本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種域名系統(tǒng)(DomainNameSystem，簡(jiǎn)稱DNS)遞歸服務(wù)器抗DoS、DDoS攻擊的方法及裝置。

背景技術(shù)：

遞歸查詢系統(tǒng)中，DNS遞歸服務(wù)器接受用戶(解析器)發(fā)來(lái)的域名解析請(qǐng)求，首先查找自身緩存，若有該域名的緩存記錄，則直接向用戶返回解析結(jié)果；若沒(méi)有，遞歸服務(wù)器向其他域名服務(wù)器發(fā)出查詢直至獲得所請(qǐng)求的數(shù)據(jù)或出錯(cuò)說(shuō)明，然后再反饋給用戶。每次查詢，都需要耗費(fèi)遞歸服務(wù)器系統(tǒng)資源，甚至占用較大網(wǎng)絡(luò)帶寬。

拒絕服務(wù)(Denial of Service，簡(jiǎn)稱DoS)攻擊是指攻擊者試圖通過(guò)傀儡計(jì)算機(jī)向遞歸服務(wù)器發(fā)送大量域名解析請(qǐng)求，使遞歸服務(wù)器無(wú)法提供正常的域名服務(wù)。分布式拒絕服務(wù)(Distributed Denial of Service，簡(jiǎn)稱DDoS)攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上發(fā)展起來(lái)的一類攻擊方式。DDoS利用更多的傀儡計(jì)算機(jī)向遞歸服務(wù)器發(fā)起大量合法的域名解析請(qǐng)求來(lái)占用過(guò)多的服務(wù)器資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。

由于中央處理器(Central Processing Unit，簡(jiǎn)稱CPU)、內(nèi)存等系統(tǒng)資源的限制，遞歸服務(wù)器同一時(shí)間響應(yīng)和處理用戶發(fā)來(lái)的域名解析請(qǐng)求的數(shù)目是有限制的。而遞歸服務(wù)器在受到DoS、DDoS攻擊時(shí)，域名查詢請(qǐng)求量可能達(dá)到正常情況下的幾倍、幾十倍或更高，會(huì)造成網(wǎng)絡(luò)擁堵，阻塞正常的域名解析請(qǐng)求到達(dá)遞歸服務(wù)器，甚至造成域名查詢系統(tǒng)癱瘓；由于攻擊者發(fā)起的大量查詢域名都是人工偽造的，隨機(jī)性強(qiáng)，因此查詢的域名緩存命中率會(huì)大幅降低，大量域名解析請(qǐng)求需要遞歸完成，耗費(fèi)大量遞歸服務(wù)器資源、時(shí)間和網(wǎng)絡(luò)帶寬，而且由于遞歸服務(wù)器處理能力有限，惡意的遞歸查詢占據(jù)大量的系統(tǒng)資源，降低正常的遞歸查詢的響應(yīng)與處理速度和能力。

因此，上述遞歸服務(wù)機(jī)制在黑客發(fā)起DoS、DDoS攻擊時(shí)，會(huì)耗費(fèi)大量遞歸服務(wù)器資源、時(shí)間和網(wǎng)絡(luò)帶寬，而且會(huì)降低正常的遞歸查詢的響應(yīng)與處理速度。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種DNS遞歸服務(wù)器抗DoS、DDoS攻擊的方法及裝置，以克服現(xiàn)有技術(shù)中在黑客發(fā)起DoS、DDoS攻擊時(shí)，會(huì)耗費(fèi)大量遞歸服務(wù)器資源、時(shí)間和網(wǎng)絡(luò)帶寬，而且會(huì)降低正常的遞歸查詢的響應(yīng)與處理速度的問(wèn)題。

第一方面，本發(fā)明提供一種DNS遞歸服務(wù)器抗DoS、DDoS攻擊的方法，包括：

獲取所述DNS遞歸服務(wù)器的CPU資源占用率；

若所述DNS遞歸服務(wù)器的CPU資源占用率等于或大于預(yù)設(shè)的CPU資源占用率閾值時(shí)，則根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

第二方面，本發(fā)明提供一種DNS遞歸服務(wù)器抗DoS、DDoS攻擊的裝置，包括：

獲取模塊，用于獲取所述DNS遞歸服務(wù)器的CPU資源占用率；

處理模塊，用于若所述DNS遞歸服務(wù)器的CPU資源占用率等于或大于預(yù)設(shè)的CPU資源占用率閾值時(shí)，則根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

本發(fā)明提供的一種DNS遞歸服務(wù)器抗DoS、DDoS攻擊的方法及裝置，通過(guò)獲取所述DNS遞歸服務(wù)器的CPU資源占用率，判斷CPU資源占用率是否超過(guò)預(yù)設(shè)的CPU資源占用率閾值，若CPU資源占用率等于或大于預(yù)設(shè)的CPU資源占用率閾值時(shí)，則根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值，若相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量很大，或，占所有請(qǐng)求量的比例較大，則可以限制響應(yīng)該域名解析請(qǐng) 求的CPU資源，不會(huì)耗費(fèi)大量遞歸服務(wù)器資源、時(shí)間和網(wǎng)絡(luò)帶寬，也不會(huì)影響正常的遞歸查詢的響應(yīng)與處理速度。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明DNS遞歸服務(wù)器抗DoS、DDoS攻擊的方法一實(shí)施例的流程示意圖；

圖2為本發(fā)明DNS遞歸服務(wù)器抗DoS、DDoS攻擊的裝置一實(shí)施例的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明實(shí)施例涉及的方法，旨在解決現(xiàn)有技術(shù)中在黑客發(fā)起DoS、DDoS攻擊時(shí)，會(huì)耗費(fèi)大量遞歸服務(wù)器資源、時(shí)間和網(wǎng)絡(luò)帶寬，而且會(huì)降低正常的遞歸查詢的響應(yīng)與處理速度的技術(shù)問(wèn)題。

下面以具體地實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。下面這幾個(gè)具體的實(shí)施例可以相互結(jié)合，對(duì)于相同或相似的概念或過(guò)程可能在某些實(shí)施例不再贅述。

圖1為本發(fā)明DNS遞歸服務(wù)器抗DoS、DDoS攻擊的方法一實(shí)施例的流程示意圖。本實(shí)施例的執(zhí)行主體可以為DNS遞歸服務(wù)器抗DoS、DDoS攻擊的裝置，該裝置可以設(shè)置在DNS遞歸服務(wù)器內(nèi)。如圖1所示，本實(shí)施例的方法包括：

步驟101、獲取所述DNS遞歸服務(wù)器的CPU資源占用率；

步驟102、若所述DNS遞歸服務(wù)器的CPU資源占用率等于或大于預(yù)設(shè)的CPU資源占用率閾值時(shí)，則根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

本發(fā)明實(shí)施例通過(guò)在DNS遞歸服務(wù)器上啟用監(jiān)測(cè)域名解析請(qǐng)求的源地址、為可疑源地址分配限定資源等方式避免遞歸服務(wù)器在受到DoS、DDoS攻擊時(shí)嚴(yán)重影響正常的域名解析服務(wù)。

具體來(lái)說(shuō)，為DNS遞歸服務(wù)器設(shè)定CPU資源占用率閾值即占用上限閾值(如：80％)，并時(shí)刻開啟CPU資源占用率監(jiān)控。

當(dāng)DNS遞歸服務(wù)器的CPU資源占用率未達(dá)到預(yù)設(shè)的CPU資源占用率閾值時(shí)，DNS遞歸服務(wù)器按照現(xiàn)有規(guī)則響應(yīng)遞歸查詢。

當(dāng)監(jiān)測(cè)到DNS遞歸服務(wù)器的CPU資源占用率達(dá)到預(yù)設(shè)的CPU資源占用率閾值時(shí)，即等于或大于預(yù)設(shè)的CPU資源占用率閾值時(shí)，根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否響應(yīng)以及將用于響應(yīng)的CPU資源設(shè)定為多大的預(yù)設(shè)值，預(yù)設(shè)值可以是從0開始的任意數(shù)值，也可以包含0，當(dāng)預(yù)設(shè)值為0時(shí)，表明停止響應(yīng)該域名解析請(qǐng)求。

上述例如從192.168.0.2到192.168.255.255表示一個(gè)IP網(wǎng)段。

假設(shè)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量超過(guò)請(qǐng)求量的上限閾值，則可以限定最多分配如40％的CPU資源響應(yīng)該IP地址或IP網(wǎng)段的域名解析請(qǐng)求，超過(guò)此范圍的域名解析請(qǐng)求不予響應(yīng)；

假設(shè)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量超過(guò)所有請(qǐng)求量的80％時(shí)，也可以限定最多分配如40％的CPU資源響應(yīng)該IP地址或IP網(wǎng)段的域名解析請(qǐng)求，超過(guò)此范圍的域名解析請(qǐng)求不予響應(yīng)。

假設(shè)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量超過(guò)所有請(qǐng)求量的95％時(shí)，也可以直接停止響應(yīng)該IP地址或IP網(wǎng)段的域名解析請(qǐng)求。

本實(shí)施例提供的DNS遞歸服務(wù)器抗DoS、DDoS攻擊的方法，通過(guò)獲取所述DNS遞歸服務(wù)器的CPU資源占用率，判斷CPU資源占用率是否超過(guò)預(yù)設(shè)的CPU資源占用率閾值，若CPU資源占用率等于或大于預(yù)設(shè)的CPU資源占用率閾值時(shí)，則根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的 CPU資源設(shè)定為預(yù)設(shè)值，若相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量很大，或，占所有請(qǐng)求量的比例較大，則可以限制響應(yīng)該域名解析請(qǐng)求的CPU資源，不會(huì)耗費(fèi)大量遞歸服務(wù)器資源、時(shí)間和網(wǎng)絡(luò)帶寬，也不會(huì)影響正常的遞歸查詢的響應(yīng)與處理速度。

在本發(fā)明方法的另一實(shí)施例中，在圖1所示的實(shí)施方式的基礎(chǔ)上，進(jìn)一步的，根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值的具體方式可以有多種，可選的，作為一種可實(shí)施的方式，可以具體采用以下任一方式進(jìn)行：

方式一：

若所述相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量等于或大于預(yù)設(shè)的域名解析請(qǐng)求量閾值，則將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

可選的，本實(shí)施例的方法，還包括：

若所述相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量等于或大于預(yù)設(shè)的域名解析請(qǐng)求量閾值的持續(xù)時(shí)間超過(guò)預(yù)設(shè)時(shí)長(zhǎng)，則對(duì)所述域名解析請(qǐng)求不進(jìn)行響應(yīng)。

具體來(lái)說(shuō)，假設(shè)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量超過(guò)域名解析請(qǐng)求量閾值，即等于或大于預(yù)設(shè)的域名解析請(qǐng)求量閾值，則將用于響應(yīng)該IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為一預(yù)設(shè)值，具體可以限定最多分配如40％的CPU資源響應(yīng)該IP地址或IP網(wǎng)段的域名解析請(qǐng)求，超過(guò)此范圍的域名解析請(qǐng)求不予響應(yīng)；

或者，若所述相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量等于或大于預(yù)設(shè)的域名解析請(qǐng)求量閾值的持續(xù)時(shí)間超過(guò)預(yù)設(shè)時(shí)長(zhǎng)，例如預(yù)設(shè)時(shí)長(zhǎng)為一小時(shí)，則可以對(duì)所述域名解析請(qǐng)求不進(jìn)行響應(yīng)。

或者，相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量超過(guò)域名解析請(qǐng)求量閾值時(shí)，也可以直接停止響應(yīng)該IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求。

方式二：

計(jì)算所述相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量占所有域名解析請(qǐng)求的比例；

若所述比例等于或大于預(yù)設(shè)的域名解析請(qǐng)求量比例閾值，則將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

可選的，本實(shí)施例的方法，還包括：

若所述比例等于或大于預(yù)設(shè)的域名解析請(qǐng)求量比例閾值的持續(xù)時(shí)間超過(guò)預(yù)設(shè)時(shí)長(zhǎng)，則對(duì)所述域名解析請(qǐng)求不進(jìn)行響應(yīng)。

具體來(lái)說(shuō)，可以首先計(jì)算所述相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量占所有域名解析請(qǐng)求的比例，若所述比例等于或大于預(yù)設(shè)的域名解析請(qǐng)求量比例閾值，則將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值；若所述比例小于預(yù)設(shè)的域名解析請(qǐng)求量比例閾值，則將將按現(xiàn)有規(guī)則響應(yīng)從該IP地址或IP網(wǎng)段發(fā)來(lái)的域名解析請(qǐng)求；

具體地，假設(shè)若某一IP地址或IP網(wǎng)段發(fā)來(lái)的請(qǐng)求占據(jù)了當(dāng)前所有域名解析請(qǐng)求的80％以上，則認(rèn)為該IP地址或IP網(wǎng)段發(fā)來(lái)的請(qǐng)求為惡意域名攻擊(DoS、DDoS攻擊)，DNS遞歸服務(wù)器將限定最多分配40％的CPU資源響應(yīng)該IP地址或IP網(wǎng)段的遞歸查詢請(qǐng)求，超過(guò)此范圍的域名解析請(qǐng)求不予響應(yīng)。

或者，若所述所述比例等于或大于預(yù)設(shè)的域名解析請(qǐng)求量比例閾值的持續(xù)時(shí)間超過(guò)預(yù)設(shè)時(shí)長(zhǎng)，例如預(yù)設(shè)時(shí)長(zhǎng)為一小時(shí)，則可以對(duì)所述域名解析請(qǐng)求不進(jìn)行響應(yīng)。

或者，若所述比例等于或大于預(yù)設(shè)的域名解析請(qǐng)求量比例閾值時(shí)，也可以直接停止響應(yīng)該IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求。

在本發(fā)明方法的另一實(shí)施例中，在上述實(shí)施方式的基礎(chǔ)上，進(jìn)一步的，在實(shí)際應(yīng)用中，不能排除DNS遞歸服務(wù)器會(huì)遇到同一時(shí)刻收到大量來(lái)自同一IP地址或IP網(wǎng)段的正常域名解析請(qǐng)求的情況，為避免在此種情況下DNS遞歸服務(wù)器誤將正常域名解析請(qǐng)判定為域名攻擊而限制其得到DNS解析服務(wù)，可選的，作為一種可實(shí)施的方式，將在DNS遞歸服務(wù)器上啟 用白名單機(jī)制。遞歸服務(wù)器將來(lái)自特定IP地址或IP網(wǎng)段的域名解析請(qǐng)求源地址添加到白名單之中，白名單之中的IP地址或IP網(wǎng)段發(fā)來(lái)的域名解析請(qǐng)求不受上述資源占用限制。

具體的，所述根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值之前，需要執(zhí)行以下步驟：

判斷所述相同IP地址或相同IP網(wǎng)段是否屬于白名單；所述白名單中的IP地址或IP網(wǎng)段發(fā)起的域名解析請(qǐng)求為非惡意域名攻擊的域名解析請(qǐng)求；

若不屬于，則根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

具體來(lái)說(shuō)，白名單是根據(jù)各大電信運(yùn)營(yíng)商和動(dòng)態(tài)主機(jī)設(shè)置協(xié)議(Dynamic Host Configuration Protocol，簡(jiǎn)稱DHCP)所分配的地址來(lái)確定的，這樣就可以基本確定正常的域名解析請(qǐng)求用戶都會(huì)被添加到白名單中。

白名單是預(yù)先在DNS遞歸服務(wù)器中設(shè)定好的，在根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值之前，首先判斷所述相同IP地址或相同IP網(wǎng)段是否屬于白名單，若屬于，則DNS遞歸服務(wù)器按照現(xiàn)有規(guī)則響應(yīng)遞歸查詢；

若不屬于，則按照上述具體實(shí)施方式中的方法去確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

本實(shí)施例，通過(guò)設(shè)定白名單，在根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值之前，判斷所述相同IP地址或相同IP網(wǎng)段是否屬于白名單，從而避免了DNS遞歸服務(wù)器誤將正常域名解析請(qǐng)判定為域名攻擊而限制其得到DNS解析服務(wù)的問(wèn)題。

圖2為本發(fā)明DNS遞歸服務(wù)器抗DoS、DDoS攻擊的裝置一實(shí)施例的結(jié)構(gòu)示意圖。如圖2所示，本實(shí)施例的DNS遞歸服務(wù)器抗DoS、DDoS攻擊的裝置，可以包括：獲取模塊201和處理模塊202；

其中，獲取模塊201，用于獲取所述DNS遞歸服務(wù)器的CPU資源占用率；

處理模塊202，用于若所述DNS遞歸服務(wù)器的CPU資源占用率等于或大于預(yù)設(shè)的CPU資源占用率閾值時(shí)，則根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

可選的，作為一種可實(shí)施的方式，所述處理模塊202，具體用于：

若所述相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量等于或大于預(yù)設(shè)的域名解析請(qǐng)求量閾值，則將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

可選的，作為一種可實(shí)施的方式，所述處理模塊202，還具體用于：

若所述相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量等于或大于預(yù)設(shè)的域名解析請(qǐng)求量閾值的持續(xù)時(shí)間超過(guò)預(yù)設(shè)時(shí)長(zhǎng)，則對(duì)所述域名解析請(qǐng)求不進(jìn)行響應(yīng)。

可選的，作為一種可實(shí)施的方式，所述處理模塊202，具體用于：

計(jì)算所述相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量占所有域名解析請(qǐng)求的比例；

若所述比例等于或大于預(yù)設(shè)的域名解析請(qǐng)求量比例閾值，則將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的CPU資源設(shè)定為預(yù)設(shè)值。

可選的，作為一種可實(shí)施的方式，所述處理模塊202，還具體用于：

若所述比例等于或大于預(yù)設(shè)的域名解析請(qǐng)求量比例閾值的持續(xù)時(shí)間超過(guò)預(yù)設(shè)時(shí)長(zhǎng)，則對(duì)所述域名解析請(qǐng)求不進(jìn)行響應(yīng)。

可選的，作為一種可實(shí)施的方式，所述處理模塊202，具體用于：

判斷所述相同IP地址或相同IP網(wǎng)段是否屬于白名單；所述白名單中的IP地址或IP網(wǎng)段發(fā)起的域名解析請(qǐng)求為非惡意域名攻擊的域名解析請(qǐng)求；

若不屬于，則根據(jù)相同IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求量，確定是否將響應(yīng)所述IP地址或相同IP網(wǎng)段的域名解析請(qǐng)求的DNS遞歸服務(wù)器的 CPU資源設(shè)定為預(yù)設(shè)值。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的設(shè)備和方法，可以通過(guò)其它的方式實(shí)現(xiàn)。例如，以上所描述的設(shè)備實(shí)施例僅僅是示意性的，例如，所述單元或模塊的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或模塊可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口，設(shè)備或模塊的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述作為分離部件說(shuō)明的模塊可以是或者也可以不是物理上分開的，作為模塊顯示的部件可以是或者也可以不是物理模塊，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。

本領(lǐng)域普通技術(shù)人員可以理解：實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成。前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。該程序在執(zhí)行時(shí)，執(zhí)行包括上述各方法實(shí)施例的步驟；而前述的存儲(chǔ)介質(zhì)包括：ROM、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

最后應(yīng)說(shuō)明的是：以上各實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案，而非對(duì)其限制；盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。