[发明专利]一种攻击防范方法和装置

权利要求书

1、一种攻击防范方法，其特征在于，包括：

接收来自客户端的域名解析请求，并获得所述域名解析请求的源地址；

验证所述源地址是真实的源地址；

向DNS服务器转发所述域名解析请求。

2、如权利要求1所述的方法，其特征在于，验证所述源地址是真实的源地址的步骤包括：

向所述源地址对应的客户端发送一个源探测报文；

接收到客户端发送的合法的响应报文，则确认所述源地址是真实的源地址。

3、如权利要求1所述的方法，其特征在于，验证所述源地址是真实的源地址的步骤包括：

以所述源地址为关键词查询真实源列表；

真实源列表中包含该源地址，则确认所述源地址是真实的源地址。

4、如权利要求3所述的方法，其特征在于，验证所述源地址是真实的源地址步骤之后还包括：

检测所述源地址的源行为正常。

5、如权利要求4所述的方法，其特征在于，检测所述源地址的源行为正常的步骤包括：

确认所述源地址不对应过滤标记；和/或

根据该域名解析请求更新所述源地址对应的行为检测字段，所述行为检测字段不超过配置阀值，则确认该源行为正常。

6、如权利要求1所述的方法，其特征在于，验证所述源地址是真实的源地址的步骤包括：

以所述源地址为关键词查询真实源列表；

如果真实源列表中不包含该源地址，向所述源地址对应的客户端发送一个源探测报文；

接收到客户端发送的合法的响应报文，则确认所述源地址是真实的源地址。

7、如权利要求1所述的方法，其特征在于，还包括：

将所述源地址存入真实源列表。

8、如权利要求1-6任一权利要求所述的方法，其特征在于，还包括：

验证所述源地址不是真实的源地址；

不向DNS服务器转发所述域名解析请求。

9、一种检测设备，用于攻击防范，其特征在于，包括：

接收单元，用于接收来自客户端的域名解析请求，并获得所述域名解析请求的源地址；

验证单元，用于验证所述源地址是真实的源地址；

转发单元，用于根据验证单元的输出结果，向DNS服务器转发所述域名解析请求。

10、如权利要求9所述的检测设备，其特征在于，还包括：

源行为检查单元，用于验证该源地址对应的源行为正常；

其中，所述转发单元，用于根据源行为检测单元的输出结果，向DNS服务器转发所述域名解析请求。

11、如权利要求9所述的检测设备，其特征在于，所述验证单元包括：

发送单元，用于向所述源地址对应的客户端发送一个源探测报文；

响应接收单元，用于接收客户端发送的针对所述源探测报文的响应报文；

合法性验证单元，用于验证所述响应报文的合法性，并输出所述源地址是真实的源地址的结果。

12、如权利要求9或10所述的检测设备，其特征在于，所述验证单元包括：

真实源列表，存储有至少一个真实的源地址；

检索单元，用于以所述源地址为关键词查询真实源列表，并在查到所述源地址时，输出所述源地址是真实的源地址的结果。

13、如权利要求9或10所述的检测设备，其特征在于，所述验证单元包括：

真实源列表，存储有至少一个真实的源地址及源地址对应的行为检测字段；

检索单元，用于以所述源地址为关键词查询真实源列表，在查到所述源地址时，输出所述源地址是真实的源地址的结果；在未查到所述源地址时，输出无对应地址的结果；

发送单元，用于在接收到无对应地址的结果时，判断所述行为检测字段正常时，用于向所述源地址对应的客户端发送一个源探测报文；

响应接收单元，用于接收客户端发送的针对所述源探测报文的响应报文；

合法性验证单元，用于验证所述响应报文的合法性，并输出所述源地址是真实的源地址的结果。