心中管设备理至和一个少防攻服击器;所述务心中理管设备包括收发模块,用于接收第:一域名解服析务上器的报击识攻信息别;域名授权变更模块用,于若根据述攻所击别信息识确定所述第一域名解析服器被务攻击,则所将第述一名域解析服器上务的名域授信息变更给权述至少一个所防攻服击器。务在种可一的能实现式中方,述所至一个防攻击服少器包务第一防括击攻务服和预器设共有的名域析服解器;务述所名授域变更模块具权体于用若确定所述:第域一名解析服务器为共用域解名服务析,器将所述第则域名解析服一务上器攻击被域名应对域的授名权信变更给所息述第防一攻服务器,击同将所时第一述名解域析务服上其它器域名应的域对授权信名息更变所给述设预共用域的名解析服务。器在一种能的实现可方中式所,至述一个少攻击防务服器还包第括防攻二服务击器所;域述授名变权模更还用块:于确定所被述攻域名击私的域名有解析服务器,将所述私有域名解服务析上器攻被域名击应的域对授权信名变息更给所述第二防攻击务服器在一种。可的能实方式现,中述至少一个防所击攻服器包务括第防一攻击服器;所务述名域授变更权模块体用具:于若确定所第述域一解析服名务器所述被为击攻域名的有私域解析服名务器,则所述第将域名解析服一器上务攻被击名对域应的名域权授息变信更所述第一给攻防服击务器。在一可能种实的现式中方所,述少一至个攻防击务服还包器第二防括击服攻器务和设预的共域名解有服务器;所析域述授名变更权块还模于用确:所述定被攻击名域的共有名解析域服器,将务述共所域有解名服务析器上攻击域被对应的域名授权名信息更给所述变第二攻防击服器,同务时将所共有述名域解析服器务其它域名上应对的域授名信息权变更所给预设述的共有名域解服务器。在析种一可的实现能方式中,述所名授域变权更模将 块所述第域名一析解务服器的上域名权授息信更给变一防第攻服务击之后器,还于用若:定确述第所一域解名服务析器的攻击解除,则上所将述攻防击务服上的器域名授信息权更回所变述一域第解析服名务器。在一种可能的现方式实中所述,击识攻信息别所述第一域名解析服由器生成,所务述一域第解名析服器包务:括取模获块用于,取所获述第域名一析服务器上解各个名域在当前段时的访内次数问;确定模块,于根用所述据访问次,数定所确述第一名解析服务器上的被攻击域名域;生模成,块于根据用述被攻击域名所标识的成所述攻生击识信别息;或者所,述攻击别识息信包所括第一述名域析服解务上器各个域的名在前当段时内访的次数;问述中心管理所设还包备括击攻识模别块所述,击攻别识块模于用:根据述所攻识别击息确定所信第一述域名析服解器是否务被攻。在一击种可能的现方实式中所,确定述块具模体用:于针于对述所第一名解析服域务上的器任一域,根据所述域名在当名时前的段问次访数上和一段时的问访次确数定访问数增量次,所若述问访次增数量大第于一设阈预,值则定确述所域为名攻击域被名若所,访问述次数增小量于或等所于第述预设一值,阈则定所确述域不为被名击攻域。名在种一可能的实方现中,式述确定模块具所用于:体计所述第一域统解析名务服器上的各个名在当前域段时的问访次数总若,所访述总次数问于第二大设阈预值则,定所确述第一域名析服务解器被击,根据攻所述个域名的各访次问数定被确击攻域;名所若述问总访数次小于等或所于述第预设二值,则阈定所述第一域确解名服析器务被攻击,未所述个域名中各不在存攻击域被。名第三面方,发本实施例明提的一种供算计备设包括至少一个处理,以器至及少一个存储器,其中,述存所储器存有储计算程序机当所,程序述所述被理处执行时器使得,述处理所器行执上述第一方面意所述的防任击方攻。法第方四面,发本实施明提例供的一计种算可读存机介储,质其存有可由储计设备算执行计算机的程序,当所程序述所在计述算设备运上时行使得所,计述设算备行执上述一第方面任所述的意攻击方防法本发。的明这实现些式或方他其实方式在现以下实施的例描中述会加简更明懂。易图说附明了更清楚地为明说本发实施明例的技中术案,方面将下对实例描述施所需要使中的用图附作要简绍,显介而易见,下面地述描的附图中仅仅是发明的本些实一例施对,于领本域的通普术人员来讲技在不付,出造性创劳性的动提下前,可还根据这以附些获图得他的其附。图1图为本明发实施提例供的一 种域名解系析统部的架署构意图;示图2为本明实施发提供的一种例名域解系统的系统析架示意图;图构3本为发明实例提供的一施种攻防击法对方应的流示意程;图图4为本发明实施提例的一供种域解析的流程示意图;名图为5发明实施例本提的一供防种击攻法方应的整对流体程示图意;图6为本明实发施提例的供种一攻防击法方对应交互的流程意图示图7为;本发实施明例提的供一种于域基解析名统系的署装部置的结构意图示;图8为本发明施例实提的供种一心管理设中的备构结示图;意图9为发明本实施例提供的种一域名解服析务的器结示意图;构图10为本发明施实提例供的一种算计设备结的构示意图。具体实方式为了施本发明的目使的、技术案和优方更点清楚,下加将面合结图附本发明对作一进地详步描细,显述,所描述然实的施例仅仅是本发明一分部实施例,而是全部不的施实例。基于发明本的实中施,本例域领通技普人术在员没有出创造做性动前提劳所下获得的有所其它施例实,属于本发都明保的范围护。图1为发明实施本例提供一种的域解析系统的名署架部示意构,如图图1所,在示部署,可时为域以名析系解中统每个域的名部对应的署有域私名析解务器服还可,以域名为解析系中的统个两或个以两上的域名部署对应的共域名解有析服器务以保,每证域个名都部署对应有私有的名域析解服务和共有器域名解析服器务其中,为域。名部署名解域析务服,具器可体以是:将该域名的指名授权信息配域置给域解析服名务器如此,针。对域名于析系解中的统任域名来一说,域该的域名授权名信息以可同时配被置给域该对应的名共域有解析名服器务该域和名应的对有域私名解服析务。举例器说来如,图所1,示域解名析务服111为器名域etst1私有的名解域析服务器,名域解析服器1务2为1域名tse2t的私域有名解析服器,务名解域服析务器13为域名1tet3s的私有域解析名服器;务域名析解服器务112为域名tets和1名域est2t的共有域名析服解器,务域解析名服务器122为名域tet2s和名域tets的3共有域名析服解务。器如,域名注此册点节110可以域将名tet1的s域授名信权同息配置给时私有名解域析务服器11和共有1名解域服务析器12,1将域te名t2s的域授名权信息时同置给私有域配名解服务器析12、共有域1名析服务器12解1和共有名域析服务解器12,2将域名tse3的域名t授权信息时配同给私有域置名解服务析器11和3共域有名解服析务1器22。现有技术通常每个域为名配置多个私域名有解析务器,服以高提名域对的防攻击应力,而本能明发实施例不为每仅个域名 部署有有独的私有域解名服析器,务为还个两两或个上以域名的部署共域名解析服有务,如此,器即某使一名域在短间时内遭到受大量攻击致该导名的域共域有解析服名务上器的个域各的名名域解服析务不均用可,由部于署有个每域名的私域名解析有服器,务此其它域因名还以通可私过域有名解析服器务行域名解进析务服从而某个,名的攻击不会影响其它域域名防攻,的效击果较好;且,本申请通过为域部署名私域名解有服析务和共有器名域析解服务器保来证域名解析可的性用,无而需每个域名服为务配置器个多私域名有析解务器服因此,比相于现技有术说,本来申在保请证攻击效防果的同,还可时降低以源资占量,用提高资的利源效率用。需说明要是,的1图仅一是示种例的性说,并明构成对不方本的限案定具体,实中,每施个名也域可以时同署部有个多有域名私析解服器务且,各个域名也可同时以署有部多共有域名解析服个务器,具不作限定体。基于图1所示的部署架意构,图2本为发实明施提供的一种域例名解系统析的系架构统示意,图如图所示2,系统该中可以还置设有心中管设备2理00和少一个至防击服务攻器比如防攻击服,务器131。其中中心管理设,备200以与任一可名解域析服器务接连,可还与以攻击服务器防连,比如可接通以过有线式方连接也,以可通过无方线连式接,具不作限体定。本明实发例施,中攻防服击务器以为私可域有解名服务器析但,配置未应的域名,对后续够根据能名域册节注点10的指令1配置一个域名对应的域授名信息;权者,或攻击服务防也器以可预为的设有共域名解析服器务也,配置对应未的各域个,名后续够能根据域名注节册11点0的指令同时置配多个域名对的域应名权授信息具体不,作限。作为定种一示,例个各域解析名务服和器防攻击务器服还可以与户客端00连接,当3客户端300在存域名解析求需,客时端户300以可对向的应名解域服析器发送域务名解析请求并,在名解析请求中携带待域析的域解名相。地应,域解名析服器务收接域到解名析请求后,以可询查内部储的域存名国际互联协与(议InernettProtoocl,PI地)址对应的系关,到得解析待的名域应的对IP址,并发送给客户端3地0,以便0于客户300端使用该IP址地问对应的访务服。需器说要的是明,图所示的中2管心设理备200和攻防服务器击仅为种一示性例的说,明并不成构对方本案限定的;体具实中施中心,理管设备002以可为一单中的心管理服务器也,可为以按集群部署的多照中心个管理务器,服还可以为心管中服理务中的器程,相应进,地防击服务器攻以可为防击攻服务单器机式形存在,也 可以以攻防服击器务集群的形存式,具体不作限定在基。于图2所示意的统架构,系图3本为明发施例实供提一的种攻防击方法应对流程的意图示该方,法用于适心中管设备理20,0该法方括包:步30骤1接,收一第域解析服名务器报的上击攻识别息。信处,此第域一解析服务名器可以为心中理管设2备00连接任一的域解析服名器务比,如可以私为有名域析服务器解111、私有域解析名服器112务或私有域解析名务服器11,3也可以共有域名解析服务为器121或共有域解名析服器务122具体,不限定作。具体实中,攻击施别识息信可以存如下两在种可:可能能:攻击识别信息用一指示于第域一解析名服务是否被器攻。击发明本施例实中,一第名解域析服务中器可部以署攻有击别识组,件攻识击组别嵌件在第一套名解析服域器中务,能实够探时第测域名解一析务器服上域名的解情析;况,且击识别攻组还可以使用设件定攻击规则对名域解情析况进分行,析以确定一域第名解服务器析是否攻击。若确被定一第名域解服务器被析击攻则可以生,攻成识击别息信上并报给中管心理设2备00,中其,攻击别信息识中带有携攻被域击名的标,若识确定第一域解名服务析器被未攻击,则以可作处理不。在一个例中,设示攻定击规则括单域名的请包求增量小于等于或一第预设阈。值具体实中施针对,于一域任,攻名击别组识可件以先计第一统名域解析服务器在当时前段内收到的接对域名进该解析行访问的请的数量求然后再,根据该数与量上时一段数的计算量得该域到名请求增的,若请量增量求大第一于预阈值设,可则以确定一第域名解析务服中器该的名已域攻击,被若请求增小量或等于于第一设阈预值则可,以确定第一名解析服域务器中该的名未域攻击。被在示该中,通过以例域为基名单本元进行击攻断判,够能断出第判域一名解服析务器的上个域每名是否攻击被,提高攻击断结果判的确性和准全面。性在另一个例示中,设定击规攻还包括则域各名的求请总量小数或等于第二于设预阈值,具实体施,中攻识别击件组可先统以计第域一名析服解器务在当前段内接时收到的对个各域进名解行的访问析求的请请总数求,然量后比较请总求数与第二量设预阈,若值求请总数量于大二第设阈预,值则可确以定第域名解一服务析已被器攻击,如,此可以再于基各域个的名问请访数量求各个对名域进行攻击识操别;作请求总数量若于小等于第二或设预值阈,可以确定第则一域解名服析务未被攻击,器此可因不对各以个名域行攻进击识操作。别在示例该中通过,以访问总次数单元为先对第域名解析一进攻击判断行并,确 在定第一域名解析服务器被攻击再时对别识攻被的击名,域能在第一够名域析解务器服未攻被时击避识别免各个域名节,省不要的必作操降,资源损耗低提,攻击高断判效的。率又在个示例中一设,定攻规击则还括单域包的名请求量小于数等或于第三设阈预值,体具施实中针,对任于一名域,攻识别组击件以先统计第可域名解一析务器在当前服时段接内收的对到域名该行进析解访的问请的求请求数,然量比较请后数求与第三预设量阈,值若请求数大于量三预设第阈值则,可以确定第域一解名服务析器的中该名域被已攻击若请求数,量于或小等于三第设阈预值,可则以定第确一域解析名务服中器的域名该未攻击。被在述示例上,中个各设预值(阈第即预一阈值、第二设预设阈和第三值预阈值设可)以本由领域术人员技据根验经进设行,也置以由可用根户实际据务需要业进设置,具行体不限作定。可选,各个预地设值可以基于阈一第域名解服析器的服务务力能进设置,行如比可以设置第一域名为析服解务的器服能力务上限的值也,可设置为以小略于一第名解域服析务的器务能力的上限值服,提以防误报高的能力,提高击判断攻的准确性。以第二预设值为例阈,于第一域由名析解服器务的服能务可力以于基一第域解析名务服在历史器段时接收到的请求内数总来量定确因,此第二预设阈可以设值置略小于为历时史段接收内的最到请求大总数。需量说明要的,是发明本实例施,设定攻中规则击以包括可上述任一种或意任多意;且种,攻击识别件组可还以持支户用根据际实务业需求修已有的规改,则者或定义新的自规则,不断更新设以攻定规则,击高提击检攻测准的确性。具体施中,实若定第确域名一解析服务被器攻击,则第一名域析解务服器可还从部以署的各域个中确名出定攻被击名,域后根然据攻被域名击成攻生击识别信。其息,中击攻识信息别可中携带以第一域有解析名服务的标识器和被击攻名域的识。通标过攻击识别信息中携带在被击域攻名标的识能,够便于中管理心设备确定出第一名解域析服器中务的被击域攻名提,高各对域个名域名的授权信息进分行配准确性的和灵活。性为作个一示,例攻识别击信息中除了携有被攻击带域的名识之外标,可还携带以请有求总数量/和或攻击域被名的求增请。如量,当中此心理设管备200收接攻到识击别息信,还后可以先根据求总请数和量/被攻击域名的请求或量增被攻击对域名行进二次击攻断,以判避在免一域第名解服务器析断失判误情的下对况受未攻击域名的进行离隔,提防攻击的准高性。确在该可能种式中,方过使通域名解用析服务器 执行攻击断判程过,不而使用心中管设理备进行攻判断,能击降低够心中理管备的工作压设力,攻将判断过程击域名和更过程进变解行耦以,避免攻击断过判程对域变名更过程的正常执产行干扰,生高域名提变更准确的和性时性。及可二:能击攻别信识用于指示息第域名解一服务器析在当时前内对段各域名个解的情况析。发本实明施例,中第域一名析解服器务报上攻的击别识信息可以包中括一域名解第服析务器当在前段内时接收到对的个域每进名行析的访解问求请的求请量数,其,中一第域解名服务器可以析仅负对责个一域名进解析行也,可以时同责对负多个(两即个或个以上两)名域行进解。析比,当如前段时时长为10的钟分,由时于名域析服解务器112负对域责名ett1s和名域est2t进解析,因此行名域析解务器12服上报的1攻击别识信中可以息包括名域析解服务器112在这0分钟1的时内接收到段的域名t对set1进行析的访问解求的请请数量和域名求解服务器12析在11这0钟的时段内分收到的对接名t域ets2行进解析访问请的求请的求量。数具实体施中攻,击别识信可息以第一域由名解服析器按务固照周期定或时上报实给中心理管备设20,0也以先可由中心管理设2备00向一第名域析服务器发解送获请取,再求第一域名由析服务解接收器获到请求后取上报击攻识别信息,不作定。在限种可该方式能中,通过用使心中管理设备执攻击行断过判,能程统够对各一域个名析解务器服行攻击进断判避免域,解析名服器的造假行务,为提高击判断攻的确准性。步骤032,根所据攻击识述别息,信定确所第一述名解域析务器服是否攻击被。具实体中施若,用上述可采方能一式执攻行击判断则中心管,设理备20接0到攻收击识信别息后可以,直根接攻击据识信别中息攻击的域被名解析服器务标识和的被攻域名击标的识确定被攻的击域名析解服务器和被攻击名域相应。地,若采上述可用能方式执二攻击判断,则中行心管设理备200接收到攻击识别信后息可,以先使用设定攻击规对则攻击识信息别进行分,以确析第定一域解析名务器是否已服攻被击,并确定在第一域解名析务服被器攻后,击第从域一解名析务服器部署各个的名中域定确出被击攻名域步骤。033,确定若述第所一名解域服析务被器攻,击则将所述一域名第析服务解器上的名授域信息权更给防变攻服务击。器申请实施例中本,域注名节点册110由联网名称互数字与址地配机分构T(ehnteIrntCoreporatinfooArssgiednNmesaandNmuber,sCAIN)或N国代家顶码级名域(countrycoeTod-pLveelDoamin,cscLDT域)注名册局行进置设能够在指,的定名注域册数库中据管理个 各域名,可还以理各管个名的域名授域信权息比如获取,名解域析服务器某一上名域域名授的信权,息或将某者一名域权授信配息给域置名解服析器,务者或某一域将授名权信息域从名析解服务上解除,等器。等体实具中施,心中管设备200理确若第定一名解域析务器服攻被,击则以向域可注册名节点110发送名变域请更求,在域并变更名请求携带第中一名解析域务服的器标和防攻击识服务的标识,域器名更请求变用于示域名注指节点110对第册一名解析域务服上的器域授名信息权行变更。进如,此当域注册名节110点收到接域变更名请后求可以通过,修改域配置名息将信一域第名解服务器上析的域名授信权变更息给防攻服击器,比务可如先以获取一第域名解服务析上器的域授权名息信,将再域该名权信授配息给防攻击置务器,最服后该域将授名信权从第一域名息析服务解器上解除,而从实对域名授权现信息变更的。举例来说,若域注册名节点101存中的原储名配置域息为信:tst1.comnenss.t1ets.1cmos1.nest1t.ocmianip1tosec.srgosnn1.tssecoo.rgn1sto.sc.eorinagpsv1i根则据域原名置配息可信,域名知est1t域名授权信的息依经次根域名服由器.co务m、顶域名服级器务tste1.co和一级域m服名务n器s1.tets1.co被m权给授第一域解析名服器i务s1p且,域名原置配息信中还配有置防击攻服器务psvi1,防击攻务器服psi1v依经次由域名服根器.o务gr顶级域名、服器务tosec.ogr和一域名级务服器s1.ntoec.orgs寻迹得。具到体施中实,第一名域析解服务i器sp1检测到当前时段内若域名tes1t访的请求问的请求增量过超第一预阈设值则,以确定可域名test被1攻,因此,第一击域解析服务名器ip1s以可向中管理心设备020上报攻击识别信息并在,攻识别信击息携带中第一域解名服务析器isp的1识和标被攻域击tes名t1标识。的相地应,心管理设中备200接到第收域一名析服解务ips器1送发的击攻别信息识后,确定第一域解析服务器名pi1s上的域名tst1e被攻击因此可以,过调通度域注名节册点101原对名域配信息进行置修,以改域将名estt的1域名权信授变更给防攻击息务服器pis1v。其中,修改的方可式以将域为名tets1对的原应级域名服一务器ns.t1set1com.度调为攻击服务器防ispv对应的一级域1服名器n务s.to1sc.eor,g此如修,后的域名改置配信息可为以t:ste.1omcnnss.t1seoc.rgnos1.ets1.ctominipa1sotec.orgnsns1sto.ec.orsgns.to1es.ocgrnaiispv1根修据后的改域配名信息置知可,储域存te名ts的1域名授权信的原域息解析名服器务isp1被离,隔且域名est1t的名域权信息授由顶经级名域务服器toecs.ogr一级域和名服器务ns1.otse.corg被授给防攻权服务 击器psvi1如此。通,过预先判断在域出名解析服务器ip1s攻被时将域名击解服务析i器ps上1域的名授信权息变给防攻击更务器服ips1,使得防v击服务攻器ipv1s能继够续提对域名供ett1的域名解s服务析,器从而域解名服析的可务用较性好,防攻能击较强。本力发明实例施,第中一域解析服名务可以为器有域私名析服解务,也可以器为有共名域析解务器,服若第一域名解服析器务为共用名域析解务器,则服中管兴理备设002除了以可将第一域名析解务器服上被攻域名击对应的名授域信权变更息第给一防攻击务器之服外,可还以第将一域解名服析务上其它域名对应的器名域权信授息更变预给的设共用域解析名服务。如此器在,共用域名解服务析上器某一域的名攻被击时利用本地,ns服d器会务重试机的制使,它域名其私的域名有服器能够正常务供提解析,保了各证域名的可用个性且,通过;时同变更被未攻的域名击的名授权域信息,够能证各个域保名解的效析率。示例性地中,心管理备设200还以可确定被再击域攻的私有域名解名服务析,器并私将有域解析服务器上被名击域攻名对的应名授域信息变更权第二防给击服攻器务。如,此共在域用名解析服务器上的一某域名被击时,攻通同时过变未受更击的攻有私域名析服解器务的上域名权授息信,能解够攻决击同时对该域名发起者大攻量而击导致的私有名解域析务服器被也攻击的题,保问私有域名解析服务器上域名证可用性的,提防高攻的击力能。或,若确者第定一域解析名务器服被攻为击名域私的域名有析解服器,务则心中理管备设002以将第一域名可解服务析器被攻上域名对击应域名授的信权变更息第给一防击攻务服器如此,通过设。置第防一攻服击务来器接被收攻击域名的域名授权息,而不为信每域名个置备用的设名解析域服器,务以减可少域解析服务器的名部数署量,提资高的源利用效。率例性地,示心中理管备设200可还以确再定被攻击域名的有域名解析共服器务并将,共域名有解析务器上被攻击域服对名应的名域权授息信更给变二第攻防击务器,服以将共有及名解域服务器上其析域它对名的应名授权域息变更给信设的共有域名预解析务服器如此。,当一域名某的有域名私析服务器解攻击时被,过通同时变该更域名的共有名域析服务器解上的部域全名权信授,能息够解决击者攻同时该对名域发大量起攻击而致导的有共名域析服解器务时被攻同击问题的,提前变已被攻击更的名域所的在全部域解名服务析上的器域名解析息,保证信各域个的名可性用,提防高击攻能力。的于基述上容,图内为本发明实施4例提供一种防的 攻击方法对应的整体流程的示意图,方该法适于中心用理管设备200该,方法包:括步骤401接,第收一名解域服析器务报的攻击上识别信息。步骤402,据根击识攻别信息确定一第域名解服务析是否器被攻击若是,则,行执步骤403,否若,则期周性执步行骤410。步骤40,3判第断一名域解析务服是否器被攻为击名域的有域名解析私务器服,若,是执行则步骤44,若否0,执则行步骤04。步骤740,4将一域第解名析服器务被攻上域名对应的域击授权名息变更信第一防给攻服击务。器骤步45,0定确被攻域击的共有域名名解析服务器。骤步46,将共0域有名解服务器析被攻上击域名应对域名授的信息变权给第更二攻防服击器务同,将共时有名解析服域器务其它上域对应名域的名权授信息变更给设预共用域名的解服析器。务步407,确定骤一第域解析名务服是器为否攻击域被的名有共域名解析务服,若器,是执则步行骤40,若8,则否行执骤步411步。40骤,将8一域名第析解服务上被器攻击名对应域域的授权名息信更变第一给攻击服防务器同,将第时域一名解析务器上其它服名域对应域的名权信授变更给预设息的有共域名解服析器务步骤4。09确,定被攻击域的名有私域解析名务服器。步骤40,1将有私域解析名服器上务攻击被域名应对域名的授信权变更息给第二防攻服务器。步骤4击1,出1系统错误现进行,告警为了。于理便,解面列下一举个体的具例示,在该例示,中名域册节点注110存中储原域名配的信息为置:etst.1conmssn1.test1com.sn1t.es1.ctmioaipn1sestt.1cmnodsns5tos.eco.rgtst2.cemnonss.1ets2tco.mn1.tses2tcom.inaips2tste.c2omsdnns5t.seo.orcg......tset.ncmonnss.t1etsn.cmons.t1setn.ocinampinstets.nocmsndns.5tsoc.orgetosec.rgnson1.stoes.orgcoste.crognssn2to.sec.rons1gtose..corinaipsgv1ns2t.seo.orciganpsiv2nsd.5tosc.eognsrnsd.to5esc.o1grnd5.tsoec1.osgrinapsi1dcns5.tseco.org2niaipcs则根2原域据配名置信可知息,针于对一任名域(如域比tes名t1,域)名tset1的名域权授信依息次由经域名服根务.co器、m级域顶服名务器tets1com和一级域.服名务ns器1t.es1t.com被授权给私域有解析名服器务ips1和共域有名务服器nd5.tosec.orsg,且经由共有名域务器服ds5.tnsoe.ocgr和名域服器务dns5.osetc1.rgo被授权共用域给名解析服器i务pc1。且,s原名配域信息置中配置还防攻有击服器务pis1、防攻击v服器ip务v2s和设预共的域用解名析务服器ipsc2,防击攻服务i器spv1依经次由根域服名器.务rgo顶级域名服务、t器soe.ocrg一和域名级服器务n1st.sec.orog寻迹得到防,击攻务器服psv2依i经由次根名服域器务o.gr顶级域名、服器务toecs.rgo和一域级名服务器ns2tos.e.cor寻迹得g。具到实施体中,心 中管理备设200接到第收一名解域服务器析发送攻击识别信的后,息可先以确定一域名解第析服器为务攻击被名域私的域名解有析务服器是共有还名域解服务器,再通过析调度域注名册节点11对0域名配置信息进行原修,执改行对应的变更操作比如。当被,攻域击名为etts1时,第若域一名析服解器务为ips,1一第名解域服析器务ips1为攻击被名域est1t的私有名域解析服器,务此因中管心设备2理00以可接将第一直域名析服务器解psi1上被攻域名t击est1对应的域名授信权变息更给一第攻击防服器务ipv1s或,还可者将以攻被击域名est1t的共有名解析服务器域ipc1s被上击攻名域test1应对的域名授信权变息给更第防攻二服务器ip击v2s同时,共将域有名析解务器服ipsc1其上它域名tste1应的对域名授权信变息更预设的给有共域名解析务服器ipsc2。相应地若第一域,解名服务器析为ips1c,一第名解析服务器域ipc1s被为击攻名t域est1的有域共名析解服务,器此中因心理设备管020可以第将一域解析服名务器iscp1上攻被域击名tets对应1的名授权信域变更给息一第攻击服务防器pisv,同1时共有域名解将析服器务ipcs上其1域它te名st1对应域的授名信权变更给预设的共息有域名解析务器服pics2,或者还可将以被攻域名击est1t的有域私名析服务解器ip1上s被击攻域名test对应1的域授名权息变信给更二第攻防服务击器pisv2。第一域以解析名务服为器isc1p例,为可通以调度过名域册注点节110原对名配域信置进行修息,修改改的式可以为将方名t域ets1对应的一原级名服域器务ns.1etts1.cm调o度防攻击为服务器ipsv对1的应级一名域服务器ns1.osetc.rgo,同时将域名tes1t对应的共有域名服器务dns.5ostc.org调e为度攻防击服务器psi2v应对的一级名域服务器n2stos.ec.ogr,或还可以将者它其域名对的共有应名域服器务dns5.tosce.or1g调为预度设的共用名域解服析器i务spc2对的一应级名服务器域nd5s.toesc2.rgo。如此,改后修的名配置信息可域以:为tets.1cmnosns.1ostc.eogterst1comn.ssn2t.sec.oorgns.1tste.1coinmiaspte1st1.comndsn5.tssoecorg.test.comnsn21.tsets.2comsn1.tet2sc.monaiip2stest2c.mosnnd5s.tseo.corg......esttn.omncnss1.tsentc.mnos.t1est.cnomiainspntesn.tconsmdsn.tose5corg.tose.crognsns1.osetcor.gtsoc.orgnens2.tsosc.erogn1s.tsoe.crgionipas1nsv.2otec.srginaipso2vdns.5osteco.rnsgdsn.tos5c2.oredgns.5tsec1.oogriniascp1nsd5.tosec2or.gianpics2根据修改的域名配后置信可息知存储域,名ett1的域s授名权信的原私有息域名析解服器务ips1被离隔且,私原域有名析服务解i器p1上s名域tste1的域授名信权息经由顶域级名服器tes务1.tcmo和级域名服一器务ns1.otse.orcg被授权防攻击给 服务器pis1;v相地,存储域应名tst1e域名的授权息的信共有原名域析服务解器pis1c被离隔,且共原域名有解析务服ip器cs上域1名tes1t域的名授信息经由顶权域名级务器服tets2com-tes.ntc.o和m一域名级务服器ds5.nosetco.rg二、级域服务名器dn5.sostec.or2g被授权预给的设共有名解析服域务器ipsc2,共有域原名解服务器析psc1上其它域i名test-2esttn域名的权信息经授由级顶域名务器服est1t.omc一级和域服名器ns务2.tseo.ocgr被授给防攻击权服务器piv2s。如此通,在预先过断判共出有域解名析服务i器spc1被攻时击对有共名域析解务器服isc1p私有域名和解服务析器pi1上的全s域名授部权信进行息变,更使域名解析系得统够继能续各个域对名提供较的域好名解析服,且务名域析服解的可用务间足空,够攻击能力较强。防于基修后的改配信置,息图5本发明为施例实供提的种一域名析解的流示意图,如程5图示,所流该程括:包骤5步10,客户端300向地域本名服器发送务名解析请求域域,名析解请中求带有携域名tets1的标识。步骤52,本地0名服务器域接收域到解析请名后,求查本地询缓存,若地缓存中存本在域t名est1应对的域名解系统析Do(maiNamneystSm,eND)记S,录直则接向客端户030返回询结果查,并在询查果中结携域名带tes1t应的对NSD录记若本地缓;存不存中在域名tets1对的应NDS录,则记向根名服务器发送域名解域析求。请如5图所示在,示该例中本地,存缓中不在域名test存1应对的NSD记,因录此地域本名务服器可以根向域服名器.c务om发送域名析请解求域名解析请求,中带有域名携tset的1识标。骤步503根,域服务名器.com记录中有名t域et1s对应的个各级域顶名务服的器址,地因此,根名域务器.c服om接收到在域解名析求后,会请本向地名域服务返回器名域estt对应的1级顶名域服器务test1.comIP地址的。骤步504,地本名服务域接器收到级域名服顶器务tets.1com的PI地址,通过该后I地P向址级顶名服务域t器es1.tom发送域c解名析请,求域解名请析求中携带有域名tet1s标的识。步骤055顶级域名,服务器tste.1co接收到m名域解析求后,先查询请其地本缓,若本地缓存存存中域名在tst1e应的对DSN记,录向本地域则服名器务返回询查果,结经以本由域名地服器返务给客回端户30,查询结0果中携有带域te名st1应的对DNS录;相应地,记本地缓若中不存在域名t存est1对应的DSN录记则向本,域地名服务返器回下级域一名务服的器PI址。地如图5示,所在该示例中顶级域,服务名器test.1ocm的本地缓存中存在不名域tse1对t的应DSN记录因,此级域顶名服器务estt.c1mo向本地域服名务器送发下一域级名务 服器n1stos.c.orge的PI地址。步骤560,本域名服地器接收到务一级域名下服器务n1.tosseco.rgI的P地后,通过址该IP址向地一下级名域服务n器1.stoesc.ogr发送域名解请求,析域名解析求中请携带域有名est1t的识标。步骤507下一级,域名服务器ns.t1soc.eor接g到域收名解请求析后先,询查本地缓其存若,地本缓存存在域名中test对1的应DSN记录,向则地本域名服务返器查回结果,以经询本由地名域服务返器给客回户端030查询,结中果带携有名域estt1对的应NSD记录相应地,;本地缓若中不存存在域名ett1s对应的DNS记,则向本地域名服录器务回返下级域名服务一器IP的地。址如图5所,示在该例中示,下级域名一服器务sn1.tosc.eogr本地缓的中存不在域名t存et1s对的应NSD录记,因此一下级名服域务器ns.1otsce.ogr向地域名服务本器送发攻防服务击器ipsv1IP的地址。骤步085本,域地名务服接收到器防攻击务器服ips1的IvP地后,址通过该I地P向址ips1v送发域名解析请,求域名析解求中携带请有域名etst1的识。标骤步50,9攻防服击器i务sv1p中存储域有t名et1s对应的DSN记录即域名(tse1的t域名授信权),当息接到本收域地名务服发器的送域名析解求请,后于由地本存缓中存储有名域tes1t对应的DSN记,录此防攻击因服器务ipv1s可以询域查名tes1t应的D对S记录N确出域名定tet1s对应各的个服务器然,后选距取最离近服务器的将,近最的服器的IP务地返址给回本域名地服务器。步骤150,地域本服名务将域名解析器结果发给送户客端030域,解析名结中果带携最有的服近务器的IP地。址且,地域名服本务器会还域将名tse1对t的应近的服务最的器P地址存I在储地缓存本,中便以下次于接到访收域名问tet1的s求后,直接从本地请缓中获取域名te存ts1对的应最的近服务器IP地的址。步511,骤客端户300接收到名域析结解后果,向名tes域1t应的对最的近服务的器I地址P发数送请据求本。明发实施中,例过第通域名一析服务器自解动上攻击报别识信息,并基攻击识于别信息对第域名解析服务一器行进攻击预判,够及能识时攻别,击且在判第一域预名析解服器务攻被时,通过击更变第一名域解析务服上器的域授名权信给息防攻服击务器能够在,速快隔离被攻击第的域一名解服务析的同器时,防由攻服击器务继提续供域解名服务,从而提高域析解析名务服可用性。的图6本为明发施实提例供的一防种攻击法对方的整体交应流互示程图,该方意法括:包步骤61,0第一名解域服析器获取务前当段时各个内域名访问的数。步骤量02,第6域名解析服务器一用预使攻设规则对击个各名域访的问数量进行 分析,定确第一域名解服析器务当前时在是否段攻被,击否,则若行步执骤60,3是,则执若步骤行60。4骤步063,作处理不步骤。06,4一第域名析解服务器向中管心设备发送理攻识别信息,击攻击识别信息携带中有攻击域名的标识被。步骤650中,管心理备设根被攻据击域和第名一域名析解服器务,成生变指令更;更变指令于用指将第示域一名解析务器服被上攻击域对名的应域名权信授息更给变第防攻击一务服。步骤器06,6心中管设理备向域名册注节点发送变指更令步。骤670,名域注册点接节变收更指后令修,改名域配置息,修信改后域名配的信息置用于将第一名解域析务服器被攻击上域名对应的名域授权信息变给第更防攻击一服器。在一个示例中,变更务指令用于还指:示若一第名解域析务服为被攻器击域名共的域名解析有务器,服则指域示注册名节还将点第一名解析域服器上务它域其名应对的域名授权信变息给更设的共有域名解析服务预器同时,被攻将击域名私的域有名析解服务器被攻上域名对应击域名授权信息变的更第二给攻击防务服器若第;域一解名服务析器为被攻域击的私有域名解析名服务,则指示域器注册名点还将节被击攻域名的共域名有析服务解上被攻器域击名对的应域名权信息授更给变第防攻二击务服器同时将被,击攻域的名有共域解名析服务器上它域其对名的域名授权应信息变更给预的设共有名解域析服器务。本发明上述的实例中,中施心管理备接收第设域一名析解服务器报的上击识别攻信息,据根所述击攻别识息信,确定所述一域第解析名务器是服否被击攻若确定,述所第域一名析解服器被务击攻则将,述所一域名第析服务器解的域上授权信名息更给防攻变击务器服本发。实施例中明通,第过域一解名服务器析动自上报攻击别信息识,基并于击识别信攻对第一域息解析名服务器进攻击行判,能预够时及识攻别,且击在判预第一名域析服解务被攻器击时通,变过更第一名域解服析器务上的名授权信域息给防击服攻务器,够能在快隔速被离击攻的一第域名析解务服的器同,时由攻防服击务继续器提域名供解服析务,而提高从名域解服务析可用性的。针对述上方流法,本程明发施实还例提供一种防击装置攻,装该的具体内容置可以参上述方法实施照。图7为发明实施例本提供的一种基于域解名析统系域的名部装署的置构示意结,图包:括私有域解析部署模块名01,7用于所为述名解域系析统的任中域一部名署所述域名应对私有的域名解服务析器;共域有名解析署部块模720,于用为述域名解所系析中的两个或两个以统上的域名部署共用域名析服解 务器;中其所述,私有名域解析署模块部07或所1共述有名解析域部模署702块通过如方下将式名域部给署名域析服解器:务将述域所名的名域授权信授权息给所域述解名服析务。器在一种可能的现实式方中所述,域名析解系统中设还置有心管中理备和设至少个一防攻击务器服;图8为发明本实例提施的一供中心种管设备的结构理示图,所述意中心管理备设括包:收模发块08,1于接用收一第域解析名服务器上的攻报识别击息;信名域权变更模块授028,用于根据若所攻击识别信息确述定所第一域述解名服析务器被攻,击将则所述第一域解名析务器上服域名的权授信息更变所给至述一少个攻防击服器。务一在种可能的实方式现中所述,至少一个攻击防服器包务括第防攻一击务器和预服设共的有域名析解务服器;所域述名权授变模更块820具体于:用确若定所第一述名解域服析器务共为域用解析服务器,名将所则述一第域名解服务器析被攻上域击名应的域名授权信息变对给所述第更防攻一服击器务同时将所,第一述域解名析服务上器其域名对应它的域名授权息变更给信所述设预共用域的名解服析务。器在一可能种的实方现中,所式述至一个少攻防击务器还服包括第二防击服务攻;器所述域名授变权更块模820还用于:定确述所攻被域击的私有域名解析服名器,务所将私有述域解名服务器析上攻被域名击应的域名对授权信变息更给所述二防攻第服击器务在一种可。的实现能方式,所述中少一至个攻击防务服包器第一防括击攻务服器;所述域名授变权更模8块20具用体:于若定确所述第一域名解析服务器所为被攻述域名的私有域名解析击务服,器将则所述第一名解析服域务上被攻器击名对应域域名授权信的变更给息述第一所防攻服务器击。一种可在能的现实方式中所,至述少一个防击服攻务器还括第二防包攻服务器和击设预的共域名解有服务析;器述所域授名权变模更80块2还用于:确定所被述击域攻的共有名名解域服务器析,将所共有域述名解服务器析被攻上域名击对应域名授权信息变的更所述给二防攻击服务器第同时将,述所有共域解析名服器务上其域它对名应的域名授信权变更给所息述预设共有域名的析解务服。器在种一能的可实现式方,所述域名授中变权模块8更0将所2第述域名一解析务器服的上域名授信权变更息第给防一击服务攻之器后还用于,:确定所若述第一名域解服析器务的上击解除,攻则将述所防攻服击务上的器名授权域信息变回更述第一所名域解服务析器。在种一能可的实现式方,中述所击识别信息由所述第攻一域解名析服器生成,务图9本为 发明实例提施供的一种心中理设备的结构管意示,所述图一域名解析第服务器包:获括模块9取0,用1于获取述所第域一解析服务器上名各域个名在前当时段的内问访次;确数模块定09,2于根用据述访问所次数确定所述第,一名解析域服器务上被的击攻域名;生模成块09,3用根于所述被据攻击名域的识标成所生攻述击别信息识或;,所者攻击识别信述包括所述第息域名解一析务服上器各的个域名当前时在内段访的次问;所述数中心理设备管包还攻括识击别模块803,所述攻击识别块模803用:根据所于攻击述别信识息确定所述一域第名析解务器服是否攻被击在一。可种能的现实方式中,所确述定块模902体用于具:针对所于第述域一名析解务服上的任器一域,根据所名述域在当前名段的时问访次数和上一时的段访次问数确访问次数增量定,所述访若次问数增量大于第预一设阈,则确定所述域值名被为攻域击名若,所述访次数增量问小于等或所于述一预第设阈值,则确所定域名述为不被攻击名。域一在可能的实种方现式中所述,确定块模902具用体于:统所述计第域一名析解务器服上各的域个在当前名段的时访总次数问若所述访,问次总数于大二预设阈第值则,确所述第定域一解析服务名被攻器,击据根述各个域名所的访次问数定被攻击确名;若域述访问所次总小于或数等于所第二述预设阈,值确定则所第述一名域析服解器务未攻击,被述所个域各中不名在被存攻击域。名上述内从容可看以:出发本明上的述实例施中为所,域名解析述系中统的任一域名署所部述域名对应私的域有解析名服务,器及为所述以名解析域系统的中个或两个两以的域上名署部用共域解名服析器;其中,务域名部署为域名析解务服器,括:包所将域名的域述名权信息授授权给所域名述解析服务。器发本明中,过为域通名部署私有名域析解务服和共器有名域解服析务来器保域名解析证的可用,性以无需为每可个名配域多个私有域置解名析服务器从而,能够低降资占源量用提高资源,利的效用率;且,本发明不仅为每域名个署独部有私的域名有解服析器,务还两个或两为以个上的名域部署共域有解名服务器,如析此,即某一使域在名短间时内遭受大到攻击导量致该域名的共有域解名服务析器上各域个的域名解名析服务不可用,由于均部有署个域名每的有私名解析服域务器因,其它此名域还以可过私有通域解析名服务进器行域解名服务析,而某个从名的攻域不会击影响它域名其的解效析果防,击攻效果好。较于同基一发明构思本发明,施例还提供实一了计种设备算,图1如0所示包括至,一少个处理器101,0以与及至少 一个处理器接连的存器100储2,本明发实施例不中定限处理1器01与0储器存0102之间具体的接介连质图,10处中理100器1和储器100存2之通过总线间接为连。例总可线分以为址地总线数据、总、控线总制等。线在本明发施实例,存中器储1002存储可有至被少一个处器理1001执的指令行,少至一个处理10器01过通行存执储器1002储存指的令可以,执行述前基的于域名析解系统部署的方法所包括中的步。骤中其处理,器1001是计设备算控的制心中,以可利各用种口和线路连接接算计设的备个各部分,通过运或行行存储执存储在器0021内的指令及调用存以在存储储器1020的数据内从,而实数据现处。可理的选处,器理100可包括一个或1个处多单元理处,理器1001集成可用处理器和调制应调解理处,其器中,用处应器主要处理操作系统、理用户界和应用面序等,程制调解处理调主要处器理发指令。下可以理的是解,上述制解调调理处也器可以不成到集处器10理10中。在一些施例实中,理器处1010存和器储0120可在同以一片上实芯,现在些一实例施中它们,也可在独立的以芯上分片别实。现处器理0110可以是用通处理器例如中,处理器央(CU)、数P信字号处器理、专用集电成(路ApplictaioSpnceifciItegnartdeCrciit,uSAI)、C场现编程门阵可或者其他可编列程逻辑件、分立门或器者体管晶辑器逻件分、硬立组件,可件实以或者现执行本发明实施例公中的各方法开步骤、逻辑框及。图通处理用器以可是微处理器者任或常规何处理的等器结。合基于域解名系统析的部实署例所公施开的方的步骤法可以接体直现为件硬处器执行理成完或者,用处理器的中件及硬软模块件组合执行成完存。储器100作为2一非易失种性计算可机存储读介,质用于存可储非失性易件软程、序易非性计失算机执行可程序以模及块。存储1器002以包可至少一括类型种存储的介质,例如可包以闪括存、硬、多媒盘体、卡卡存型储器随机、问存储器访(RanomdAccsseMemor,yARM、)态随静访问机储存器(taSitcanRomAdccessemMoy,rRSAM)可、程只编读储器存(rogPrmmaalbReadeOnlyemMry,PoOM)、只R读储器(存eRdanlOyemMor,yRM)、带O电擦可除编可只读存储程器(lEcertciallyEraaslbProegarmmabelReadOlnMymeory,EPERM)O、磁性储器、存磁、光盘等盘。等存储器001是能够2于用携或带储存有指令具或据数构结式形期的的程望代码序并够能计算由机取的存任何其他介,但不质限于。本此明实施发例中存的储器1002还可是以电路者或它其任意能够现存实储功能装置的,用存储程序指令于/或和据数基于同一。发明构思,本明发实施例提还了一供计算机可种存读储介,质存储有其由可 计算设备执行的算计程序,机所当述程序所述计算设在上运备行时,使得所述计算备设行上执任意所述述的攻防击法方。领域本的内术技人应员白明本,明的实施发例提可为供方、或法算机计序程品。产此,因发明可采用本完硬全实件施例完、软全件施例、实结合或软件和件硬面的方施例的实形式。而且,本明发可采在用个一或个多其包含中有计算可用程机序码的计代算机可用存介储质(括包但不于磁限盘储存、器CDROM、-光学存储等)器实上施的算机程计序产品的形式。发本是明照根参本发明实施据例方的法设备、(系统)和计算机、序产品程流程图的和/方或图来描框述的。理应解可计算机程序由令指实现流图和程/方框或图中的一流每和/或程方、框及流程以和/或图框方图的中流和/或方框的结合程可。提这些供计机程算序令到通指计算用机、专计用机、算入嵌处式理机或他其编可程数据处理备设的处理器产生一以机个,使器得过通算机或其计他编可数程据处理设的处备器执行理的指产令生于实现用流程图在个流一或程多个程和流/或框方图个方一或框多方个框指中的定能的装置。功这些算机程序计指也令存储在能引可导算计机或他可其编程据数处理设备以定特式工方的计作算可读存储器机中,得存储在使该计算可读机存器储的指令中产包生括指令装置的制品,该造令指装置现在流实图一程个流程或个多程和/流方或框图一个方框或多方框个指中的定功。能这计些机算序指令程也可装到计算机或载其可编程他据数处设理备上使,在得计算机或其可编他设程上执行一系备列操步作以产骤计算机实现生的理处,而在计从算机或其可他编程备上设执的指行令供提用于现实在流图一程个流或程个多流程和或/方框图个方一框或个多方框指定中的功的能骤步。管尽已述描了发明的优本选施实,但例领本域的内术人员一技旦知得了基创造本性概念,则可这对些实施例作出另的外变和更改修。所,所附以利权求意要欲解为释括优包实选例施及落入本发明以围范所有变更和修改。的然显本,领的域术技人员以对可本明进行发种各动改变型和不脱离本发明的而精神和围范这。,倘样若本明发的这些修和改型属于变发本权明利要求其及同技术等范围的内之则本,发明意图也包这些含改动和变在型。内<p>/